JP2004048586A - Network communication system, network communication method and authentication label server - Google Patents
Network communication system, network communication method and authentication label server Download PDFInfo
- Publication number
- JP2004048586A JP2004048586A JP2002205937A JP2002205937A JP2004048586A JP 2004048586 A JP2004048586 A JP 2004048586A JP 2002205937 A JP2002205937 A JP 2002205937A JP 2002205937 A JP2002205937 A JP 2002205937A JP 2004048586 A JP2004048586 A JP 2004048586A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- label
- label switch
- packet
- authentication label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを介する情報通信にあたり、パケット通信経路における各スイッチに、認証キーと経路情報を設定することにより、通信の安全性と高速性を確保するネットワーク通信システム、ネットワーク通信方法及び認証ラベルサーバに関する。
【0002】
【従来の技術】
近年、情報処理装置の高性能化や、通信技術の高度化に伴い、ネットワークを介した通信が飛躍的に普及し、その重要性が高まっている。
このようなネットワーク通信技術は、利用者に迅速に情報伝達を行い得る高い利便性を提供する一方、盗聴やなりすましといった問題も包含しており、いかにしてネットワーク通信を安全で高速なものとするかが社会的な課題となっている。
【0003】
このようなネットワーク通信手段としては、例えば、IPSec(Internet Protocol Security)による方法などを挙げることができる。このIPSecは、IPのパケットに暗号化や認証を組み込んで安全性を高めた通信手段であり、これによって、従来に比べネットワーク通信を安全に行うことが可能となっている。
【0004】
【発明が解決しようとする課題】
しかしながら、従来のIPSecなどのネットワーク技術においては、送受信のそれぞれの端点のノードにおいて、セキュリティ処理を行うものであるが、パケットの送受信自体は、特にセキュリティを考慮したものではないごく普通の送受信処理が行われているものであった。すなわち、ネットワーク全体の信頼性を高めるものではないという問題があった。
【0005】
また、それぞれの端点のノードにおけるセキュリティ処理は、複雑な計算処理を行う必要のあるものであり、大変負荷の高いものであった。このため、通信全体としての高速化が阻害されるという問題を有していた。
このため、そのような従来の問題を解消し、安全で、かつ高速性を損なうことのないネットワーク通信技術の提供が望まれていた。
【0006】
本発明は、上記の事情にかんがみなされたものであり、パケット送受信自体を認証キーで制御することによって、セキュリティ管理を行い、ネットワークそのものの信頼性を高めるとともに、全体としての通信速度を向上させることの可能なネットワーク通信システム、ネットワーク通信方法及び認証ラベルサーバの提供を目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載のネットワーク通信システムは、複数の認証ラベルスイッチを介して行われる送信端末から受信端末への情報送信を、認証ラベルサーバにより制御するネットワーク通信システムであって、情報送信にあたり、ユーザ識別情報及び接続先情報を認証ラベルサーバに送信して、認証ラベルサーバから認証キーを受信し、送信する情報の各パケットのヘッダに認証キーを設定して、各パケットを所定の認証ラベルスイッチに送信する送信端末と、送信端末から送信されてきたユーザ識別情報及び接続先情報にもとづいて、ルート計算を行い、認証キーを発行して、この認証キー及び転送先情報を各認証ラベルスイッチに設定し、かつ、認証キーを送信端末に送信する認証ラベルサーバと、認証ラベルサーバから認証キー及び転送先情報の設定を受けるとともに、送信端末又は他の認証ラベルスイッチからパケットを受信すると、認証キー及び転送先情報にもとづいて、次の認証ラベルスイッチ又は受信端末にパケットを送信する認証ラベルスイッチと、認証ラベルスイッチからパケットを受信する受信端末とを有する構成としてある。
【0008】
ネットワーク通信システムをこのような構成にすれば、送信端末から受信端末への情報の送信にあたり、通信経路における各認証ラベルスイッチに、その送信情報を識別するための認証キーを設定することによって、ネットワーク通信を安全に実行することが可能となる。
また、このような通信の安全性確保のための処理によれば、暗号化処理などを必要としないため、通信速度が損なわれることがなく、安全性を確保した上で、全体としての通信速度を従来よりも向上させることが可能となる。
【0009】
本発明の請求項2記載のネットワーク通信システムは、ネットワーク通信システムが、認証ラベルスイッチ間に、既存のラベルスイッチ網を有する場合に、認証ラベルサーバが、既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定し、入力側端点である認証ラベルスイッチが、送信端末又は他の認証ラベルスイッチからパケットを受信すると、既存ラベルスイッチ網にパケットを送信し、出力側端点である認証ラベルスイッチが、既存ラベルスイッチ網からパケットを受信すると、受信端末又は他の認証ラベルスイッチにパケットを送信する構成としてある。
【0010】
ネットワーク通信システムをこのような構成にすれば、通信経路に既存のラベルスイッチ網が存在する場合であっても、その既存のラベルスイッチ網に対する入出力端点の各認証ラベルスイッチに、所定の設定を行うことによって、本発明の通信処理を適用することが可能となる。
これによって、本発明のネットワーク通信における認証ラベルスイッチ網の自由度を向上させることが可能となる。
【0011】
本発明の請求項3記載のネットワーク通信方法は、複数の認証ラベルスイッチを介して行われる送信端末から受信端末への情報送信を、認証ラベルサーバにより制御するネットワーク通信方法であって、送信端末が、情報送信にあたり、ユーザ識別情報及び接続先情報を認証ラベルサーバに送信し、認証ラベルサーバが、送信されてきたユーザ識別情報及び接続先情報にもとづいて、ルート計算を行い、認証キーを発行して、この認証キー及び転送先情報を各認証ラベルスイッチに設定し、かつ、認証キーを送信端末に送信し、送信端末が、認証ラベルサーバから認証キーを受信すると、送信する情報の各パケットのヘッダに認証キーを設定して、各パケットを所定の認証ラベルスイッチに送信し、認証ラベルスイッチが、送信端末又は他の認証ラベルスイッチからパケットを受信すると、認証キー及び転送先情報にもとづいて、次の認証ラベルスイッチ又は受信端末にパケットを送信する方法としてある。
【0012】
ネットワーク通信方法をこのような方法にすれば、ネットワーク通信の安全性を確保した上で、通信速度の損なわれることのないネットワーク通信手段を提供することができる。
【0013】
本発明の請求項4記載のネットワーク通信方法は、認証ラベルスイッチ間に、既存のラベルスイッチ網が存在する場合に、認証ラベルサーバが、既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定し、入力側端点である認証ラベルスイッチが、送信端末又は他の認証ラベルスイッチからパケットを受信すると、既存ラベルスイッチ網にパケットを送信し、出力側端点である認証ラベルスイッチが、既存ラベルスイッチ網からパケットを受信すると、受信端末又は他の認証ラベルスイッチにパケットを送信する方法としてある。
【0014】
ネットワーク通信方法をこのような方法にすれば、認証ラベルスイッチ網内に、既存のラベルスイッチ網が存在する場合であっても、これを取り込んだ形で、ネットワーク通信を行うことが可能となる。
【0015】
本発明の請求項5記載の認証ラベルサーバは、複数の認証ラベルスイッチを介して行われる送信端末から受信端末への情報送信を制御する認証ラベルサーバであって、送信端末から送信されてきたユーザ識別情報及び接続先情報にもとづいて、ルート計算を行い、認証キーを発行して、この認証キー及び転送先情報を各認証ラベルスイッチに設定するとともに、認証キーを送信端末に送信する構成としてある。
【0016】
認証ラベルサーバをこのような構成にすれば、送信端末から受信端末への情報送信に際し、その通信経路における各認証ラベルスイッチに、認証キーを設定することができる。
このため、送信端末から送信される各パケットは、各認証ラベルスイッチにおいて、認証キーを確認した上で転送が行われるため、安全性を確保することが可能となる。
また、このようなセキュリティ確保の方法によれば、その通信の過程において、特別に時間のかかる処理が存在しないため、安全性を確保した上で、通信速度も保証することが可能となる。
【0017】
本発明の請求項6記載の認証ラベルサーバは、認証ラベルスイッチ間に、既存のラベルスイッチ網が存在する場合に、既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定する構成としてある。
【0018】
認証ラベルサーバをこのような構成にすれば、送信端末から受信端末への通信経路において、既存のラベルスイッチ網が存在する場合であっても、本発明による通信を行うことが可能となる。
【0019】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態について、図1を参照して説明する。同図は、本発明の第一実施形態のネットワーク通信システムの構成を示すブロック図である。
【0020】
図1に示すように、本実施形態のネットワーク通信システムは、送信端末10、認証ラベルサーバ20、認証ラベルスイッチ30(30−1,30−2,30−3,30−4)、受信端末40を有している。
また、各認証ラベルスイッチ30によって、認証ラベルスイッチ網50が形成されている。
【0021】
送信端末10は、ユーザが使用する端末であり、認証ラベルサーバ20に対して、ユーザ識別情報及び接続先情報等を送信し、認証キーを要求する。
このユーザ識別情報は、ユーザIDやパスワード等の情報であり、接続先情報は、接続先端末のIPアドレス等の情報である。
【0022】
また、送信端末10は、認証キーを認証ラベルサーバ20から受信し、パケットを送出する際に、認証キーを含む認証ラベルヘッダをすべてのパケットの先頭に付けて送出する。
図1に、このパケットのフォーマットの例を示す。同図において、パケットは、データ本体であるペイロードの先端に、認証ラベルヘッダを有している。この認証ラベルヘッダに、認証キーが含まれる。
【0023】
認証ラベルサーバ20は、送信端末10から認証キーの要求を受けると、これを要求したユーザが正規に登録されているかを確認する。この確認方法としては、従来の一般的なユーザ認証方法を用いることができる。
また、このユーザ認証のために、認証ラベルサーバ20は、あらかじめユーザによりユーザ登録を受け、ユーザ情報を管理することができる。
【0024】
さらに、認証ラベルサーバ20は、ユーザ認証において、既存の会計情報システム等にアクセスし、ユーザ情報にもとづいて、そのユーザの支払い状況等を照会し、これにもとづき接続可否を判断することができる。その他、任意の基準にもとづき、接続可否の判断を行うこともできる。
【0025】
また、認証ラベルサーバ20は、ユーザにより要求された接続先が到達可能かを判断する。この接続先が、実際に到達可能であるか否かを確認するために、全接続先情報を一覧などにより、認証ラベルサーバ20に保有させることができる。
そして、その接続先に到達可能である場合、認証ラベルサーバ20は、送信端末10から受信端末40までのルートを計算する。
【0026】
このように、ルート計算の実行前における接続先への到達可能性判断を行うことにより、不要なルート計算を省略することができるが、この到達可能性判断を行うことなくルート計算を実行し、計算不能である場合に、到達不能と判断することももちろん可能である。
【0027】
このルート計算方法自体については、特に限定されるものではなく、例えば、ダイクストラのアルゴリズムなどを用いて行うことができる。
そして、これらの認証や接続可否の判断等において、接続できないと判断された場合や、ルート計算に失敗した場合は、認証ラベルサーバ20は、送信端末10に、接続できないことを通知する。
【0028】
認証等及びルート計算が成功した場合は、認証ラベルサーバ20は、認証キーを発行し、ルートを構成する認証ラベルスイッチに、認証キーと、その認証キーをもつパケットを受信したときの転送先を設定する。また、認証キーを送信端末10に送信する。
この認証キーは、例えば、128ビット列の情報とすることができ、認証ラベルサーバ20により自動生成させることができる。
【0029】
認証ラベルスイッチ30は、認証ラベルサーバ20によって、認証キー及び転送先情報の設定を受ける。
そして、送信端末10又は他の認証ラベルスイッチ30からパケットを受け取ると、そのパケットの認証ラベルヘッダにおける認証キーを確認し、これに対応する転送先情報を検索して、検索された転送先にパケットを転送する。
【0030】
この認証ラベルスイッチ30が、複数備えられることにより、認証ラベルスイッチ網50が構成されている。
なお、図1において、認証ラベルスイッチ30を4つ例示しているが、その個数はこれに限定されるものではなく、より多くの認証ラベルスイッチ30によって、認証ラベルスイッチ網50を構成することもできる。
【0031】
受信端末40は、ユーザが使用する端末であり、送信端末10からの送信情報を、認証ラベルスイッチ網50を介して受信する。
そして、この受信端末40で、図1に示したパケットフォーマットが、送信端末10から認証ラベルスイッチ網50を介して、受信される。
なお、送信端末10と認証ラベルサーバ20の接続や、認証ラベルサーバ20と各認証ラベルスイッチ30の接続は、例えばインターネット回線など、それぞれ既存の任意の通信回線を用いることができる。
【0032】
次に、第一実施形態のネットワーク通信システムにおける処理手順について、図2を参照して説明する。
図2は、本実施形態のネットワーク通信システムにおける処理手順を示す動作手順図である。
【0033】
まず、送信端末10が、受信端末40へ情報を送信する際に、送信端末10は、ユーザ識別情報及び接続先情報を認証ラベルサーバ20に送信する(ステップ10)。
これに対して、認証ラベルサーバ20は、上述したように、ユーザが正規に登録されたユーザであることを確認するとともに、課金情報などから接続拒否対象となっていないかを確認する。
【0034】
さらに、認証ラベルサーバ20は、送信端末10の要求した接続先が、実際に到達可能であるかを確認するとともに、到達可能である場合には、どの認証ラベルスイッチ30を経由するかを計算する(ステップ11)。このルート計算において、ルートの設定ができなかった場合には、接続不可と判断する。
【0035】
次に、認証ラベルサーバ20は、認証キーを発行する(ステップ12)。この認証キーは、ユーザの要求毎に発行するものであり、例えば、128ビット列の情報としてランダム生成することができる。
そして、ルート計算によって得られた経路情報にもとづいて、各認証ラベルスイッチ30の転送先を特定し、この転送先情報(転送先IPアドレスなど)と認証キーを対応する各認証ラベルスイッチ30に設定する(ステップ13)。
【0036】
認証ラベルスイッチ30への設定が完了すると、認証ラベルサーバ20は、アクセスを許可したことを送信端末10に通知するとともに、認証キーを送信する(ステップ14)。
送信端末10は、受信端末40へ送信する情報の各パケットの認証ラベルヘッダに、認証ラベルサーバ20から受け取った認証キーを設定して、認証ラベルスイッチ30へパケットを送信する(ステップ15)。
【0037】
各認証ラベルスイッチ30は、受信したパケットの認証ラベルヘッダの中の認証キーを確認し、この認証キーに対応する転送先情報を検索して、その転送先に受信したパケットを転送する。
これによって、最終的には、受信端末40に各パケットが転送されて、情報の送信が完了する(ステップ16)。
また、この受信端末40が、受け取った情報に対して、送信端末10へ情報の返信を行う場合にも、送信端末10及び受信端末40の立場を入れ替えた形で、上記方法を適用することが可能である。これは、以下の実施形態においても同様である。
【0038】
以上説明したように、本実施形態のネットワーク通信システムによれば、送信端末から受信端末への情報の送信にあたり、通信経路における各認証ラベルスイッチに、その送信情報を識別するための認証キーを設定することによって、ネットワーク通信を安全に実行することが可能となる。
また、このような通信の安全性確保のための処理によれば、暗号化処理などを必要としないため、通信速度が損なわれることがなく、安全性を確保した上で、全体としての通信速度を従来よりも向上させることが可能となる。
【0039】
[第二実施形態]
次に、本発明の第二実施形態について、図3を参照して説明する。同図は、本発明の第二実施形態のネットワーク通信システムの構成を示すブロック図である。
本実施形態のネットワーク通信システムは、パケットの通信経路に既存ラベルスイッチ網60を有する点で、第一実施形態と異なる。
【0040】
すなわち、認証ラベルスイッチ30が、既存ラベルスイッチ網60とパケットの送受信を行う機能を有するため、本実施形態においては、このような認証ラベルスイッチ30を認証ラベルエッジ(30a,30b)と称している。
また、本実施形態において、認証ラベルサーバ20は、ユーザ認証及び接続の可否判断が可である場合に、入り側認証ラベルエッジ30aと出側認証ラベルエッジ30bの間の既存ラベルスイッチ網60にパスを張る。
そして、パスの設定が失敗した場合には、要求された接続先が到達不可能であることを送信端末10に通知する。
【0041】
このパスの設定にあたっては、例えば、認証ラベルサーバ20に、既存ラベルスイッチ網60における管理サーバなどに対してパス設定を実行するように要求させる。そして、この管理サーバなどから、パス設定の成否を受け取るようにすることができる。
また、その既存ラベルスイッチ網60におけるパス設定方法は、上述のように、例えばダイクストラのアルゴリズムなどを用いたものであってよく、特に限定の必要はない。
【0042】
さらに、認証ラベルサーバ20は、それぞれの認証ラベルエッジに対して、パス設定を行う。
すなわち、入り側認証ラベルエッジ30aに対して、認証キーと、認証キーに対応するパケット転送先又は既存ラベルスイッチ網60でパケット転送処理をするためのラベルを設定する。
【0043】
また、出側認証ラベルエッジ30bに対して、認証キーと、認証キーに対応するパケット入力元又は既存ラベルスイッチ網60から受信する認証キーに対応するラベルを設定する。
出側認証ラベルエッジ30bに対しては、これらに加え、認証キーに対応するパケット転送先も設定する。出側認証ラベルエッジ30bに対する次のノードが受信端末40である場合には、パケット転送先として、この受信端末40のアドレスが設定される。
【0044】
なお、ラベルスイッチの種類によっては、複数の転送先に対して自動的に転送先を設定することのできるものなど、パケット転送先情報や、ラベルを設定しなくとも転送可能なものもあり、必ずしもすべての経路における全てのスイッチに、上記転送先やラベル等の設定を行う必要がない場合もある。
【0045】
既存ラベルスイッチ網60は、MPLS(MultiProtocol Label Switching)などの既存のラベルスイッチ網とすることができる。
また、送信端末10と認証ラベルサーバ20間、各認証ラベルエッジと認証ラベルサーバ20間の接続についても、第一実施形態における場合と同様、既存の任意の回線を用いることができる。
【0046】
図3に示すパケットフォーマットは、送信端末10から受信端末40へのパケット送信の各過程におけるパケットの構成例を示している。
同図において、送信端末10と入り側認証ラベルエッジ30a間、及び出側認証ラベルエッジ30bと受信端末40間においては、認証キーを有する認証ラベルヘッダが、パケットのヘッダに設定されている。
また、入り側認証ラベルエッジ30aから、既存ラベルスイッチ網60を介して、出側認証ラベルエッジ30bへパケットが送信されるまでの過程においては、既存ラベルスイッチ網60でパケット送受信に利用されるラベルが、パケットのヘッダに設定されている。
【0047】
次に、第二実施形態のネットワーク通信システムにおける処理手順について、図4を参照して説明する。
同図は、本実施形態のネットワーク通信システムにおける処理手順を示す動作手順図である。
【0048】
まず、送信端末10が、受信端末40に情報の送信を行うにあたり、ユーザ識別情報及び接続先情報を認証ラベルサーバ20に送信する(ステップ30)。そして、認証ラベルサーバ20が、これに対して、ユーザ認証を行うとともに、接続可否判断を行う。これは、第一実施形態と同様にして行うことができる。
【0049】
次に、認証ラベルサーバ20は、ルート計算を行う(ステップ31)。図3に示すような構成の場合には、入り側認証ラベルエッジ30aと出側認証ラベルエッジ30bの間の既存ラベルスイッチ網60に、上述のような方法によってパスを張ることとなる。
【0050】
さらに、認証ラベルサーバ20は、第一実施形態におけるステップ12と同様にして認証キーを発行した後(ステップ32)、各認証ラベルエッジに対して、パス設定を行う(ステップ33)。
すなわち、それぞれの認証ラベルエッジに対して、認証キーを設定するとともに、入り側認証ラベルエッジ30aに対しては、認証キーに対応するパケット転送先又は既存ラベルスイッチ網60でパケット転送処理をするためのラベルを設定する。
また、出側認証ラベルエッジ30bに対しては、認証キーに対応するパケット入力元又は既存ラベルスイッチ網60から受信する認証キーに対応するラベルとともに、パケットの転送先を設定する。
【0051】
次に、認証ラベルサーバ20は、認証キーを送信端末10に送信する(ステップ34)。
送信端末10は、受信端末40への情報送信にあたり、各パケットの先頭に受け取った認証キーを含む認証ラベルヘッダを付けて、パケットを送出する(ステップ35)。
【0052】
入り側認証ラベルエッジ30aは、受信したパケットにおける認証ラベルヘッダの中の認証キーを確認し、この認証キーを、既存ラベルスイッチ網60において有効な対応するラベルに置き換えて、既存ラベルスイッチ網60に転送する(ステップ36)。
【0053】
次に、既存ラベルスイッチ網60から出側認証ラベルエッジ30bにパケットが送信されてくると(ステップ37)、出側認証ラベルエッジ30bは、受信したパケットのラベルを確認し、ラベルをラベル値に対応する認証キーに置き換えて、対応する接続先受信端末40に送信する(ステップ38)。
なお、置き換えられた認証キーは、情報識別のために用いられるが、特に認証キーに限定する必要はなく、識別可能であれば、他の識別情報を設定するようにしてもよい。
【0054】
また、本実施形態においては、送信端末10及び受信端末40間に、2つの認証ラベルエッジ及び既存ラベルスイッチ網60が存在する場合を例に説明しているが、図1に示すような複数の経路を有する認証ラベルスイッチ網50において、既存ラベルスイッチ網60が存在する場合にも、本実施形態を適用することができる。
その方法としては、例えば、ルート計算において、既存ラベルスイッチ網60以外の経路を決定し、決定した経路に既存ラベルスイッチ網60が含まれる場合に、この既存ラベルスイッチ網60にパスを張ることにより行うことができる。
【0055】
以上説明したように、本実施形態のネットワーク通信システムによれば、通信経路に既存のラベルスイッチ網が存在する場合であっても、その既存のラベルスイッチ網に対する入出力端点の各認証ラベルスイッチに、所定の設定を行うことによって、本発明の通信処理を適用し、認証ラベルスイッチ網の自由度を向上させることが可能となる。
【0056】
【発明の効果】
以上のように、本発明によれば、送信端末から受信端末への情報の送信にあたり、通信経路における各認証ラベルスイッチに、その送信情報を識別するための認証キーを設定することによって、ネットワーク通信を安全に行うことができる。
【0057】
また、このような通信の安全性確保のための処理によれば、通信速度が損なわれることがないため、安全性を確保した上での全体としての通信速度を、従来よりも向上させることが可能となる。
さらに、通信経路に既存のラベルスイッチ網が存在する場合であっても、その既存のラベルスイッチ網に対する入出力端点の各認証ラベルスイッチに、所定の設定を行うことによって、本発明のネットワーク通信を適用することが可能となる。
【図面の簡単な説明】
【図1】本発明の第一実施形態のネットワーク通信システムの構成を示すブロック図である。
【図2】本発明の第一実施形態のネットワーク通信システムにおける処理手順を示す動作手順図である。
【図3】本発明の第二実施形態のネットワーク通信システムの構成を示すブロック図である。
【図4】本発明の第二実施形態のネットワーク通信システムにおける処理手順を示す動作手順図である。
【符号の説明】
10 送信端末
20 認証ラベルサーバ
30(30−1,30−2,30−3,30−4) 認証ラベルスイッチ
30a,30b 認証ラベルエッジ
40 受信端末
50 認証ラベルスイッチ網
60 既存ラベルスイッチ網[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network communication system, a network communication method, and an authentication label for securing communication security and high speed by setting an authentication key and path information in each switch in a packet communication path in information communication via a network. About the server.
[0002]
[Prior art]
2. Description of the Related Art In recent years, with the advancement of the performance of information processing apparatuses and the advancement of communication technology, communication via a network has been dramatically widespread, and its importance has increased.
While such network communication technology provides users with high convenience to quickly transmit information, it also includes problems such as eavesdropping and spoofing, and how to make network communication safe and fast. Has become a social issue.
[0003]
As such a network communication means, for example, a method based on IPSec (Internet Protocol Security) can be cited. The IPSec is a communication means that enhances security by incorporating encryption and authentication into an IP packet, and thereby makes it possible to perform network communication more securely than before.
[0004]
[Problems to be solved by the invention]
However, in the conventional network technology such as IPSec, security processing is performed at each end node of transmission and reception. However, transmission and reception of packets themselves are performed by ordinary transmission and reception processing which does not particularly consider security. It was what was being done. That is, there is a problem that the reliability of the entire network is not improved.
[0005]
In addition, the security processing at each end node requires a complicated calculation process, which is very heavy. For this reason, there is a problem that the speeding up of the entire communication is hindered.
For this reason, it has been desired to provide a network communication technology that solves such a conventional problem and that is safe and does not impair high speed.
[0006]
The present invention has been made in view of the above circumstances, and performs security management by controlling packet transmission / reception itself with an authentication key, thereby improving the reliability of a network itself and improving the communication speed as a whole. It is an object of the present invention to provide a network communication system, a network communication method, and an authentication label server which can perform the above.
[0007]
[Means for Solving the Problems]
To achieve the above object, a network communication system according to
[0008]
With such a configuration of the network communication system, when transmitting information from the transmitting terminal to the receiving terminal, an authentication key for identifying the transmission information is set in each of the authentication label switches in the communication path. Communication can be performed safely.
In addition, according to the processing for ensuring the security of communication, since encryption processing is not required, the communication speed is not impaired, and the security is ensured. Can be improved as compared with the related art.
[0009]
In the network communication system according to the second aspect of the present invention, when the network communication system has an existing label switch network between the authentication label switches, the authentication label server is an input end point to the existing label switch network. Set the authentication key, necessary transfer destination information, and the required label in the authentication label switch, and set the authentication key, necessary transfer destination information, and the necessary information in the authentication label switch that is the output end point to the existing label switch network. Input source information and necessary labels are set, and when the authentication label switch that is the input end point receives a packet from the transmitting terminal or another authentication label switch, the packet is transmitted to the existing label switch network, and the output end point is set. When the authentication label switch receives a packet from the existing label switching network, the receiving terminal or another authentication label switch. In pitch as it configured to transmit a packet.
[0010]
With such a configuration of the network communication system, even when an existing label switch network exists in the communication path, a predetermined setting is made to each authentication label switch at the input / output end point for the existing label switch network. By doing so, the communication processing of the present invention can be applied.
As a result, the degree of freedom of the authentication label switch network in the network communication according to the present invention can be improved.
[0011]
A network communication method according to claim 3 of the present invention is a network communication method in which information transmission from a transmitting terminal to a receiving terminal through a plurality of authentication label switches is controlled by an authentication label server. In transmitting the information, the user identification information and connection destination information are transmitted to the authentication label server, and the authentication label server performs a route calculation based on the transmitted user identification information and connection destination information, and issues an authentication key. The authentication key and the transfer destination information are set in each authentication label switch, and the authentication key is transmitted to the transmitting terminal. When the transmitting terminal receives the authentication key from the authentication label server, each packet of the information to be transmitted is transmitted. An authentication key is set in the header, and each packet is transmitted to a predetermined authentication label switch. When a packet is received from the testimony label switching, based on the authentication key and the transfer destination information, is a method of transmitting the packet to the next authentication label switch or the receiving terminal.
[0012]
If the network communication method is set to such a method, it is possible to provide a network communication means that does not impair the communication speed while ensuring the security of the network communication.
[0013]
According to the network communication method of the present invention, when an existing label switch network exists between the authentication label switches, the authentication label server is connected to the authentication label switch which is an input end point to the existing label switch network. , Authentication key, necessary transfer destination information, and necessary label are set, and the authentication key, necessary transfer destination information, and necessary input source information are set in the authentication label switch which is the output end point to the existing label switch network. , And necessary labels are set, and when the authentication label switch which is the input end point receives a packet from the transmitting terminal or another authentication label switch, the packet is transmitted to the existing label switch network, and the authentication label which is the output end point is set. A method in which a switch receives a packet from an existing label switching network and transmits the packet to a receiving terminal or another authentication label switch Are you.
[0014]
With such a network communication method, even if an existing label switch network exists in the authentication label switch network, network communication can be performed in a form incorporating the existing label switch network.
[0015]
An authentication label server according to claim 5 of the present invention is an authentication label server for controlling transmission of information from a transmitting terminal to a receiving terminal via a plurality of authentication label switches, wherein a user transmitted from the transmitting terminal is provided. A route is calculated based on the identification information and the connection destination information, an authentication key is issued, the authentication key and the transfer destination information are set in each authentication label switch, and the authentication key is transmitted to the transmission terminal. .
[0016]
With this configuration of the authentication label server, when transmitting information from the transmitting terminal to the receiving terminal, an authentication key can be set in each authentication label switch on the communication path.
Therefore, each packet transmitted from the transmission terminal is transferred after each authentication label switch confirms the authentication key, so that security can be ensured.
In addition, according to such a method for ensuring security, since there is no special time-consuming process in the communication process, it is possible to guarantee the communication speed while ensuring security.
[0017]
According to the authentication label server of the present invention, when an existing label switch network exists between the authentication label switches, the authentication label switch, which is the input end point to the existing label switch network, requires an authentication key, Authentication key, necessary transfer destination information, necessary input source information, and necessary label are set in the authentication label switch which is the output end point to the existing label switch network. Is set.
[0018]
With such a configuration of the authentication label server, the communication according to the present invention can be performed even in the case where an existing label switch network exists in the communication path from the transmitting terminal to the receiving terminal.
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First embodiment]
First, a first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram showing the configuration of the network communication system according to the first embodiment of the present invention.
[0020]
As shown in FIG. 1, the network communication system according to the present embodiment includes a transmitting
The authentication label switches 30 form an authentication
[0021]
The transmitting
The user identification information is information such as a user ID and a password, and the connection destination information is information such as an IP address of a connection destination terminal.
[0022]
Further, the transmitting
FIG. 1 shows an example of the format of this packet. In the figure, the packet has an authentication label header at the end of the payload that is the data body. This authentication label header contains the authentication key.
[0023]
Upon receiving the request for the authentication key from the transmitting
Also, for this user authentication, the
[0024]
Further, in the user authentication, the
[0025]
Further, the
If the connection destination is reachable, the
[0026]
As described above, by performing the reachability determination to the connection destination before performing the route calculation, unnecessary route calculation can be omitted. However, the route calculation is performed without performing the reachability determination, If calculation is not possible, it is of course possible to determine that it is unreachable.
[0027]
The route calculation method itself is not particularly limited, and can be performed using, for example, Dijkstra's algorithm.
When it is determined that the connection is not possible or the route calculation fails in the authentication or the connection determination, the
[0028]
If the authentication or the like and the route calculation are successful, the
This authentication key can be, for example, 128-bit string information, and can be automatically generated by the
[0029]
The
When a packet is received from the transmitting
[0030]
By providing a plurality of the authentication label switches 30, an authentication
In FIG. 1, four authentication label switches 30 are illustrated, but the number is not limited thereto, and the authentication
[0031]
The receiving
The receiving
Note that the connection between the
[0032]
Next, a processing procedure in the network communication system of the first embodiment will be described with reference to FIG.
FIG. 2 is an operation procedure diagram showing a processing procedure in the network communication system of the present embodiment.
[0033]
First, when the transmitting
On the other hand, as described above, the
[0034]
Further, the
[0035]
Next, the
Then, based on the route information obtained by the route calculation, the transfer destination of each
[0036]
When the setting of the
The transmitting
[0037]
Each
Thereby, each packet is finally transferred to the receiving
Also, when the receiving
[0038]
As described above, according to the network communication system of the present embodiment, when transmitting information from the transmitting terminal to the receiving terminal, an authentication key for identifying the transmission information is set in each authentication label switch in the communication path. By doing so, it becomes possible to execute network communication safely.
In addition, according to the processing for ensuring the security of communication, since encryption processing is not required, the communication speed is not impaired, and the security is ensured. Can be improved as compared with the related art.
[0039]
[Second embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. FIG. 13 is a block diagram showing the configuration of the network communication system according to the second embodiment of the present invention.
The network communication system of the present embodiment is different from the first embodiment in that an existing
[0040]
That is, since the
In the present embodiment, the
Then, when the path setting has failed, the
[0041]
In setting the path, for example, the
As described above, the path setting method in the existing
[0042]
Further, the
That is, for the inbound authentication label edge 30a, an authentication key and a label corresponding to the authentication key for packet transfer at the packet transfer destination or the existing
[0043]
In addition, an authentication key and a label corresponding to the authentication key received from the packet input source or the existing
For the outgoing
[0044]
Depending on the type of label switch, there are also packet transfer destination information, such as those that can automatically set the transfer destination for a plurality of transfer destinations, and those that can be transferred without setting a label. In some cases, it is not necessary to set the transfer destination, the label, and the like for all switches in all paths.
[0045]
The existing
Also, as for the connection between the
[0046]
The packet format shown in FIG. 3 shows a configuration example of a packet in each process of transmitting a packet from the transmitting
In the figure, between the transmitting
Also, in the process from when the packet is transmitted from the ingress authentication label edge 30a to the egress
[0047]
Next, a processing procedure in the network communication system according to the second embodiment will be described with reference to FIG.
FIG. 11 is an operation procedure diagram showing a processing procedure in the network communication system of the present embodiment.
[0048]
First, when transmitting the information to the receiving
[0049]
Next, the
[0050]
Further, the
That is, an authentication key is set for each authentication label edge, and a packet transfer destination or the existing
For the outgoing
[0051]
Next, the
When transmitting information to the receiving
[0052]
The ingress authentication label edge 30a checks the authentication key in the authentication label header of the received packet, replaces the authentication key with a corresponding label valid in the existing
[0053]
Next, when a packet is transmitted from the existing
Although the replaced authentication key is used for information identification, it is not particularly limited to the authentication key, and other identification information may be set as long as identification is possible.
[0054]
Further, in the present embodiment, a case where two authentication label edges and the existing
For example, in the route calculation, a route other than the existing
[0055]
As described above, according to the network communication system of the present embodiment, even when an existing label switch network exists in the communication path, each of the authentication label switches at the input / output end points with respect to the existing label switch network. By performing the predetermined setting, it becomes possible to apply the communication processing of the present invention and improve the degree of freedom of the authentication label switch network.
[0056]
【The invention's effect】
As described above, according to the present invention, when information is transmitted from a transmitting terminal to a receiving terminal, an authentication key for identifying the transmission information is set in each authentication label switch in a communication path, thereby enabling network communication. Can be performed safely.
[0057]
In addition, according to such a process for ensuring communication security, the communication speed is not impaired, so that the communication speed as a whole after ensuring security can be improved as compared with the conventional case. It becomes possible.
Further, even when an existing label switch network exists in the communication path, the network communication of the present invention can be performed by performing predetermined settings on each authentication label switch at the input / output end point for the existing label switch network. It can be applied.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network communication system according to a first embodiment of the present invention.
FIG. 2 is an operation procedure diagram showing a processing procedure in the network communication system according to the first embodiment of the present invention.
FIG. 3 is a block diagram illustrating a configuration of a network communication system according to a second embodiment of the present invention.
FIG. 4 is an operation procedure diagram showing a processing procedure in the network communication system according to the second embodiment of the present invention.
[Explanation of symbols]
10 sending terminal
20 Authentication label server
30 (30-1, 30-2, 30-3, 30-4) Authentication label switch
30a, 30b Authentication label edge
40 receiving terminal
50 Authentication label switch network
60 Existing label switch network
Claims (6)
前記情報送信にあたり、ユーザ識別情報及び接続先情報を前記認証ラベルサーバに送信して、前記認証ラベルサーバから認証キーを受信し、送信する情報の各パケットのヘッダに前記認証キーを設定して、前記各パケットを所定の認証ラベルスイッチに送信する前記送信端末と、
前記送信端末から送信されてきた前記ユーザ識別情報及び前記接続先情報にもとづいて、ルート計算を行い、前記認証キーを発行して、この認証キー及び転送先情報を前記各認証ラベルスイッチに設定し、かつ、前記認証キーを前記送信端末に送信する前記認証ラベルサーバと、
前記認証ラベルサーバから前記認証キー及び前記転送先情報の設定を受けるとともに、前記送信端末又は他の認証ラベルスイッチから前記パケットを受信すると、前記認証キー及び前記転送先情報にもとづいて、次の認証ラベルスイッチ又は前記受信端末に前記パケットを送信する前記認証ラベルスイッチと、
前記認証ラベルスイッチから前記パケットを受信する前記受信端末とを有する
ことを特徴とするネットワーク通信システム。A network communication system in which information transmission from a transmitting terminal to a receiving terminal performed through a plurality of authentication label switches is controlled by an authentication label server,
Upon transmitting the information, transmitting user identification information and connection destination information to the authentication label server, receiving an authentication key from the authentication label server, setting the authentication key in the header of each packet of information to be transmitted, The transmitting terminal for transmitting each packet to a predetermined authentication label switch,
A route is calculated based on the user identification information and the connection destination information transmitted from the transmission terminal, the authentication key is issued, and the authentication key and the transfer destination information are set in each of the authentication label switches. And, the authentication label server transmitting the authentication key to the transmitting terminal,
Upon receiving the setting of the authentication key and the transfer destination information from the authentication label server and receiving the packet from the transmitting terminal or another authentication label switch, the next authentication is performed based on the authentication key and the transfer destination information. A label switch or the authentication label switch for transmitting the packet to the receiving terminal,
A network communication system comprising: the receiving terminal that receives the packet from the authentication label switch.
前記認証ラベルサーバが、前記既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、前記既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定し、
前記入力側端点である認証ラベルスイッチが、前記送信端末又は他の認証ラベルスイッチから前記パケットを受信すると、前記既存ラベルスイッチ網に前記パケットを送信し、
前記出力側端点である認証ラベルスイッチが、前記既存ラベルスイッチ網から前記パケットを受信すると、前記受信端末又は他の認証ラベルスイッチに前記パケットを送信する
ことを特徴とする請求項1記載のネットワーク通信システム。When the network communication system has an existing label switch network between the authentication label switches,
The authentication label server sets an authentication key, necessary transfer destination information, and a necessary label to an authentication label switch which is an input end point to the existing label switch network, and In the authentication label switch which is the output end point, the authentication key, necessary transfer destination information, necessary input source information, and necessary label are set,
When the authentication label switch that is the input end point receives the packet from the transmitting terminal or another authentication label switch, transmits the packet to the existing label switch network,
2. The network communication according to claim 1, wherein, when the authentication label switch, which is the output end point, receives the packet from the existing label switch network, the authentication label switch transmits the packet to the receiving terminal or another authentication label switch. system.
前記送信端末が、前記情報送信にあたり、ユーザ識別情報及び接続先情報を前記認証ラベルサーバに送信し、
前記認証ラベルサーバが、送信されてきた前記ユーザ識別情報及び前記接続先情報にもとづいて、ルート計算を行い、認証キーを発行して、この認証キー及び転送先情報を前記各認証ラベルスイッチに設定し、かつ、前記認証キーを前記送信端末に送信し、
前記送信端末が、前記認証ラベルサーバから前記認証キーを受信すると、送信する情報の各パケットのヘッダに前記認証キーを設定して、前記各パケットを所定の認証ラベルスイッチに送信し、
前記認証ラベルスイッチが、前記送信端末又は他の認証ラベルスイッチから前記パケットを受信すると、前記認証キー及び前記転送先情報にもとづいて、次の認証ラベルスイッチ又は前記受信端末に前記パケットを送信する
ことを特徴とするネットワーク通信方法。A network communication method in which information transmission from a transmitting terminal to a receiving terminal performed through a plurality of authentication label switches is controlled by an authentication label server,
The transmitting terminal transmits user identification information and connection destination information to the authentication label server upon transmitting the information,
The authentication label server performs a route calculation based on the transmitted user identification information and the connection destination information, issues an authentication key, and sets the authentication key and the transfer destination information in each of the authentication label switches. Transmitting the authentication key to the transmitting terminal,
When the transmitting terminal receives the authentication key from the authentication label server, sets the authentication key in the header of each packet of the information to be transmitted, transmits each packet to a predetermined authentication label switch,
Upon receiving the packet from the transmitting terminal or another authentication label switch, the authentication label switch transmits the packet to the next authentication label switch or the receiving terminal based on the authentication key and the transfer destination information. A network communication method comprising:
前記認証ラベルサーバが、前記既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、前記既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定し、
前記入力側端点である認証ラベルスイッチが、前記送信端末又は他の認証ラベルスイッチから前記パケットを受信すると、前記既存ラベルスイッチ網に前記パケットを送信し、
前記出力側端点である認証ラベルスイッチが、前記既存ラベルスイッチ網から前記パケットを受信すると、前記受信端末又は他の認証ラベルスイッチに前記パケットを送信する
ことを特徴とする請求項3記載のネットワーク通信方法。When an existing label switch network exists between the authentication label switches,
The authentication label server sets an authentication key, necessary transfer destination information, and a necessary label to an authentication label switch which is an input end point to the existing label switch network, and In the authentication label switch which is the output end point, the authentication key, necessary transfer destination information, necessary input source information, and necessary label are set,
When the authentication label switch that is the input end point receives the packet from the transmitting terminal or another authentication label switch, transmits the packet to the existing label switch network,
4. The network communication according to claim 3, wherein, when the authentication label switch, which is the output end point, receives the packet from the existing label switch network, the authentication label switch transmits the packet to the receiving terminal or another authentication label switch. Method.
前記送信端末から送信されてきたユーザ識別情報及び接続先情報にもとづいて、ルート計算を行い、認証キーを発行して、この認証キー及び転送先情報を前記各認証ラベルスイッチに設定するとともに、前記認証キーを前記送信端末に送信する
ことを特徴とする認証ラベルサーバ。An authentication label server that controls information transmission from a transmitting terminal to a receiving terminal performed through a plurality of authentication label switches,
Based on the user identification information and the connection destination information transmitted from the transmitting terminal, calculate a route, issue an authentication key, and set the authentication key and the transfer destination information to each of the authentication label switches, An authentication label server for transmitting an authentication key to the transmitting terminal.
前記既存ラベルスイッチ網への入力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、及び必要なラベルを設定し、かつ、前記既存ラベルスイッチ網への出力側端点である認証ラベルスイッチに、前記認証キー、必要な転送先情報、必要な入力元情報、及び必要なラベルを設定する
ことを特徴とする請求項5記載の認証ラベルサーバ。When an existing label switch network exists between the authentication label switches,
The authentication key, the necessary transfer destination information, and the necessary label are set in the authentication label switch which is the input end point to the existing label switch network, and the authentication which is the output end point to the existing label switch network is set. 6. The authentication label server according to claim 5, wherein the authentication key, required transfer destination information, required input source information, and required label are set in a label switch.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002205937A JP2004048586A (en) | 2002-07-15 | 2002-07-15 | Network communication system, network communication method and authentication label server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002205937A JP2004048586A (en) | 2002-07-15 | 2002-07-15 | Network communication system, network communication method and authentication label server |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004048586A true JP2004048586A (en) | 2004-02-12 |
Family
ID=31711103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002205937A Pending JP2004048586A (en) | 2002-07-15 | 2002-07-15 | Network communication system, network communication method and authentication label server |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004048586A (en) |
-
2002
- 2002-07-15 JP JP2002205937A patent/JP2004048586A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3635939B1 (en) | Seamless mobility and session continuity with tcp mobility option | |
| EP3298719B1 (en) | Network device and method for processing a session using a packet signature | |
| JP4727126B2 (en) | Providing secure network access for short-range wireless computing devices | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| EP1774750B1 (en) | Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations | |
| US6931016B1 (en) | Virtual private network management system | |
| JP5143125B2 (en) | Authentication method, system and apparatus for inter-domain information communication | |
| US7706381B2 (en) | Approaches for switching transport protocol connection keys | |
| US20010047474A1 (en) | Communication control scheme using proxy device and security protocol in combination | |
| US7130286B2 (en) | System and method for resource authorizations during handovers | |
| EP1374533B1 (en) | Facilitating legal interception of ip connections | |
| JP2004529531A (en) | Method and apparatus for providing reliable streaming data transmission utilizing an unreliable protocol | |
| JPH10178450A (en) | Pseudo network adaptor for acquiring, encapsulating and encrypting frame | |
| JP2006101051A (en) | Server, vpn client, vpn system, and software | |
| JP4852379B2 (en) | Packet communication device | |
| US20040158706A1 (en) | System, method, and device for facilitating multi-path cryptographic communication | |
| JP3563714B2 (en) | Network connection device | |
| US8687485B1 (en) | Method and apparatus for providing replay protection in systems using group security associations | |
| US8332639B2 (en) | Data encryption over a plurality of MPLS networks | |
| JP2006185194A (en) | Server device, communication control method, and program | |
| US7577837B1 (en) | Method and apparatus for encrypted unicast group communication | |
| KR20170038568A (en) | SDN Controller and Method for Identifying Switch thereof | |
| JP2004134855A (en) | Sender authentication method in packet communication network | |
| US20080077972A1 (en) | Configuration-less authentication and redundancy | |
| JP2001007849A (en) | Mpls packet processing method and mpls packet processor |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050615 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070206 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070619 |