JP2002314582A - Packet communication system - Google Patents
Packet communication systemInfo
- Publication number
- JP2002314582A JP2002314582A JP2001116998A JP2001116998A JP2002314582A JP 2002314582 A JP2002314582 A JP 2002314582A JP 2001116998 A JP2001116998 A JP 2001116998A JP 2001116998 A JP2001116998 A JP 2001116998A JP 2002314582 A JP2002314582 A JP 2002314582A
- Authority
- JP
- Japan
- Prior art keywords
- router
- terminal device
- packet
- tunnel
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、パケット通信シス
テムに関し、特に、パケット通信網における発呼端末と
着呼端末との間に呼接続を確立してパケット通信を行う
パケット通信システムに関する。The present invention relates to a packet communication system, and more particularly, to a packet communication system that establishes a call connection between a calling terminal and a called terminal in a packet communication network to perform packet communication.
【0002】[0002]
【従来の技術】例えば、インターネットのようなパケッ
ト通信網は、不特定多数のユーザが間接的につながるオ
ープンなネットワークであり、便利さの一方で、セキュ
リティ面は電話網などに比べ著しく低いレベルにある。
インターネットの利用者は「盗聴」、「改竄」、「なり
すまし」等の危険或いは脅威に曝されている。これらの
危険或いは脅威から利用者を守る手段として、「通信デ
ータの暗号化」、「ユーザ認証」等の機密保全機能をWW
Wサービスやメールサービスなどのアプリケーションに
付加する形態がある。 通信データの暗号化に含まれる
1つの具体的な形態として、トンネリング技術がある。2. Description of the Related Art For example, a packet communication network such as the Internet is an open network to which an unspecified number of users are indirectly connected. On the other hand, security is at a significantly lower level than that of a telephone network. is there.
Internet users are exposed to dangers or threats such as "tapping", "falsification", and "spoofing". As a means of protecting users from these dangers or threats, confidentiality protection functions such as "encryption of communication data" and "user authentication"
There is a form to add to applications such as W service and mail service. One specific form included in communication data encryption is a tunneling technique.
【0003】「トンネリング」とは、一般に、あるプロ
トコルパケットAを別のプロトコルパケットBでカプセル
化してプロトコルBでの通信を行なうことを意味する。
従って、実際にトンネルが構築されるわけではなく、通
信を外部から隠蔽することによってトンネルのような働
きをさせることができる。更に、「暗号化トンネリン
グ」とは、トンネル内で交換されるパケットに更に暗号
化を施すことにより、通信内容の秘匿性をより高める技
術を意味する。[0003] "Tunneling" generally means that a protocol packet A is encapsulated in another protocol packet B and communication is performed in protocol B.
Therefore, a tunnel is not actually constructed, and the communication can be made to function like a tunnel by hiding communication from the outside. Further, "encrypted tunneling" refers to a technique for further enhancing the confidentiality of communication contents by further encrypting a packet exchanged in a tunnel.
【0004】かかる暗号化トンネリングの技術を用いれ
ば、本来無接続を基本とするパケット通信ネットワーク
において、端末−端末間にセキュリティの高い接続リン
クをを実現する閉じた仮想的なネットワーク、即ちVPN
(Virtual Private Network)を提供することが可能と
なる。この例としては、IPレイヤのトンネリング技術で
あるIPSec(IP Security)、NetscapeNavigator或いはI
nternetExplorerに実装されるTCPレイヤのトンネリング
技術であるSSL(Secure Socket Layer)、及び電子メー
ルに対するアプリケーションレイヤのトンネリング技術
であるPGP(Pretty Good Privacy)などの各種のセキュ
リティプロトコルが挙げられる。[0004] By using such an encryption tunneling technique, in a packet communication network that is basically based on no connection, a closed virtual network that realizes a highly secure connection link between terminals, ie, VPN
(Virtual Private Network) can be provided. Examples of this are IP layer tunneling technologies such as IPSec (IP Security), Netscape Navigator or I
There are various security protocols such as SSL (Secure Socket Layer), which is a TCP layer tunneling technology implemented in the Internet Explorer, and PGP (Pretty Good Privacy), which is an application layer tunneling technology for e-mail.
【0005】一方、通信アプリケーションには、電子メ
ール、ホームページ閲覧、チャット、インターネット電
話など様々な種類のアプリケーションが存在するが、近
年、これらを組み合わせたマルチメディア通信アプリケ
ーションをユーザが利用するケースが増えている。例え
ば、マルチメディア通信アプリケーションであるNetMee
tingを利用すれば、音声による会話(つまりインターネ
ット電話)を行いながら、画像を送り合ったり、1つの
共有ホワイトボードに同時に書きこみを行ったり、通話
中にファイルを転送したりすることができる。[0005] On the other hand, there are various types of communication applications such as e-mail, homepage browsing, chat, and Internet telephone. In recent years, users have increasingly used multimedia communication applications that combine these. I have. For example, NetMee, a multimedia communication application
With ting, you can exchange images, write to one shared whiteboard at the same time, and transfer files during a call, while having a voice conversation (that is, an Internet phone call).
【0006】ユーザがマルチメディア通信アプリケーシ
ョンを利用することは、個別のアプリケーションが複数
同時に利用されることである。そこで、このように、複
数のアプリケーションを利用する場合に、VPNを利用す
るシステムを提供することが考えられる。ユーザがアプ
リケーション利用時に、VPNを使った通信を行う方法と
して、アプリケーションレベルのセキュリティプロトコ
ルとして暗号化トンネリング技術がある。このような技
術として、PGPやSETがある。PGPは、電子メールアプリ
ケーション利用時の暗号化トンネリング技術(セキュリ
ティプロトコル)である。SETは、エレクトリックコマ
ースのトランザクション専用の暗号化トンネリング技術
である。このように、アプリケーションレベルの暗号化
トンネリング技術は、使用するアプリケーションに依存
したものであり、マルチメディア通信アプリケーション
利用時には、各アプリケーション毎に(異なる)暗号化
トンネリング技術が必要になる。When a user uses a multimedia communication application, a plurality of individual applications are simultaneously used. Therefore, it is conceivable to provide a system that uses a VPN when using a plurality of applications. As a method of performing communication using a VPN when a user uses an application, there is an encryption tunneling technology as an application level security protocol. Such techniques include PGP and SET. PGP is an encryption tunneling technology (security protocol) when using an email application. SET is a cryptographic tunneling technology dedicated to electric commerce transactions. As described above, the encryption tunneling technology at the application level depends on the application to be used. When using the multimedia communication application, the encryption tunneling technology (different) is required for each application.
【0007】しかし、マルチメディア通信アプリケーシ
ョンでは、ユーザは常に同じであり、アプリケーション
ごとに、セキュリティプロトコルを利用することは、処
理時間のオーバヘッドが大きく無駄である。特に、NetM
eetingのようなリアルタイム系のアプリケーションに
は、オーバヘッドがユーザの利便性を損ねる要因にな
る。However, in a multimedia communication application, the user is always the same, and using a security protocol for each application wastes a great deal of processing time overhead. In particular, NetM
For real-time applications such as eeting, the overhead is a factor that degrades user convenience.
【0008】一方、より低レイヤのトンネリング技術と
して、SSLやIPSecがある。SSLは、TCPレイヤのトンネリ
ング技術であり、すべてのTCPアプリケーションに利用
できる。代表的なアプリケーションとして、WWWブラウ
ザ(Netscape NavigatorやInternet Explorer)があ
る。しかし、インターネット電話のようなマルチメディ
ア通信アプリケーションは、TCPと同じトランスポート
層に位置するUDPのアプリケーションであるため利用で
きない。On the other hand, there are SSL and IPSec as lower layer tunneling technologies. SSL is a TCP layer tunneling technology that can be used for all TCP applications. Typical applications include WWW browsers (Netscape Navigator and Internet Explorer). However, multimedia communication applications such as Internet telephony cannot be used because they are UDP applications located in the same transport layer as TCP.
【0009】一方、IPSecは、IPレイヤのトンネリング
技術であり、すべてのアプリケーションに利用できる。
しかし、IPレイヤレベルでトンネリングを行うため、マ
ルチメディア通信アプリケーションの一部であるかどう
かに関わらず、同じユーザ間で利用されるすべてのアプ
リケーションのデータパケットがトンネリングされる。
トンネリング自体、処理のオーバヘッドを含んでおり、
無用な場合は、トンネリング処理が冗長又は無駄にな
る。On the other hand, IPSec is an IP layer tunneling technology and can be used for all applications.
However, since tunneling is performed at the IP layer level, data packets of all applications used by the same user are tunneled regardless of whether they are part of a multimedia communication application.
Tunneling itself includes processing overhead,
Otherwise, the tunneling process is redundant or wasteful.
【0010】[0010]
【発明が解決しようとする課題】そこで、本発明の目的
は、多様なアプリケーションプログラムに対応する個々
のチャネルの呼接続をセキュリティを確保しつつ最小限
のオーバヘッドにて実現するパケット通信システムを提
供することである。SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a packet communication system which realizes call connection of individual channels corresponding to various application programs with minimum overhead while ensuring security. That is.
【0011】[0011]
【課題を解決するための手段】本発明によるパケット通
信システムは、パケット通信網における発呼端末と着呼
端末との間の経路にチャネル毎の呼接続を確立してパケ
ット通信を行うパケット通信システムであり、該発呼端
末における所定のアプリケーションの動作状況に応じ
て、該経路に暗号化トンネルリンクを確立又は切断する
暗号化トンネルリンク確立切断手段と、該暗号化トンネ
ルリンクの確立又は切断に応じて、該所定のアプリケー
ションに対応するチャネルの呼接続を対応して確立又は
切断する呼接続確立切断手段とを含むことを特徴とす
る。A packet communication system according to the present invention establishes a call connection for each channel on a path between a calling terminal and a called terminal in a packet communication network and performs packet communication. And an encryption tunnel link establishment / disconnection means for establishing or disconnecting an encrypted tunnel link on the path in accordance with an operation state of a predetermined application in the calling terminal, and in response to establishment or disconnection of the encrypted tunnel link. And a call connection establishment / disconnection means for establishing or disconnecting a call connection of a channel corresponding to the predetermined application.
【0012】ここで、チャネル毎の呼接続とは、基礎と
なる呼制御チャネルばかりでなく、多様なアプリケーシ
ョンプログラムに依存した複数のチャネル、例えば、音
声チャネル、テキストチャネル、或いは画像チャネルの
リンクを形成することを指す。Here, the call connection for each channel means not only a call control channel as a base but also a link of a plurality of channels depending on various application programs, for example, a voice channel, a text channel, or a picture channel. To do.
【0013】[0013]
【発明の実施の形態】添付の図面を参照して本発明の実
施例について詳細に説明する。図1は、本発明の実施例
であり、ルータ装置200a及び200bにより確立される秘話
通信リンク、即ちトンネルリンクの概念を示している。
発呼端末、即ち端末装置100aと、着呼端末、即ち端末装
置100bとの間にこの確立されたトンネルリンクにより遮
蔽された通信路に更に呼制御チャネル、音声チャネル及
びテキストチャネルが確立され、マルチメディア通信が
行われる。呼制御チャネル、音声チャネル及びテキスト
チャネルの各々は、端末装置100a及び100b、ルータ装置
200a及び200bにおいてチャネルを識別するポート番号が
図示されるように付される。Embodiments of the present invention will be described in detail with reference to the accompanying drawings. FIG. 1 shows an embodiment of the present invention and shows the concept of a secret communication link established by the router devices 200a and 200b, that is, a tunnel link.
A call control channel, a voice channel, and a text channel are further established on the communication path shielded by the established tunnel link between the calling terminal, that is, the terminal device 100a, and the called terminal, that is, the terminal device 100b, and Media communication is performed. Each of the call control channel, the voice channel and the text channel is a terminal device 100a and 100b, a router device
Port numbers for identifying channels in 200a and 200b are attached as shown.
【0014】図2は、本実施例におけるパケット通信シ
ステムの構成を示している。該パケット通信システム
は、インターネット300と、音声、画像、テキストの3種
類のメディアをデータパケットとして送受信するマルチ
メディアアプリケーションが動作する端末装置100a及び
100bと、これらを収容するルータ装置200a及び200bとを
含む。本実施例は、説明の容易性から対向する2つの端
末装置の例を示しているが、本発明によるパケット通信
システムは、多数の端末装置及び多数のルータ装置の存
在を想定している。FIG. 2 shows the configuration of the packet communication system in this embodiment. The packet communication system includes the Internet 300, a terminal device 100a on which a multimedia application that transmits and receives three types of media, voice, image, and text as data packets, and
100b and router devices 200a and 200b accommodating them. Although the present embodiment shows an example of two terminal devices facing each other for ease of explanation, the packet communication system according to the present invention assumes the presence of many terminal devices and many router devices.
【0015】端末装置100a及び100bは、マルチメディア
アプリケーションの通信相手端末となる端末装置を特定
して端末間に呼を確立しアプリケーション終了時に呼を
解放する呼制御部110と、音声通話のコネクションを確
立し音声データパケットを送受信し通話終了時にコネク
ションを切断する音声通話部120と、画像通信のコネク
ション及びテキスト通信のコネクションを確立しテキス
トデータパケットを送受信し、通信終了時にコネクショ
ンを切断するテキスト通信部130と、端末装置の収容ル
ータ情報を含むルーティングテーブル140からなる。端
末装置100a及び100bには、更にこれら各部及びIPプロト
コルの実行制御を司るOS・TCP/IP101を含む。端末装置1
00a及び100bは、ルータ装置200a及び200bを介してイン
ターネット300に接続される。The terminal devices 100a and 100b establish a call between the terminals by identifying a terminal device that is a communication partner terminal of the multimedia application, and establish a call between the terminals and release a call when the application is terminated. A voice communication unit 120 that establishes and transmits and receives voice data packets and disconnects when a call ends, and a text communication unit that establishes image communication connections and text communication connections to transmit and receive text data packets and disconnects when communication ends 130, and a routing table 140 containing router information accommodated in the terminal device. The terminal devices 100a and 100b further include an OS / TCP / IP 101 that controls execution of these units and the IP protocol. Terminal device 1
00a and 100b are connected to the Internet 300 via router devices 200a and 200b.
【0016】ルーティングテーブル140には、端末装置1
00a及び100bが接続されているルータ装置200a及び200b
のIPアドレス(収容ルータ情報)が格納されている。本
実施例では、端末装置100aの収容ルータはルータ装置20
0aであり、端末装置100bの収容ルータはルータ装置200b
である。尚、本開示に記載のルーティングテーブルと
は、一般のルータ装置におけるIPパケットのルーティン
グテーブルとは別異のものであり、本発明に特徴的なマ
ルチメディアアプリケーション用のルーティングテーブ
ルを意味する。In the routing table 140, the terminal device 1
Router devices 200a and 200b to which 00a and 100b are connected
IP address (accommodated router information) is stored. In the present embodiment, the accommodation router of the terminal device 100a is the router device 20.
0a, and the accommodation router of the terminal device 100b is the router device 200b.
It is. Note that the routing table described in the present disclosure is different from the routing table of IP packets in a general router device, and means a routing table for a multimedia application characteristic of the present invention.
【0017】ルータ装置200a及び200bは、IPパケット化
された各種データパケットのルーティングをIPレイヤで
実現するIPパケットルーティング部210と、IPSecセキュ
リティプロトコルを利用して暗号化トンネルを確立し、
また確立された暗号化トンネルを切断するトンネル制御
部220と、暗号化トンネリングルートを介したIPパケッ
トの暗号化又は復号化を行う暗号・復号処理部230とか
らなる。トンネル制御部220は、端末装置100a及び100b
の呼制御部110からの指示により、暗号化トンネルを確
立・切断する。ルータ装置200a及び200bには、更にこれ
ら各部及びIPプロトコルの実行制御を司るOS・TCP/IP20
1を含む。The router devices 200a and 200b establish an encrypted tunnel using an IP packet security unit with an IP packet routing unit 210 for realizing the routing of various IP-packetized data packets at the IP layer.
It also includes a tunnel control unit 220 that disconnects the established encryption tunnel, and an encryption / decryption processing unit 230 that encrypts or decrypts IP packets via the encrypted tunneling route. The tunnel control unit 220 includes the terminal devices 100a and 100b
In response to an instruction from the call control unit 110, an encrypted tunnel is established and disconnected. The router devices 200a and 200b further include an OS / TCP / IP20 that controls execution of these units and the IP protocol.
Including 1.
【0018】インターネット300は、IPプロトコルをベ
ースとする世界的なつながりを持つネットワークの融合
体であり、セキュリティのない、オープンなネットワー
クである。本実施例のパケット通信システムはネットワ
ークプロトコルとして、TCP/IPプロトコルを使用するこ
とから、端末、ルータ等のネットワークノードにはアド
レスが付与される。即ち、端末装置100aにはプライベー
トアドレス192.168.0.2が付与され、ルータ装置200aの
端末装置側にはプライベートアドレス192.168.0.1が付
与され、更にルータ装置200aのインターネット側にはグ
ローバルアドレス172.16.153.1が付与される。一方、端
末装置100bにはプライベートアドレス192.168.1.2が付
与され、ルータ装置200bの端末装置側にはプライベート
アドレス192.168.1.1が付与され、更にルータ装置200b
のインターネット側にはグローバルアドレス172.31.18
4.1が付与されている。端末装置100a及び100bのルーテ
ィングテーブル140中の収容ルータ情報には以上の値が
設定される。The Internet 300 is a fusion of networks having global connections based on the IP protocol, and is an open network without security. Since the packet communication system of this embodiment uses the TCP / IP protocol as a network protocol, addresses are assigned to network nodes such as terminals and routers. That is, a private address 192.168.0.2 is assigned to the terminal device 100a, a private address 192.168.0.1 is assigned to the terminal device side of the router device 200a, and a global address 172.16.153.1 is assigned to the Internet side of the router device 200a. Is done. On the other hand, a private address 192.168.1.2 is assigned to the terminal device 100b, a private address 192.168.1.1 is assigned to the terminal device side of the router device 200b, and further, the router device 200b
172.31.18 global address on the Internet side of
4.1 is granted. The above values are set in the accommodated router information in the routing tables 140 of the terminal devices 100a and 100b.
【0019】尚、本実施例において示されるIPアドレス
は規格上では全てプライベートアドレスに指定されるべ
き値が用いられているが、本来のグローバルアドレスは
実在のサイトを指定して適切でないことからその使用は
避けている。又、TCP/IPレイヤとの間でインタフェース
をなしてサービスを提供するアプリケーションプログラ
ムは、かかるサービスを区別するためにポート番号によ
り識別される。ここでは、呼制御部は1721、音声通信部
1722、テキスト通信部1723、及びルータアプリケーショ
ンは500としている。Note that the IP address shown in the present embodiment uses values that should be designated as private addresses in the standard, but the original global address is not appropriate because it designates a real site and is not appropriate. Avoid using. An application program that provides a service by interfacing with the TCP / IP layer is identified by a port number in order to distinguish the service. Here, the call control unit is 1721 and the voice communication unit
1722, the text communication unit 1723, and the router application are 500.
【0020】図3は、本実施例におけるパケット通信シ
ステムの処理手順を示している。本実施例は、発呼端末
が呼制御チャネル、音声チャネル及びテキストチャネル
の確立に先立って暗号化トンネルリンクの必要性を意識
してその確立を行う。一方、発呼端末からの要求を契機
として着呼端末も呼制御チャネル、音声チャネル及びテ
キストチャネルの確立に先立って暗号化トンネルリンク
の確立を意識的に行う。そのため発呼端末及び着呼端末
は、トンネルリンク確立に必要なルーティング情報を自
身の端末内部に持つ形態である。FIG. 3 shows a processing procedure of the packet communication system in this embodiment. In this embodiment, the calling terminal establishes the necessity of the encrypted tunnel link prior to the establishment of the call control channel, the voice channel, and the text channel. On the other hand, in response to a request from the calling terminal, the called terminal consciously establishes an encrypted tunnel link prior to the establishment of the call control channel, the voice channel, and the text channel. Therefore, the calling terminal and the called terminal have routing information necessary for establishing a tunnel link in their own terminals.
【0021】先ず、呼制御チャネルの確立を行う。ユー
ザは、発呼端末、即ち端末装置100a上のマルチメディア
アプリケーションを起動し、アプリケーションで着呼端
末、即ち、端末装置100bのIPアドレス(192.168.1.2)
を指定して、発呼を指示する(ステップ401)。端末装
置100aの呼制御部110は、端末装置100bまでIPパケット
を安全に伝送するための暗号化トンネルがまだないこと
を判断して,ルータ装置200aからルータ装置200bに至る
暗号化トンネルの確立の手順を実行する。First, a call control channel is established. The user starts the multimedia application on the calling terminal, that is, the terminal device 100a, and uses the application to call the IP address (192.168.1.2) of the called terminal, that is, the terminal device 100b.
Is designated, and a call is instructed (step 401). The call control unit 110 of the terminal device 100a determines that there is not yet an encrypted tunnel for securely transmitting the IP packet to the terminal device 100b, and establishes an encrypted tunnel from the router device 200a to the router device 200b. Perform the steps.
【0022】端末装置100aの呼制御部110は、ルーティ
ングテーブル140の収容ルータ情報から、指示すべきル
ータ装置200aのIPアドレス(192.168.0.1)を求め、ル
ータ装置200aにトンネルの確立を指示する。このとき、
ルーティングテーブル140から、自ルータアドレスとし
てルータ装置200aのグローバルアドレス(172.16.153.
1)とプライベートアドレス(192.168.0.1)、相手先ル
ータアドレスとして、ルータ装置200bのグローバルアド
レス(172.31.184.1)とプライベートアドレス(192.16
8.1.1)を合わせて求め、これらのアドレスをトンネル
確立指示のパラメータ情報として与える(ステップ40
2)。ルータ装置200aのトンネル制御部220は、パラメー
タ情報として得たIPアドレスを使って、ルータ装置200b
との間に、端末装置100aから端末装置100bへのIPパケッ
トを安全に運ぶための暗号化トンネルを確立する(ステ
ップ403)。確立の方法は、RFC1825乃至1828で規定され
ている通りである。トンネル制御部220は、トンネル確
立の確認を応答として端末装置100aに返す(ステップ40
4)。The call controller 110 of the terminal device 100a obtains the IP address (192.168.0.1) of the router device 200a to be instructed from the accommodated router information in the routing table 140, and instructs the router device 200a to establish a tunnel. At this time,
From the routing table 140, the global address of the router device 200a (172.16.153.
1) and the private address (192.168.0.1), and as the destination router address, the global address (172.31.184.1) and the private address (192.16
8.1.1), and give these addresses as parameter information of the tunnel establishment instruction (step 40).
2). The tunnel control unit 220 of the router 200a uses the IP address obtained as the parameter information to
In the meantime, an encryption tunnel for securely carrying the IP packet from the terminal device 100a to the terminal device 100b is established (Step 403). The method of establishment is as specified in RFC1825-1828. The tunnel control unit 220 returns a confirmation of tunnel establishment to the terminal device 100a as a response (step 40).
Four).
【0023】応答を受け取った端末装置100aの呼制御部
110は、ユーザに指定されたIPアドレス(192.168.0.2)
と端末装置100aの呼制御部110が呼制御コマンドを受け
付けるポート番号(1721)を指定して、相手端末装置10
0bに向かって、呼設定のコマンドを送信する(ステップ
405)。呼設定のコマンドには、端末装置100aの呼制御
部110が呼制御コマンドを受け付けるポート番号(172
1)を受信ポート番号として指定する。The call control unit of the terminal device 100a receiving the response
110 is the IP address specified by the user (192.168.0.2)
And the port number (1721) for receiving the call control command by the call control unit 110 of the terminal device 100a, and
Send a call setup command toward 0b (step
405). The call setting command includes a port number (172) for the call control unit 110 of the terminal device 100a to receive the call control command.
Specify 1) as the receiving port number.
【0024】このとき、ルータ装置200aは、このコマン
ドを運ぶIPパケットを先に確立した暗号化トンネルを経
由して、ルータ装置200bに配信する。つまり、暗号・復
号処理部230は、受け取ったIPパケットを暗号化し、新
たなIPパケットにカプセル化する。そして新たな宛先を
ルータ装置200b(IPアドレス:172.31.184.1、ポート番
号:500として送り元をルータ装置200a(IPアドレス:17
2.16.153.1、ポート番号:500)とする。そして、IPパケ
ットルーティング部210が、ルータ装置200bにIPパケッ
トを送信する(ステップ406)。ルータ装置200bの暗号
・復号処理部230は、受け取ったIPパケットの内容を復
号化し、端末装置100aの呼制御部110が送ったコマンド
を取り出し、IPパケットルーティング部210が、端末装
置100bへパケットを送信する(ステップ407)。At this time, the router 200a delivers the IP packet carrying this command to the router 200b via the previously established encryption tunnel. That is, the encryption / decryption processing unit 230 encrypts the received IP packet and encapsulates it into a new IP packet. The new destination is the router 200b (IP address: 172.31.18.41, the port number: 500, and the source is the router 200a (IP address: 17
2.16.153.1, port number: 500). Then, the IP packet routing unit 210 transmits the IP packet to the router device 200b (Step 406). The encryption / decryption processing unit 230 of the router device 200b decrypts the contents of the received IP packet, extracts the command sent by the call control unit 110 of the terminal device 100a, and the IP packet routing unit 210 sends the packet to the terminal device 100b. Send (step 407).
【0025】端末装置100bの呼制御部110は、端末装置1
00aまでIPパケットを安全に伝送するための暗号化トン
ネルがまだないことを判断して、ルータ装置200bからル
ータ装置200aに至る暗号化トンネルの確立の手順を実行
する。端末装置100bの呼制御部110は、端末措置100bの
ルーティングテーブル140の収容ルータ情報から、指示
すべきルータ装置200bのIPアドレス(192.168.1.1)を
求め、ルータ装置200aにトンネルの確立を指示する。こ
のとき、ルーティングテーブル140から、自ルータアド
レスとしてルータ装置200bのグローバルアドレス(172.
31.184.1)とプライベートアドレス(192.168.1.1)、
相手先ルータアドレスとして、ルータ装置200aのグロー
バルアドレス(172.16.153.1)とプライベートアドレス
(192.168.0.1)を合わせて求め、これらのアドレスを
トンネル確立指示のバラメータ情報として与える(ステ
ップ408)。ルータ装置200bのトンネル制御部220は、パ
ラメータ情報として得たIPアドレスを使って、ルータ装
置200aとの間に、端末装置100bから端末装置100aへのIP
パケットを安全に運ぶための暗号化トンネルを確立する
(ステップ409)。確立の方法は、RFC1825乃至1828で規
定されている通りである。トンネル制御部220は、トン
ネル確立の確認を応答として端末装置100bに返す(ステ
ップ410)。これによって、端末装置100aと端末装置100
b間に双方向の暗号化トンネルが確立する(ステップ41
1)。以降、両者の間のIPパケットはすべて、この暗号
化トンネルを通る。つまり、IPパケットは、ルータ装置
間では暗号化されて運ばれる。The call control unit 110 of the terminal device 100b
It determines that there is not yet an encrypted tunnel for securely transmitting IP packets until 00a, and executes a procedure for establishing an encrypted tunnel from the router 200b to the router 200a. The call control unit 110 of the terminal device 100b obtains the IP address (192.168.1.1) of the router device 200b to be instructed from the accommodated router information of the routing table 140 of the terminal device 100b, and instructs the router device 200a to establish a tunnel. . At this time, from the routing table 140, the global address (172.
31.184.1) and private address (192.168.1.1)
As the destination router address, the global address (172.16.153.1) and the private address (192.168.0.1) of the router device 200a are obtained together, and these addresses are given as parameter information of the tunnel establishment instruction (step 408). The tunnel control unit 220 of the router device 200b uses the IP address obtained as the parameter information to communicate with the router device 200a from the terminal device 100b to the terminal device 100a.
Establish an encrypted tunnel to carry the packet securely (step 409). The method of establishment is as specified in RFC1825-1828. The tunnel control unit 220 returns a confirmation of the establishment of the tunnel to the terminal device 100b as a response (Step 410). Thereby, the terminal device 100a and the terminal device 100
A two-way encrypted tunnel is established between b (step 41)
1). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, the IP packet is encrypted and carried between the router devices.
【0026】暗号化トンネルが確立した後、端末装置10
0bの呼制御部110は、呼制御コマンドを受け付けるポー
ト番号を特定し(1721)、受信ポート番号としてこの値
を指定した接続応答を返す。応答は、端末装置100aを宛
先(IPアドレス:192.168.0.2、ポート番号:1721)とし
て、IPパケットを送信する(ステップ412)。IPパケッ
トは、ルータ装置200bの暗号・復号処理部230によって
暗号化・カプセル化される。新たな宛先はルータ装置20
0a(IPアドレス:172.16.153.1、ポート番号:500)、送
り元はルータ装置200b(IPアドレス:172.31.184.1、ポ
ート番号:500)となり、IPパケットルーティング部210
は、ルータ装置200aにIPパケットを送信する(ステップ
413)。暗号化トンネルを経由して、ルータ装置200aに
伝わり、ルータ装置200aの暗号・復号処理部230によっ
て復号化され、IPパケットルーティング部210によっ
て、端末装置100aへとルーティングされる(ステップ41
4)。以上の動作を経て、インターネットを暗号化トン
ネルでトンネリングする呼制御のチャネル(IPアドレ
ス:192.168.0.1、ポート番号:1721←→IPアドレス:192.
168.1.1、ポート番号:1721)が確立する(ステップ41
5)。以降、アプリケーションのコネクションの接続・
切断の指示コマンドや応答のやり取りは、すべてこのチ
ャネルを使用する。After the encryption tunnel is established, the terminal device 10
The call control unit 110 of 0b specifies the port number that receives the call control command (1721), and returns a connection response specifying this value as the reception port number. In response, an IP packet is transmitted to the terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721) (step 412). The IP packet is encrypted and encapsulated by the encryption / decryption processing unit 230 of the router device 200b. New destination is router device 20
0a (IP address: 172.16.153.1, port number: 500), the transmission source is the router device 200b (IP address: 172.33.18.41, port number: 500), and the IP packet routing unit 210
Sends an IP packet to the router device 200a (step
413). The data is transmitted to the router device 200a via the encryption tunnel, is decrypted by the encryption / decryption processing unit 230 of the router device 200a, and is routed to the terminal device 100a by the IP packet routing unit 210 (step 41).
Four). Through the above operations, a call control channel for tunneling the Internet with an encrypted tunnel (IP address: 192.168.0.1, port number: 1721 ← → IP address: 192.
168.1.1, port number: 1721) is established (step 41)
Five). Hereafter, connection of application connection
All exchanges of disconnection command and response use this channel.
【0027】次に、音声チャネル確立を行う。ユーザ
は、端末装置100a上のマルチメディアアプリケーション
で、現在の通信相手である端末装置100b(192.168.1.
2)との間で、音声による通話を行うことを指定する
(ステップ421)。端末装置100aの音声通話部120は、相
手端末装置100bを宛先(IPアドレス:192.168.1.2、ポー
ト番号:1721)として、音声チャネル設定のコマンドを
送信する(ステップ422)。音声チャネル設定のコマン
ドには、端末装置100aの音声通話部120が音声データパ
ケットを受け付けるポート番号(1722)を受信ポート番
号として指定する。Next, a voice channel is established. The user is a multimedia application on the terminal device 100a, and the terminal device 100b (192.168.1.
It specifies that a voice call is to be made with 2) (step 421). The voice communication unit 120 of the terminal device 100a transmits a voice channel setting command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (Step 422). In the voice channel setting command, the port number (1722) at which the voice communication unit 120 of the terminal device 100a receives the voice data packet is specified as the reception port number.
【0028】ルータ装置200aは、呼制御チャネル確立の
場合と同様にIPパケットを暗号化、カプセル化して、ル
ータ装置200bに送る(ステップ423)。ルータ装置200b
は、受け取ったIPパケットの内容を取りだし、復号化し
た後、端末装置100bにルーティングする(ステップ42
4)。端末装置100bの音声通話部120は、音声データパケ
ットを受信するためのポート番号を特定し(1722)、受
信ポート番号としてこの値を指定した音声チャネル接続
の応答を返すため、相手端末装置100aを宛先(IPアドレ
ス:192.168.0.2、ポート番号:1721)として、IPパケッ
トを送信する(ステップ425)。IPパケットは、呼制御
チャネル確立の場合と同様にルータ装置200bで暗号化、
カプセル化され、ルータ装置200aに伝わる(ステップ42
6)。そして、ルータ装置200aによって復号化され、端
末装置100aへとルーティングされる(ステップ427)。The router 200a encrypts and encapsulates the IP packet as in the case of establishing the call control channel, and sends it to the router 200b (step 423). Router device 200b
Retrieves the contents of the received IP packet, decrypts it, and routes it to the terminal device 100b (step 42).
Four). The voice communication unit 120 of the terminal device 100b specifies the port number for receiving the voice data packet (1722), and returns the response of the voice channel connection specifying this value as the reception port number. An IP packet is transmitted as a destination (IP address: 192.168.0.2, port number: 1721) (step 425). The IP packet is encrypted by the router 200b as in the case of establishing the call control channel,
It is encapsulated and transmitted to the router device 200a (step 42
6). Then, it is decrypted by the router device 200a and routed to the terminal device 100a (step 427).
【0029】以上の動作を経て、インターネットを暗号
化トンネルでトンネリングする音声チャネル(IPアドレ
ス:192.168.0.1、ポート番号:1722←→IPアドレス:192.
168.1.1、ポート番号:1722)が確立する(ステップ42
8)。以降、アプリケーションの音声データパケット
は、すべてこのチャネルを使用する。次に、テキストチ
ャネル確立を行う。ユーザは、端末装置100a上のマルチ
メディアアプリケーションで、現在の通信相手である端
末装置100b(192.168.1.2)との間で、テキストによる
通話いわゆるチャットを行うことを指定する(ステップ
431)。端末装置100aのテキスト通信部130は、相手端末
装置100bを宛先(IPアドレス:192.168.1.2、ポート番
号:1721)として、テキストチャネル設定のコマンドを
送信する(ステップ432)。テキストチャネル設定のコ
マンドには、端末装置100aのテキスト通信部130がテキ
ストデータパケットを受け付けるポート番号(1723)を
受信ポート番号として指定する。Through the above operation, a voice channel for tunneling the Internet through an encrypted tunnel (IP address: 192.168.0.1, port number: 1722 ← → IP address: 192.
168.1.1, port number: 1722) is established (step 42)
8). Thereafter, all voice data packets of the application use this channel. Next, a text channel is established. The user specifies that a multimedia call on the terminal device 100a is to perform a text call with the terminal device 100b (192.168.1.2), which is the current communication partner, in a so-called chat (step (1)).
431). The text communication unit 130 of the terminal device 100a transmits a text channel setting command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 432). In the text channel setting command, the port number (1723) for receiving the text data packet by the text communication unit 130 of the terminal device 100a is specified as the reception port number.
【0030】ルータ装置200aの暗号・復号処理部230
は、音声チャネル確立の場合と同様にIPパケットを暗号
化、カプセル化して、ルータ装置200bに送る(ステップ
433)。ルータ装置200bは、受け取ったIPパケットの内
容を取りだし、復号化した後、端末装置100bにルーティ
ングする(ステップ434)。端末装置100bのテキスト通
信部130は、テキストデータパケットを受信するための
ポート番号を特定し(1723)、受信ポート番号としてこ
の値を指定したテキストチャネル接続の応答を返すた
め、相手端末装置100aを宛先(IPアドレス:192.168.0.
2、ポート番号:1721)として、IPパケットを送信する
(ステップ435)。IPパケットは、音声チャネル確立の
場合と同様にルータ装置200bで暗号化、カプセル化さ
れ、ルータ装置200aに伝わる(ステップ436)。そし
て、ルータ装置200aによって復号化され、端末装置100a
へとルーティングされる(ステップ437)。The encryption / decryption processing unit 230 of the router 200a
Encrypts and encapsulates the IP packet as in the case of establishing the voice channel and sends it to the router 200b (step
433). The router device 200b extracts the content of the received IP packet, decodes it, and then routes it to the terminal device 100b (step 434). The text communication unit 130 of the terminal device 100b specifies the port number for receiving the text data packet (1723), and returns the response of the text channel connection specifying this value as the reception port number. Destination (IP address: 192.168.0.
2. The IP packet is transmitted as the port number: 1721) (step 435). The IP packet is encrypted and encapsulated in the router 200b as in the case of establishing the voice channel, and transmitted to the router 200a (step 436). Then, it is decrypted by the router device 200a and the terminal device 100a
Is routed to (step 437).
【0031】以上の動作を経て、インターネットを暗号
化トンネルでトンネリングするテキストチャネル(IPア
ドレス:192.168.0.1、ポート番号:1723←→IPアドレス:
192.168.1.1、ポート番号:1723)が確立する(ステップ
438)。以降、アプリケーションのテキストデータパケ
ットは、すべてこのチャネルを使用する。図4は、本実
施例における暗号化トンネルを切断、即ち開放する処理
手順を示している。Through the above operations, a text channel (IP address: 192.168.0.1, port number: 1723 ← → IP address:
192.168.1.1, port number: 1723 is established (step
438). Thereafter, all text data packets of the application use this channel. FIG. 4 shows a processing procedure for disconnecting, that is, opening the encrypted tunnel in this embodiment.
【0032】先ず、テキストチャネルを解放する。端末
装置100aと端末装置100bの間で、ユーザがマルチメディ
アアプリケーションを利用している状況で、暗号化トン
ネル、呼制御チャネル、音声チャネル、テキストチャネ
ルが確立されている状態にあるものとする。ユーザは、
端末装置100a上のマルチメディアアプリケーションで、
相手端末装置100b(192.168.1.2)のマルチメディアア
プリケーションとの通信を終了するために、切断を指示
する(ステップ501)。このとき、端末装置100aのテキ
スト通信部130は、テキストチャネルが確立されている
状態にあることを判断して、テキストチャネル解放の手
順を実行する。First, the text channel is released. It is assumed that an encrypted tunnel, a call control channel, a voice channel, and a text channel are established between the terminal device 100a and the terminal device 100b while the user is using the multimedia application. The user
In the multimedia application on the terminal device 100a,
In order to end the communication with the multimedia application of the partner terminal device 100b (192.168.1.2), a disconnection instruction is issued (step 501). At this time, the text communication unit 130 of the terminal device 100a determines that the text channel is established, and executes the procedure of releasing the text channel.
【0033】端末装置100aのテキスト通信部130は、相
手端末装置100bを宛先(IPアドレス:192.168.1.2、ポー
ト番号:1721)として、テキストチャネル解放のコマン
ドを送信する(ステップ502)。テキストチャネル解放
のコマンドには、端末装置100aのテキスト通信部130が
テキストデータパケットを受け付けていたポート番号
(1723)を受信ポート番号として指定する。The text communication unit 130 of the terminal device 100a transmits a text channel release command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 502). In the text channel release command, the port number (1723) at which the text communication unit 130 of the terminal device 100a has received the text data packet is specified as the reception port number.
【0034】ルータ装置200aは、IPパケットを暗号化、
カプセル化して、ルータ装置200bに送る(ステップ50
3)。ルータ装置200bは、受け取ったIPパケットの内容
を取りだし、復号化した後、端末装置100bにルーティン
グする(ステップ504)。端末装置100bのテキスト通信
部130は、端末装置100aのテキスト通信部130がテキスト
データパケットを受け付けていたポート番号へのデータ
パケット送信を停止し、受信ポート番号として端末装置
100bのテキスト通信部130がテキストデータパケットを
受け付けていたポート番号(1723)を指定したテキスト
チャネル切断の応答を返すため、相手端末装置100aを宛
先(IPアドレス:192.168.0.2、ポート番号:1721)とし
て、IPパケットを送信する(ステップ505)。IPパケッ
トは、ルータ装置200bで暗号化、カプセル化され、ルー
タ装置200aに伝わる(ステップ506)。そして、ルータ
装置200aによって復号化され、端末装置100aへとルーテ
ィングされる(ステップ507)。端末装置100aのテキス
ト通信部130は、端末装置100bのテキスト通信部130がテ
キストデータパケットを受け付けていたポート番号への
データパケット送信を停止する。以上の動作を経て、テ
キストチャネル(IPアドレス:192.168.0.1、ポート番
号:1723←→IPアドレス:192.168.1.1、ポート番号:172
3)が解放される(ステップ508)。The router device 200a encrypts the IP packet,
Encapsulate and send to router device 200b (step 50
3). The router device 200b extracts the contents of the received IP packet, decodes the contents, and then routes the contents to the terminal device 100b (step 504). The text communication unit 130 of the terminal device 100b stops transmitting data packets to the port number at which the text communication unit 130 of the terminal device 100a was accepting the text data packet, and sets the terminal device
In order to return a text channel disconnection response specifying the port number (1723) at which the text communication unit 130 of the 100b has accepted the text data packet, the destination is the destination terminal device 100a (IP address: 192.168.0.2, port number: 1721). Is transmitted (step 505). The IP packet is encrypted and encapsulated in the router 200b, and transmitted to the router 200a (Step 506). Then, it is decrypted by the router device 200a and routed to the terminal device 100a (step 507). The text communication unit 130 of the terminal device 100a stops transmitting data packets to the port number at which the text communication unit 130 of the terminal device 100b has accepted the text data packet. Through the above operations, the text channel (IP address: 192.168.0.1, port number: 1723 ← → IP address: 192.168.1.1, port number: 172
3) is released (step 508).
【0035】次に、音声チャネルを解放する。端末装置
100aの音声通話部120は、音声チャネルが確立されてい
る状態にあることを判断して、音声チャネル解放の手順
を実行する。端末装置100aの音声通話部120は、相手端
末装置100bを宛先(IPアドレス:192.168.1.2、ポート番
号:1721)として、音声チャネル解放のコマンドを送信
する(ステップ511)。音声チャネル解放のコマンドに
は、端末装置100aの音声通話部120が音声データパケッ
トを受け付けていたポート番号(1722)を受信ポート番
号として指定する。Next, the voice channel is released. Terminal device
The voice communication unit 120 of 100a determines that the voice channel has been established, and executes the procedure of releasing the voice channel. The voice communication unit 120 of the terminal device 100a transmits a voice channel release command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 511). In the voice channel release command, the port number (1722) where the voice communication unit 120 of the terminal device 100a has received the voice data packet is specified as the reception port number.
【0036】ルータ装置200aは、IPパケットを暗号化、
カプセル化して、ルータ装置200bに送る(ステップ51
2)。ルータ装置200bは、受け取ったIPパケットの内容
を取りだし、復号化した後、端末装置100bにルーティン
グする(ステップ513)。端末装置100bの音声通話部120
は、端末装置100aの音声通話部120が音声データパケッ
トを受け付けていたポート番号へのデータパケット送信
を停止し、受信ポート番号として端末装置100bの音声通
話部120が音声データパケットを受け付けていたポート
番号(1722)を指定した音声チャネル切断の応答を返す
ため、相手端末装置100aを宛先(IPアドレス:192.168.
0.2、ポート番号:1721)として、IPパケットを送信する
(ステップ514)。IPパケットは、ルータ装置200bで暗
号化、カプセル化され、ルータ装置200aに伝わる(ステ
ップ515)。そして、ルータ装置200aによって復号化さ
れ、端末装置100aへとルーティングされる(ステップ51
6)。端末装置100aの音声通話部120は、端末装置100bの
音声通話部120が音声データパケットを受け付けていた
ポート番号へのデータパケット送信を停止する。以上の
動作を経て、音声チャネル(IPアドレス:192.168.0.1、
ポート番号:1722←→IPアドレス:192.168.1.1、ポート
番号:1722)が解放される(ステップ517)。The router device 200a encrypts the IP packet,
Encapsulate and send to router device 200b (step 51
2). The router device 200b extracts the contents of the received IP packet, decodes them, and then routes them to the terminal device 100b (step 513). Voice communication unit 120 of terminal device 100b
Stops transmitting data packets to the port number at which the voice communication unit 120 of the terminal device 100a was accepting voice data packets, and sets the port at which the voice communication unit 120 of the terminal device 100b was accepting voice data packets as a reception port number. To return the voice channel disconnection response specifying the number (1722), the destination (IP address: 192.168.
0.2, port number: 1721), and transmits an IP packet (step 514). The IP packet is encrypted and encapsulated in the router 200b, and transmitted to the router 200a (Step 515). Then, it is decrypted by the router device 200a and routed to the terminal device 100a (step 51).
6). The voice communication unit 120 of the terminal device 100a stops transmitting data packets to the port number at which the voice communication unit 120 of the terminal device 100b has received the voice data packet. After the above operation, the audio channel (IP address: 192.168.0.1,
The port number: 1722 ← → IP address: 192.168.1.1, port number: 1722) is released (step 517).
【0037】次に、呼制御チャネルを解放する。音声チ
ャネル、テキストチャネルを解放した後、端末装置100a
の呼制御部110は、相手端末装置100bを宛先(IPアドレ
ス:192.168.1.2、ポート番号:1721)として、解放完了
のコマンドを送信する(ステップ521)。解放完了のコ
マンドには、端末装置100aの呼制御部110が呼制御コマ
ンドを受け付けていたポート番号(1721)を受信ポート
番号として指定する。また、端末装置100bの呼制御部11
0が呼制御パケット(コマンドまたは応答)を受け付け
ていたポート番号(1721)への呼制御パケットの送信を
停止する。Next, the call control channel is released. After releasing the voice channel and the text channel, the terminal device 100a
The call control unit 110 transmits a release completion command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1721) (step 521). As the release completion command, the port number (1721) for which the call control unit 110 of the terminal device 100a has received the call control command is specified as a reception port number. Further, the call control unit 11 of the terminal device 100b
0 stops transmission of the call control packet to the port number (1721) that has received the call control packet (command or response).
【0038】ルータ装置200aは、IPパケットを暗号化、
カプセル化して、ルータ装置200bに送る(ステップ52
2)。ルータ装置200bは、受け取ったIPパケットの内容
を取りだし、復号化した後、端末装置100bにルーティン
グする(ステップ523)。また、ステップ522終了後、ス
テップ523と並行して、暗号化トンネル切断の手順が実
行される。即ち、ルータ装置200aのトンネル制御部220
は、端末装置100aから端末装置100bへのIPパケットを安
全に運ぶための暗号化トンネルを切断する(ステップ52
5)。切断の方法は、RFC1825乃至1828で規定されている
通り。そして、トンネル制御部220は、ルータ装置200b
に逆方向の暗号化トンネルを確立するように指示するコ
マンドを送る(ステップ526)。ルータ装置200bのトン
ネル制御部220は、このコマンドを受けると、端末装置1
00bから端末装置100aへのIPパケットを安全に運ぶため
の暗号化トンネルを切断する(ステップ527)。ルータ
装置200bのトンネル制御部220は、切断を確認するため
の応答をルータ装置200aに返す(ステップ528)。これ
によって、端末装置100aと端末装置100b間にあった双方
向の暗号化トンネルが切断される(ステップ529)。The router device 200a encrypts the IP packet,
Encapsulate and send to router device 200b (step 52
2). The router device 200b extracts the content of the received IP packet, decodes it, and then routes it to the terminal device 100b (step 523). After step 522, a procedure for disconnecting the encrypted tunnel is executed in parallel with step 523. That is, the tunnel control unit 220 of the router 200a
Disconnects the encrypted tunnel for safely carrying the IP packet from the terminal device 100a to the terminal device 100b (step 52).
Five). The method of cutting is as specified in RFC 1825-1828. Then, the tunnel control unit 220
A command is sent instructing to establish a reverse encryption tunnel (step 526). Upon receiving this command, the tunnel control unit 220 of the router device 200b
The encryption tunnel for safely carrying the IP packet from 00b to the terminal device 100a is disconnected (step 527). The tunnel control unit 220 of the router device 200b returns a response for confirming the disconnection to the router device 200a (Step 528). As a result, the two-way encrypted tunnel between the terminal device 100a and the terminal device 100b is disconnected (step 529).
【0039】本実施例によれば、端末装置100a及び100b
間のマルチメディアアプリケーション利用時に、中継す
るルータ装置間で自動的に暗号化トンネルを確立するこ
とで、セキュリティのないオープンなネットワークであ
るインターネット300を介しても、呼制御コマンドと応
答のデータパケット、音声データパケット、テキストデ
ータパケットを安全に運ぶことができる。According to this embodiment, the terminal devices 100a and 100b
When using a multimedia application between the routers, the router automatically establishes an encrypted tunnel between the relay routers, so that even via the Internet 300, which is an open network without security, data packets of call control commands and responses, Audio data packets and text data packets can be carried safely.
【0040】また、所定のマルチメディアアプリケーシ
ョン利用時にのみ暗号化トンネルが確立されることか
ら、暗号化が不要なアプリケーションの利用や他のトン
ネリング技術(セキュリティプロトコル)を使ったアプ
リケーションの利用と両立することができる。つまり、
ユーザは、使用するアプリケーション毎に、利用したい
トンネリング技術(セキュリティプロトコル)を使用し
ないことを含めて選択することができ、利用の幅が広が
る。Further, since the encryption tunnel is established only when a predetermined multimedia application is used, it is compatible with the use of an application that does not require encryption and the use of an application using another tunneling technology (security protocol). Can be. That is,
The user can select for each application to be used, including not using the tunneling technology (security protocol) that he / she wants to use, and the range of use is expanded.
【0041】図5は、本発明の第1変形例における処理
手順を示しているシーケンス図である。本第1変形例
は、先の実施例(図2参照)と同様の構成において異な
る処理手順において暗号化トンネルの確立を行う。即
ち、発呼端末が呼制御チャネル、音声チャネル及びテキ
ストチャネルの確立に先立って暗号化トンネルリンクの
確立を指示すると共に、着呼端末を収容するルータ装置
をして逆方向の暗号化トンネルリンクの確立せしめる。
このため、着呼端末側のルーティング情報の参照を行わ
ない形態である。FIG. 5 is a sequence diagram showing a processing procedure in the first modification of the present invention. In the first modified example, an encrypted tunnel is established in a different processing procedure in the same configuration as the previous embodiment (see FIG. 2). That is, the calling terminal instructs the establishment of the encrypted tunnel link prior to the establishment of the call control channel, the voice channel, and the text channel, and sets the router accommodating the called terminal to establish the reverse encrypted tunnel link. Establish it.
Therefore, the routing information is not referred to on the called terminal side.
【0042】図5を参照すると、先ず、呼制御チャネル
の確立を行う。ユーザは、端末装置100a上のマルチメデ
ィアアプリケーションを起動し、アプリケーションで相
手端末装置100bのIPアドレス(192.168.1.2)を指定し
て、発呼を指示する(ステップ501)。端末装置100aの
呼制御部110は、端末装置100bまでIPパケットを安全に
伝送するための暗号化トンネルがまだないことを判断し
て、ルータ装置200aからルータ装置200bに至る暗号化ト
ンネルの確立の手順を実行する。Referring to FIG. 5, first, a call control channel is established. The user starts the multimedia application on the terminal device 100a, specifies the IP address (192.168.1.2) of the partner terminal device 100b with the application, and instructs a call (step 501). The call controller 110 of the terminal device 100a determines that there is not yet an encrypted tunnel for securely transmitting the IP packet to the terminal device 100b, and establishes an encrypted tunnel from the router device 200a to the router device 200b. Perform the steps.
【0043】端末装置100aの呼制御部110は、ルーティ
ングテーブル140の収容ルータ情報から、指示すべきル
ータ装置200aのIPアドレス(192.168.0.1)を求め、ル
ータ装置200aにトンネルの確立を指示する。このとき、
ルーティングテーブル140から、自ルータアドレスとし
てルータ装置200aのグローバルアドレス(172.16.153.
1)とプライベートアドレス(192.168.0.1)、相手先ル
ータアドレスとして、ルータ装置200bのグローバルアド
レス(172.31.184.1)とプライベートアドレス(192.16
8.1.1)を合わせて求め、これらのアドレスをトンネル
確立指示のパラメータ情報として与える(ステップ50
2)。ルータ装置200aのトンネル制御部220は、パラメー
タ情報として得たIPアドレスを使って、ルータ装置200b
との間に、端末装置100aから端末装置100bへのIPパケッ
トを安全に運ぶための暗号化トンネルを確立する(ステ
ップ503)。確立方法は、RFC1825乃至1828で規定されて
いる通り。The call control unit 110 of the terminal device 100a obtains the IP address (192.168.0.1) of the router device 200a to be instructed from the accommodated router information in the routing table 140, and instructs the router device 200a to establish a tunnel. At this time,
From the routing table 140, the global address of the router device 200a (172.16.153.
1) and the private address (192.168.0.1), and as the destination router address, the global address (172.31.184.1) and the private address (192.16
8.1.1), and give these addresses as parameter information of the tunnel establishment instruction (step 50).
2). The tunnel control unit 220 of the router 200a uses the IP address obtained as the parameter information to
In the meantime, an encryption tunnel for securely carrying the IP packet from the terminal device 100a to the terminal device 100b is established (step 503). The method of establishment is as specified in RFC 1825-1828.
【0044】続いて、ルータ装置200aのトンネル制御部
220はルータ装置200bに暗号化トンネルの確立を指示す
る。このとき、自ルータアドレスとしてルータ装置200b
のグローバルアドレス(172.31.184.1)とプライベート
アドレス(192.168.1.1)、相手先ルータアドレスとし
て、ルータ装置200aのグローバルアドレス(172.16.15
3.1)とプライベートアドレス(192.168.0.1)をトンネ
ル確立指示のパラメータ情報として与える(ステップ50
4)。ルータ装置200bのトンネル制御部220は、パラメー
タ情報として得たIPアドレスを使って、ルータ装置200a
との間に、端末装置100bから端末装置100aへのIPパケッ
トを安全に運ぶための暗号化トンネルを確立する(ステ
ップ505)。Subsequently, the tunnel control unit of the router device 200a
220 instructs the router device 200b to establish an encrypted tunnel. At this time, the router device 200b
Global address (172.31.184.1) and private address (192.168.1.1), and the router device 200a global address (172.16.15
3.1) and the private address (192.168.0.1) are given as parameter information of the tunnel establishment instruction (step 50).
Four). The tunnel control unit 220 of the router 200b uses the IP address obtained as the parameter information to
In the meantime, an encryption tunnel for securely carrying the IP packet from the terminal device 100b to the terminal device 100a is established (Step 505).
【0045】そして、ルータ装置200bのトンネル制御部
220は、トンネル確立の確認を応答としてルータ装置200
aに返す(ステップ506)。また、ルータ装置200aのトン
ネル制御部220は、トンネル確立の確認を応答として端
末装置100aに返す(ステップ507)。これによって、端
末装置100aと端末装置100b間に刃方向の暗号化トンネル
が確立する(ステップ508)。以降、両者の間のIPパケ
ットはすべて、この暗号化トンネルを通る。つまり、IP
パケットは、ルータ装置間では暗号化されて運ばれる。Then, the tunnel control unit of the router device 200b
220 responds to the confirmation of the tunnel establishment with the router 200
Return to a (step 506). The tunnel control unit 220 of the router device 200a returns a confirmation of the establishment of the tunnel to the terminal device 100a as a response (Step 507). Thereby, an encryption tunnel in the blade direction is established between the terminal device 100a and the terminal device 100b (step 508). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, IP
Packets are transmitted encrypted between router devices.
【0046】応答を受け取った端末装置100aの呼制御部
110は、ユーザに指定されたIPアドレス(192.168.0.1)
と端末装置100aの呼制御部110が呼制御コマンドを受け
付けるポート番号(1720)を指定して、相手端末装置10
0bに向かって、呼設定のコマンドを送信する(ステップ
509)。呼設定のコマンドには、端末装置100aの呼制御
部110が呼制御コマンドを受け付けるポート番号(172
1)を受信ポート番号として指定する。The call control unit of the terminal device 100a receiving the response
110 is the IP address specified by the user (192.168.0.1)
And the port number (1720) at which the call control unit 110 of the terminal device 100a receives the call control command,
Send a call setup command toward 0b (step
509). The call setting command includes a port number (172) for the call control unit 110 of the terminal device 100a to receive the call control command.
Specify 1) as the receiving port number.
【0047】ルータ装置200aは、IPパケットを暗号化、
カプセル化して、ルータ装置200bに送る(ステップ51
0)。ルータ装置200bは、受け取ったIPパケットの内容
を取りだし、復号化した後、端末装置100bにルーティン
グする(ステップ511)。端末装置100bの呼制御部110
は、呼制御コマンドを受け付けるポート番号を特定し
(1721)、受信ポート番号としてこの値を指定した接続
応答を返す。応答は、端末装置100aを宛先(IPアドレ
ス:192.168.0.2、ポート番号:1721)として、IPパケッ
トを送信する(ステップ512)。IPパケットは、ルータ
装置200bによって暗号化、カプセル化され、ルータ装置
200aに送られる(ステップ513)。暗号化トンネルを経
由して、ルータ装置200aに伝わり、ルータ装置200bは、
受け取ったIPパケットの内容を取りだし、復号化した
後、端末装置100aにルーティングする(ステップ51
4)。以上の動作を経て、インターネットを暗号化トン
ネルでトンネリングする呼制御のチャネル(IPアドレ
ス:192.168.0.1、ポート番号:1721←→IPアドレス:192.
168.1.1、ポート番号:1721)が確立する(ステップ51
5)。The router device 200a encrypts the IP packet,
Encapsulate and send to router device 200b (step 51
0). The router device 200b extracts the content of the received IP packet, decodes it, and then routes it to the terminal device 100b (step 511). Call control unit 110 of terminal device 100b
Specifies the port number for receiving the call control command (1721), and returns a connection response specifying this value as the reception port number. In response, an IP packet is transmitted to the terminal device 100a as the destination (IP address: 192.168.0.2, port number: 1721) (step 512). The IP packet is encrypted and encapsulated by the router 200b,
It is sent to 200a (step 513). The data is transmitted to the router device 200a via the encrypted tunnel, and the router device 200b
After extracting and decoding the contents of the received IP packet, the IP packet is routed to the terminal device 100a (step 51).
Four). Through the above operations, a call control channel for tunneling the Internet with an encrypted tunnel (IP address: 192.168.0.1, port number: 1721 ← → IP address: 192.
168.1.1, port number: 1721) is established (step 51)
Five).
【0048】第1変形例における暗号化トンネルの開放
手順は先の実施例と同様である。以上ように第1変形例
によれば、先の実施例と比べて、端末装置100bのルーテ
ィングテーブルを参照することなく暗号化トンネルを確
立することができる。また、双方向のトンネルが一元的
に確立されるため、処理のオーバヘッドを削減すること
が期待できる。The procedure for opening the encrypted tunnel in the first modified example is the same as in the previous embodiment. As described above, according to the first modified example, an encrypted tunnel can be established without referring to the routing table of the terminal device 100b as compared with the previous embodiment. Further, since the bidirectional tunnel is unified, the overhead of the processing can be reduced.
【0049】図6は、本発明の第2変形例におけるパケ
ット通信システムの構成を示している。ここで、ルーテ
ィングテーブル240を除いた他の構成は前述の実施例と
同様である。ルーティングテーブル240は、収容ルータ
情報として端末装置100a及び100bが接続されているルー
タ装置200a及び200bのIPアドレスが格納される。本実施
例では、端末装置100aの収容ルータはルータ装置200aで
あり、端末装置100bの収容ルータはルータ装置200bであ
る。FIG. 6 shows the configuration of the packet communication system according to the second modification of the present invention. Here, the configuration other than the routing table 240 is the same as that of the above-described embodiment. The routing table 240 stores, as accommodated router information, the IP addresses of the router devices 200a and 200b to which the terminal devices 100a and 100b are connected. In this embodiment, the accommodation router of the terminal device 100a is the router device 200a, and the accommodation router of the terminal device 100b is the router device 200b.
【0050】図7は、本第2変形例における処理手順を
示している。本変形例の処理手順の形態では、着呼端末
は暗号化トンネルリンクの確立を意識しない。着呼端末
が呼制御チャネル、音声チャネル及びテキストチャネル
の確立を意図する呼設定の要求を発することにより、当
該着呼端末を収容するルータ装置が自律的に暗号化トン
ネルリンクの確立を行う。このため、ルータ装置自身が
ルーティングテーブルを有する。呼制御チャネル確立以
降の手順は前述の実施例と同様である。FIG. 7 shows a processing procedure in the second modified example. In the form of the processing procedure of this modification, the called terminal is not aware of the establishment of the encrypted tunnel link. When the called terminal issues a call setting request intended to establish a call control channel, a voice channel, and a text channel, the router device that accommodates the called terminal autonomously establishes an encrypted tunnel link. Therefore, the router device itself has a routing table. The procedure after the establishment of the call control channel is the same as in the above-described embodiment.
【0051】先ず、呼制御チャネルを確立する。ユーザ
は、端末装置100a上のマルチメディアアプリケーション
を起動し、アプリケーションで相手端末装置100bのIPア
ドレス(192.168.1.2)を指定して、発呼を指示する
(ステップ601)。端末装置100a上の呼制御部110は、相
手端末装置100bを宛先(IPアドレス:192.168.1.2、ポー
ト番号:1720)として、呼設定のコマンドを送信する
(ステップ602)。呼設定のコマンドには、端末装置100
aの呼制御部110が呼制御コマンドを受け付けるポート番
号(1721)を受信ポート番号として指定する。First, a call control channel is established. The user activates the multimedia application on the terminal device 100a, specifies the IP address (192.168.1.2) of the partner terminal device 100b with the application, and instructs a call (step 601). The call control unit 110 on the terminal device 100a transmits a call setting command to the destination terminal device 100b as the destination (IP address: 192.168.1.2, port number: 1720) (Step 602). The call setting command includes the terminal device 100
The port number (1721) for receiving the call control command by the call control unit 110 of a is designated as the reception port number.
【0052】ここで、ルータ装置200aのIPパケットルー
ティング部210は、このコマンドを運ぶIPパケットをル
ータ装置200bに配信するが、その前に、端末装置100bま
でIPパケットを安全に伝送するための暗号化トンネルが
まだないことを判断して、ルータ装置200bからルータ装
置200bに至る暗号化トンネルの確立の手順を実行する。Here, the IP packet routing unit 210 of the router device 200a distributes the IP packet carrying this command to the router device 200b, but before that, encrypts the IP packet for securely transmitting the IP packet to the terminal device 100b. It determines that there is no encrypted tunnel yet, and executes a procedure for establishing an encrypted tunnel from the router device 200b to the router device 200b.
【0053】ルータ装置200aのトンネル制御部220は、
ルーティングテーブル240から、自ルータアドレスとし
てルータ装置200aのグローバルアドレス(172.16.153.
1)とプライベートアドレス(192.168.0.1)、相手先ル
ータアドレスとして、ルータ装置200bのグローバルアド
レス(172.31.184.1)とプライベートアドレス(192.16
8.1.1)を求める。トンネル制御部220は、これらのIPア
ドレスを使って、ルータ装置200bとの間に、端末装置10
0aから端末装置100bへのIPパケットを安全に運ぶための
暗号化トンネルを確立する(ステップ603)。確立方法
は、RFC1825乃至1828で規定されている通りである。The tunnel control unit 220 of the router device 200a
From the routing table 240, the global address of the router device 200a (172.16.153.
1) and the private address (192.168.0.1), and as the destination router address, the global address (172.31.184.1) and the private address (192.16
8.1.1). The tunnel control unit 220 uses these IP addresses to communicate with the router device 200b between the terminal device 10
An encrypted tunnel for securely carrying the IP packet from 0a to the terminal device 100b is established (step 603). The establishment method is as specified in RFCs 1825 to 1828.
【0054】暗号化トンネルが確立した後、ステップ60
2の呼設定コマンドのIPパケットは、先に確立した暗号
化トンネルを経由して、ルータ装置200bに配信する。つ
まり、暗号・復号処理部230は、受け取ったIPパケット
を暗号化し、新たなIPパケットにカプセル化する。そし
て新たな宛先をルータ装置200b(IPアドレス:172.31.18
4.1、ポート番号:500)、送り元をルータ装置200a(IP
アドレス:172.16.153.1、ポート番号:500)とする。そ
して、IPパケットルーティング部210がルータ装置200b
にIPパケットを送信する(ステップ604)。After the encryption tunnel is established, step 60
The IP packet of the second call setting command is delivered to the router device 200b via the previously established encryption tunnel. That is, the encryption / decryption processing unit 230 encrypts the received IP packet and encapsulates it into a new IP packet. Then, the new destination is set to the router device 200b (IP address: 172.31.18).
4.1, port number: 500), the sender is router device 200a (IP
(Address: 172.16.153.1, Port number: 500) Then, the IP packet routing unit 210 switches to the router device 200b.
(Step 604).
【0055】ここで、ルータ装置200bのIPパケットルー
ティング部210は、このコマンドを運ぶIPパケットをル
ータ装置200aに配信するが、その前に、端末装置100aま
でIPパケットを安全に伝送するための暗号化トンネルが
まだないことを判断して、ルータ装置200bからルータ装
置200aに至る暗号化トンネルの確立の手順を実行する。Here, the IP packet routing unit 210 of the router 200b distributes the IP packet carrying this command to the router 200a, but before that, encrypts the IP packet for securely transmitting the IP packet to the terminal 100a. It determines that there is no encrypted tunnel yet, and executes a procedure for establishing an encrypted tunnel from the router device 200b to the router device 200a.
【0056】ルータ装置200bのトンネル制御部220は、
ルータ装置200bのルーティングテーブル240から、自ル
ータアドレスとしてルータ装置200bのグローバルアドレ
ス(172.31.184.1)とプライベートアドレス(192.168.
1.1)、相手先ルータアドレスとして、ルータ装置200a
のグローバルアドレス(172.16.153.1)とプライベート
アドレス(192.168.0.1)を求める。トンネル制御部220
は、これらのIPアドレスを使って、ルータ装置200aとの
間に、端末装置100bから端末装置100aへのIPパケットを
安全に運ぶための暗号化トンネルを確立する(ステップ
605)。The tunnel control unit 220 of the router device 200b
From the routing table 240 of the router 200b, the global address (172.31.184.1) and the private address (192.168.
1.1), as the destination router address, router device 200a
For the global address (172.16.153.1) and private address (192.168.0.1). Tunnel control unit 220
Uses these IP addresses to establish an encrypted tunnel between the router device 200a and the terminal device 100b to securely carry IP packets from the terminal device 100b to the terminal device 100a (step
605).
【0057】これによって、端末装置100aと端末装置10
0b間に双方向の暗号化トンネルが確立する(ステップ60
6)。以降、両者の間のIPパケットはすべて、この暗号
化トンネルを通る。つまり、IPパケットは、ルータ装置
間では暗号化されて運ばれる。暗号化トンネルが確立し
た後、ステップ604の呼設定コマンドのIPパケットは、
ルータ装置200bの暗号・復号処理部230によって復号化
され、IPパケットルーティング部210によって、最終的
な宛先である端末装置100bへとルーティングされる(ス
テップ607)。Thus, the terminal device 100a and the terminal device 10
0b establishes a two-way encrypted tunnel (step 60)
6). Thereafter, all IP packets between the two pass through this encrypted tunnel. That is, the IP packet is encrypted and carried between the router devices. After the encryption tunnel is established, the IP packet of the call setup command in step 604 is
The packet is decrypted by the encryption / decryption processing unit 230 of the router device 200b, and is routed by the IP packet routing unit 210 to the terminal device 100b which is the final destination (Step 607).
【0058】端末装置100bの呼制御部110は、呼制御コ
マンドを受け付けるポート番号を特定し(1721)、受信
ポート番号としてこの値を指定した接続応答を返す。応
答は、端末装置100aを宛先(IPアドレス:192.168.0.2、
ポート番号:1721)として、IPパケットを送信する(ス
テップ608)。IPパケットは、ルータ装置200bの暗号・
復号処理部230によって暗号化・カプセル化される。新
たな宛先はルータ装置200a(IPアドレス:172.16.153.
1、ポート番号:500)、送り元はルータ装置200b(IPア
ドレス:172.31.184.1、ポート番号:500)となり、IPパ
ケットルーティング部210は、ルータ装置200aにIPパケ
ットを送信する(ステップ609)。暗号化トンネルを経
由して、ルータ装置200aに伝わり、ルータ装置200aの暗
号・復号処理部230によって復号化され、IPパケットル
ーティング部210によって、端末装置100aへとルーティ
ングされる(ステップ610)。The call control unit 110 of the terminal device 100b specifies the port number for receiving the call control command (1721), and returns a connection response specifying this value as the reception port number. The response is sent to the terminal device 100a (IP address: 192.168.0.2,
An IP packet is transmitted as the port number: 1721) (step 608). The IP packet is encrypted by the router device 200b.
It is encrypted and encapsulated by the decryption processing unit 230. The new destination is the router device 200a (IP address: 172.16.153.
1, the port number: 500), the source is the router device 200b (IP address: 172.33.18.41, port number: 500), and the IP packet routing unit 210 transmits an IP packet to the router device 200a (step 609). The data is transmitted to the router device 200a via the encryption tunnel, is decrypted by the encryption / decryption processing unit 230 of the router device 200a, and is routed to the terminal device 100a by the IP packet routing unit 210 (Step 610).
【0059】以上の動作を経て、インターネットを暗号
化トンネルでトンネリングする呼制御のチャネル(IPア
ドレス:192.168.0.1、ポート番号:1721←→IPアドレス:
192.168.1.1、ポート番号:1721)が確立する(ステップ
611)。以降、アプリケーションのコネクションの接続
・切断の指示コマンドや応答のやり取りは、すべてこの
チャネルを使用する。Through the above operations, a call control channel (IP address: 192.168.0.1, port number: 1721 ← → IP address: tunneling the Internet through an encrypted tunnel)
192.168.1.1, port number: 1721 is established (step
611). Thereafter, all exchanges of commands and responses for instructing connection / disconnection of the application connection use this channel.
【0060】暗号化トンネルの開放は先の実施例と同様
である。以上のように、本第2変形例によれば、ルータ
装置が自律的かつ自動的に暗号化トンネルを確立するこ
とができる。よって、端末装置100a及び100bのマルチメ
ディアアプリケーションに変更を加えることなく、デー
タパケットを安全に運ぶことができる。The release of the encryption tunnel is the same as in the previous embodiment. As described above, according to the second modification, the router device can autonomously and automatically establish the encrypted tunnel. Therefore, data packets can be carried safely without changing the multimedia applications of the terminal devices 100a and 100b.
【0061】尚、本実施例及び第1及び第2変形例は、
ネットワークとしてインターネットを利用した場合につ
いて記述しているが、本発明は、ネットワークとして、
インターネットの技術を特定企業内のネットワークに適
用したイントラネットにおいても同様に適用可能であ
る。本発明は、又、企業内の閉じたネットワークにおい
て高セキュリティを要する情報を扱う場合にも適用可能
である。This embodiment and the first and second modified examples are as follows.
The case where the Internet is used as a network is described.
The present invention can be similarly applied to an intranet in which the technology of the Internet is applied to a network in a specific company. The present invention is also applicable to a case where information requiring high security is handled in a closed network in a company.
【0062】[0062]
【発明の効果】本発明によるパケット通信システムによ
り、アプリケーションの起動或いは命令に即応して動的
に確立又は開放される暗号化トンネルリンクが形成さ
れ、パケットのセキュリティを確保しつつ低減化された
オーバヘッドにてパケット通信が可能となる。更に、こ
の暗号化トンネルリンクを介して、セキュリティを要す
るマルチメディア通信アプリケーションの多様な呼接続
チャネルを形成することが可能となる。According to the packet communication system of the present invention, an encrypted tunnel link that is dynamically established or released in response to application activation or an instruction is formed, thereby reducing the overhead while ensuring packet security. Enables packet communication. Further, it is possible to form various call connection channels for multimedia communication applications requiring security via the encrypted tunnel link.
【図1】本発明の実施例における概念的な構成を示して
いる図である。FIG. 1 is a diagram showing a conceptual configuration in an embodiment of the present invention.
【図2】実施例のパケット通信システムの構成を示して
いるブロック図である。FIG. 2 is a block diagram illustrating a configuration of a packet communication system according to an embodiment.
【図3】実施例における暗号化トンネルリンク確立の動
作手順を示しているシーケンス図である。FIG. 3 is a sequence diagram illustrating an operation procedure of establishing an encrypted tunnel link in the embodiment.
【図4】実施例における暗号化トンネルリンク削除の動
作手順を示しているシーケンス図である。FIG. 4 is a sequence diagram illustrating an operation procedure of deleting an encrypted tunnel link in the embodiment.
【図5】本発明の第1変形例における暗号化トンネルリ
ンク確立の動作手順を示しているシーケンス図である。FIG. 5 is a sequence diagram showing an operation procedure for establishing an encrypted tunnel link in a first modification of the present invention.
【図6】本発明の第2変形例におけるパケット通信シス
テムの構成を示しているブロック図である。FIG. 6 is a block diagram showing a configuration of a packet communication system according to a second modified example of the present invention.
【図7】第2変形例における暗号化トンネルリンク確立
の動作手順を示しているシーケンス図である。FIG. 7 is a sequence diagram showing an operation procedure for establishing an encrypted tunnel link in a second modified example.
100 端末装置 101、201 OS・TCP/IP 110 呼制御部 120 音声通話部 130 テキスト通信部 140、240 ルーティングテーブル 200 ルータ装置 210 IPパケットルーティング部 220 トンネル制御部 230 暗号・復号処理部 100 Terminal device 101, 201 OS / TCP / IP 110 Call control unit 120 Voice communication unit 130 Text communication unit 140, 240 Routing table 200 Router device 210 IP packet routing unit 220 Tunnel control unit 230 Encryption / decryption processing unit
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA33 PA07 5K030 GA01 GA15 HA08 HB21 HC01 HD03 JA11 JT03 JT10 LB01 LD19 ──────────────────────────────────────────────────続 き Continued on the front page F term (reference) 5J104 AA33 PA07 5K030 GA01 GA15 HA08 HB21 HC01 HD03 JA11 JT03 JT10 LB01 LD19
Claims (5)
端末との間の経路にチャネル毎の呼接続を確立してパケ
ット通信を行うパケット通信システムであって、 前記発呼端末における所定のアプリケーションの動作状
況に応じて、前記経路に暗号化トンネルリンクを確立又
は切断する暗号化トンネルリンク確立切断手段と、 前記暗号化トンネルリンクの確立又は切断に応じて、前
記所定のアプリケーションに対応するチャネルの呼接続
を対応して確立又は切断する呼接続確立切断手段と、 を含むことを特徴とするパケット通信システム。1. A packet communication system for performing packet communication by establishing a call connection for each channel on a path between a calling terminal and a called terminal in a packet communication network, wherein a predetermined application in the calling terminal is provided. An encryption tunnel link establishment / disconnection means for establishing or disconnecting an encrypted tunnel link on the path according to the operation status of the channel; and a channel corresponding to the predetermined application in response to the establishment or disconnection of the encrypted tunnel link. A call connection establishment / disconnection means for establishing or disconnecting a call connection correspondingly.
を表す指標が、前記所定のアプリケーションの起動又は
終了であることを特徴とする請求項1記載のパケット通
信システム。2. The packet communication system according to claim 1, wherein the index indicating the operation status of the predetermined application is activation or termination of the predetermined application.
を表す指標が、前記発呼端末が送受信するパケットに含
まれる前記所定のアプリケーションの起動又は終了に対
応する情報であることを特徴とする請求項1記載のパケ
ット通信システム。3. The method according to claim 1, wherein the index indicating the operation status of the predetermined application is information corresponding to activation or termination of the predetermined application included in a packet transmitted and received by the calling terminal. A packet communication system according to claim 1.
が、前記発呼端末と前記着呼端末との間の経路のうちの
前記発呼端末を収容する第1ルータと前記着呼端末を収
容する第2ルータとの間に前記暗号化トンネルリンクを
確立することを特徴とする請求項1記載のパケット通信
システム。4. The encrypted tunnel link establishment and disconnection means accommodates a first router accommodating the calling terminal and the called terminal in a path between the calling terminal and the called terminal. The packet communication system according to claim 1, wherein the encrypted tunnel link is established with a second router.
で確立される暗号化トンネルリンクを、前記第1ルータ
及び前記第2ルータに収容される複数の端末が前記発呼
端末又は着呼端末として共用することを特徴とする請求
項4記載のパケット通信システム。5. A plurality of terminals accommodated in the first router and the second router establish an encrypted tunnel link established between the first router and the second router by the calling terminal or the destination terminal. The packet communication system according to claim 4, wherein the packet communication system is shared as a call terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001116998A JP4356262B2 (en) | 2001-04-16 | 2001-04-16 | Packet communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001116998A JP4356262B2 (en) | 2001-04-16 | 2001-04-16 | Packet communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002314582A true JP2002314582A (en) | 2002-10-25 |
| JP4356262B2 JP4356262B2 (en) | 2009-11-04 |
Family
ID=18967639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001116998A Expired - Fee Related JP4356262B2 (en) | 2001-04-16 | 2001-04-16 | Packet communication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4356262B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2008075580A1 (en) * | 2006-12-20 | 2010-04-08 | 日本電気株式会社 | Communication terminal, terminal, communication system, communication method, and program |
| US8200773B2 (en) | 2001-09-28 | 2012-06-12 | Fiberlink Communications Corporation | Client-side network access policies and management applications |
-
2001
- 2001-04-16 JP JP2001116998A patent/JP4356262B2/en not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8200773B2 (en) | 2001-09-28 | 2012-06-12 | Fiberlink Communications Corporation | Client-side network access policies and management applications |
| JPWO2008075580A1 (en) * | 2006-12-20 | 2010-04-08 | 日本電気株式会社 | Communication terminal, terminal, communication system, communication method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4356262B2 (en) | 2009-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1658700B1 (en) | Personal remote firewall | |
| KR100472739B1 (en) | Virtual private network architecture | |
| US6104716A (en) | Method and apparatus for lightweight secure communication tunneling over the internet | |
| US9088547B2 (en) | Connection method, communication system, device, and program | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| EP1444775B1 (en) | Method and apparatus to manage address translation for secure connections | |
| US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
| US20080281900A1 (en) | Technique for Sending TCP Messages through HTTP Systems | |
| JP2004529531A (en) | Method and apparatus for providing reliable streaming data transmission utilizing an unreliable protocol | |
| JP2002504285A (en) | Apparatus for realizing virtual private network | |
| CN100502345C (en) | Method, branch node and center node for transmitting multicast in IPsec tunnel | |
| JP2006524017A (en) | ID mapping mechanism for controlling wireless LAN access with public authentication server | |
| EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
| JP2001292174A (en) | Method and communication device for constituting secured e-mail communication between mail domain of internet | |
| CN107819685A (en) | The method and the network equipment of a kind of data processing | |
| JP4356262B2 (en) | Packet communication system | |
| CN110351308B (en) | Virtual private network communication method and virtual private network device | |
| Cisco | Configuring PPP for Wide-Area Networking | |
| JP6403450B2 (en) | Tunnel connection apparatus, communication network, data communication method, and program | |
| JP2003032236A (en) | Relay server | |
| JP3472098B2 (en) | Mobile computer device, relay device, and data transfer method | |
| KR20030050550A (en) | Simple IP virtual private network service in PDSN system | |
| JPS61278256A (en) | Cipher provision system of private branch electronic exchange | |
| JP2017163186A (en) | End-to-end communication system, end-to-end communication method, and computer program | |
| JP2005347789A (en) | Encryption system using ip phone for termination terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070201 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090714 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090727 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130814 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |