JP6075871B2 - Network system, communication control method, communication control apparatus, and communication control program - Google Patents
Network system, communication control method, communication control apparatus, and communication control program Download PDFInfo
- Publication number
- JP6075871B2 JP6075871B2 JP2013099612A JP2013099612A JP6075871B2 JP 6075871 B2 JP6075871 B2 JP 6075871B2 JP 2013099612 A JP2013099612 A JP 2013099612A JP 2013099612 A JP2013099612 A JP 2013099612A JP 6075871 B2 JP6075871 B2 JP 6075871B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- communication data
- unit
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムに関する。 The present invention relates to a network system, a communication control method, a communication control apparatus, and a communication control program.
従来、インターネット上の情報通信などにおいて、拠点間を結ぶトンネリング処理を行う通信におけるセキュアな通信を行うために、暗号化やメッセージ認証、改竄検知などのセキュリティ処理が行われることが知られている。例えば、トンネリング技術においては、暗号などが適用されたセキュアなVPN(Virtual Private Network)が利用されることが知られている。 Conventionally, in information communication on the Internet, it is known that security processing such as encryption, message authentication, and falsification detection is performed in order to perform secure communication in communication that performs tunneling processing between bases. For example, in the tunneling technology, it is known that a secure VPN (Virtual Private Network) to which encryption or the like is applied is used.
しかしながら、上述した従来の技術では、トンネリング技術において、処理負荷が高くなる場合や通信性能が低くなる場合があり、効率的に通信を行えないという課題があった。例えば、ゲートウェイ(GW:Gateway)などの通信制御装置が、既に暗号化されている通信を受信した場合、つまり、送信端末側で暗号化処理をしている通信データを受信した場合に、VPNでさらに暗号化することで、二重に暗号化してしまい、無駄な処理コストが発生し、処理負荷が高くなり、通信性能が低くなることから、効率的に通信を行えない場合があった。 However, in the conventional technique described above, there is a problem that in the tunneling technique, the processing load may be high or the communication performance may be low, and communication cannot be performed efficiently. For example, when a communication control device such as a gateway (GW) receives communication that has already been encrypted, that is, when communication data that has been encrypted on the transmission terminal side is received, Further encryption results in double encryption, resulting in unnecessary processing costs, high processing load, and low communication performance, which may prevent efficient communication.
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことを可能にするネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムを提供することを目的とする。 Therefore, the technology according to the present application has been made in view of the above-described problems of the prior art, and in communication in which tunneling processing is performed, while suppressing processing load, reduction in communication performance is reduced, and communication is efficiently performed. It is an object to provide a network system, a communication control method, a communication control apparatus, and a communication control program that can be performed.
上述した課題を解決し、目的を達成するため、本願に係るネットワークシステムは、第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが前記第1のネットワークまたは前記第2のネットワークと通信可能なネットワークシステムであって、前記第1の装置は、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別部と、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析部と、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、を備え、前記第2の装置は、前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信部と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, a network system according to the present application includes a first device in a first network and a second in a second network that can communicate with the first network. A network system in which an external network can communicate with the first network or the second network, wherein the first device transmits communication data received from a terminal in the first network. An identification unit for identifying whether a destination is in the second network or the external network, and a destination of communication data identified by the identification unit is in the second network The analysis unit that analyzes whether the communication data is encrypted data, and the destination of the communication data identified by the identification unit is the external network If the communication data analyzed by the analysis unit is encrypted data, a capsule processing for tunnel communication with the second device is executed on the communication data. If the communication data analyzed by the analysis unit is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. 1 tunneling processing unit, and a first communication unit that transmits communication data processed by the first tunneling processing unit to the second device, wherein the second device includes the first communication unit A second tunneling processing unit that receives communication data transmitted from the apparatus and executes cancellation of processing by the first tunneling processing unit; and the second tunneling processing. Ri release communication data, characterized by comprising a second communication unit for transmitting to the said communication data destination, a.
また、本願に係る通信制御方法は、第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが前記第1のネットワークまたは前記第2のネットワークと通信可能なネットワークシステムによって実行される通信制御方法であって、前記第1の装置によって実行される、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別工程と、前記識別工程で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析工程と、前記識別工程で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析工程で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析工程で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理工程と、前記第1のトンネリング処理工程による処理後の通信データを前記第2の装置へ送信する第1の通信工程と、を備え、前記第2の装置によって実行される、前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理工程による処理の解除を実行する第2のトンネリング処理工程と、前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信工程と、を含んだことを特徴とする。 The communication control method according to the present application includes a first device in a first network and a second device in a second network capable of communicating with the first network, and an external network is the first device. A communication control method executed by a network system communicable with one network or the second network, the communication control method being executed by the first device and received from a terminal in the first network An identification step for identifying whether the destination is in the second network or the external network, and the destination of the communication data identified in the identification step is in the second network Is an analysis step for analyzing whether the communication data is encrypted data, and the destination of the communication data identified in the identification step is If the communication data analyzed in the analysis step is encrypted data, a capsule processing for tunnel communication with the second device is executed on the communication data. If the communication data analyzed in the analysis step is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. 1 tunneling processing step, and a first communication step of transmitting communication data after processing by the first tunneling processing step to the second device, and executed by the second device, 2nd tunneling which receives the communication data transmitted from the 1st apparatus, and performs cancellation | release of the process by said 1st tunneling process process And management step, the communication data is released by the second tunneling process, characterized in that it includes a second communication step of transmitting to the said communication data destination, a.
また、本願に係る通信制御装置は、第1のネットワーク内の通信制御装置であって、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワークと接続される前記第2のネットワーク内であるか、又は、当該第2のネットワークに接続される外部ネットワークであるかを識別する識別部と、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析部と、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、を備えたことを特徴とする。 The communication control device according to the present application is a communication control device in a first network, and a destination of communication data received from a terminal in the first network is connected to the first network. An identification unit for identifying whether the second network is an external network connected to the second network, and the destination of the communication data identified by the identification unit is within the second network When the communication data is encrypted, the analysis unit analyzes whether the communication data is encrypted data, and the destination of the communication data identified by the identification unit is the external network, or the analysis When the communication data analyzed by the communication unit is encrypted data, a encapsulation process for performing tunnel communication with the second device is executed on the communication data. If the communication data analyzed by the analysis unit is not encrypted data, a first process that executes at least an encryption process and a encapsulation process for tunnel communication with the second device is performed on the communication data. A tunneling processing unit, and a first communication unit that transmits communication data processed by the first tunneling processing unit to the second device are provided.
本願に開示するネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。 The network system, communication control method, communication control apparatus, and communication control program disclosed in the present application can perform communication efficiently while reducing processing load while suppressing processing load in communication that performs tunneling processing. It is.
以下に添付図面を参照して、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムの実施形態を詳細に説明する。なお、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、以下の実施形態により限定されるものではない。 Exemplary embodiments of a network system, a communication control method, a communication control apparatus, and a communication control program according to the present application will be described below in detail with reference to the accompanying drawings. Note that the network system, the communication control method, the communication control apparatus, and the communication control program according to the present application are not limited to the following embodiments.
(第1の実施形態)
まず、第1の実施形態に係るネットワークシステムの概要について説明する。以下、図1を用いて、第1の実施形態に係るネットワークシステムの構成の一例を説明する。図1は、第1の実施形態に係るネットワークシステム1の構成の一例を説明するための図である。図1に示すように、第1の実施形態に係るネットワークシステム1は、第1のネットワーク2内の拠点Aにおける端末10と、第1のネットワーク2および外部ネットワーク(例えば、インターネット)5と接続される第2のネットワーク3内の拠点Bにおける端末20とを備えるネットワークシステムである。
(First embodiment)
First, an outline of the network system according to the first embodiment will be described. Hereinafter, an example of the configuration of the network system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining an example of a configuration of a
ネットワークシステム1においては、通信制御装置100と通信制御装置200とがトンネル接続されることで、第1のネットワーク2と第2のネットワーク3とが、同一サブネット化される。これにより、拠点Aにおける第1のネットワーク2と、拠点Bにおける第2のネットワーク3とが、同一セグメントのネットワークとして利用することができる。
In the
通信制御装置100は、第1のネットワーク2内の端末10から受信した通信データの宛先が、第2のネットワーク3内であるか、または、外部ネットワーク5であるかを識別する。そして、通信制御装置100は、識別された通信データの宛先が第2のネットワーク3内である場合には、該通信データが暗号化されたデータであるか否かを解析する。
The
そして、通信制御装置100は、通信データの宛先が外部ネットワーク5であると識別された場合、または、解析された通信データが暗号化されたデータである場合には、通信データに対して通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。また、通信制御装置100は、解析された通信データが暗号化されたデータでない場合には、通信データに対して少なくとも暗号化処理及び通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。
If the destination of the communication data is identified as the
その後、通信制御装置200は、通信制御装置100から送信された通信データを受信して、トンネリング処理の解除を実行し、トンネリング処理が解除された通信データを、宛先へ送信する。
Thereafter, the
このように、第1の実施形態に係るネットワークシステム1では、通信データの通信内容を確認し、必要に応じて暗号化処理を行うことで、既に暗号化されている通信データにさらに暗号化処理を施すことを省略する。この結果、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。
As described above, in the
次に、図2を用いて、上記した第1の実施形態に係るネットワークシステム1の具体的な構成例について説明する。なお、以降の説明では、図2の構成を例とした説明を適宜行うものとする。
Next, a specific configuration example of the
例えば、第1の実施形態に係るネットワークシステム1は、ユーザ宅内に構築された宅内ネットワーク(RHNW:Real Home Network)2と、データセンタ(DC: Data Center)30内に構築された仮想ホームネットワークVHNW(Virtual Home Network)3とを有する。そして、ネットワークシステム1は、例えば、アクセスネットワークなどの閉域網や、インターネットなどのネットワーク4を介してRHNW2上のネットワーク装置(CPE:Customer Premises Equipment)100とDC30内に構築されたVHNW3上のVHGW(Virtual Home Gateway)200とが接続される。
For example, the
RHNW2は、CPE100に加えて、例えば、端末などが接続される。また、VHNW3は、VHGW200に加えて、例えば、仮想APサーバ(仮想アプリケーションサーバ)や、仮想ストレージ(仮想ストレージサーバ)などの通信装置が構築される。そして、ネットワークシステム1においては、CPE100とVHGW200とがL2トンネル接続されることで、RHNW2とVHNW3とが、同一サブネット化(同一セグメント化)される。これにより、ユーザ宅内のRHNW2と、遠隔拠点にあるDC30におけるVHNW3とが、一つのホームネットワークとして利用することができる。
For example, a terminal is connected to the
このように、ネットワークシステム1は、VHNW3がDC30に配置されていることから、計算機リソースの制約がなくなり、ホームネットワークやホームゲートウェイとしての性能や機能を仮想化技術などによって容易に拡張することができる。ここで、このようなネットワークシステム1においては、RHNW2内の端末からVHNW3内の装置(例えば、仮想APサーバや、仮想ストレージなど)にアクセスする場合も、RHNW2の端末からインターネット上の装置にアクセスする場合も、同一のL2(レイヤ2:OSI参照モデルのデータリンク層、または第2層)トンネルを経由することとなる。
As described above, since the
上述したように、ネットワークシステム1においては、RHNW2とVHNW3とがアクセスネットワークや、インターネットなどのネットワーク4の上をL2トンネルで接続される。従って、例えば、DC30が盗聴や改竄される可能性の高い網であるインターネット上に位置する(インターネット上にL2トンネルを構築する)場合には、暗号などが適用されたセキュアなL2VPN(L2 Virtual Private Network)がトンネルリング技術として適用されるのが一般的である。
As described above, in the
ここで、従来技術においては、RHNW2内の端末からVHNW3内の装置にアクセスする場合も、RHNW2内の端末からVHNW3とは異なるインターネットなどの外部ネットワーク5上の装置にアクセスする場合も、L2VPNによって構築されたL2トンネルを経由することとなる。例えば、RHNW2からVHNW3内の装置にアクセスするということは、従来のホームネットワークで例えると、ホームネットワーク内の端末から、同じホームネットワーク内の通信装置にアクセスすることと同じである。従って、このアクセスに関する通信内容はホームネットワークの外部からの盗聴や改竄などに対してセキュアに管理されることが望ましいため、通信路に暗号化などが施されたセキュアなL2VPNによって構築されたL2トンネルをそのまま利用してRHNW2からVHNW3へアクセスするのが望ましい。
Here, in the prior art, when accessing a device in VHNW3 from a terminal in RHNW2, or when accessing a device on
一方、ネットワークシステム1のようなネットワーク環境では、RHNW2からインターネット上の通信装置へアクセスする場合、インターネットへのゲートウェイが配置されているVHNW3を経由する必要があるので、L2トンネルを通過することになる。つまり、インターネットへアクセスする場合も、画一的にセキュアなL2VPNによって構築されたトンネルを通ることとなる。かかる場合、そもそもインターネットに出ていく通信であるため、通信内容全体の暗号化などは必須ではない通信であっても、セキュアなL2VPNを経由することとなるため、必須ではない暗号・認証・署名などの処理を要してしまい、通信パフォーマンスが低下してしまう。また、L2トンネルを通る通信は、その分のトンネリング(IPカプセリング)のためのヘッダサイズ分だけオーバヘッドが発生して1回の通信で送信できるデータサイズが減少し、通信効率が低下してしまうため、通信処理に係るコストは、可能な限り抑える必要がある。
On the other hand, in a network environment such as the
そこで、第1の実施形態にかかるネットワークシステム1では、以下、詳細に説明する通信制御装置(CPE)100及び通信制御装置(VHGW)200の処理により、インターネットへのアクセスにおける通信効率の低下を低減することを可能にする。なお、第1の実施形態に係るCPE100やVHGW200では、図2に示すように、IPv4及び/またはIPv6などのアドレス管理機能を備える。
Therefore, in the
以下、図2に例示した通信制御装置(CPE)100及び通信制御装置(VHGW)200の詳細について説明する。まず、RHNW2内の端末10が送信元であり、宛先がVHNW3内の端末(仮想APサーバ又は仮想ストレージ)20又はインターネット上の端末30である場合について説明する。図3は、第1の実施形態に係る通信制御装置の構成の一例を示す図である。
Details of the communication control apparatus (CPE) 100 and the communication control apparatus (VHGW) 200 illustrated in FIG. 2 will be described below. First, a case where the terminal 10 in the
図3に示すように、通信制御装置100は、通信部110と、制御部120と、記憶部130とを備え、アクセスネットワークやインターネットなどを介して通信制御装置200とL2トンネル接続されている。
As shown in FIG. 3, the
通信部110は、例えば、LAN(Local Area Network)インターフェースや、WAN(Wide Area Network)インターフェースなどであり、通信データである、L2のフレームやその中のL3(レイヤ3:OSI参照モデルのネットワーク層、または第3層)のパケットの送受信を実行する。具体的には、通信部110は、後述するトンネリング処理部124による処理後の通信を、トンネルの対向終端装置であるVHGW200との間で実行する。また、通信部110は、スイッチ、ハブ、ブリッジ機能などを備える。
The
記憶部130は、図3に示すように、暗号特定情報記憶部131を有する。記憶部130は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
As illustrated in FIG. 3, the
暗号特定情報記憶部131は、パケットが暗号化済か否かを特定するための情報を記憶する。また、暗号特定情報記憶部131が記憶する情報は、後述する解析部122によって参照される情報である。具体的には、暗号特定情報記憶部131は、例えば、レイヤ別に、暗号化済とみなす通信の条件および未暗号化とみなす通信の条件を記憶する。
The encryption specifying
例えば、暗号特定情報記憶部131は、暗号化済・未暗号化とみなす通信の条件として、「宛先・送信元情報」、「暗号通信プロトコルとして割り当てられているIPプロトコル番号」、「暗号通信に割り当てられているTCPやUDPのポート番号」、および、「データ・ファイルを暗号化して送受信するアプリケーション」の情報を記憶している。
For example, the encryption specific
暗号特定情報記憶部131は、宛先・送信元情報について、宛先や送信元(例えば、MACアドレスやIPアドレス)と暗号通信の有無があらかじめ対応付けることができる場合には、宛先や送信元を暗号化済・未暗号化とみなす通信の条件として記憶する。つまり、あるMACアドレスを宛先とした通信については、パケットが暗号化済みであるということが予め決まっている場合には、そのMACアドレスを、暗号化済とみなす通信の条件として記憶する。
The encryption specific
また、暗号特定情報記憶部131は、暗号通信プロトコルとして割り当てられているIPプロトコル番号として、例えば、「50番(ESP(Encap Security Payload Protocol))」を記憶する。また、暗号特定情報記憶部131は、暗号通信に割り当てられているTCPやUDPのポート番号として、例えば、「22番(SSH(Secure SHell))」、「443番(HTTPS(Hypertext Transfer Protocol Security))」を記憶する。
Also, the encryption specific
また、暗号特定情報記憶部131は、データ・ファイルを暗号化して送受信するアプリケーションとして、暗号化アプリケーション等で暗号化したデータやファイルを非暗号通信路で送信する場合、このことを示すアプリケーションのヘッダの制御情報や、暗号化ファイルのヘッダ情報に埋め込まれ暗号化を示す情報を記憶する。例えば、PGP(Pretty Good Privacy)の制御情報に、Mime-Versionヘッダが存在し、Content-Typeヘッダがmultipart/encryptedであり、protocolが「application/pgp-encrypted」であって、制御情報部にPGPを示すMineヘッダが存在する場合は、データが暗号化されていることとみなせる。また、例えば、S/MIME(Secure/Multipurpose Internet Mail Extensions)なども同様に制御情報を参照することで(メールのヘッダ情報に、Content-Description: S/MIME Encrypted Messageが含まれている場合)、データが暗号化されているか否かを確認できる。
In addition, the encryption specific
なお、後述する解析部122は、暗号化済とみなす通信の条件に対応する各情報に合致する場合には、その通信を暗号化済の通信とみなし、未暗号化とみなす通信の条件に対応する各情報に合致する場合には、その通信を未暗号化の通信とみなす。
Note that the
ここで、図4の例を用いて、暗号特定情報記憶部131に記憶される情報の一例を説明する。図4は、暗号特定情報記憶部131に記憶される情報の一例を示す図である。図4に例示するように、暗号特定情報記憶部131は、解析対象となる情報のレイヤを示す「パケットのレイヤ」と、解析対象となる情報の種別を示す「解析対象」と、パケットが暗号化済である場合の条件である「暗号化済とみなす通信の条件」と、パケットが暗号化済みでない場合の条件である「未暗号化とみなす通信の条件」とを対応付けて記憶する。
Here, an example of information stored in the encryption specific
例えば、暗号特定情報記憶部131は、パケットのレイヤ「データリンク」と、解析対象「宛先MAC」と、暗号化済とみなす通信の条件「XX:YY:ZZ:AA:BB:CC」、「XX:VV:TT:DD:BB:FF」・・・と、未暗号化とみなす通信の条件「11:22:33:AA:BB:88」・・・とを対応付けて記憶する。つまり、これは、パケットにおけるデータリンク層の宛先MACアドレスが、「XX:YY:ZZ:AA:BB:CC」や「XX:VV:TT:DD:BB:FF」と一致する場合には、該パケットが暗号化済であることを意味し、「11:22:33:AA:BB:88」等と一致する場合には、該パケットが未暗号化であることを意味している。また、例えば、ある特定のIPアドレスとポート番号の組などの様にレイヤをまたがる複数の組を条件としてもよい。
For example, the encryption specific
図3の説明に戻って、制御部120は、識別部121と、解析部122と、判定部123と、トンネリング処理部124とを有する。ここで、制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
Returning to the description of FIG. 3, the
識別部121は、RHNW2に含まれる端末からの通信の宛先が、トンネルの対向側のネットワークであるVHNW3内であるか、又は、ホームネットワーク(RHNW2とVHNW3からなる同一L2セグメントネットワーク)とは異なるインターネットなどの外部ネットワーク5であるかを識別する。具体的には、識別部121は、RHNW2内の端末からのL2フレームまたはパケットの宛先がVHNW3内であるか、又はインターネットであるかを識別する。図5は、第1の実施形態に係る通信制御装置100による宛先識別処理及びトンネリング処理を説明するための図である。なお、説明上不要な情報は割愛している。
The
ここで、図5においては、図5の(A)にRHNW2内の端末から受信したL2フレームを示す。また、図5においては、図5の(B)にパケットの宛先がVHNW3内の通信装置であった場合のL2VPNを構成するパケットの構造例を示す。また、図5においては、図5の(C)にパケットの宛先がインターネット上の通信装置であった場合のL2VPN内のパケットの構造例を示す。なお、図5の(B)及び(C)については、トンネリング処理部124を説明する際に、詳細を説明する。
Here, in FIG. 5, an L2 frame received from a terminal in the RHNW2 is shown in FIG. FIG. 5B shows an example of the structure of a packet constituting the L2VPN when the destination of the packet is a communication device in the VHNW3. FIG. 5C shows an example of the structure of a packet in the L2VPN when the destination of the packet is a communication device on the Internet. 5 (B) and 5 (C) will be described in detail when the
例えば、端末から受信したL2フレームは、図5の(A)に示すように、ペイロードと、TCPまたはUDPの宛先ポート番号と、TCPまたはUDPの送信元ポート番号と、宛先IPアドレスと、送信元IPアドレスと、宛先MACアドレスと、送信元MACアドレスとを含む。なお、TCPやUDPを使用しない通信では、宛先ポート番号と送信元ポート番号は含まれない。 For example, as shown in FIG. 5A, an L2 frame received from a terminal includes a payload, a TCP or UDP destination port number, a TCP or UDP source port number, a destination IP address, and a source It includes an IP address, a destination MAC address, and a source MAC address. Note that in communication not using TCP or UDP, the destination port number and the source port number are not included.
例えば、識別部121は、通信部110が図5の(A)に示すL2フレームまたはパケットを受信すると、L2のフレームレベル、或いは、L3のパケットレベルで宛先を識別する。例えば、L2のフレームレベルで識別する場合には、識別部121は、受信したL2フレームの宛先MACアドレスを参照して、格納されたMACアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛(つまり、インターネットとの間のゲートウェイ装置のMACアドレス)であるかを識別する。ここで、識別部121は、通信部110のL2スイッチ機能に備えられたMACアドレス学習を利用して、宛先を識別することも可能である。
For example, when the
かかる場合には、例えば、識別部121は、通信部110によるMACアドレス学習によって、スイッチのポートと、そのポートの接続先の通信装置のMACアドレスとを対応付けて記憶することで、記憶したMACアドレスの情報を用いて宛先を特定することができる。例えば、識別部121は、L2トンネルに使用するポートと対応付けて記憶されているMACアドレスを宛先MACアドレスとする通信の宛先をVHNW3内として特定する。この手法は、MACアドレス学習によって、ホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内の通信装置のMACアドレスを学習した後には、処理負荷の面でも、有用な識別方法である。
In such a case, for example, the
また、例えば、L3のパケットレベルで識別する場合には、識別部121は、受信したパケットの宛先IPアドレスを参照して、格納されたIPアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛であるかを識別する。例えば、識別部121は、格納されたIPアドレスがホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内のプライベートアドレスであるか、リンクローカルアドレスであるか、同一セグメント内のプレフィックスを持つアドレスであるか、或いは、ホームネットワークの外部ネットワーク5のグローバルアドレスであるかにより、宛先を識別する。なお、上記した識別方法は、いずれか1つを用いる場合であってもよく、或いは、複数を組み合わせて用いる場合であってもよい。
Further, for example, when identifying at the packet level of L3, the identifying
識別部121は、上記した識別方法を用いて、宛先として、VHNW3内の通信装置及びインターネット上の通信装置に加えて、RHNW2内の通信装置(端末)を識別することも可能である。
Using the above-described identification method, the
図3の説明に戻って、解析部122は、識別部121で識別されたパケットの宛先がVHNW3内の端末20である場合には、該パケットが暗号化されたデータであるか否かを解析する。具体的には、解析部122は、識別部121で識別されたパケットの宛先がVHNW3内の端末20である場合には、暗号特定情報記憶部131を参照して、パケットが暗号済か否かを、パケットのヘッダ部からデータ部までの順(例えば、データリンク層→ネットワーク層→トランスポート層→アプリケーションの順)に解析し、暗号特定情報記憶部131に記憶された条件に該当するものがあるか否かを確認する。例えば、解析部122は、ネットワーク層のIPヘッダ情報(宛先IPアドレス)に、暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件に該当するものがあった場合には、それ以上の解析、すなわち、トランスポート層、アプリケーション層についての解析は不要である。
Returning to the description of FIG. 3, when the destination of the packet identified by the
ここで、図4の例を用いて、解析処理について具体的に説明する。まず、解析部122は、暗号特定情報記憶部131を参照し、パケットのレイヤ「データリンク」、解析対象「宛先MAC」のレコードを読み出し、受信したパケットの宛先MACアドレスが暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致するかを確認する。この結果、受信したパケットの宛先MACアドレスが、暗号化済とみなす通信の条件として記憶されたMACアドレスと一致する場合には、暗号化済のパケットとみなし、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致する場合には、未暗号化のパケットとみなす。
Here, the analysis processing will be specifically described with reference to the example of FIG. First, the
また、受信したパケットの宛先MACアドレスが、受信したパケットの宛先MACアドレスが暗号化済とみなす通信の条件、および、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致しない場合には、次に、パケットのレイヤ「ネットワーク」、解析対象「宛先IPアドレス」のレコードを読み出し、上記と同様に、受信したパケットの宛先IPアドレスが暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件として記憶されたIPアドレスと一致するかを確認する。 In addition, when the destination MAC address of the received packet does not match the MAC address stored as the communication condition that the destination MAC address of the received packet is considered encrypted and the communication condition that is considered as unencrypted Next, the record of the packet layer “network” and the analysis target “destination IP address” is read, and in the same manner as described above, the communication condition that the destination IP address of the received packet is regarded as encrypted or unencrypted It is confirmed whether or not the IP address stored as the communication condition to be considered matches.
その後、暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件に一致するまで、パケットのレイヤ「ネットワーク」であって解析対象「プロトコル番号」のレコード、パケットのレイヤ「トランスポート」であって解析対象「ポート番号」のレコード、パケットのレイヤ「アプリケーション」であって解析対象「パケットデータ部分」のレコードを順次読み出して、解析する処理を繰り返す。このように、パケットヘッダのみから既に暗号化された通信か否かを判定できない場合があり、データ部までチェックを要することもある。なお、最後のレコードを読み出して解析処理を行った結果、パケットが暗号化されているか否かを特定できない場合には、通信処理効率よりも安全性を重視して、パケットを未暗号化とみなす。 After that, until it matches the condition of communication considered to be encrypted or the condition of communication considered to be unencrypted, it is the packet layer “network” and the analysis target “protocol number” record, the packet layer “transport” ”And the analysis target“ port number ”record and the packet layer“ application ”and the analysis target“ packet data portion ”record are sequentially read and analyzed. In this way, it may not be possible to determine whether or not the communication is already encrypted from only the packet header, and the data part may need to be checked. Note that if it is not possible to determine whether the packet is encrypted as a result of reading and analyzing the last record, the packet is regarded as unencrypted, with an emphasis on safety rather than communication processing efficiency. .
図3の説明に戻って、判定部123は、識別部121または解析部122の結果を用いて、この結果に対応するパケットに施すトンネリングの処理の内容を判定する。例えば、判定部123は、宛先がトンネル対向側のVHNW3でない場合には、トンネリング処理をしないと判定する。また、判定部123は、宛先がトンネル対向側の外部ネットワーク5の場合、つまり、例えば、送信元端末から受信したL2フレームまたはパケットの宛先がVHNW3外の通信装置であると識別された場合には、カプセル化を行うと判定する。
Returning to the description of FIG. 3, the
また、判定部123は、宛先がトンネル対向側の内部ネットワーク、つまり送信元がRHNW2の場合はVHNW3であって、かつ、パケットに暗号化が施されている場合、つまり、例えば、送信元端末から受信したL2フレームまたはパケットの宛先がVHNW3内の通信装置であると識別され、且つ、パケットに暗号化が施されていると解析された場合には、カプセル化を行うと判定する。
In addition, the
また、判定部123は、宛先がトンネル対向側の内部ネットワークであって、且つ、パケットに暗号化が施されていない場合には、暗号化およびカプセル化の処理を施すと判定する。すなわち、判定部123は、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理(L2フレームに対するトンネリングのためのIPカプセリング処理)とを実行すると判定する。一例を挙げると、判定部123は、受信したL2フレームに対してL2TPv3(L2 Tunneling Protocol version 3)とIPSecとを組み合わせた処理や、OpenVPN(登録商標)による処理を実行するように判定する。
Further, the
トンネリング処理部124は、判定部123によって判定されたL2トンネリング処理を実行する。具体的には、トンネリング処理部124は、パケットの宛先がトンネル対向側の外部ネットワーク5である場合には、カプセル化を行う。また、トンネリング処理部124は、パケットの宛先が内部ネットワークであって、パケットが暗号化されたデータである場合、つまり、端末からの通信の宛先がVHNW3内である場合であって、パケットが暗号化されたデータである場合には、カプセル化を行う。また、トンネリング処理部124は、パケットの宛先が内部ネットワークであって、パケットが暗号化されていないデータである場合には、暗号化およびカプセル化の処理を行う。
The
例えば、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行すると判定された場合には、トンネリング処理124は、図5の(B)に示すように、L2フレームをL2VPNの暗号化対象部分として暗号化などの処理をして、L2トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。ここで、L2トンネルヘッダやその他のヘッダは、L2VPNを識別する識別情報などを格納する領域として利用されてもよい。例えば、トンネリング処理部124は、判定部123の判定結果や、自身が実行した処理内容を示す情報をL2トンネルヘッダやその他のヘッダに格納する。また、付加された宛先IPアドレスは、VHGW200側のトンネル終端装置のグローバルアドレスが格納される領域である。また、付加された送信元IPアドレスは、CPE100側のトンネル終端装置のグローバルアドレスが格納される領域である。
For example, when it is determined to execute security processing such as encryption / authentication / signature and L2 encapsulation processing on the received L2 frame, the
また、例えば、受信したL2フレームに対してL2カプセリング処理のみを実行するように判定された場合には、トンネリング処理部124は、図5の(C)に示すように、L2フレームに、トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。
For example, when it is determined that only the L2 encapsulation process is performed on the received L2 frame, the
また、受信したL2フレームをL2スイッチやブリッジ機能によってL2レイヤの処理で転送するように判定された場合には、具体的には、宛先が同じRHNW2内である場合は、トンネリング処理部124は特別な処理は実行しない。
In addition, when it is determined that the received L2 frame is transferred by the L2 switch or the bridge function by the processing of the L2 layer, specifically, when the destination is in the same RHNW2, the
通信部110は、トンネリング処理部124によって処理されたパケットをVHGW200に対して送信する。また、通信部110は、L2スイッチやブリッジ機能によってパケットをRHNW2内の通信装置に転送する。
The
ここで、図6および図7を用いて、トンネリング処理について説明する。図6は、第1の実施形態に係るネットワークシステムのトンネリング処理を説明するための図である。図7は、パケットの内容とトンネリング処理との対応関係を説明するための図である。図6に示すように、通信制御装置100は、宛先がトンネル対向側の外部ネットワーク5の場合、つまり、例えば、送信元端末10から受信したL2フレームまたはパケットの宛先がVHNW3外の端末30であると識別された場合には、カプセル化を行って、VHNW3外の端末30に対してパケットを転送する(図6の(1)参照)。
Here, the tunneling process will be described with reference to FIGS. 6 and 7. FIG. 6 is a diagram for explaining tunneling processing of the network system according to the first embodiment. FIG. 7 is a diagram for explaining the correspondence between the packet contents and the tunneling process. As shown in FIG. 6, the
また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークであって、かつ、パケットに暗号化が施されている場合、つまり、例えば、送信元端末10から受信したL2フレームまたはパケットの宛先がVHNW3内の通信装置20であると識別され、且つ、パケットに暗号化が施されている場合には、カプセル化およびヘッダの一部を行って、VHNW3内の通信装置20に対してパケットを送信する(図6の(2)参照)。
Further, the
また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークであって、且つ、パケットに暗号化が施されていない場合には、暗号化およびカプセル化の処理を施すと判定する。すなわち、通信制御装置100は、受信したL2フレームに対してVPNの暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行し、VHNW3内の通信装置20に対してパケットを送信する(図6の(3)参照)。
Further, the
つまり、図7に示すように、通信制御装置100は、宛先がトンネル対向側の外部ネットワーク5である場合には、パケットが暗号化済であるか否かにかかわらず、カプセル化を行う。また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークである場合には、パケットが暗号化済であれば、カプセル化を行い、パケットが未だ暗号化されていないのであれば、VPNの暗号化処理をパケットに施す。
That is, as illustrated in FIG. 7, when the destination is the
例えば、図6に例示する拠点Bの端末20から拠点Aの端末10へ著作権保護機能が施された映像をストリーム配信する場合は、既に暗号化されているパケットに対してさらにVPNにより暗号化する必要がないため、VPNの暗号化処理による通信制御装置100、通信制御装置200に対する過負荷を回避することで、通信品質のよいストリーミングを実現できる。
For example, when streaming a video with a copyright protection function from the terminal 20 at the base B illustrated in FIG. 6 to the terminal 10 at the base A, the encrypted packet is further encrypted by VPN. Therefore, streaming with good communication quality can be realized by avoiding overload on the
図3の説明に戻って、通信制御装置100からパケットを受信する通信制御装置200の構成を説明する。通信制御装置200は、通信部210、トンネリング処理部220を有する。なお、ここでの説明では、通信制御部200は、受信したパケットのトンネリング処理を解除し、該パケットを宛先に送信するための処理部のみを有する場合を説明するが、これに限定されるものではなく、通信制御装置100と同様の構成であってもよく、通信制御装置100の制御部120および記憶部130に相当する制御部および記憶部を備えていてもよい。
Returning to the description of FIG. 3, the configuration of the
通信部210は、LANインターフェースや、WANインターフェースなどであり、L2フレームやパケットを送受信する。具体的には、通信部210は、L2トンネルを介してCPE100からL2トンネリング処理されたパケットを受信する。また、後述するトンネリング処理部240による処理後のパケットをVHNW3内或いは、インターネットに送信する。
The
トンネリング処理部240は、L2トンネル対向側からの通信を受信して通信に施されている処理を識別して、通信内容全体に対する暗号化などのセキュリティ処理及びL2カプセリング処理の解除、又は、通信に対するL2カプセリングの解除を実行する。具体的には、トンネリング処理部240は、CPE100との間でL2トンネルの接続を確立して、トンネル経由で受信したパケットのL2トンネルヘッダやその他のヘッダに格納された識別情報などを参照して、対応したL2トンネリング処理を解除してパケットを取り出す。
The tunneling processing unit 240 receives the communication from the opposite side of the L2 tunnel and identifies the processing applied to the communication, and cancels the security processing such as encryption for the entire communication content and the L2 capsuling processing, or the communication Releases L2 encapsulation. Specifically, the tunneling processing unit 240 establishes an L2 tunnel connection with the
上述したように、通信部210は、暗号化などのセキュリティ処理及びL2カプセリング処理、又は、L2カプセリング処理が解除された状態で、VHNW3、又はインターネットを宛先とする通信を実行する。
As described above, the
ここで、通信制御装置200から通信制御装置100へ送信する場合の処理について説明する。まず、通信制御装置200は、通信部210によってL2フレームまたはパケットを受信すると、L2フレームまたはパケットの宛先および送信元を、宛先MACアドレス(送信元MACアドレス)や宛先IPアドレス(送信先IPアドレス)に基づいて識別する。そして、通信制御装置200は、宛先が外部ネットワーク5宛である場合には、そのまま宛先へ送信する。
Here, processing in the case of transmission from the
また、通信制御装置200は、L2フレームまたはパケットの宛先が、RHNW2宛であって、且つ、送信元がVHNW3内の通信装置である場合には、暗号化済であればトンネリング処理部124によりカプセル化が行われた後、トンネル対向側の通信装置100へパケットを送信する。また、暗号化済でなければ、トンネリング処理部124により暗号化およびカプセル化の処理が施された後、トンネル対向側の通信装置100へパケットを送信する。
Further, when the destination of the L2 frame or packet is addressed to RHNW2 and the transmission source is a communication device in VHNW3, the
また、通信制御装置200は、L2フレームまたはパケットの宛先がRHNW2内宛であって、且つ、送信元が外部ネットワーク5上の通信装置である場合には、トンネリング処理部124による単純なカプセリングのみによるトンネリングによりRHNW2内の通信装置100へL2フレームまたはパケットを転送する。
Further, the
[通信制御装置の構成]
次に、図8を用いて、第1の実施形態に係る通信制御装置100の処理の手順を説明する。図8は、第1の実施形態に係る通信制御装置100による処理の手順を説明するためのフローチャートである。
[Configuration of communication control unit]
Next, a processing procedure of the
通信制御装置100は、通信部110がL2フレームまたはパケットを受信すると(ステップS101)、判定部123が、宛先がトンネル対向側であるか判定する(ステップS102)。ここで、判定部123が、宛先がトンネル対向側ではないと判定した場合には、通信部110は、トンネリング処理を行わずに、宛先へパケットを送信する(ステップS103)。
When the
また、判定部123は、宛先がトンネル対向側であると判定した場合には、宛先がトンネル対向側の内部ネットワークであるか判定する(ステップS104)。この結果、判定部123が、宛先がトンネル対向側の内部ネットワークでないと判定した場合には、トンネリング処理部124が、カプセル化を行い(ステップS105)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。
Further, when determining that the destination is on the tunnel facing side, the determining
また、判定部123は、宛先がトンネル対向側の内部ネットワークであると判定した場合には、パケットが暗号化済であるか否かを判定する(ステップS106)。この結果、判定部123が、パケットが暗号化済であると判定した場合には、カプセル化を行い(ステップS107)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。
If the
また、判定部123が、パケットが暗号化済でないと判定した場合には、トンネリング処理部124が、暗号化およびカプセル化の処理をパケットに施し(ステップS108)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。
If the
(第1の実施形態の効果)
上述してきたように、第1の実施形態にかかる通信制御装置100では、第1のネットワーク2内の端末10から受信した通信データの宛先が、第2のネットワーク3内であるか、または、外部ネットワーク5であるかを識別する。そして、通信制御装置100は、識別された通信データの宛先が第2のネットワーク3内である場合には、該通信データが暗号化されたデータであるか否かを解析する。そして、通信制御装置100は、通信データの宛先が外部ネットワーク5である場合、または、解析された通信データが暗号化されたデータである場合には、通信データに対して通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。また、通信制御装置100は、解析された通信データが暗号化されたデータでない場合には、通信データに対して少なくとも暗号化処理及び通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。その後、通信制御装置200は、通信制御装置100から送信された通信データを受信して、トンネリング処理の解除を実行し、トンネリング処理が解除された通信データを、宛先へ送信する。このため、パケットの通信内容を確認し、必要に応じて暗号化処理を行うことができる。この結果、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。
(Effects of the first embodiment)
As described above, in the
(第2の実施形態)
上述した第1の実施形態においては、パケットを受信するたびに、受信したパケットが暗号化済であるか否かを判定する場合を説明した。しかし、一度解析を行った通信については、それ以後、解析結果を流用することで、解析処理を省略し、次回以降のパケット解析の処理を簡略化することができる。
(Second Embodiment)
In the first embodiment described above, the case where it is determined whether or not the received packet has been encrypted each time a packet is received has been described. However, for the communication that has been analyzed once, the analysis result is diverted thereafter, so that the analysis processing can be omitted and the packet analysis processing from the next time onward can be simplified.
そこで、以下、第2の実施形態では、解析結果として通信の状態を記憶し、同一の通信については、記憶した通信の状態に基づいて、暗号化を行うか否かを判定する場合について説明する。図9は、第2の実施形態に係る通信制御装置の構成の一例を示す図である。ここで、第2の実施形態に係る通信制御装置100Aは、第1の実施形態に係る通信制御装置100と比較して、通信状態記憶部132と、照会部125とを備える点が異なる。以下、これらを中心に説明する。なお、第1の実施形態と同様の部分については説明を省略する。
Therefore, in the second embodiment, a case will be described in which the communication state is stored as an analysis result, and for the same communication, it is determined whether to perform encryption based on the stored communication state. . FIG. 9 is a diagram illustrating an example of the configuration of the communication control apparatus according to the second embodiment. Here, the
通信状態記憶部132は、解析部122によって解析されたパケットに関する情報とともに、解析部122によって解析された通信データが暗号化されたデータであるか否かを示す解析結果を記憶する。具体的には、通信状態記憶部142は、解析部122により解析済のパケットに関する情報を記憶する。
The communication
例えば、通信状態記憶部132は、図10に例示するように、通信の状態として、通信を識別する番号である「エントリ」と、「送信元MACアドレス」と、「宛先MACアドレス」と、「送信元IPアドレス」と、「宛先IPアドレス」と、「プロトコル番号」と、「送信元ポート番号」と、「宛先ポート番号」と、受信したパケットが暗号化済であるか未暗号化であるかを示す情報である「状態」とを対応付けて記憶する。なお、全項目について記録することは必須ではなく、「状態」を特定できる1以上の項目からなる組であればよい。また、ここで記憶されたエントリは、例えば、エントリに該当するパケットが最後に通信されてから所定時間経過した後に削除してもよく、永続的に記憶されるべき情報ではない。また、その通信のセッションやコネクションの状態をさらに記憶し、セッションやコネクションの終了を確認した後に削除してもよい。
For example, as illustrated in FIG. 10, the communication
照会部125は、識別部121で識別されたパケットに関する情報が、通信状態記憶部132に記憶された解析されたパケットに関する情報と一致するか照会し、一致する情報が前記記憶部に記憶されている場合には、該解析されたパケットに関する情報に対応する解析結果を取得し、判定部123に通知する。
The inquiry unit 125 inquires whether the information on the packet identified by the
例えば、照会部125は、識別部121が識別したパケットが通信状態記憶部132内の情報に該当するものである場合には、そのパケットが該当する状態を判定部123に通知する。これにより、解析処理を行うことなく、パケットが暗号化済であるか未暗号化であるかを特定できる。また、通信状態記憶部132内の情報をハッシュ値化して記憶しておき、入力されたパケットのうち識別部121が識別した個所のハッシュ値を計算し、ハッシュ値同士で一致不一致を比較することで特定してもよい。これにより高速に照会を行うことが可能となる。
For example, when the packet identified by the
解析部122は、第1の実施形態において説明した解析処理を行うとともに、解析処理により、パケットの宛先がトンネル対向の内部ネットワークであって、このパケットの全体または一部が暗号化されている、または、暗号化されていないことの状態を特定し、このパケット情報と暗号化済・暗号化されていないに関する状態を通信状態記憶部132に記憶させる。
The
また、解析部122は、照会部125によって照会した結果、識別部121で識別されたパケットに関する情報が、通信状態記憶部132に記憶された解析されたパケットに関する情報と一致しない場合にのみ、パケットが暗号化されたデータであるか否かを解析する。
Further, as a result of the inquiry made by the inquiry unit 125, the
次に、図11を用いて、第2の実施形態に係る通信制御装置による処理を説明する。図11は、第2の実施形態に係る通信制御装置による処理の手順を説明するためのフローチャートである。情報処理装置100Aの判定部123は、第1の実施形態に係る通信制御装置100と同様に、宛先がトンネル対向側の内部ネットワークであるか判定する(ステップS204)。
Next, processing by the communication control apparatus according to the second embodiment will be described with reference to FIG. FIG. 11 is a flowchart for explaining a procedure of processing performed by the communication control apparatus according to the second embodiment. The
この結果、宛先がトンネル対向側の内部ネットワークである場合には、照会部125は、受信したパケットについて、通信状態記憶部132に該当する状態情報として、暗号化済であることを示す情報があるか否かを照会する(ステップS206)。この結果、通信状態記憶部132に該当する情報がある場合には、解析処理を行うことなく、トンネリング処理部124が、カプセル化を行い(ステップS208)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS210)。
As a result, when the destination is the internal network on the opposite side of the tunnel, the inquiry unit 125 has information indicating that the received packet is already encrypted as the state information corresponding to the communication
(第2の実施形態の効果)
このように、第2の実施形態に係る通信制御装置100Aでは、解析された通信データに関する情報とともに、解析された通信データが暗号化されたデータであるか否かを示す解析結果を記憶する。そして、通信制御装置100Aは、通信データに関する情報が、記憶された解析された通信データに関する情報と一致するか照会し、一致する情報が記憶されている場合には、該解析された通信データに関する情報に対応する解析結果を取得する。そして、照会した結果、識別された通信データに関する情報が、記憶された解析された通信データに関する情報と一致しない場合にのみ、通信データが暗号化されたデータであるか否かを解析する。このため、一度解析を行った通信については、解析結果を流用することで、解析処理を省略し、次回以降のパケット解析処理を簡略化することができるため、処理負荷を軽減することが可能である。
(Effect of 2nd Embodiment)
As described above, the
(第3の実施形態)
上述した第1、2の実施形態において、暗号特定情報記憶部131に受信したパケットが暗号化済か否かを特定するための情報を記憶する場合を説明した。この暗号特定情報記憶部131に記憶された情報を更新できるようにしてもよい。つまり、既に暗号化されているパケットは、通信処理効率化のため、通信制御装置のトンネリング処理にてあえて暗号化する必要がないという趣旨であるとする場合、十分な安全性の暗号処理によりトンネル対向側へ送信すべきパケットを平文・または不十分な安全性の暗号化により送信してしまうことになるため、記憶部には正確で、タイムリーな情報が記憶されているべきである。
(Third embodiment)
In the first and second embodiments described above, the case has been described in which information for specifying whether or not the received packet is encrypted is stored in the encryption specifying
そこで、以下、第3の実施形態では、暗号特定情報記憶部131に記憶された情報を更新できる場合について説明する。図12は、第3の実施形態に係る通信制御装置の構成の一例を示す図である。ここで、第3の実施形態に係る通信制御装置100Bは、第2の実施形態に係る通信制御装置100Aと比較して、更新部126を備える点が異なる。以下、これらを中心に説明する。なお、第1の実施形態および第2の実施形態と同様の部分については説明を省略する。
Therefore, in the third embodiment, a case where the information stored in the encryption specific
更新部126は、暗号特定情報記憶部131の情報を更新する。例えば、図示していない外部サーバなどが、脆弱性が発見されたプロトコルや危殆化した暗号技術やこれを用いたプロトコルに関する最新の情報を管理し、危殆化した技術によって処理されたデータや通信を暗号化済とは判定しないように設定するため、これらのプロトコルや暗号技術を用いたアプリケーションによる暗号化に関する情報を更新情報として更新部126に通知する。そして、更新部126は、外部サーバから受信した更新情報をもとに、暗号特定情報記憶部131に情報を追記したり、または、暗号化済とみなす通信の条件を更新・削除したりする。
The
例えば、通信制御装置100Bは、外部サーバが適切な証明書に基づいた認証を行った後に、外部サーバから更新情報を受信し、暗号特定情報記憶部131の情報を更新することが望ましい。
For example, it is desirable that the
(第4の実施形態)
上述した第1〜3の実施形態において、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つパケットが暗号化済である場合には、さらにVPNにおける暗号化を実施することなくカプセル化の処理を行う場合を説明した。しかし、これに限定されるものではなく、カプセル化の処理を行うとともに、ヘッダの一部を秘匿化する処理を行うようにしてもよい。そこで、以下に説明する第4の実施形態では、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つパケットが暗号化済である場合に、カプセル化の処理を行うとともに、ヘッダの一部を秘匿化する処理を行うことを説明する。ヘッダの一部とは、例えば、送信元や宛先のMACアドレス、送信元や宛先のIPアドレス、プロトコル番号や送信元や宛先のポート番号などのうち1つ以上からなるものを指す。これらの情報は、従来のホームネットワークではNATやNAPTの処理によって外部にさらされることのない情報である場合があるため、少なくともこれらの情報は秘匿化されることが望ましい場合がある。
(Fourth embodiment)
In the first to third embodiments described above, when the destination is an external network, or when the destination is an internal network and the packet has been encrypted, the capsule is not performed without performing encryption in the VPN. An explanation has been given of the case where the processing is performed. However, the present invention is not limited to this. Encapsulation processing may be performed and processing for concealing a part of the header may be performed. Therefore, in the fourth embodiment described below, when the destination is an external network, or when the destination is an internal network and the packet is encrypted, the encapsulation process is performed and the header A process of concealing a part will be described. The part of the header refers to, for example, a source or destination MAC address, a source or destination IP address, a protocol number, a source or destination port number, or the like. Since these pieces of information may not be exposed to the outside by NAT or NAPT processing in a conventional home network, it may be desirable that at least these pieces of information be concealed.
例えば、通信制御装置100は、RHNW2内の通信装置からインターネット側をあて先とするL2フレームまたはパケットを受信し、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つL2フレームまたはパケットが暗号化済である場合には、受信したL2フレームまたはパケットのヘッダの所定の部分に秘匿処理を実行する。そして、通信制御装置100は、秘匿処理を実行したL2フレームまたはパケットに対して、トンネリングのためのカプセリング処理を実行して、対向する通信制御装置200に送信する。通信制御装置200は、受信したカプセリング処理されたパケットのカプセリングを解除して、秘匿処理されたL2フレームまたはパケットを取り出す。そして、通信制御装置200は、取り出したL2フレームまたはパケットのうち秘匿処理された情報を復元してインターネット側の宛先に送信する。
For example, the
また、通信制御装置200も同様に、インターネット側からRHNW2内宛のL2フレームまたはパケットを受信すると、受信したL2フレームまたはパケットのヘッダに秘匿処理を実行する。そして、通信制御装置200は、秘匿処理を実行したL2フレームまたはパケットに対して、カプセリング処理を実行して、対向する通信制御装置100に送信する。通信制御装置100は、受信したカプセリング処理されたL2フレームまたはパケットのカプセリングを解除して、秘匿処理されたL2フレームまたはパケットを取り出す。そして、通信制御装置100は、取り出したL2フレームまたはパケットのうち秘匿処理された情報を復元してRHNW2内の宛先の通信装置に送信する。
Similarly, when the
また、カプセル化を行う際のヘッダの一部の秘匿化について、秘匿化には通信制御装置間で共有している値で、秘匿化する対象部分とXORをとった値に置き換えることとしてもよい。この値は所定期間経過のたびに更新するのが望ましい。通信制御装置間で時刻同期しておき、所定の時間経過ごとに装置間で共通のルールで更新してもよく、または、いずれかの装置からのメッセージ通知などの契機により、鍵交換プロトコル(例えば、Diffie-Hellman鍵交換など)を用いて新たな値を生成してもよい。または、通信制御装置間で共有している共通のルールに基づいて、転置暗号や置換暗号によって秘匿化してもよい。秘匿化した際は、トンネルのパケットヘッダ等に、秘匿化していることと秘匿化に適用している技術やルール、秘匿化している箇所を識別できる情報を付加することで、受信する側の通信制御装置は、この付加された情報を識別して対応する箇所に対して復元処理を行うこととしてもよい。また、秘匿処理後のL2フレームなどのチェックサムを再計算して置換えることとしてもよい。このように、第4の実施形態にかかる通信制御装置100では、ヘッダ情報の一部分を秘匿化するので、通信におけるセキュリティを向上させることが可能である。
Further, regarding the concealment of a part of the header when encapsulating, the concealment may be replaced with a value that is shared between communication control devices, and the value obtained by XORing the target part to be concealed. . It is desirable to update this value every time a predetermined period has elapsed. The communication control devices may be synchronized in time and updated with a common rule between devices every predetermined time, or a key exchange protocol (e.g., a message notification from any device) , Diffie-Hellman key exchange, etc.) may be used to generate new values. Alternatively, it may be concealed using a transposed cipher or a replacement cipher based on a common rule shared between communication control apparatuses. When concealing, communication on the receiving side is added to the tunnel packet header, etc. by adding information that can identify the concealment, technology and rules applied to concealment, and concealment The control device may identify the added information and perform a restoration process on the corresponding location. Alternatively, the checksum of the L2 frame after the concealment process may be recalculated and replaced. Thus, in the
(第5の実施形態)
これまで第1〜第4の実施形態を説明したが、本願に係る実施形態は、第1〜第4の実施形態に限定されるものではない。すなわち、これらの実施形態は、その他の様々な形態で実行されることが可能であり、種々の省略、置き換え、変更を行うことができる。
(Fifth embodiment)
Although the first to fourth embodiments have been described so far, the embodiment according to the present application is not limited to the first to fourth embodiments. That is, these embodiments can be executed in various other forms, and various omissions, replacements, and changes can be made.
上述した実施形態におけるCPE100とVHGW200との間のL2トンネルは、L2VPNによるトンネルと、L2カプセリングによるトンネルの両方を確立しておき、判定部の判定結果に応じて、利用するトンネルを選択するようにしてもよい。
As the L2 tunnel between the
また、IPv4/v6の回線ルータはVHNW3側に配置されてもよいし、RHNW2側に配置されてもよい。例えば、上述した図1の例ではIPv4/v6の回線ルータがVHNW3側に配置されているが、これに限定されることはなく、RHNW2側に配置されてもよく、IPv4の回線ルータはVHNW3側、IPv6の回線ルータはRHNW2側に配置されてもよく、またこの逆であってもよいものである。 The IPv4 / v6 line router may be arranged on the VHNW3 side or may be arranged on the RHNW2 side. For example, in the example of FIG. 1 described above, the IPv4 / v6 line router is arranged on the VHNW3 side, but the present invention is not limited to this, and the IPv4 line router may be arranged on the VHNW3 side. The IPv6 line router may be arranged on the RHNW2 side or vice versa.
また、CPE100とVHGW200の間で1本のL2トンネルのみを利用する場合は、判定部の判定結果に基づいて、L2VPNの処理「セキュリティ処理(暗号、認証、署名)+L2カプセリング」をするか、L2カプセリングの処理をするかを都度選択的に行ってもよい。ここで、例えば、デフォルトの処理をL2VPNとして、選択的にL2VPNのうちセキュリティ処理を実施しないL2カプセリングの処理をしてもよく、この逆に、デフォルトの処理をL2カプセリングとして、選択的にさらにセキュリティ処理を実施することでL2VPNの処理をしてもよい。
Further, when only one L2 tunnel is used between the
また、RHNW2またはVHNW3とインターネットなどの外部ネットワーク5とがL2トンネル経由でアクセスする場合、L2−カプセリングによる通信を行うものとして説明した。しかしながら、このような通信では、拠点間を同一セグメント化する必要がない場合は、L2フレーム全体をトンネル対向側に送信することは必須ではないため、実施形態はこれに限定されるものではなく、例えば、この通信をL3カプセリング、つまり、IP−in−IP、IP tunnelingやその他トンネリング処理を適用してもよい。
Moreover, when RHNW2 or VHNW3 and
また、暗号特定情報記憶部131には、一般的な暗号技術やプロトコルに基づいた情報を記憶させてもよく、内部ネットワークで特有の用途で使用される暗号技術やプロトコルがある場合は、その情報を利用者が設定してもよい。
Further, the encryption specific
また、VHNW3は、仮想化されたネットワークとして説明したが、仮想化されていない物理的なネットワークであってもよい。また、RHNW2は、物理的なネットワークとして説明したが、仮想化されたネットワークであってもよい。また、RHNW2とVHNW3とを同一セグメントのL2ネットワークとして扱えるようにするため、CPE100とVHGW200とをL2VPNで接続するものとして説明したが、これに限らず、L3以上のVPNによって接続してもよい。
Further, although the
また、通信の送信元や宛先に基づいて秘匿処理の要否を判断するものとして説明したが、これに限らず、通信プロトコルや通信のメッセージの種類や内容に基づいて秘匿処理の要否を判断してもよい。または、通信プロトコル、通信のメッセージ、送信元、送信先のうちいずれか一以上からなる組合せに基づいて秘匿処理の要否を判断してもよい。この場合、CPE100やVHGW200は、秘匿処理をする/しない通信プロトコルやメッセージに関する条件も事前に記憶しておくこととなる。また、RHNW2とVHNW3との間の通信において、例えばセキュリティよりも低遅延であることが要求される特定の通信がある場合は、通信プロトコルやメッセージに基づいてその通信を特定して、セキュリティ処理を省略してカプセリング処理のみを実施することとしてもよく、または、カプセリング処理と秘匿処理を実施することとしてもよい。
In addition, although it has been described that the necessity of the confidential processing is determined based on the transmission source and destination of the communication, the present invention is not limited to this, and the necessity of the confidential processing is determined based on the communication protocol and the type and content of the communication message. May be. Alternatively, the necessity of the concealment process may be determined based on a combination of one or more of a communication protocol, a communication message, a transmission source, and a transmission destination. In this case, the
また、秘匿処理は、単純に、L2フレームであれば、L2ヘッダ情報とL3ヘッダ情報のすべて、パケットであれば、L3ヘッダ情報のすべて、を秘匿処理対象とするものであってもよい。 In addition, the concealment process may simply target all the L2 header information and L3 header information for the L2 frame, and all the L3 header information for the packet.
VHGW200は、仮想化された装置として説明したが、仮想化されていない物理的な装置であってもよい。CPE100は、物理的な装置として説明したが、仮想化された装置であってもよい。
Although the
RHNW2内やVHNW3内の通信装置は、仮想化されたサーバなどでもよく、仮想化されていない物理的なサーバなどであってもよい。また、サーバではない通信装置でもよい。 The communication device in the RHNW2 or VHNW3 may be a virtual server or the like, or may be a physical server that is not virtualized. Further, a communication device that is not a server may be used.
上述した実施形態では、ホームネットワーク、ホームゲートウェイを例に説明したが、実施形態はこれに限定されるものではなく、例えば、対象が企業ネットワークなどでもよい。 In the above-described embodiment, the home network and the home gateway have been described as examples. However, the embodiment is not limited thereto, and the target may be, for example, a corporate network.
CPE100やVHGW200の各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、判定部123とトンネリング処理部124とを一つの処理部として統合してもよく、一方、トンネリング処理部124を暗号化させる暗号処理部と、トンネリング処理を実行するトンネリング部とに分散してもよい。また、各装置は、アクセスネットワーク/インターネットなどの外部ネットワーク5と通信するためのIPルーティング機能を備えていてもよく、IPルーティングは別の装置に具備するものであってもよい。さらに、各装置は、NATやDHCP、DNS、ファイアウォールなどに係る一般的なルータの機能を備えてもよく、または、これらの機能を別の装置に具備するものであってもよい。つまり、一般的なルータに接続される装置であってもよく、この場合はL2通信のための処理を行う装置となる。
The specific form (for example, the form of FIG. 2) of the dispersion / integration of each device of the
また、宛先識別部120をCPE100の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、判定部123及びトンネリング処理部124を別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したCPE100の機能を実現するようにしてもよい。
Further, the
また、L2トンネルを形成させる機能を有する装置を、CPE100及びVHGW200の外部装置としてネットワーク経由で接続されて協働することで、CPE100とVHGW200との間にL2トンネルを形成させるようにしてもよい。
Further, an L2 tunnel may be formed between the
上述した実施形態で説明したCPE100及びVHGW200は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図3に示した通信制御装置100と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
The
図13は、第4の実施形態に係る通信制御プログラムを実行するコンピュータ1000を示す図である。図13に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 13 is a diagram illustrating a
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図13に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログムモジュール1093およびプログラムデータ1094を記憶する。第4の実施形態に係る通信制御プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。具体的には、CPE100と同様の機能を実現する場合、上記実施形態で説明した通信部110と同様の情報処理を実行する通信ステップと、識別部121と同様の情報処理を実行する識別ステップと、解析部122と同様の情報処理を実行する解析ステップと、判定部123と同様の情報処理を実行する判定ステップと、トンネリング処理部124と同様の情報処理を実行するトンネリング処理ステップとが記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
Here, as shown in FIG. 13, the hard disk drive 1090 stores, for example, an OS (Operating System) 1091, an
また、上記実施形態で説明したデータベースに記憶されるデータのように、プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出して、通信ステップと、宛先識別ステップと、判定ステップと、トンネリング処理ステップとを実行する、或いは、通信ステップと、トンネリング処理ステップとを実行する。
Further, like the data stored in the database described in the above embodiment, data used for information processing by the program is stored as program data, for example, in the hard disk drive 1090. Then, the
なお、プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the program module and program data relating to the program are not limited to being stored in the hard disk drive 1090, but may be stored in a removable storage medium and read out by the
これらの実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 These embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.
1 ネットワークシステム
2 RHNW
3 VHNW
4 ネットワーク
5 外部ネットワーク
100 通信制御装置(CPE)
110、210 通信部
120 制御部
121 識別部
122 解析部
123 判定部
124、220 トンネリング処理部
125 照会部
126 更新部
130 記憶部
131 暗号特定情報記憶部
132 通信状態記憶部
200 通信制御装置(VHGW)
1
3 VHNW
4
110, 210
Claims (9)
前記第1の装置は、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別部と、
前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、
を備え、
前記第2の装置は、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、
前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信部と、
を備えたことを特徴とするネットワークシステム。 A network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network, wherein an external network can communicate with at least the second network Because
The first device includes:
An identification unit for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the communication data identified in the previous SL identification portion is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, and the first tunneling processor you perform encapsulation processing for the second device and a tunnel communication to the communication data,
A first communication unit that transmits communication data after processing by the first tunneling processing unit to the second device;
With
The second device includes:
A second tunneling processing unit that receives the communication data transmitted from the first device and executes release of processing by the first tunneling processing unit;
A second communication unit that transmits the communication data released by the second tunneling process to a destination of the communication data;
A network system characterized by comprising:
前記第1のトンネリング処理部は、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報の前記秘匿化対象部分を秘匿化し、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行することを特徴とする請求項1に記載のネットワークシステム。In the case where the destination of the communication data identified by the identifying unit is the external network, or the communication data analyzed by the analyzing unit is encrypted data, the first tunneling processing unit Then, as a predetermined part of the communication data, at least the part to be concealed of the header information of the communication data is concealed, and a capsuling process for performing tunnel communication with the second device is performed on the communication data When the communication data analyzed by the analysis unit is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. The network system according to claim 1, wherein:
前記識別部で識別された通信データに関する情報が、前記記憶部に記憶された解析された通信データに関する情報に該当するか照会し、該当する情報が前記記憶部に記憶されている場合には、該解析された通信データに関する情報に対応する解析結果を取得する照会部と、
をさらに備え、
前記解析部は、前記照会部によって照会した結果、前記識別部で識別された通信データに関する情報が、前記記憶部に記憶された解析された通信データに関する情報に該当しない場合にのみ、前記通信データが暗号化されたデータであるか否かを解析することを特徴とする請求項2または3に記載のネットワークシステム。 A storage unit for storing an analysis result indicating whether or not the communication data analyzed by the analysis unit is encrypted data together with information on the communication data analyzed by the analysis unit;
When the information on the communication data identified by the identification unit corresponds to the information on the analyzed communication data stored in the storage unit, and the corresponding information is stored in the storage unit, An inquiry unit for obtaining an analysis result corresponding to the information on the analyzed communication data;
Further comprising
As a result of the inquiry by the inquiring unit, the analyzing unit is categorized only when the information on the communication data identified by the identifying unit does not correspond to the information on the analyzed communication data stored in the storage unit. 4. The network system according to claim 2 , wherein the network system analyzes whether the data is encrypted data. 5.
前記第1の装置によって実行される、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別工程と、
前記識別工程で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理工程と、
前記第1のトンネリング処理工程による処理後の通信データを前記第2の装置へ送信する第1の通信工程と、
を備え、
前記第2の装置によって実行される、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理工程による処理の解除を実行する第2のトンネリング処理工程と、
前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信工程と、
を含んだことを特徴とする通信制御方法。 A network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network, wherein an external network can communicate with at least the second network A communication control method executed by
Executed by the first device;
An identification step for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the previous SL communication data identified by the identification process is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, and the first tunneling process you perform encapsulation processing for the second device and a tunnel communication to the communication data,
A first communication step of transmitting communication data after processing by the first tunneling processing step to the second device;
With
Executed by the second device;
A second tunneling process step of receiving communication data transmitted from the first device and executing cancellation of the process by the first tunneling process step;
A second communication step of transmitting the communication data released by the second tunneling process to a destination of the communication data;
The communication control method characterized by including.
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワークと接続される第2のネットワーク内であるか、又は、当該第2のネットワークに接続される外部ネットワークであるかを識別する識別部と、
前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2のネットワーク内の第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in the first network,
The destination of the communication data received from the terminal in the first network, the first network and that it is within the second network that will be connected, or is the external network that is connected to the second network An identification part for identifying
If the destination of the communication data identified in the previous SL identification portion is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, the first tunneling process you perform encapsulation processing for the second device and the tunnel communication in the second network for the communication data And
A first communication unit that transmits communication data after processing by the first tunneling processing unit to the second device;
A communication control apparatus comprising:
前記第1のネットワーク内の通信装置から送信された通信データを受信して、受信した通信データに対して実行されているヘッダ情報に含まれる秘匿化対象部分であるMACアドレス、IPアドレス、プロトコル番号およびポート番号のうちの一つ以上の秘匿化処理及びトンネル通信するためのカプセリング処理、又は、トンネル通信するためのカプセリング処理の解除を実行するトンネリング処理部と、
前記トンネリング処理により解除された通信データを、当該通信データの宛先へ送信する通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in a second network connected to the first network,
The MAC address, the IP address, and the protocol number that are the concealment target parts included in the header information that is received from the communication data transmitted from the communication device in the first network and is received for the received communication data A tunneling processing unit that executes concealment processing for one or more of the port numbers and capsuling processing for tunnel communication, or canceling the capsuling processing for tunnel communication;
A communication unit that transmits the communication data released by the tunneling process to a destination of the communication data;
A communication control apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013099612A JP6075871B2 (en) | 2013-05-09 | 2013-05-09 | Network system, communication control method, communication control apparatus, and communication control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013099612A JP6075871B2 (en) | 2013-05-09 | 2013-05-09 | Network system, communication control method, communication control apparatus, and communication control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014220707A JP2014220707A (en) | 2014-11-20 |
JP6075871B2 true JP6075871B2 (en) | 2017-02-08 |
Family
ID=51938777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013099612A Active JP6075871B2 (en) | 2013-05-09 | 2013-05-09 | Network system, communication control method, communication control apparatus, and communication control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6075871B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5986044B2 (en) * | 2013-07-02 | 2016-09-06 | 日本電信電話株式会社 | Network system, communication control method, communication control apparatus, and program |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007036834A (en) * | 2005-07-28 | 2007-02-08 | Canon Inc | Encryption apparatus, program, recording medium, and method |
JP4473851B2 (en) * | 2006-10-31 | 2010-06-02 | 株式会社東芝 | Telephone system and its encryption processing method, communication terminal, and connection device |
JP2012075070A (en) * | 2010-09-30 | 2012-04-12 | Fujitsu Ltd | Management program, device and method, router, and information processing program and method |
JP5893546B2 (en) * | 2012-11-30 | 2016-03-23 | 日本電信電話株式会社 | Network system, communication control method, communication control apparatus, and communication control program |
-
2013
- 2013-05-09 JP JP2013099612A patent/JP6075871B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014220707A (en) | 2014-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11283772B2 (en) | Method and system for sending a message through a secure connection | |
JP3793083B2 (en) | Method and apparatus for providing security by network address translation using tunneling and compensation | |
US7937581B2 (en) | Method and network for ensuring secure forwarding of messages | |
US7647492B2 (en) | Architecture for routing and IPSec integration | |
US20160380894A1 (en) | Path maximum transmission unit handling for virtual private networks | |
US20150304427A1 (en) | Efficient internet protocol security and network address translation | |
JP2009111437A (en) | Network system | |
CN102088438B (en) | Method for solving address conflict of Internet protocol security (IPSec) Client and IPSec Client | |
CN110832806B (en) | ID-based data plane security for identity-oriented networks | |
JP6075871B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
JP5893546B2 (en) | Network system, communication control method, communication control apparatus, and communication control program | |
Hassan et al. | Enhanced encapsulated security payload a new mechanism to secure internet protocol version 6 over internet protocol version 4 | |
Jaiswal | IP Security architecture, application, associated database, and mode | |
Zhang | The solution and management of VPN based IPSec technology | |
Alhoaimel | Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data | |
Hadi | An analytical study for Security in IPv6 | |
Al-Abaychi et al. | Evaluation of VPNs | |
JP2005252464A (en) | Communication method, communication terminal and gateway unit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150805 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160513 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160524 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170104 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6075871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |