JP6075871B2 - Network system, communication control method, communication control apparatus, and communication control program - Google Patents

Network system, communication control method, communication control apparatus, and communication control program Download PDF

Info

Publication number
JP6075871B2
JP6075871B2 JP2013099612A JP2013099612A JP6075871B2 JP 6075871 B2 JP6075871 B2 JP 6075871B2 JP 2013099612 A JP2013099612 A JP 2013099612A JP 2013099612 A JP2013099612 A JP 2013099612A JP 6075871 B2 JP6075871 B2 JP 6075871B2
Authority
JP
Japan
Prior art keywords
communication
network
communication data
unit
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013099612A
Other languages
Japanese (ja)
Other versions
JP2014220707A (en
Inventor
貴広 濱田
貴広 濱田
五十嵐 弓将
弓将 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013099612A priority Critical patent/JP6075871B2/en
Publication of JP2014220707A publication Critical patent/JP2014220707A/en
Application granted granted Critical
Publication of JP6075871B2 publication Critical patent/JP6075871B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムに関する。   The present invention relates to a network system, a communication control method, a communication control apparatus, and a communication control program.

従来、インターネット上の情報通信などにおいて、拠点間を結ぶトンネリング処理を行う通信におけるセキュアな通信を行うために、暗号化やメッセージ認証、改竄検知などのセキュリティ処理が行われることが知られている。例えば、トンネリング技術においては、暗号などが適用されたセキュアなVPN(Virtual Private Network)が利用されることが知られている。   Conventionally, in information communication on the Internet, it is known that security processing such as encryption, message authentication, and falsification detection is performed in order to perform secure communication in communication that performs tunneling processing between bases. For example, in the tunneling technology, it is known that a secure VPN (Virtual Private Network) to which encryption or the like is applied is used.

RFC 4301, Security Architecture for the Internet Protocol,[online],[平成25年4月24日検索]、インターネット<http://tools.ietf.org/html/rfc4301>RFC 4301, Security Architecture for the Internet Protocol, [online], [April 24, 2013 search], Internet <http://tools.ietf.org/html/rfc4301>

しかしながら、上述した従来の技術では、トンネリング技術において、処理負荷が高くなる場合や通信性能が低くなる場合があり、効率的に通信を行えないという課題があった。例えば、ゲートウェイ(GW:Gateway)などの通信制御装置が、既に暗号化されている通信を受信した場合、つまり、送信端末側で暗号化処理をしている通信データを受信した場合に、VPNでさらに暗号化することで、二重に暗号化してしまい、無駄な処理コストが発生し、処理負荷が高くなり、通信性能が低くなることから、効率的に通信を行えない場合があった。   However, in the conventional technique described above, there is a problem that in the tunneling technique, the processing load may be high or the communication performance may be low, and communication cannot be performed efficiently. For example, when a communication control device such as a gateway (GW) receives communication that has already been encrypted, that is, when communication data that has been encrypted on the transmission terminal side is received, Further encryption results in double encryption, resulting in unnecessary processing costs, high processing load, and low communication performance, which may prevent efficient communication.

そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことを可能にするネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムを提供することを目的とする。   Therefore, the technology according to the present application has been made in view of the above-described problems of the prior art, and in communication in which tunneling processing is performed, while suppressing processing load, reduction in communication performance is reduced, and communication is efficiently performed. It is an object to provide a network system, a communication control method, a communication control apparatus, and a communication control program that can be performed.

上述した課題を解決し、目的を達成するため、本願に係るネットワークシステムは、第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが前記第1のネットワークまたは前記第2のネットワークと通信可能なネットワークシステムであって、前記第1の装置は、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別部と、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析部と、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、を備え、前記第2の装置は、前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信部と、を備えたことを特徴とする。   In order to solve the above-described problems and achieve the object, a network system according to the present application includes a first device in a first network and a second in a second network that can communicate with the first network. A network system in which an external network can communicate with the first network or the second network, wherein the first device transmits communication data received from a terminal in the first network. An identification unit for identifying whether a destination is in the second network or the external network, and a destination of communication data identified by the identification unit is in the second network The analysis unit that analyzes whether the communication data is encrypted data, and the destination of the communication data identified by the identification unit is the external network If the communication data analyzed by the analysis unit is encrypted data, a capsule processing for tunnel communication with the second device is executed on the communication data. If the communication data analyzed by the analysis unit is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. 1 tunneling processing unit, and a first communication unit that transmits communication data processed by the first tunneling processing unit to the second device, wherein the second device includes the first communication unit A second tunneling processing unit that receives communication data transmitted from the apparatus and executes cancellation of processing by the first tunneling processing unit; and the second tunneling processing. Ri release communication data, characterized by comprising a second communication unit for transmitting to the said communication data destination, a.

また、本願に係る通信制御方法は、第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが前記第1のネットワークまたは前記第2のネットワークと通信可能なネットワークシステムによって実行される通信制御方法であって、前記第1の装置によって実行される、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別工程と、前記識別工程で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析工程と、前記識別工程で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析工程で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析工程で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理工程と、前記第1のトンネリング処理工程による処理後の通信データを前記第2の装置へ送信する第1の通信工程と、を備え、前記第2の装置によって実行される、前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理工程による処理の解除を実行する第2のトンネリング処理工程と、前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信工程と、を含んだことを特徴とする。   The communication control method according to the present application includes a first device in a first network and a second device in a second network capable of communicating with the first network, and an external network is the first device. A communication control method executed by a network system communicable with one network or the second network, the communication control method being executed by the first device and received from a terminal in the first network An identification step for identifying whether the destination is in the second network or the external network, and the destination of the communication data identified in the identification step is in the second network Is an analysis step for analyzing whether the communication data is encrypted data, and the destination of the communication data identified in the identification step is If the communication data analyzed in the analysis step is encrypted data, a capsule processing for tunnel communication with the second device is executed on the communication data. If the communication data analyzed in the analysis step is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. 1 tunneling processing step, and a first communication step of transmitting communication data after processing by the first tunneling processing step to the second device, and executed by the second device, 2nd tunneling which receives the communication data transmitted from the 1st apparatus, and performs cancellation | release of the process by said 1st tunneling process process And management step, the communication data is released by the second tunneling process, characterized in that it includes a second communication step of transmitting to the said communication data destination, a.

また、本願に係る通信制御装置は、第1のネットワーク内の通信制御装置であって、前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワークと接続される前記第2のネットワーク内であるか、又は、当該第2のネットワークに接続される外部ネットワークであるかを識別する識別部と、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析部と、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、を備えたことを特徴とする。   The communication control device according to the present application is a communication control device in a first network, and a destination of communication data received from a terminal in the first network is connected to the first network. An identification unit for identifying whether the second network is an external network connected to the second network, and the destination of the communication data identified by the identification unit is within the second network When the communication data is encrypted, the analysis unit analyzes whether the communication data is encrypted data, and the destination of the communication data identified by the identification unit is the external network, or the analysis When the communication data analyzed by the communication unit is encrypted data, a encapsulation process for performing tunnel communication with the second device is executed on the communication data. If the communication data analyzed by the analysis unit is not encrypted data, a first process that executes at least an encryption process and a encapsulation process for tunnel communication with the second device is performed on the communication data. A tunneling processing unit, and a first communication unit that transmits communication data processed by the first tunneling processing unit to the second device are provided.

本願に開示するネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。   The network system, communication control method, communication control apparatus, and communication control program disclosed in the present application can perform communication efficiently while reducing processing load while suppressing processing load in communication that performs tunneling processing. It is.

図1は、第1の実施形態に係るネットワークシステムの構成を示す図である。FIG. 1 is a diagram illustrating a configuration of a network system according to the first embodiment. 図2は、第1の実施形態に係るネットワークシステムの具体的な構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a specific configuration of the network system according to the first embodiment. 図3は、第1の実施形態に係る通信制御装置の構成の一例を示す図である。FIG. 3 is a diagram illustrating an example of the configuration of the communication control apparatus according to the first embodiment. 図4は、暗号特定情報記憶部に記憶される情報の一例を示す図である。FIG. 4 is a diagram illustrating an example of information stored in the encryption specific information storage unit. 図5は、宛先識別処理及びトンネリング処理を説明するための図である。FIG. 5 is a diagram for explaining destination identification processing and tunneling processing. 図6は、第1の実施形態に係るネットワークシステムのトンネリング処理を説明するための図である。FIG. 6 is a diagram for explaining tunneling processing of the network system according to the first embodiment. 図7は、パケットの内容とトンネリング処理との対応関係を説明するための図である。FIG. 7 is a diagram for explaining the correspondence between the packet contents and the tunneling process. 図8は、第1の実施形態に係る通信制御装置による処理の手順を説明するためのフローチャートである。FIG. 8 is a flowchart for explaining a processing procedure by the communication control apparatus according to the first embodiment. 図9は、第2の実施形態に係る通信制御装置の構成の一例を示す図である。FIG. 9 is a diagram illustrating an example of the configuration of the communication control apparatus according to the second embodiment. 図10は、通信状態記憶部に記憶される情報の一例を示す図である。FIG. 10 is a diagram illustrating an example of information stored in the communication state storage unit. 図11は、第2の実施形態に係る通信制御装置による処理の手順を説明するためのフローチャートである。FIG. 11 is a flowchart for explaining a procedure of processing performed by the communication control apparatus according to the second embodiment. 図12は、第3の実施形態に係る通信制御装置の構成の一例を示す図である。FIG. 12 is a diagram illustrating an example of the configuration of the communication control apparatus according to the third embodiment. 図13は、通信制御プログラムを実行するコンピュータを示す図である。FIG. 13 is a diagram illustrating a computer that executes a communication control program.

以下に添付図面を参照して、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムの実施形態を詳細に説明する。なお、本願に係るネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラムは、以下の実施形態により限定されるものではない。   Exemplary embodiments of a network system, a communication control method, a communication control apparatus, and a communication control program according to the present application will be described below in detail with reference to the accompanying drawings. Note that the network system, the communication control method, the communication control apparatus, and the communication control program according to the present application are not limited to the following embodiments.

(第1の実施形態)
まず、第1の実施形態に係るネットワークシステムの概要について説明する。以下、図1を用いて、第1の実施形態に係るネットワークシステムの構成の一例を説明する。図1は、第1の実施形態に係るネットワークシステム1の構成の一例を説明するための図である。図1に示すように、第1の実施形態に係るネットワークシステム1は、第1のネットワーク2内の拠点Aにおける端末10と、第1のネットワーク2および外部ネットワーク(例えば、インターネット)5と接続される第2のネットワーク3内の拠点Bにおける端末20とを備えるネットワークシステムである。 (First embodiment)
First, an outline of the network system according to the first embodiment will be described. Hereinafter, an example of the configuration of the network system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining an example of a configuration of a network system 1 according to the first embodiment. As shown in FIG. 1, a network system 1 according to the first embodiment is connected to a terminal 10 at a base A in a first network 2, a first network 2, and an external network (for example, the Internet) 5. And a terminal 20 at a base B in the second network 3.

ネットワークシステム1においては、通信制御装置100と通信制御装置200とがトンネル接続されることで、第1のネットワーク2と第2のネットワーク3とが、同一サブネット化される。これにより、拠点Aにおける第1のネットワーク2と、拠点Bにおける第2のネットワーク3とが、同一セグメントのネットワークとして利用することができる。   In the network system 1, the communication control device 100 and the communication control device 200 are tunnel-connected, whereby the first network 2 and the second network 3 are made into the same subnet. Thereby, the 1st network 2 in the base A and the 2nd network 3 in the base B can be utilized as a network of the same segment.

通信制御装置100は、第1のネットワーク2内の端末10から受信した通信データの宛先が、第2のネットワーク3内であるか、または、外部ネットワーク5であるかを識別する。そして、通信制御装置100は、識別された通信データの宛先が第2のネットワーク3内である場合には、該通信データが暗号化されたデータであるか否かを解析する。   The communication control apparatus 100 identifies whether the destination of communication data received from the terminal 10 in the first network 2 is in the second network 3 or the external network 5. Then, when the destination of the identified communication data is within the second network 3, the communication control apparatus 100 analyzes whether or not the communication data is encrypted data.

そして、通信制御装置100は、通信データの宛先が外部ネットワーク5であると識別された場合、または、解析された通信データが暗号化されたデータである場合には、通信データに対して通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。また、通信制御装置100は、解析された通信データが暗号化されたデータでない場合には、通信データに対して少なくとも暗号化処理及び通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。   If the destination of the communication data is identified as the external network 5 or if the analyzed communication data is encrypted data, the communication control apparatus 100 performs communication control on the communication data. A capsule process for tunnel communication with the apparatus 200 is executed and transmitted to the terminal 20. Further, when the analyzed communication data is not encrypted data, the communication control device 100 executes at least encryption processing and encapsulation processing for tunnel communication with the communication control device 200 on the communication data, It transmits to the terminal 20.

その後、通信制御装置200は、通信制御装置100から送信された通信データを受信して、トンネリング処理の解除を実行し、トンネリング処理が解除された通信データを、宛先へ送信する。   Thereafter, the communication control apparatus 200 receives the communication data transmitted from the communication control apparatus 100, executes cancellation of the tunneling process, and transmits the communication data from which the tunneling process has been canceled to the destination.

このように、第1の実施形態に係るネットワークシステム1では、通信データの通信内容を確認し、必要に応じて暗号化処理を行うことで、既に暗号化されている通信データにさらに暗号化処理を施すことを省略する。この結果、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。   As described above, in the network system 1 according to the first embodiment, the communication content of the communication data is confirmed, and if necessary, the encryption process is performed on the already encrypted communication data by performing the encryption process. Is omitted. As a result, in communication in which tunneling processing is performed, it is possible to perform communication efficiently while suppressing a processing load and reducing a decrease in communication performance.

次に、図2を用いて、上記した第1の実施形態に係るネットワークシステム1の具体的な構成例について説明する。なお、以降の説明では、図2の構成を例とした説明を適宜行うものとする。   Next, a specific configuration example of the network system 1 according to the first embodiment will be described with reference to FIG. In the following description, the description of the configuration of FIG.

例えば、第1の実施形態に係るネットワークシステム1は、ユーザ宅内に構築された宅内ネットワーク(RHNW:Real Home Network)2と、データセンタ(DC: Data Center)30内に構築された仮想ホームネットワークVHNW(Virtual Home Network)3とを有する。そして、ネットワークシステム1は、例えば、アクセスネットワークなどの閉域網や、インターネットなどのネットワーク4を介してRHNW2上のネットワーク装置(CPE:Customer Premises Equipment)100とDC30内に構築されたVHNW3上のVHGW(Virtual Home Gateway)200とが接続される。   For example, the network system 1 according to the first embodiment includes a home network (RHNW) 2 built in a user home and a virtual home network VHNW built in a data center (DC) 30. (Virtual Home Network) 3. The network system 1 is, for example, a closed network such as an access network or a network device (CPE: Customer Premises Equipment) 100 on the RHNW 2 and a VHGW (VHGW 3 on the VHNW 3 constructed in the DC 30 via the network 4 such as the Internet. Virtual Home Gateway) 200 is connected.

RHNW2は、CPE100に加えて、例えば、端末などが接続される。また、VHNW3は、VHGW200に加えて、例えば、仮想APサーバ(仮想アプリケーションサーバ)や、仮想ストレージ(仮想ストレージサーバ)などの通信装置が構築される。そして、ネットワークシステム1においては、CPE100とVHGW200とがL2トンネル接続されることで、RHNW2とVHNW3とが、同一サブネット化(同一セグメント化)される。これにより、ユーザ宅内のRHNW2と、遠隔拠点にあるDC30におけるVHNW3とが、一つのホームネットワークとして利用することができる。   For example, a terminal is connected to the RHNW 2 in addition to the CPE 100. In addition to the VHGW 200, for example, the VHNW 3 is configured with a communication device such as a virtual AP server (virtual application server) or a virtual storage (virtual storage server). In the network system 1, the CPE 100 and the VHGW 200 are L2 tunnel connected, so that the RHNW2 and the VHNW3 are made into the same subnet (same segment). Thereby, RHNW2 in a user's home and VHNW3 in DC30 in a remote base can be used as one home network.

このように、ネットワークシステム1は、VHNW3がDC30に配置されていることから、計算機リソースの制約がなくなり、ホームネットワークやホームゲートウェイとしての性能や機能を仮想化技術などによって容易に拡張することができる。ここで、このようなネットワークシステム1においては、RHNW2内の端末からVHNW3内の装置(例えば、仮想APサーバや、仮想ストレージなど)にアクセスする場合も、RHNW2の端末からインターネット上の装置にアクセスする場合も、同一のL2(レイヤ2:OSI参照モデルのデータリンク層、または第2層)トンネルを経由することとなる。   As described above, since the VHNW 3 is arranged in the DC 30, the network system 1 is free from computer resource restrictions and can easily expand performance and functions as a home network or home gateway by using a virtualization technology or the like. . Here, in such a network system 1, even when a device in the VHNW 3 (for example, a virtual AP server or a virtual storage) is accessed from a terminal in the RHNW 2, a device on the Internet is accessed from the terminal in the RHNW 2. In this case, the same L2 (Layer 2: Data link layer or second layer of OSI reference model) tunnel is used.

上述したように、ネットワークシステム1においては、RHNW2とVHNW3とがアクセスネットワークや、インターネットなどのネットワーク4の上をL2トンネルで接続される。従って、例えば、DC30が盗聴や改竄される可能性の高い網であるインターネット上に位置する(インターネット上にL2トンネルを構築する)場合には、暗号などが適用されたセキュアなL2VPN(L2 Virtual Private Network)がトンネルリング技術として適用されるのが一般的である。   As described above, in the network system 1, the RHNW 2 and the VHNW 3 are connected via an L2 tunnel over the network 4 such as an access network or the Internet. Therefore, for example, when the DC 30 is located on the Internet, which is a network that is highly likely to be wiretapped or tampered with (constructing an L2 tunnel on the Internet), a secure L2VPN (L2 Virtual Private) to which encryption or the like is applied. Network) is generally applied as a tunneling technology.

ここで、従来技術においては、RHNW2内の端末からVHNW3内の装置にアクセスする場合も、RHNW2内の端末からVHNW3とは異なるインターネットなどの外部ネットワーク5上の装置にアクセスする場合も、L2VPNによって構築されたL2トンネルを経由することとなる。例えば、RHNW2からVHNW3内の装置にアクセスするということは、従来のホームネットワークで例えると、ホームネットワーク内の端末から、同じホームネットワーク内の通信装置にアクセスすることと同じである。従って、このアクセスに関する通信内容はホームネットワークの外部からの盗聴や改竄などに対してセキュアに管理されることが望ましいため、通信路に暗号化などが施されたセキュアなL2VPNによって構築されたL2トンネルをそのまま利用してRHNW2からVHNW3へアクセスするのが望ましい。   Here, in the prior art, when accessing a device in VHNW3 from a terminal in RHNW2, or when accessing a device on external network 5, such as the Internet, which is different from VHNW3 from a terminal in RHNW2, it is constructed by L2VPN. Will be routed through the L2 tunnel. For example, accessing a device in the VHNW3 from the RHNW2 is the same as accessing a communication device in the same home network from a terminal in the home network when compared with a conventional home network. Therefore, since it is desirable that the communication contents related to this access be securely managed against eavesdropping or tampering from the outside of the home network, an L2 tunnel constructed by a secure L2VPN whose communication path is encrypted, etc. It is desirable to access the RHNW2 to the VHNW3 using the above as it is.

一方、ネットワークシステム1のようなネットワーク環境では、RHNW2からインターネット上の通信装置へアクセスする場合、インターネットへのゲートウェイが配置されているVHNW3を経由する必要があるので、L2トンネルを通過することになる。つまり、インターネットへアクセスする場合も、画一的にセキュアなL2VPNによって構築されたトンネルを通ることとなる。かかる場合、そもそもインターネットに出ていく通信であるため、通信内容全体の暗号化などは必須ではない通信であっても、セキュアなL2VPNを経由することとなるため、必須ではない暗号・認証・署名などの処理を要してしまい、通信パフォーマンスが低下してしまう。また、L2トンネルを通る通信は、その分のトンネリング(IPカプセリング)のためのヘッダサイズ分だけオーバヘッドが発生して1回の通信で送信できるデータサイズが減少し、通信効率が低下してしまうため、通信処理に係るコストは、可能な限り抑える必要がある。   On the other hand, in a network environment such as the network system 1, when accessing a communication device on the Internet from the RHNW 2, it is necessary to go through the VHNW 3 in which a gateway to the Internet is arranged, so that it passes through the L2 tunnel. . In other words, even when accessing the Internet, it passes through a tunnel constructed by a uniform L2VPN. In such a case, since the communication goes out to the Internet in the first place, even if the communication content is not required to be encrypted, the communication goes through the secure L2VPN. The communication performance is degraded. Further, in communication through the L2 tunnel, overhead is generated by the amount corresponding to the header size for tunneling (IP encapsulation), the data size that can be transmitted in one communication is reduced, and communication efficiency is lowered. The cost related to the communication processing needs to be suppressed as much as possible.

そこで、第1の実施形態にかかるネットワークシステム1では、以下、詳細に説明する通信制御装置(CPE)100及び通信制御装置(VHGW)200の処理により、インターネットへのアクセスにおける通信効率の低下を低減することを可能にする。なお、第1の実施形態に係るCPE100やVHGW200では、図2に示すように、IPv4及び/またはIPv6などのアドレス管理機能を備える。   Therefore, in the network system 1 according to the first embodiment, the communication control device (CPE) 100 and the communication control device (VHGW) 200, which will be described in detail below, reduce the reduction in communication efficiency in accessing the Internet. Make it possible to do. Note that the CPE 100 and the VHGW 200 according to the first embodiment have an address management function such as IPv4 and / or IPv6 as shown in FIG.

以下、図2に例示した通信制御装置(CPE)100及び通信制御装置(VHGW)200の詳細について説明する。まず、RHNW2内の端末10が送信元であり、宛先がVHNW3内の端末(仮想APサーバ又は仮想ストレージ)20又はインターネット上の端末30である場合について説明する。図3は、第1の実施形態に係る通信制御装置の構成の一例を示す図である。   Details of the communication control apparatus (CPE) 100 and the communication control apparatus (VHGW) 200 illustrated in FIG. 2 will be described below. First, a case where the terminal 10 in the RHNW 2 is a transmission source and the destination is the terminal (virtual AP server or virtual storage) 20 in the VHNW 3 or the terminal 30 on the Internet will be described. FIG. 3 is a diagram illustrating an example of the configuration of the communication control apparatus according to the first embodiment.

図3に示すように、通信制御装置100は、通信部110と、制御部120と、記憶部130とを備え、アクセスネットワークやインターネットなどを介して通信制御装置200とL2トンネル接続されている。   As shown in FIG. 3, the communication control device 100 includes a communication unit 110, a control unit 120, and a storage unit 130, and is connected to the communication control device 200 via an L2 tunnel via an access network, the Internet, or the like.

通信部110は、例えば、LAN(Local Area Network)インターフェースや、WAN(Wide Area Network)インターフェースなどであり、通信データである、L2のフレームやその中のL3(レイヤ3:OSI参照モデルのネットワーク層、または第3層)のパケットの送受信を実行する。具体的には、通信部110は、後述するトンネリング処理部124による処理後の通信を、トンネルの対向終端装置であるVHGW200との間で実行する。また、通信部110は、スイッチ、ハブ、ブリッジ機能などを備える。   The communication unit 110 is, for example, a LAN (Local Area Network) interface, a WAN (Wide Area Network) interface, and the like. The communication data 110 includes L2 frames and L3 (Layer 3: OSI reference model network layer) included therein. Or the third layer) packet transmission / reception. Specifically, the communication unit 110 executes communication after processing by the tunneling processing unit 124 described later with the VHGW 200 that is the opposite terminal device of the tunnel. The communication unit 110 includes a switch, a hub, a bridge function, and the like.

記憶部130は、図3に示すように、暗号特定情報記憶部131を有する。記憶部130は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。   As illustrated in FIG. 3, the storage unit 130 includes an encryption specific information storage unit 131. The storage unit 130 is, for example, a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk.

暗号特定情報記憶部131は、パケットが暗号化済か否かを特定するための情報を記憶する。また、暗号特定情報記憶部131が記憶する情報は、後述する解析部122によって参照される情報である。具体的には、暗号特定情報記憶部131は、例えば、レイヤ別に、暗号化済とみなす通信の条件および未暗号化とみなす通信の条件を記憶する。   The encryption specifying information storage unit 131 stores information for specifying whether or not the packet has been encrypted. The information stored in the encryption specific information storage unit 131 is information referred to by the analysis unit 122 described later. Specifically, the encryption specific information storage unit 131 stores, for example, a communication condition regarded as encrypted and a communication condition regarded as unencrypted for each layer.

例えば、暗号特定情報記憶部131は、暗号化済・未暗号化とみなす通信の条件として、「宛先・送信元情報」、「暗号通信プロトコルとして割り当てられているIPプロトコル番号」、「暗号通信に割り当てられているTCPやUDPのポート番号」、および、「データ・ファイルを暗号化して送受信するアプリケーション」の情報を記憶している。   For example, the encryption specific information storage unit 131 uses “destination / source information”, “IP protocol number assigned as an encryption communication protocol”, “encryption communication” as communication conditions to be regarded as encrypted / unencrypted. Information of “assigned TCP and UDP port numbers” and “applications that encrypt and transmit data files” are stored.

暗号特定情報記憶部131は、宛先・送信元情報について、宛先や送信元(例えば、MACアドレスやIPアドレス)と暗号通信の有無があらかじめ対応付けることができる場合には、宛先や送信元を暗号化済・未暗号化とみなす通信の条件として記憶する。つまり、あるMACアドレスを宛先とした通信については、パケットが暗号化済みであるということが予め決まっている場合には、そのMACアドレスを、暗号化済とみなす通信の条件として記憶する。   The encryption specific information storage unit 131 encrypts the destination and the transmission source information when the destination and the transmission source (for example, the MAC address and the IP address) and the presence / absence of encrypted communication can be associated in advance. It is stored as a communication condition that is regarded as completed / unencrypted. That is, for communication destined for a certain MAC address, if it is previously determined that the packet has been encrypted, the MAC address is stored as a communication condition that is regarded as encrypted.

また、暗号特定情報記憶部131は、暗号通信プロトコルとして割り当てられているIPプロトコル番号として、例えば、「50番(ESP(Encap Security Payload Protocol))」を記憶する。また、暗号特定情報記憶部131は、暗号通信に割り当てられているTCPやUDPのポート番号として、例えば、「22番(SSH(Secure SHell))」、「443番(HTTPS(Hypertext Transfer Protocol Security))」を記憶する。   Also, the encryption specific information storage unit 131 stores, for example, “50 (ESP (Encap Security Payload Protocol))” as the IP protocol number assigned as the encryption communication protocol. Also, the encryption specific information storage unit 131 uses, for example, “22 (SSH (Secure SHell))”, “443 (HTTP (Hypertext Transfer Protocol Security)) as the TCP or UDP port numbers assigned to the encrypted communication. ) ".

また、暗号特定情報記憶部131は、データ・ファイルを暗号化して送受信するアプリケーションとして、暗号化アプリケーション等で暗号化したデータやファイルを非暗号通信路で送信する場合、このことを示すアプリケーションのヘッダの制御情報や、暗号化ファイルのヘッダ情報に埋め込まれ暗号化を示す情報を記憶する。例えば、PGP(Pretty Good Privacy)の制御情報に、Mime-Versionヘッダが存在し、Content-Typeヘッダがmultipart/encryptedであり、protocolが「application/pgp-encrypted」であって、制御情報部にPGPを示すMineヘッダが存在する場合は、データが暗号化されていることとみなせる。また、例えば、S/MIME(Secure/Multipurpose Internet Mail Extensions)なども同様に制御情報を参照することで(メールのヘッダ情報に、Content-Description: S/MIME Encrypted Messageが含まれている場合)、データが暗号化されているか否かを確認できる。   In addition, the encryption specific information storage unit 131, when transmitting data or files encrypted by an encryption application or the like as an application for encrypting and transmitting data files, via an unencrypted communication path, indicates an application header indicating this. Control information and information indicating encryption embedded in the header information of the encrypted file. For example, PGP (Pretty Good Privacy) control information has a Mime-Version header, Content-Type header is multipart / encrypted, protocol is “application / pgp-encrypted”, and PGP If there is a Mine header indicating, it can be assumed that the data is encrypted. In addition, for example, S / MIME (Secure / Multipurpose Internet Mail Extensions) etc. also refer to the control information in the same way (when the header information of the mail contains Content-Description: S / MIME Encrypted Message) You can check whether the data is encrypted.

なお、後述する解析部122は、暗号化済とみなす通信の条件に対応する各情報に合致する場合には、その通信を暗号化済の通信とみなし、未暗号化とみなす通信の条件に対応する各情報に合致する場合には、その通信を未暗号化の通信とみなす。   Note that the analysis unit 122, which will be described later, corresponds to the communication condition that the communication is regarded as unencrypted when it matches each information corresponding to the communication condition regarded as encrypted. If it matches each piece of information, the communication is regarded as unencrypted communication.

ここで、図4の例を用いて、暗号特定情報記憶部131に記憶される情報の一例を説明する。図4は、暗号特定情報記憶部131に記憶される情報の一例を示す図である。図4に例示するように、暗号特定情報記憶部131は、解析対象となる情報のレイヤを示す「パケットのレイヤ」と、解析対象となる情報の種別を示す「解析対象」と、パケットが暗号化済である場合の条件である「暗号化済とみなす通信の条件」と、パケットが暗号化済みでない場合の条件である「未暗号化とみなす通信の条件」とを対応付けて記憶する。   Here, an example of information stored in the encryption specific information storage unit 131 will be described using the example of FIG. FIG. 4 is a diagram illustrating an example of information stored in the encryption specific information storage unit 131. As illustrated in FIG. 4, the encryption specific information storage unit 131 includes a “packet layer” indicating a layer of information to be analyzed, an “analysis target” indicating the type of information to be analyzed, and a packet encrypted. The “condition of communication regarded as encrypted” that is a condition when the packet is encrypted and the “condition of communication regarded as unencrypted” that is a condition when the packet is not encrypted are stored in association with each other.

例えば、暗号特定情報記憶部131は、パケットのレイヤ「データリンク」と、解析対象「宛先MAC」と、暗号化済とみなす通信の条件「XX:YY:ZZ:AA:BB:CC」、「XX:VV:TT:DD:BB:FF」・・・と、未暗号化とみなす通信の条件「11:22:33:AA:BB:88」・・・とを対応付けて記憶する。つまり、これは、パケットにおけるデータリンク層の宛先MACアドレスが、「XX:YY:ZZ:AA:BB:CC」や「XX:VV:TT:DD:BB:FF」と一致する場合には、該パケットが暗号化済であることを意味し、「11:22:33:AA:BB:88」等と一致する場合には、該パケットが未暗号化であることを意味している。また、例えば、ある特定のIPアドレスとポート番号の組などの様にレイヤをまたがる複数の組を条件としてもよい。   For example, the encryption specific information storage unit 131 includes a packet layer “data link”, an analysis target “destination MAC”, and communication conditions “XX: YY: ZZ: AA: BB: CC”, “ XX: VV: TT: DD: BB: FF "... And a communication condition“ 11: 22: 33: AA: BB: 88 ”. That is, this is because when the destination MAC address of the data link layer in the packet matches “XX: YY: ZZ: AA: BB: CC” or “XX: VV: TT: DD: BB: FF” This means that the packet has been encrypted, and if it matches “11: 22: 33: AA: BB: 88” or the like, it means that the packet has not been encrypted. In addition, for example, a plurality of sets across layers such as a specific IP address and port number set may be used as a condition.

図3の説明に戻って、制御部120は、識別部121と、解析部122と、判定部123と、トンネリング処理部124とを有する。ここで、制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。   Returning to the description of FIG. 3, the control unit 120 includes an identification unit 121, an analysis unit 122, a determination unit 123, and a tunneling processing unit 124. Here, the control unit 120 is an electronic circuit such as a central processing unit (CPU) or a micro processing unit (MPU), or an integrated circuit such as an application specific integrated circuit (ASIC) or a field programmable gate array (FPGA).

識別部121は、RHNW2に含まれる端末からの通信の宛先が、トンネルの対向側のネットワークであるVHNW3内であるか、又は、ホームネットワーク(RHNW2とVHNW3からなる同一L2セグメントネットワーク)とは異なるインターネットなどの外部ネットワーク5であるかを識別する。具体的には、識別部121は、RHNW2内の端末からのL2フレームまたはパケットの宛先がVHNW3内であるか、又はインターネットであるかを識別する。図5は、第1の実施形態に係る通信制御装置100による宛先識別処理及びトンネリング処理を説明するための図である。なお、説明上不要な情報は割愛している。   The identification unit 121 is configured such that the communication destination from the terminal included in the RHNW2 is in the VHNW3 which is a network on the opposite side of the tunnel, or is different from the home network (the same L2 segment network including the RHNW2 and the VHNW3). To identify the external network 5. Specifically, the identification unit 121 identifies whether the destination of the L2 frame or packet from the terminal in the RHNW2 is in the VHNW3 or the Internet. FIG. 5 is a diagram for explaining destination identification processing and tunneling processing by the communication control apparatus 100 according to the first embodiment. Information unnecessary for explanation is omitted.

ここで、図5においては、図5の(A)にRHNW2内の端末から受信したL2フレームを示す。また、図5においては、図5の(B)にパケットの宛先がVHNW3内の通信装置であった場合のL2VPNを構成するパケットの構造例を示す。また、図5においては、図5の(C)にパケットの宛先がインターネット上の通信装置であった場合のL2VPN内のパケットの構造例を示す。なお、図5の(B)及び(C)については、トンネリング処理部124を説明する際に、詳細を説明する。   Here, in FIG. 5, an L2 frame received from a terminal in the RHNW2 is shown in FIG. FIG. 5B shows an example of the structure of a packet constituting the L2VPN when the destination of the packet is a communication device in the VHNW3. FIG. 5C shows an example of the structure of a packet in the L2VPN when the destination of the packet is a communication device on the Internet. 5 (B) and 5 (C) will be described in detail when the tunneling processing unit 124 is described.

例えば、端末から受信したL2フレームは、図5の(A)に示すように、ペイロードと、TCPまたはUDPの宛先ポート番号と、TCPまたはUDPの送信元ポート番号と、宛先IPアドレスと、送信元IPアドレスと、宛先MACアドレスと、送信元MACアドレスとを含む。なお、TCPやUDPを使用しない通信では、宛先ポート番号と送信元ポート番号は含まれない。   For example, as shown in FIG. 5A, an L2 frame received from a terminal includes a payload, a TCP or UDP destination port number, a TCP or UDP source port number, a destination IP address, and a source It includes an IP address, a destination MAC address, and a source MAC address. Note that in communication not using TCP or UDP, the destination port number and the source port number are not included.

例えば、識別部121は、通信部110が図5の(A)に示すL2フレームまたはパケットを受信すると、L2のフレームレベル、或いは、L3のパケットレベルで宛先を識別する。例えば、L2のフレームレベルで識別する場合には、識別部121は、受信したL2フレームの宛先MACアドレスを参照して、格納されたMACアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛(つまり、インターネットとの間のゲートウェイ装置のMACアドレス)であるかを識別する。ここで、識別部121は、通信部110のL2スイッチ機能に備えられたMACアドレス学習を利用して、宛先を識別することも可能である。   For example, when the communication unit 110 receives the L2 frame or packet shown in FIG. 5A, the identification unit 121 identifies the destination at the L2 frame level or the L3 packet level. For example, when identifying at the L2 frame level, the identifying unit 121 refers to the destination MAC address of the received L2 frame, and the stored MAC address is addressed to the communication device in the VHNW3, or It is identified whether it is addressed to a communication device on the Internet (that is, the MAC address of the gateway device with the Internet). Here, the identification unit 121 can also identify a destination by using MAC address learning provided in the L2 switch function of the communication unit 110.

かかる場合には、例えば、識別部121は、通信部110によるMACアドレス学習によって、スイッチのポートと、そのポートの接続先の通信装置のMACアドレスとを対応付けて記憶することで、記憶したMACアドレスの情報を用いて宛先を特定することができる。例えば、識別部121は、L2トンネルに使用するポートと対応付けて記憶されているMACアドレスを宛先MACアドレスとする通信の宛先をVHNW3内として特定する。この手法は、MACアドレス学習によって、ホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内の通信装置のMACアドレスを学習した後には、処理負荷の面でも、有用な識別方法である。   In such a case, for example, the identification unit 121 stores the MAC address of the switch by associating and storing the MAC address of the communication device to which the port is connected by MAC address learning by the communication unit 110. The destination can be specified using the address information. For example, the identification unit 121 identifies the destination of communication with the MAC address stored in association with the port used for the L2 tunnel as the destination MAC address as VHNW3. This method is a useful identification method also in terms of processing load after learning the MAC address of the communication device in the home network (L2 network of the same segment consisting of RHNW2 and VHNW3) by MAC address learning.

また、例えば、L3のパケットレベルで識別する場合には、識別部121は、受信したパケットの宛先IPアドレスを参照して、格納されたIPアドレスが、VHNW3内の通信装置宛であるか、或いは、インターネット上の通信装置宛であるかを識別する。例えば、識別部121は、格納されたIPアドレスがホームネットワーク(RHNW2とVHNW3からなる同一セグメントのL2ネットワーク)内のプライベートアドレスであるか、リンクローカルアドレスであるか、同一セグメント内のプレフィックスを持つアドレスであるか、或いは、ホームネットワークの外部ネットワーク5のグローバルアドレスであるかにより、宛先を識別する。なお、上記した識別方法は、いずれか1つを用いる場合であってもよく、或いは、複数を組み合わせて用いる場合であってもよい。   Further, for example, when identifying at the packet level of L3, the identifying unit 121 refers to the destination IP address of the received packet, and the stored IP address is addressed to the communication device in the VHNW3, or Identify whether it is addressed to a communication device on the Internet. For example, the identification unit 121 determines whether the stored IP address is a private address in the home network (the L2 network of the same segment including RHNW2 and VHNW3), a link local address, or an address having a prefix in the same segment. Or the global address of the external network 5 of the home network, the destination is identified. Note that any one of the identification methods described above may be used, or a combination of a plurality of identification methods may be used.

識別部121は、上記した識別方法を用いて、宛先として、VHNW3内の通信装置及びインターネット上の通信装置に加えて、RHNW2内の通信装置(端末)を識別することも可能である。   Using the above-described identification method, the identification unit 121 can identify a communication device (terminal) in the RHNW 2 as a destination in addition to the communication device in the VHNW 3 and the communication device on the Internet.

図3の説明に戻って、解析部122は、識別部121で識別されたパケットの宛先がVHNW3内の端末20である場合には、該パケットが暗号化されたデータであるか否かを解析する。具体的には、解析部122は、識別部121で識別されたパケットの宛先がVHNW3内の端末20である場合には、暗号特定情報記憶部131を参照して、パケットが暗号済か否かを、パケットのヘッダ部からデータ部までの順(例えば、データリンク層→ネットワーク層→トランスポート層→アプリケーションの順)に解析し、暗号特定情報記憶部131に記憶された条件に該当するものがあるか否かを確認する。例えば、解析部122は、ネットワーク層のIPヘッダ情報(宛先IPアドレス)に、暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件に該当するものがあった場合には、それ以上の解析、すなわち、トランスポート層、アプリケーション層についての解析は不要である。   Returning to the description of FIG. 3, when the destination of the packet identified by the identification unit 121 is the terminal 20 in the VHNW 3, the analysis unit 122 analyzes whether or not the packet is encrypted data. To do. Specifically, when the destination of the packet identified by the identification unit 121 is the terminal 20 in the VHNW 3, the analysis unit 122 refers to the encryption specific information storage unit 131 to determine whether or not the packet has been encrypted. Are analyzed in the order from the header part to the data part of the packet (for example, the order of data link layer → network layer → transport layer → application), and those corresponding to the conditions stored in the encryption specific information storage unit 131 Check if it exists. For example, if the IP header information (destination IP address) in the network layer includes a communication condition that is considered to be encrypted or a communication condition that is considered to be unencrypted, Further analysis, that is, analysis of the transport layer and application layer is unnecessary.

ここで、図4の例を用いて、解析処理について具体的に説明する。まず、解析部122は、暗号特定情報記憶部131を参照し、パケットのレイヤ「データリンク」、解析対象「宛先MAC」のレコードを読み出し、受信したパケットの宛先MACアドレスが暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致するかを確認する。この結果、受信したパケットの宛先MACアドレスが、暗号化済とみなす通信の条件として記憶されたMACアドレスと一致する場合には、暗号化済のパケットとみなし、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致する場合には、未暗号化のパケットとみなす。   Here, the analysis processing will be specifically described with reference to the example of FIG. First, the analysis unit 122 reads the record of the packet layer “data link” and the analysis target “destination MAC” with reference to the encryption specific information storage unit 131 and considers that the destination MAC address of the received packet is encrypted. Or the MAC address stored as the communication condition regarded as unencrypted. As a result, when the destination MAC address of the received packet matches the MAC address stored as the communication condition regarded as encrypted, the packet is regarded as an encrypted packet, and as the communication condition regarded as unencrypted. If it matches the stored MAC address, it is regarded as an unencrypted packet.

また、受信したパケットの宛先MACアドレスが、受信したパケットの宛先MACアドレスが暗号化済とみなす通信の条件、および、未暗号化とみなす通信の条件として記憶されたMACアドレスと一致しない場合には、次に、パケットのレイヤ「ネットワーク」、解析対象「宛先IPアドレス」のレコードを読み出し、上記と同様に、受信したパケットの宛先IPアドレスが暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件として記憶されたIPアドレスと一致するかを確認する。   In addition, when the destination MAC address of the received packet does not match the MAC address stored as the communication condition that the destination MAC address of the received packet is considered encrypted and the communication condition that is considered as unencrypted Next, the record of the packet layer “network” and the analysis target “destination IP address” is read, and in the same manner as described above, the communication condition that the destination IP address of the received packet is regarded as encrypted or unencrypted It is confirmed whether or not the IP address stored as the communication condition to be considered matches.

その後、暗号化済とみなす通信の条件、または、未暗号化とみなす通信の条件に一致するまで、パケットのレイヤ「ネットワーク」であって解析対象「プロトコル番号」のレコード、パケットのレイヤ「トランスポート」であって解析対象「ポート番号」のレコード、パケットのレイヤ「アプリケーション」であって解析対象「パケットデータ部分」のレコードを順次読み出して、解析する処理を繰り返す。このように、パケットヘッダのみから既に暗号化された通信か否かを判定できない場合があり、データ部までチェックを要することもある。なお、最後のレコードを読み出して解析処理を行った結果、パケットが暗号化されているか否かを特定できない場合には、通信処理効率よりも安全性を重視して、パケットを未暗号化とみなす。   After that, until it matches the condition of communication considered to be encrypted or the condition of communication considered to be unencrypted, it is the packet layer “network” and the analysis target “protocol number” record, the packet layer “transport” ”And the analysis target“ port number ”record and the packet layer“ application ”and the analysis target“ packet data portion ”record are sequentially read and analyzed. In this way, it may not be possible to determine whether or not the communication is already encrypted from only the packet header, and the data part may need to be checked. Note that if it is not possible to determine whether the packet is encrypted as a result of reading and analyzing the last record, the packet is regarded as unencrypted, with an emphasis on safety rather than communication processing efficiency. .

図3の説明に戻って、判定部123は、識別部121または解析部122の結果を用いて、この結果に対応するパケットに施すトンネリングの処理の内容を判定する。例えば、判定部123は、宛先がトンネル対向側のVHNW3でない場合には、トンネリング処理をしないと判定する。また、判定部123は、宛先がトンネル対向側の外部ネットワーク5の場合、つまり、例えば、送信元端末から受信したL2フレームまたはパケットの宛先がVHNW3外の通信装置であると識別された場合には、カプセル化を行うと判定する。   Returning to the description of FIG. 3, the determination unit 123 uses the result of the identification unit 121 or the analysis unit 122 to determine the content of the tunneling process performed on the packet corresponding to this result. For example, the determination unit 123 determines not to perform the tunneling process when the destination is not the VHNW3 on the tunnel facing side. In addition, when the destination is the external network 5 on the opposite side of the tunnel, that is, for example, when the destination of the L2 frame or packet received from the transmission source terminal is identified as a communication device outside the VHNW3, It is determined that encapsulation is performed.

また、判定部123は、宛先がトンネル対向側の内部ネットワーク、つまり送信元がRHNW2の場合はVHNW3であって、かつ、パケットに暗号化が施されている場合、つまり、例えば、送信元端末から受信したL2フレームまたはパケットの宛先がVHNW3内の通信装置であると識別され、且つ、パケットに暗号化が施されていると解析された場合には、カプセル化を行うと判定する。   In addition, the determination unit 123 is an internal network on the opposite side of the tunnel, that is, VHNW3 when the transmission source is RHNW2, and the packet is encrypted, that is, for example, from the transmission source terminal When the destination of the received L2 frame or packet is identified as a communication device in the VHNW 3 and it is analyzed that the packet is encrypted, it is determined that the encapsulation is performed.

また、判定部123は、宛先がトンネル対向側の内部ネットワークであって、且つ、パケットに暗号化が施されていない場合には、暗号化およびカプセル化の処理を施すと判定する。すなわち、判定部123は、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理(L2フレームに対するトンネリングのためのIPカプセリング処理)とを実行すると判定する。一例を挙げると、判定部123は、受信したL2フレームに対してL2TPv3(L2 Tunneling Protocol version 3)とIPSecとを組み合わせた処理や、OpenVPN(登録商標)による処理を実行するように判定する。   Further, the determination unit 123 determines to perform encryption and encapsulation processing when the destination is the internal network on the tunnel opposite side and the packet is not encrypted. That is, the determination unit 123 determines to execute security processing such as encryption / authentication / signature and L2 encapsulation processing (IP encapsulation processing for tunneling the L2 frame) on the received L2 frame. For example, the determination unit 123 determines to execute processing that combines L2TPv3 (L2 Tunneling Protocol version 3) and IPSec, or processing based on OpenVPN (registered trademark) on the received L2 frame.

トンネリング処理部124は、判定部123によって判定されたL2トンネリング処理を実行する。具体的には、トンネリング処理部124は、パケットの宛先がトンネル対向側の外部ネットワーク5である場合には、カプセル化を行う。また、トンネリング処理部124は、パケットの宛先が内部ネットワークであって、パケットが暗号化されたデータである場合、つまり、端末からの通信の宛先がVHNW3内である場合であって、パケットが暗号化されたデータである場合には、カプセル化を行う。また、トンネリング処理部124は、パケットの宛先が内部ネットワークであって、パケットが暗号化されていないデータである場合には、暗号化およびカプセル化の処理を行う。   The tunneling processing unit 124 executes the L2 tunneling process determined by the determination unit 123. Specifically, the tunneling processing unit 124 performs encapsulation when the destination of the packet is the external network 5 on the tunnel facing side. Also, the tunneling processing unit 124 determines that the packet destination is the internal network and the packet is encrypted data, that is, the communication destination from the terminal is in the VHNW3, and the packet is encrypted. If the data is converted into data, it is encapsulated. The tunneling processing unit 124 performs encryption and encapsulation processing when the destination of the packet is an internal network and the packet is unencrypted data.

例えば、受信したL2フレームに対して暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行すると判定された場合には、トンネリング処理124は、図5の(B)に示すように、L2フレームをL2VPNの暗号化対象部分として暗号化などの処理をして、L2トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。ここで、L2トンネルヘッダやその他のヘッダは、L2VPNを識別する識別情報などを格納する領域として利用されてもよい。例えば、トンネリング処理部124は、判定部123の判定結果や、自身が実行した処理内容を示す情報をL2トンネルヘッダやその他のヘッダに格納する。また、付加された宛先IPアドレスは、VHGW200側のトンネル終端装置のグローバルアドレスが格納される領域である。また、付加された送信元IPアドレスは、CPE100側のトンネル終端装置のグローバルアドレスが格納される領域である。   For example, when it is determined to execute security processing such as encryption / authentication / signature and L2 encapsulation processing on the received L2 frame, the tunneling processing 124 is performed as shown in FIG. The L2 frame is encrypted using the L2VPN encryption target part, and the L2 tunnel header and other headers, the destination IP address, and the source IP address are added. Here, the L2 tunnel header and other headers may be used as an area for storing identification information for identifying the L2VPN. For example, the tunneling processing unit 124 stores the determination result of the determination unit 123 and information indicating the processing content executed by itself in the L2 tunnel header and other headers. The added destination IP address is an area in which the global address of the tunnel terminating device on the VHGW 200 side is stored. The added source IP address is an area in which the global address of the tunnel termination device on the CPE 100 side is stored.

また、例えば、受信したL2フレームに対してL2カプセリング処理のみを実行するように判定された場合には、トンネリング処理部124は、図5の(C)に示すように、L2フレームに、トンネルヘッダやその他のヘッダと、宛先IPアドレスと、送信元IPアドレスとを付加する。   For example, when it is determined that only the L2 encapsulation process is performed on the received L2 frame, the tunneling processing unit 124 includes a tunnel header in the L2 frame, as illustrated in FIG. And other headers, a destination IP address, and a source IP address are added.

また、受信したL2フレームをL2スイッチやブリッジ機能によってL2レイヤの処理で転送するように判定された場合には、具体的には、宛先が同じRHNW2内である場合は、トンネリング処理部124は特別な処理は実行しない。   In addition, when it is determined that the received L2 frame is transferred by the L2 switch or the bridge function by the processing of the L2 layer, specifically, when the destination is in the same RHNW2, the tunneling processing unit 124 Does not execute any processing.

通信部110は、トンネリング処理部124によって処理されたパケットをVHGW200に対して送信する。また、通信部110は、L2スイッチやブリッジ機能によってパケットをRHNW2内の通信装置に転送する。   The communication unit 110 transmits the packet processed by the tunneling processing unit 124 to the VHGW 200. In addition, the communication unit 110 transfers the packet to the communication device in the RHNW2 using an L2 switch or a bridge function.

ここで、図6および図7を用いて、トンネリング処理について説明する。図6は、第1の実施形態に係るネットワークシステムのトンネリング処理を説明するための図である。図7は、パケットの内容とトンネリング処理との対応関係を説明するための図である。図6に示すように、通信制御装置100は、宛先がトンネル対向側の外部ネットワーク5の場合、つまり、例えば、送信元端末10から受信したL2フレームまたはパケットの宛先がVHNW3外の端末30であると識別された場合には、カプセル化を行って、VHNW3外の端末30に対してパケットを転送する(図6の(1)参照)。   Here, the tunneling process will be described with reference to FIGS. 6 and 7. FIG. 6 is a diagram for explaining tunneling processing of the network system according to the first embodiment. FIG. 7 is a diagram for explaining the correspondence between the packet contents and the tunneling process. As shown in FIG. 6, the communication control apparatus 100 is configured such that the destination is the external network 5 on the tunnel opposite side, that is, for example, the destination of the L2 frame or packet received from the transmission source terminal 10 is the terminal 30 outside the VHNW3. Is identified, the packet is transferred to the terminal 30 outside the VHNW 3 (see (1) in FIG. 6).

また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークであって、かつ、パケットに暗号化が施されている場合、つまり、例えば、送信元端末10から受信したL2フレームまたはパケットの宛先がVHNW3内の通信装置20であると識別され、且つ、パケットに暗号化が施されている場合には、カプセル化およびヘッダの一部を行って、VHNW3内の通信装置20に対してパケットを送信する(図6の(2)参照)。   Further, the communication control apparatus 100, when the destination is the internal network on the opposite side of the tunnel and the packet is encrypted, that is, for example, the destination of the L2 frame or packet received from the transmission source terminal 10 Is identified as the communication device 20 in the VHNW3, and the packet is encrypted, the encapsulation and part of the header are performed, and the packet is sent to the communication device 20 in the VHNW3. Transmit (see (2) in FIG. 6).

また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークであって、且つ、パケットに暗号化が施されていない場合には、暗号化およびカプセル化の処理を施すと判定する。すなわち、通信制御装置100は、受信したL2フレームに対してVPNの暗号・認証・署名などのセキュリティ処理と、L2カプセリング処理とを実行し、VHNW3内の通信装置20に対してパケットを送信する(図6の(3)参照)。   Further, the communication control apparatus 100 determines that the encryption and encapsulation processing is performed when the destination is the internal network on the tunnel opposite side and the packet is not encrypted. That is, the communication control device 100 executes security processing such as VPN encryption / authentication / signature and L2 encapsulation processing on the received L2 frame, and transmits a packet to the communication device 20 in the VHNW 3 ( (See (3) in FIG. 6).

つまり、図7に示すように、通信制御装置100は、宛先がトンネル対向側の外部ネットワーク5である場合には、パケットが暗号化済であるか否かにかかわらず、カプセル化を行う。また、通信制御装置100は、宛先がトンネル対向側の内部ネットワークである場合には、パケットが暗号化済であれば、カプセル化を行い、パケットが未だ暗号化されていないのであれば、VPNの暗号化処理をパケットに施す。   That is, as illustrated in FIG. 7, when the destination is the external network 5 on the tunnel opposite side, the communication control apparatus 100 performs the encapsulation regardless of whether or not the packet has been encrypted. In addition, when the destination is an internal network on the opposite side of the tunnel, the communication control apparatus 100 performs encapsulation if the packet has been encrypted, and if the packet has not been encrypted yet, Encrypt the packet.

例えば、図6に例示する拠点Bの端末20から拠点Aの端末10へ著作権保護機能が施された映像をストリーム配信する場合は、既に暗号化されているパケットに対してさらにVPNにより暗号化する必要がないため、VPNの暗号化処理による通信制御装置100、通信制御装置200に対する過負荷を回避することで、通信品質のよいストリーミングを実現できる。   For example, when streaming a video with a copyright protection function from the terminal 20 at the base B illustrated in FIG. 6 to the terminal 10 at the base A, the encrypted packet is further encrypted by VPN. Therefore, streaming with good communication quality can be realized by avoiding overload on the communication control device 100 and the communication control device 200 due to the VPN encryption process.

図3の説明に戻って、通信制御装置100からパケットを受信する通信制御装置200の構成を説明する。通信制御装置200は、通信部210、トンネリング処理部220を有する。なお、ここでの説明では、通信制御部200は、受信したパケットのトンネリング処理を解除し、該パケットを宛先に送信するための処理部のみを有する場合を説明するが、これに限定されるものではなく、通信制御装置100と同様の構成であってもよく、通信制御装置100の制御部120および記憶部130に相当する制御部および記憶部を備えていてもよい。   Returning to the description of FIG. 3, the configuration of the communication control apparatus 200 that receives a packet from the communication control apparatus 100 will be described. The communication control apparatus 200 includes a communication unit 210 and a tunneling processing unit 220. In the description here, the case where the communication control unit 200 has only a processing unit for canceling the tunneling processing of the received packet and transmitting the packet to the destination is described, but the present invention is not limited to this. Instead, the configuration may be the same as that of the communication control device 100, and a control unit and a storage unit corresponding to the control unit 120 and the storage unit 130 of the communication control device 100 may be provided.

通信部210は、LANインターフェースや、WANインターフェースなどであり、L2フレームやパケットを送受信する。具体的には、通信部210は、L2トンネルを介してCPE100からL2トンネリング処理されたパケットを受信する。また、後述するトンネリング処理部240による処理後のパケットをVHNW3内或いは、インターネットに送信する。   The communication unit 210 is a LAN interface, a WAN interface, or the like, and transmits and receives L2 frames and packets. Specifically, the communication unit 210 receives a packet subjected to the L2 tunneling process from the CPE 100 via the L2 tunnel. Further, the packet after processing by the tunneling processing unit 240 described later is transmitted to the VHNW 3 or the Internet.

トンネリング処理部240は、L2トンネル対向側からの通信を受信して通信に施されている処理を識別して、通信内容全体に対する暗号化などのセキュリティ処理及びL2カプセリング処理の解除、又は、通信に対するL2カプセリングの解除を実行する。具体的には、トンネリング処理部240は、CPE100との間でL2トンネルの接続を確立して、トンネル経由で受信したパケットのL2トンネルヘッダやその他のヘッダに格納された識別情報などを参照して、対応したL2トンネリング処理を解除してパケットを取り出す。   The tunneling processing unit 240 receives the communication from the opposite side of the L2 tunnel and identifies the processing applied to the communication, and cancels the security processing such as encryption for the entire communication content and the L2 capsuling processing, or the communication Releases L2 encapsulation. Specifically, the tunneling processing unit 240 establishes an L2 tunnel connection with the CPE 100 and refers to identification information stored in the L2 tunnel header of the packet received via the tunnel or other headers. The corresponding L2 tunneling process is canceled and the packet is taken out.

上述したように、通信部210は、暗号化などのセキュリティ処理及びL2カプセリング処理、又は、L2カプセリング処理が解除された状態で、VHNW3、又はインターネットを宛先とする通信を実行する。   As described above, the communication unit 210 performs communication destined for VHNW3 or the Internet in a state where security processing such as encryption and L2 encapsulation processing or L2 encapsulation processing is released.

ここで、通信制御装置200から通信制御装置100へ送信する場合の処理について説明する。まず、通信制御装置200は、通信部210によってL2フレームまたはパケットを受信すると、L2フレームまたはパケットの宛先および送信元を、宛先MACアドレス(送信元MACアドレス)や宛先IPアドレス(送信先IPアドレス)に基づいて識別する。そして、通信制御装置200は、宛先が外部ネットワーク5宛である場合には、そのまま宛先へ送信する。   Here, processing in the case of transmission from the communication control apparatus 200 to the communication control apparatus 100 will be described. First, when the communication control unit 200 receives an L2 frame or packet by the communication unit 210, the communication control device 200 sets the destination and source of the L2 frame or packet as a destination MAC address (source MAC address) or destination IP address (destination IP address). Identify based on. If the destination is destined for the external network 5, the communication control apparatus 200 transmits the destination to the destination as it is.

また、通信制御装置200は、L2フレームまたはパケットの宛先が、RHNW2宛であって、且つ、送信元がVHNW3内の通信装置である場合には、暗号化済であればトンネリング処理部124によりカプセル化が行われた後、トンネル対向側の通信装置100へパケットを送信する。また、暗号化済でなければ、トンネリング処理部124により暗号化およびカプセル化の処理が施された後、トンネル対向側の通信装置100へパケットを送信する。   Further, when the destination of the L2 frame or packet is addressed to RHNW2 and the transmission source is a communication device in VHNW3, the communication control apparatus 200 encapsulates the packet by the tunneling processing unit 124 if it has been encrypted. After the conversion is performed, the packet is transmitted to the communication apparatus 100 on the tunnel opposite side. If not encrypted, the tunneling processing unit 124 performs encryption and encapsulation processing, and then transmits the packet to the communication device 100 on the tunnel facing side.

また、通信制御装置200は、L2フレームまたはパケットの宛先がRHNW2内宛であって、且つ、送信元が外部ネットワーク5上の通信装置である場合には、トンネリング処理部124による単純なカプセリングのみによるトンネリングによりRHNW2内の通信装置100へL2フレームまたはパケットを転送する。   Further, the communication control device 200 only uses simple encapsulation by the tunneling processing unit 124 when the destination of the L2 frame or packet is addressed to the RHNW 2 and the transmission source is a communication device on the external network 5. The L2 frame or packet is transferred to the communication apparatus 100 in the RHNW2 by tunneling.

[通信制御装置の構成]
次に、図8を用いて、第1の実施形態に係る通信制御装置100の処理の手順を説明する。図8は、第1の実施形態に係る通信制御装置100による処理の手順を説明するためのフローチャートである。 [Configuration of communication control unit]
Next, a processing procedure of the communication control apparatus 100 according to the first embodiment will be described with reference to FIG. FIG. 8 is a flowchart for explaining a procedure of processing performed by the communication control apparatus 100 according to the first embodiment.

通信制御装置100は、通信部110がL2フレームまたはパケットを受信すると(ステップS101)、判定部123が、宛先がトンネル対向側であるか判定する(ステップS102)。ここで、判定部123が、宛先がトンネル対向側ではないと判定した場合には、通信部110は、トンネリング処理を行わずに、宛先へパケットを送信する(ステップS103)。   When the communication unit 110 receives the L2 frame or packet (step S101), the communication control apparatus 100 determines whether the destination is on the tunnel opposite side (step S102). Here, when the determination unit 123 determines that the destination is not on the tunnel facing side, the communication unit 110 transmits the packet to the destination without performing the tunneling process (step S103).

また、判定部123は、宛先がトンネル対向側であると判定した場合には、宛先がトンネル対向側の内部ネットワークであるか判定する(ステップS104)。この結果、判定部123が、宛先がトンネル対向側の内部ネットワークでないと判定した場合には、トンネリング処理部124が、カプセル化を行い(ステップS105)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。   Further, when determining that the destination is on the tunnel facing side, the determining unit 123 determines whether the destination is an internal network on the tunnel facing side (step S104). As a result, when the determination unit 123 determines that the destination is not the internal network on the tunnel facing side, the tunneling processing unit 124 performs encapsulation (step S105), and the communication unit 110 transfers to the terminal on the tunnel facing side. A packet is transmitted (step S109).

また、判定部123は、宛先がトンネル対向側の内部ネットワークであると判定した場合には、パケットが暗号化済であるか否かを判定する(ステップS106)。この結果、判定部123が、パケットが暗号化済であると判定した場合には、カプセル化を行い(ステップS107)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。   If the determination unit 123 determines that the destination is the internal network on the tunnel opposite side, the determination unit 123 determines whether the packet has been encrypted (step S106). As a result, if the determination unit 123 determines that the packet has been encrypted, it performs encapsulation (step S107), and the communication unit 110 transmits the packet to the terminal on the tunnel opposite side (step S109). .

また、判定部123が、パケットが暗号化済でないと判定した場合には、トンネリング処理部124が、暗号化およびカプセル化の処理をパケットに施し(ステップS108)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS109)。   If the determination unit 123 determines that the packet has not been encrypted, the tunneling processing unit 124 performs encryption and encapsulation processing on the packet (step S108), and the communication unit 110 is connected to the tunnel opposite side. The packet is transmitted to the terminal (step S109).

(第1の実施形態の効果)
上述してきたように、第1の実施形態にかかる通信制御装置100では、第1のネットワーク2内の端末10から受信した通信データの宛先が、第2のネットワーク3内であるか、または、外部ネットワーク5であるかを識別する。そして、通信制御装置100は、識別された通信データの宛先が第2のネットワーク3内である場合には、該通信データが暗号化されたデータであるか否かを解析する。そして、通信制御装置100は、通信データの宛先が外部ネットワーク5である場合、または、解析された通信データが暗号化されたデータである場合には、通信データに対して通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。また、通信制御装置100は、解析された通信データが暗号化されたデータでない場合には、通信データに対して少なくとも暗号化処理及び通信制御装置200とトンネル通信するためのカプセリング処理を実行し、端末20へ送信する。その後、通信制御装置200は、通信制御装置100から送信された通信データを受信して、トンネリング処理の解除を実行し、トンネリング処理が解除された通信データを、宛先へ送信する。このため、パケットの通信内容を確認し、必要に応じて暗号化処理を行うことができる。この結果、トンネリング処理を行う通信において、処理負荷を抑えつつ、通信性能の低下を低減し、効率的に通信を行うことが可能である。 (Effects of the first embodiment)
As described above, in the communication control apparatus 100 according to the first embodiment, the destination of the communication data received from the terminal 10 in the first network 2 is in the second network 3 or externally. The network 5 is identified. Then, when the destination of the identified communication data is within the second network 3, the communication control apparatus 100 analyzes whether or not the communication data is encrypted data. Then, when the destination of the communication data is the external network 5 or when the analyzed communication data is encrypted data, the communication control apparatus 100 and the communication control apparatus 200 and the tunnel A capsule processing for communication is executed and transmitted to the terminal 20. Further, when the analyzed communication data is not encrypted data, the communication control device 100 executes at least encryption processing and encapsulation processing for tunnel communication with the communication control device 200 on the communication data, It transmits to the terminal 20. Thereafter, the communication control apparatus 200 receives the communication data transmitted from the communication control apparatus 100, executes cancellation of the tunneling process, and transmits the communication data from which the tunneling process has been canceled to the destination. For this reason, the communication content of the packet can be confirmed, and encryption processing can be performed as necessary. As a result, in communication in which tunneling processing is performed, it is possible to perform communication efficiently while suppressing a processing load and reducing a decrease in communication performance.

(第2の実施形態)
上述した第1の実施形態においては、パケットを受信するたびに、受信したパケットが暗号化済であるか否かを判定する場合を説明した。しかし、一度解析を行った通信については、それ以後、解析結果を流用することで、解析処理を省略し、次回以降のパケット解析の処理を簡略化することができる。 (Second Embodiment)
In the first embodiment described above, the case where it is determined whether or not the received packet has been encrypted each time a packet is received has been described. However, for the communication that has been analyzed once, the analysis result is diverted thereafter, so that the analysis processing can be omitted and the packet analysis processing from the next time onward can be simplified.

そこで、以下、第2の実施形態では、解析結果として通信の状態を記憶し、同一の通信については、記憶した通信の状態に基づいて、暗号化を行うか否かを判定する場合について説明する。図9は、第2の実施形態に係る通信制御装置の構成の一例を示す図である。ここで、第2の実施形態に係る通信制御装置100Aは、第1の実施形態に係る通信制御装置100と比較して、通信状態記憶部132と、照会部125とを備える点が異なる。以下、これらを中心に説明する。なお、第1の実施形態と同様の部分については説明を省略する。   Therefore, in the second embodiment, a case will be described in which the communication state is stored as an analysis result, and for the same communication, it is determined whether to perform encryption based on the stored communication state. . FIG. 9 is a diagram illustrating an example of the configuration of the communication control apparatus according to the second embodiment. Here, the communication control device 100A according to the second embodiment is different from the communication control device 100 according to the first embodiment in that it includes a communication state storage unit 132 and an inquiry unit 125. Hereinafter, these will be mainly described. Note that a description of the same parts as those in the first embodiment will be omitted.

通信状態記憶部132は、解析部122によって解析されたパケットに関する情報とともに、解析部122によって解析された通信データが暗号化されたデータであるか否かを示す解析結果を記憶する。具体的には、通信状態記憶部142は、解析部122により解析済のパケットに関する情報を記憶する。   The communication state storage unit 132 stores an analysis result indicating whether or not the communication data analyzed by the analysis unit 122 is encrypted data, along with information on the packet analyzed by the analysis unit 122. Specifically, the communication state storage unit 142 stores information on the packet that has been analyzed by the analysis unit 122.

例えば、通信状態記憶部132は、図10に例示するように、通信の状態として、通信を識別する番号である「エントリ」と、「送信元MACアドレス」と、「宛先MACアドレス」と、「送信元IPアドレス」と、「宛先IPアドレス」と、「プロトコル番号」と、「送信元ポート番号」と、「宛先ポート番号」と、受信したパケットが暗号化済であるか未暗号化であるかを示す情報である「状態」とを対応付けて記憶する。なお、全項目について記録することは必須ではなく、「状態」を特定できる1以上の項目からなる組であればよい。また、ここで記憶されたエントリは、例えば、エントリに該当するパケットが最後に通信されてから所定時間経過した後に削除してもよく、永続的に記憶されるべき情報ではない。また、その通信のセッションやコネクションの状態をさらに記憶し、セッションやコネクションの終了を確認した後に削除してもよい。   For example, as illustrated in FIG. 10, the communication state storage unit 132 includes “entry”, “source MAC address”, “destination MAC address”, “destination MAC address”, “ “Source IP address”, “Destination IP address”, “Protocol number”, “Source port number”, “Destination port number”, and the received packet is encrypted or unencrypted. Is stored in association with “state” which is information indicating the above. Note that it is not essential to record all items, and any combination of one or more items that can specify the “state” may be used. Also, the entry stored here may be deleted after a predetermined time has elapsed since the packet corresponding to the entry was last communicated, and is not information to be stored permanently. Further, the state of the communication session or connection may be further stored and deleted after confirming the end of the session or connection.

照会部125は、識別部121で識別されたパケットに関する情報が、通信状態記憶部132に記憶された解析されたパケットに関する情報と一致するか照会し、一致する情報が前記記憶部に記憶されている場合には、該解析されたパケットに関する情報に対応する解析結果を取得し、判定部123に通知する。   The inquiry unit 125 inquires whether the information on the packet identified by the identification unit 121 matches the information on the analyzed packet stored in the communication state storage unit 132, and the matching information is stored in the storage unit. If there is, the analysis result corresponding to the information about the analyzed packet is acquired and notified to the determination unit 123.

例えば、照会部125は、識別部121が識別したパケットが通信状態記憶部132内の情報に該当するものである場合には、そのパケットが該当する状態を判定部123に通知する。これにより、解析処理を行うことなく、パケットが暗号化済であるか未暗号化であるかを特定できる。また、通信状態記憶部132内の情報をハッシュ値化して記憶しておき、入力されたパケットのうち識別部121が識別した個所のハッシュ値を計算し、ハッシュ値同士で一致不一致を比較することで特定してもよい。これにより高速に照会を行うことが可能となる。   For example, when the packet identified by the identification unit 121 corresponds to the information in the communication state storage unit 132, the inquiry unit 125 notifies the determination unit 123 of the state corresponding to the packet. Thereby, it is possible to specify whether the packet is encrypted or not encrypted without performing analysis processing. In addition, the information in the communication state storage unit 132 is converted into a hash value and stored, the hash value of the part identified by the identification unit 121 in the input packet is calculated, and the hash values are compared for coincidence / mismatch. You may specify. This makes it possible to make a query at high speed.

解析部122は、第1の実施形態において説明した解析処理を行うとともに、解析処理により、パケットの宛先がトンネル対向の内部ネットワークであって、このパケットの全体または一部が暗号化されている、または、暗号化されていないことの状態を特定し、このパケット情報と暗号化済・暗号化されていないに関する状態を通信状態記憶部132に記憶させる。   The analysis unit 122 performs the analysis processing described in the first embodiment, and by the analysis processing, the destination of the packet is an internal network facing the tunnel, and all or a part of the packet is encrypted. Alternatively, the state of being unencrypted is specified, and the state relating to the packet information and the encrypted / unencrypted state is stored in the communication state storage unit 132.

また、解析部122は、照会部125によって照会した結果、識別部121で識別されたパケットに関する情報が、通信状態記憶部132に記憶された解析されたパケットに関する情報と一致しない場合にのみ、パケットが暗号化されたデータであるか否かを解析する。   Further, as a result of the inquiry made by the inquiry unit 125, the analysis unit 122 is a packet only when the information about the packet identified by the identification unit 121 does not match the information about the analyzed packet stored in the communication state storage unit 132. Analyzes whether or not is encrypted data.

次に、図11を用いて、第2の実施形態に係る通信制御装置による処理を説明する。図11は、第2の実施形態に係る通信制御装置による処理の手順を説明するためのフローチャートである。情報処理装置100Aの判定部123は、第1の実施形態に係る通信制御装置100と同様に、宛先がトンネル対向側の内部ネットワークであるか判定する(ステップS204)。   Next, processing by the communication control apparatus according to the second embodiment will be described with reference to FIG. FIG. 11 is a flowchart for explaining a procedure of processing performed by the communication control apparatus according to the second embodiment. The determination unit 123 of the information processing apparatus 100A determines whether the destination is an internal network on the tunnel facing side, similarly to the communication control apparatus 100 according to the first embodiment (step S204).

この結果、宛先がトンネル対向側の内部ネットワークである場合には、照会部125は、受信したパケットについて、通信状態記憶部132に該当する状態情報として、暗号化済であることを示す情報があるか否かを照会する(ステップS206)。この結果、通信状態記憶部132に該当する情報がある場合には、解析処理を行うことなく、トンネリング処理部124が、カプセル化を行い(ステップS208)、通信部110が、トンネル対向側の端末へパケットを送信する(ステップS210)。   As a result, when the destination is the internal network on the opposite side of the tunnel, the inquiry unit 125 has information indicating that the received packet is already encrypted as the state information corresponding to the communication state storage unit 132. Is inquired (step S206). As a result, when there is corresponding information in the communication state storage unit 132, the tunneling processing unit 124 performs the encapsulation without performing the analysis process (step S208), and the communication unit 110 is the terminal on the tunnel facing side. The packet is transmitted to (step S210).

(第2の実施形態の効果)
このように、第2の実施形態に係る通信制御装置100Aでは、解析された通信データに関する情報とともに、解析された通信データが暗号化されたデータであるか否かを示す解析結果を記憶する。そして、通信制御装置100Aは、通信データに関する情報が、記憶された解析された通信データに関する情報と一致するか照会し、一致する情報が記憶されている場合には、該解析された通信データに関する情報に対応する解析結果を取得する。そして、照会した結果、識別された通信データに関する情報が、記憶された解析された通信データに関する情報と一致しない場合にのみ、通信データが暗号化されたデータであるか否かを解析する。このため、一度解析を行った通信については、解析結果を流用することで、解析処理を省略し、次回以降のパケット解析処理を簡略化することができるため、処理負荷を軽減することが可能である。 (Effect of 2nd Embodiment)
As described above, the communication control apparatus 100A according to the second embodiment stores an analysis result indicating whether or not the analyzed communication data is encrypted data, along with information on the analyzed communication data. Then, the communication control apparatus 100A inquires whether the information related to the communication data matches the stored information related to the analyzed communication data. If the matching information is stored, the communication control apparatus 100A relates to the analyzed communication data. Get the analysis result corresponding to the information. Then, as a result of the inquiry, it is analyzed whether or not the communication data is encrypted data only when the information regarding the identified communication data does not match the stored information regarding the analyzed communication data. For this reason, for the communication that has been analyzed once, the analysis result can be diverted to omit the analysis process and simplify the packet analysis process from the next time on, so the processing load can be reduced. is there.

(第3の実施形態)
上述した第1、2の実施形態において、暗号特定情報記憶部131に受信したパケットが暗号化済か否かを特定するための情報を記憶する場合を説明した。この暗号特定情報記憶部131に記憶された情報を更新できるようにしてもよい。つまり、既に暗号化されているパケットは、通信処理効率化のため、通信制御装置のトンネリング処理にてあえて暗号化する必要がないという趣旨であるとする場合、十分な安全性の暗号処理によりトンネル対向側へ送信すべきパケットを平文・または不十分な安全性の暗号化により送信してしまうことになるため、記憶部には正確で、タイムリーな情報が記憶されているべきである。 (Third embodiment)
In the first and second embodiments described above, the case has been described in which information for specifying whether or not the received packet is encrypted is stored in the encryption specifying information storage unit 131. You may enable it to update the information memorize | stored in this encryption specific information storage part 131. FIG. In other words, if it is intended that the packet already encrypted is not required to be encrypted by the tunneling process of the communication control device for the purpose of improving the communication processing efficiency, the tunnel is created by the encryption process with sufficient security. Since a packet to be transmitted to the opposite side is transmitted by plain text or encryption with insufficient security, accurate and timely information should be stored in the storage unit.

そこで、以下、第3の実施形態では、暗号特定情報記憶部131に記憶された情報を更新できる場合について説明する。図12は、第3の実施形態に係る通信制御装置の構成の一例を示す図である。ここで、第3の実施形態に係る通信制御装置100Bは、第2の実施形態に係る通信制御装置100Aと比較して、更新部126を備える点が異なる。以下、これらを中心に説明する。なお、第1の実施形態および第2の実施形態と同様の部分については説明を省略する。   Therefore, in the third embodiment, a case where the information stored in the encryption specific information storage unit 131 can be updated will be described below. FIG. 12 is a diagram illustrating an example of the configuration of the communication control apparatus according to the third embodiment. Here, the communication control device 100B according to the third embodiment is different from the communication control device 100A according to the second embodiment in that an update unit 126 is provided. Hereinafter, these will be mainly described. In addition, description is abbreviate | omitted about the part similar to 1st Embodiment and 2nd Embodiment.

更新部126は、暗号特定情報記憶部131の情報を更新する。例えば、図示していない外部サーバなどが、脆弱性が発見されたプロトコルや危殆化した暗号技術やこれを用いたプロトコルに関する最新の情報を管理し、危殆化した技術によって処理されたデータや通信を暗号化済とは判定しないように設定するため、これらのプロトコルや暗号技術を用いたアプリケーションによる暗号化に関する情報を更新情報として更新部126に通知する。そして、更新部126は、外部サーバから受信した更新情報をもとに、暗号特定情報記憶部131に情報を追記したり、または、暗号化済とみなす通信の条件を更新・削除したりする。   The update unit 126 updates the information in the encryption specific information storage unit 131. For example, an external server (not shown) manages the latest information on the protocols in which vulnerabilities have been discovered, compromised cryptographic technologies, and protocols using them, and manages data and communications processed by the compromised technologies. In order to make a setting so as not to determine that the data has been encrypted, the update unit 126 is notified of information related to encryption by an application using these protocols and cryptographic techniques as update information. Then, the update unit 126 adds information to the encryption specific information storage unit 131 based on the update information received from the external server, or updates / deletes the communication condition regarded as encrypted.

例えば、通信制御装置100Bは、外部サーバが適切な証明書に基づいた認証を行った後に、外部サーバから更新情報を受信し、暗号特定情報記憶部131の情報を更新することが望ましい。   For example, it is desirable that the communication control apparatus 100B receives the update information from the external server and updates the information in the encryption specific information storage unit 131 after the external server performs authentication based on an appropriate certificate.

(第4の実施形態)
上述した第1〜3の実施形態において、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つパケットが暗号化済である場合には、さらにVPNにおける暗号化を実施することなくカプセル化の処理を行う場合を説明した。しかし、これに限定されるものではなく、カプセル化の処理を行うとともに、ヘッダの一部を秘匿化する処理を行うようにしてもよい。そこで、以下に説明する第4の実施形態では、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つパケットが暗号化済である場合に、カプセル化の処理を行うとともに、ヘッダの一部を秘匿化する処理を行うことを説明する。ヘッダの一部とは、例えば、送信元や宛先のMACアドレス、送信元や宛先のIPアドレス、プロトコル番号や送信元や宛先のポート番号などのうち1つ以上からなるものを指す。これらの情報は、従来のホームネットワークではNATやNAPTの処理によって外部にさらされることのない情報である場合があるため、少なくともこれらの情報は秘匿化されることが望ましい場合がある。 (Fourth embodiment)
In the first to third embodiments described above, when the destination is an external network, or when the destination is an internal network and the packet has been encrypted, the capsule is not performed without performing encryption in the VPN. An explanation has been given of the case where the processing is performed. However, the present invention is not limited to this. Encapsulation processing may be performed and processing for concealing a part of the header may be performed. Therefore, in the fourth embodiment described below, when the destination is an external network, or when the destination is an internal network and the packet is encrypted, the encapsulation process is performed and the header A process of concealing a part will be described. The part of the header refers to, for example, a source or destination MAC address, a source or destination IP address, a protocol number, a source or destination port number, or the like. Since these pieces of information may not be exposed to the outside by NAT or NAPT processing in a conventional home network, it may be desirable that at least these pieces of information be concealed.

例えば、通信制御装置100は、RHNW2内の通信装置からインターネット側をあて先とするL2フレームまたはパケットを受信し、宛先が外部ネットワークの場合、または、宛先が内部ネットワークであって且つL2フレームまたはパケットが暗号化済である場合には、受信したL2フレームまたはパケットのヘッダの所定の部分に秘匿処理を実行する。そして、通信制御装置100は、秘匿処理を実行したL2フレームまたはパケットに対して、トンネリングのためのカプセリング処理を実行して、対向する通信制御装置200に送信する。通信制御装置200は、受信したカプセリング処理されたパケットのカプセリングを解除して、秘匿処理されたL2フレームまたはパケットを取り出す。そして、通信制御装置200は、取り出したL2フレームまたはパケットのうち秘匿処理された情報を復元してインターネット側の宛先に送信する。   For example, the communication control apparatus 100 receives an L2 frame or packet destined for the Internet side from a communication apparatus in the RHNW2, and the destination is an external network, or the destination is an internal network and the L2 frame or packet is If it has been encrypted, concealment processing is performed on a predetermined portion of the header of the received L2 frame or packet. And the communication control apparatus 100 performs the capsuling process for tunneling with respect to the L2 frame or packet which performed the concealment process, and transmits to the communication control apparatus 200 which opposes. The communication control apparatus 200 cancels the encapsulation of the received packet that has been subjected to the encapsulation process, and extracts the L2 frame or packet that has been subjected to the confidential process. Then, the communication control device 200 restores the concealed information in the extracted L2 frame or packet and transmits it to the destination on the Internet side.

また、通信制御装置200も同様に、インターネット側からRHNW2内宛のL2フレームまたはパケットを受信すると、受信したL2フレームまたはパケットのヘッダに秘匿処理を実行する。そして、通信制御装置200は、秘匿処理を実行したL2フレームまたはパケットに対して、カプセリング処理を実行して、対向する通信制御装置100に送信する。通信制御装置100は、受信したカプセリング処理されたL2フレームまたはパケットのカプセリングを解除して、秘匿処理されたL2フレームまたはパケットを取り出す。そして、通信制御装置100は、取り出したL2フレームまたはパケットのうち秘匿処理された情報を復元してRHNW2内の宛先の通信装置に送信する。   Similarly, when the communication control apparatus 200 receives an L2 frame or packet addressed in the RHNW 2 from the Internet side, the communication control apparatus 200 executes a concealment process on the header of the received L2 frame or packet. And the communication control apparatus 200 performs a capsuling process with respect to the L2 frame or packet which performed the concealment process, and transmits to the communication control apparatus 100 which opposes. The communication control apparatus 100 cancels the encapsulation of the received L2 frame or packet subjected to the encapsulation process, and takes out the L2 frame or packet subjected to the confidential process. Then, the communication control apparatus 100 restores the concealed information in the extracted L2 frame or packet and transmits it to the destination communication apparatus in the RHNW2.

また、カプセル化を行う際のヘッダの一部の秘匿化について、秘匿化には通信制御装置間で共有している値で、秘匿化する対象部分とXORをとった値に置き換えることとしてもよい。この値は所定期間経過のたびに更新するのが望ましい。通信制御装置間で時刻同期しておき、所定の時間経過ごとに装置間で共通のルールで更新してもよく、または、いずれかの装置からのメッセージ通知などの契機により、鍵交換プロトコル(例えば、Diffie-Hellman鍵交換など)を用いて新たな値を生成してもよい。または、通信制御装置間で共有している共通のルールに基づいて、転置暗号や置換暗号によって秘匿化してもよい。秘匿化した際は、トンネルのパケットヘッダ等に、秘匿化していることと秘匿化に適用している技術やルール、秘匿化している箇所を識別できる情報を付加することで、受信する側の通信制御装置は、この付加された情報を識別して対応する箇所に対して復元処理を行うこととしてもよい。また、秘匿処理後のL2フレームなどのチェックサムを再計算して置換えることとしてもよい。このように、第4の実施形態にかかる通信制御装置100では、ヘッダ情報の一部分を秘匿化するので、通信におけるセキュリティを向上させることが可能である。   Further, regarding the concealment of a part of the header when encapsulating, the concealment may be replaced with a value that is shared between communication control devices, and the value obtained by XORing the target part to be concealed. . It is desirable to update this value every time a predetermined period has elapsed. The communication control devices may be synchronized in time and updated with a common rule between devices every predetermined time, or a key exchange protocol (e.g., a message notification from any device) , Diffie-Hellman key exchange, etc.) may be used to generate new values. Alternatively, it may be concealed using a transposed cipher or a replacement cipher based on a common rule shared between communication control apparatuses. When concealing, communication on the receiving side is added to the tunnel packet header, etc. by adding information that can identify the concealment, technology and rules applied to concealment, and concealment The control device may identify the added information and perform a restoration process on the corresponding location. Alternatively, the checksum of the L2 frame after the concealment process may be recalculated and replaced. Thus, in the communication control apparatus 100 according to the fourth embodiment, since a part of the header information is concealed, it is possible to improve security in communication.

(第5の実施形態)
これまで第1〜第4の実施形態を説明したが、本願に係る実施形態は、第1〜第4の実施形態に限定されるものではない。すなわち、これらの実施形態は、その他の様々な形態で実行されることが可能であり、種々の省略、置き換え、変更を行うことができる。 (Fifth embodiment)
Although the first to fourth embodiments have been described so far, the embodiment according to the present application is not limited to the first to fourth embodiments. That is, these embodiments can be executed in various other forms, and various omissions, replacements, and changes can be made.

上述した実施形態におけるCPE100とVHGW200との間のL2トンネルは、L2VPNによるトンネルと、L2カプセリングによるトンネルの両方を確立しておき、判定部の判定結果に応じて、利用するトンネルを選択するようにしてもよい。   As the L2 tunnel between the CPE 100 and the VHGW 200 in the above-described embodiment, both the L2VPN tunnel and the L2 encapsulation tunnel are established, and the tunnel to be used is selected according to the determination result of the determination unit. May be.

また、IPv4/v6の回線ルータはVHNW3側に配置されてもよいし、RHNW2側に配置されてもよい。例えば、上述した図1の例ではIPv4/v6の回線ルータがVHNW3側に配置されているが、これに限定されることはなく、RHNW2側に配置されてもよく、IPv4の回線ルータはVHNW3側、IPv6の回線ルータはRHNW2側に配置されてもよく、またこの逆であってもよいものである。   The IPv4 / v6 line router may be arranged on the VHNW3 side or may be arranged on the RHNW2 side. For example, in the example of FIG. 1 described above, the IPv4 / v6 line router is arranged on the VHNW3 side, but the present invention is not limited to this, and the IPv4 line router may be arranged on the VHNW3 side. The IPv6 line router may be arranged on the RHNW2 side or vice versa.

また、CPE100とVHGW200の間で1本のL2トンネルのみを利用する場合は、判定部の判定結果に基づいて、L2VPNの処理「セキュリティ処理(暗号、認証、署名)+L2カプセリング」をするか、L2カプセリングの処理をするかを都度選択的に行ってもよい。ここで、例えば、デフォルトの処理をL2VPNとして、選択的にL2VPNのうちセキュリティ処理を実施しないL2カプセリングの処理をしてもよく、この逆に、デフォルトの処理をL2カプセリングとして、選択的にさらにセキュリティ処理を実施することでL2VPNの処理をしてもよい。   Further, when only one L2 tunnel is used between the CPE 100 and the VHGW 200, based on the determination result of the determination unit, the L2VPN process “security process (encryption, authentication, signature) + L2 encapsulation” or L2 You may selectively perform the capsule processing each time. Here, for example, the default processing may be L2VPN, and L2 encapsulation processing that does not perform security processing selectively among L2VPNs may be performed. Conversely, the default processing is L2 encapsulation, and further security is selectively performed. You may process L2VPN by implementing a process.

また、RHNW2またはVHNW3とインターネットなどの外部ネットワーク5とがL2トンネル経由でアクセスする場合、L2−カプセリングによる通信を行うものとして説明した。しかしながら、このような通信では、拠点間を同一セグメント化する必要がない場合は、L2フレーム全体をトンネル対向側に送信することは必須ではないため、実施形態はこれに限定されるものではなく、例えば、この通信をL3カプセリング、つまり、IP−in−IP、IP tunnelingやその他トンネリング処理を適用してもよい。   Moreover, when RHNW2 or VHNW3 and external networks 5, such as the internet, access via an L2 tunnel, it demonstrated as what communicates by L2-encapsulation. However, in such communication, when it is not necessary to make the same segment between the bases, it is not essential to transmit the entire L2 frame to the tunnel opposite side, so the embodiment is not limited to this, For example, L3 encapsulation, that is, IP-in-IP, IP tunneling, or other tunneling processing may be applied to this communication.

また、暗号特定情報記憶部131には、一般的な暗号技術やプロトコルに基づいた情報を記憶させてもよく、内部ネットワークで特有の用途で使用される暗号技術やプロトコルがある場合は、その情報を利用者が設定してもよい。   Further, the encryption specific information storage unit 131 may store information based on general encryption technology or protocol. If there is encryption technology or protocol used for a specific purpose in the internal network, the information May be set by the user.

また、VHNW3は、仮想化されたネットワークとして説明したが、仮想化されていない物理的なネットワークであってもよい。また、RHNW2は、物理的なネットワークとして説明したが、仮想化されたネットワークであってもよい。また、RHNW2とVHNW3とを同一セグメントのL2ネットワークとして扱えるようにするため、CPE100とVHGW200とをL2VPNで接続するものとして説明したが、これに限らず、L3以上のVPNによって接続してもよい。   Further, although the VHNW 3 has been described as a virtualized network, it may be a non-virtualized physical network. Moreover, although RHNW2 was demonstrated as a physical network, it may be a virtualized network. Further, in order to handle RHNW2 and VHNW3 as an L2 network of the same segment, the CPE 100 and the VHGW 200 have been described as being connected by L2VPN. However, the present invention is not limited to this and may be connected by VPN of L3 or higher.

また、通信の送信元や宛先に基づいて秘匿処理の要否を判断するものとして説明したが、これに限らず、通信プロトコルや通信のメッセージの種類や内容に基づいて秘匿処理の要否を判断してもよい。または、通信プロトコル、通信のメッセージ、送信元、送信先のうちいずれか一以上からなる組合せに基づいて秘匿処理の要否を判断してもよい。この場合、CPE100やVHGW200は、秘匿処理をする/しない通信プロトコルやメッセージに関する条件も事前に記憶しておくこととなる。また、RHNW2とVHNW3との間の通信において、例えばセキュリティよりも低遅延であることが要求される特定の通信がある場合は、通信プロトコルやメッセージに基づいてその通信を特定して、セキュリティ処理を省略してカプセリング処理のみを実施することとしてもよく、または、カプセリング処理と秘匿処理を実施することとしてもよい。   In addition, although it has been described that the necessity of the confidential processing is determined based on the transmission source and destination of the communication, the present invention is not limited to this, and the necessity of the confidential processing is determined based on the communication protocol and the type and content of the communication message. May be. Alternatively, the necessity of the concealment process may be determined based on a combination of one or more of a communication protocol, a communication message, a transmission source, and a transmission destination. In this case, the CPE 100 and the VHGW 200 also store in advance the conditions related to the communication protocol and messages that are / are not concealed. Further, in the communication between the RHNW2 and the VHNW3, for example, when there is a specific communication that is required to have a delay lower than that of security, the communication is specified based on the communication protocol or message, and the security process is performed. It may be omitted and only the encapsulation process may be performed, or the encapsulation process and the concealment process may be performed.

また、秘匿処理は、単純に、L2フレームであれば、L2ヘッダ情報とL3ヘッダ情報のすべて、パケットであれば、L3ヘッダ情報のすべて、を秘匿処理対象とするものであってもよい。   In addition, the concealment process may simply target all the L2 header information and L3 header information for the L2 frame, and all the L3 header information for the packet.

VHGW200は、仮想化された装置として説明したが、仮想化されていない物理的な装置であってもよい。CPE100は、物理的な装置として説明したが、仮想化された装置であってもよい。   Although the VHGW 200 has been described as a virtualized device, it may be a physical device that is not virtualized. The CPE 100 has been described as a physical device, but may be a virtualized device.

RHNW2内やVHNW3内の通信装置は、仮想化されたサーバなどでもよく、仮想化されていない物理的なサーバなどであってもよい。また、サーバではない通信装置でもよい。   The communication device in the RHNW2 or VHNW3 may be a virtual server or the like, or may be a physical server that is not virtualized. Further, a communication device that is not a server may be used.

上述した実施形態では、ホームネットワーク、ホームゲートウェイを例に説明したが、実施形態はこれに限定されるものではなく、例えば、対象が企業ネットワークなどでもよい。   In the above-described embodiment, the home network and the home gateway have been described as examples. However, the embodiment is not limited thereto, and the target may be, for example, a corporate network.

CPE100やVHGW200の各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、判定部123とトンネリング処理部124とを一つの処理部として統合してもよく、一方、トンネリング処理部124を暗号化させる暗号処理部と、トンネリング処理を実行するトンネリング部とに分散してもよい。また、各装置は、アクセスネットワーク/インターネットなどの外部ネットワーク5と通信するためのIPルーティング機能を備えていてもよく、IPルーティングは別の装置に具備するものであってもよい。さらに、各装置は、NATやDHCP、DNS、ファイアウォールなどに係る一般的なルータの機能を備えてもよく、または、これらの機能を別の装置に具備するものであってもよい。つまり、一般的なルータに接続される装置であってもよく、この場合はL2通信のための処理を行う装置となる。   The specific form (for example, the form of FIG. 2) of the dispersion / integration of each device of the CPE 100 and the VHGW 200 is not limited to the illustrated one, and all or a part thereof can be arbitrarily set according to various loads and usage conditions. It can be distributed or integrated functionally or physically in units. For example, the determination unit 123 and the tunneling processing unit 124 may be integrated as a single processing unit, while the encryption processing unit that encrypts the tunneling processing unit 124 and the tunneling unit that executes the tunneling process. It may be dispersed. Each device may have an IP routing function for communicating with an external network 5 such as an access network / Internet, and the IP routing may be provided in another device. Furthermore, each device may have a general router function related to NAT, DHCP, DNS, firewall, or the like, or may have these functions in another device. That is, a device connected to a general router may be used. In this case, the device performs processing for L2 communication.

また、宛先識別部120をCPE100の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、判定部123及びトンネリング処理部124を別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したCPE100の機能を実現するようにしてもよい。   Further, the destination identification unit 120 may be connected as an external device of the CPE 100 via a network, or another device has a determination unit 123 and a tunneling processing unit 124, and is connected to the network to cooperate. Thus, the functions of the CPE 100 described above may be realized.

また、L2トンネルを形成させる機能を有する装置を、CPE100及びVHGW200の外部装置としてネットワーク経由で接続されて協働することで、CPE100とVHGW200との間にL2トンネルを形成させるようにしてもよい。   Further, an L2 tunnel may be formed between the CPE 100 and the VHGW 200 by connecting devices having a function of forming the L2 tunnel as a device external to the CPE 100 and the VHGW 200 and collaborating with each other.

上述した実施形態で説明したCPE100及びVHGW200は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図3に示した通信制御装置100と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。   The CPE 100 and the VHGW 200 described in the above-described embodiment can also be realized by executing a program prepared in advance by a computer. Therefore, an example of a computer that executes a program that implements the same function as that of the communication control apparatus 100 illustrated in FIG. 3 will be described below.

図13は、第4の実施形態に係る通信制御プログラムを実行するコンピュータ1000を示す図である。図13に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   FIG. 13 is a diagram illustrating a computer 1000 that executes a communication control program according to the fourth embodiment. As shown in FIG. 13, the computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図13に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログムモジュール1093およびプログラムデータ1094を記憶する。第4の実施形態に係る通信制御プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。具体的には、CPE100と同様の機能を実現する場合、上記実施形態で説明した通信部110と同様の情報処理を実行する通信ステップと、識別部121と同様の情報処理を実行する識別ステップと、解析部122と同様の情報処理を実行する解析ステップと、判定部123と同様の情報処理を実行する判定ステップと、トンネリング処理部124と同様の情報処理を実行するトンネリング処理ステップとが記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   Here, as shown in FIG. 13, the hard disk drive 1090 stores, for example, an OS (Operating System) 1091, an application program 1092, a program module 1093, and program data 1094. The communication control program according to the fourth embodiment is stored in, for example, the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described. Specifically, when realizing a function similar to that of the CPE 100, a communication step for executing information processing similar to that of the communication unit 110 described in the above embodiment, and an identification step for executing information processing similar to that of the identification unit 121; An analysis step for executing information processing similar to the analysis unit 122, a determination step for executing information processing similar to the determination unit 123, and a tunneling processing step for executing information processing similar to the tunneling processing unit 124 are described. The program module is stored in the hard disk drive 1090.

また、上記実施形態で説明したデータベースに記憶されるデータのように、プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出して、通信ステップと、宛先識別ステップと、判定ステップと、トンネリング処理ステップとを実行する、或いは、通信ステップと、トンネリング処理ステップとを実行する。   Further, like the data stored in the database described in the above embodiment, data used for information processing by the program is stored as program data, for example, in the hard disk drive 1090. Then, the CPU 1020 reads the program module and program data stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes a communication step, a destination identification step, a determination step, and a tunneling processing step, or A communication step and a tunneling processing step are executed.

なお、プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   Note that the program module and program data relating to the program are not limited to being stored in the hard disk drive 1090, but may be stored in a removable storage medium and read out by the CPU 1020 via the disk drive 1100 or the like. Good. Alternatively, a program module and program data related to the program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network) and read by the CPU 1020 via the network interface 1070. May be issued.

これらの実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   These embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.

1 ネットワークシステム
2 RHNW
3 VHNW
4 ネットワーク
5 外部ネットワーク
100 通信制御装置(CPE)
110、210 通信部
120 制御部
121 識別部
122 解析部
123 判定部
124、220 トンネリング処理部
125 照会部
126 更新部
130 記憶部
131 暗号特定情報記憶部
132 通信状態記憶部
200 通信制御装置(VHGW) 1 Network system 2 RHNW
3 VHNW
4 network 5 external network 100 communication control unit (CPE)
110, 210 Communication unit 120 Control unit 121 Identification unit 122 Analysis unit 123 Judgment unit 124, 220 Tunneling processing unit 125 Query unit 126 Update unit 130 Storage unit 131 Encryption specific information storage unit 132 Communication state storage unit 200 Communication control device (VHGW)

Claims (9)

第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが少なくとも前記第2のネットワークと通信可能なネットワークシステムであって、
前記第1の装置は、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別部と、
記識別部で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、
を備え、
前記第2の装置は、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理部による処理の解除を実行する第2のトンネリング処理部と、
前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信部と、
を備えたことを特徴とするネットワークシステム。 A network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network, wherein an external network can communicate with at least the second network Because
The first device includes:
An identification unit for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the communication data identified in the previous SL identification portion is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, and the first tunneling processor you perform encapsulation processing for the second device and a tunnel communication to the communication data,
A first communication unit that transmits communication data after processing by the first tunneling processing unit to the second device;
With
The second device includes:
A second tunneling processing unit that receives the communication data transmitted from the first device and executes release of processing by the first tunneling processing unit;
A second communication unit that transmits the communication data released by the second tunneling process to a destination of the communication data;
A network system characterized by comprising: 前記第1の装置は、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、該通信データが暗号化されたデータであるか否かを解析する解析部をさらに備え、The first device, when the destination of the communication data identified by the identification unit is within the second network, is an analysis unit that analyzes whether the communication data is encrypted data Further comprising
前記第1のトンネリング処理部は、前記識別部で識別された通信データの宛先が前記外部ネットワークである場合、または、前記解析部で解析された通信データが暗号化されたデータである場合には、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報の前記秘匿化対象部分を秘匿化し、前記通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行し、前記解析部で解析された通信データが暗号化されたデータでない場合には、前記通信データに対して少なくとも暗号化処理及び前記第2の装置とトンネル通信するためのカプセリング処理を実行することを特徴とする請求項1に記載のネットワークシステム。In the case where the destination of the communication data identified by the identifying unit is the external network, or the communication data analyzed by the analyzing unit is encrypted data, the first tunneling processing unit Then, as a predetermined part of the communication data, at least the part to be concealed of the header information of the communication data is concealed, and a capsuling process for performing tunnel communication with the second device is performed on the communication data When the communication data analyzed by the analysis unit is not encrypted data, the communication data is subjected to at least encryption processing and encapsulation processing for tunnel communication with the second device. The network system according to claim 1, wherein: 前記解析部は、前記識別部で識別された通信データの宛先が前記第2のネットワーク内である場合には、前記通信データのヘッダ部からデータ部までを順に解析することで、該通信データが暗号化されたデータであるか否かを解析することを特徴とする請求項2に記載のネットワークシステム。When the destination of the communication data identified by the identification unit is within the second network, the analysis unit sequentially analyzes the communication data from the header part to the data part, thereby obtaining the communication data. The network system according to claim 2, wherein the network system analyzes whether the data is encrypted. 前記解析部によって解析された通信データに関する情報とともに、前記解析部によって解析された通信データが暗号化されたデータであるか否かを示す解析結果を記憶する記憶部と、
前記識別部で識別された通信データに関する情報が、前記記憶部に記憶された解析された通信データに関する情報に該当するか照会し、該当する情報が前記記憶部に記憶されている場合には、該解析された通信データに関する情報に対応する解析結果を取得する照会部と、
をさらに備え、
前記解析部は、前記照会部によって照会した結果、前記識別部で識別された通信データに関する情報が、前記記憶部に記憶された解析された通信データに関する情報に該当しない場合にのみ、前記通信データが暗号化されたデータであるか否かを解析することを特徴とする請求項2または3に記載のネットワークシステム。 A storage unit for storing an analysis result indicating whether or not the communication data analyzed by the analysis unit is encrypted data together with information on the communication data analyzed by the analysis unit;
When the information on the communication data identified by the identification unit corresponds to the information on the analyzed communication data stored in the storage unit, and the corresponding information is stored in the storage unit, An inquiry unit for obtaining an analysis result corresponding to the information on the analyzed communication data;
Further comprising
As a result of the inquiry by the inquiring unit, the analyzing unit is categorized only when the information on the communication data identified by the identifying unit does not correspond to the information on the analyzed communication data stored in the storage unit. 4. The network system according to claim 2 , wherein the network system analyzes whether the data is encrypted data. 5. 前記第1のトンネリング処理部は、前記識別部が前記端末から受信した通信データの宛先が前記外部ネットワークであると識別した場合、または、前記解析部が前記端末から受信した通信データが暗号化されたデータであると解析した場合には、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報の前記秘匿化対象部分を秘匿化することを特徴とする請求項またはに記載のネットワークシステム。 The first tunneling processing unit encrypts the communication data received from the terminal by the analysis unit when the identification unit identifies that the destination of the communication data received from the terminal is the external network and when analyzed with a data described as the predetermined portion of the communication data, in claim 2 or 3, characterized in that concealing the concealment subject part of header information of at least the communication data Network system. 第1のネットワーク内の第1の装置と、前記第1のネットワークと通信可能な第2のネットワーク内の第2の装置とを備え、外部ネットワークが少なくとも前記第2のネットワークと通信可能なネットワークシステムによって実行される通信制御方法であって、
前記第1の装置によって実行される、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第2のネットワーク内であるか、または、前記外部ネットワークであるかを識別する識別工程と、
記識別工程で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理工程と、
前記第1のトンネリング処理工程による処理後の通信データを前記第2の装置へ送信する第1の通信工程と、
を備え、
前記第2の装置によって実行される、
前記第1の装置から送信された通信データを受信して、前記第1のトンネリング処理工程による処理の解除を実行する第2のトンネリング処理工程と、
前記第2のトンネリング処理により解除された通信データを、当該通信データの宛先へ送信する第2の通信工程と、
を含んだことを特徴とする通信制御方法。 A network system comprising a first device in a first network and a second device in a second network capable of communicating with the first network, wherein an external network can communicate with at least the second network A communication control method executed by
Executed by the first device;
An identification step for identifying whether a destination of communication data received from a terminal in the first network is in the second network or the external network;
If the destination of the previous SL communication data identified by the identification process is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, and the first tunneling process you perform encapsulation processing for the second device and a tunnel communication to the communication data,
A first communication step of transmitting communication data after processing by the first tunneling processing step to the second device;
With
Executed by the second device;
A second tunneling process step of receiving communication data transmitted from the first device and executing cancellation of the process by the first tunneling process step;
A second communication step of transmitting the communication data released by the second tunneling process to a destination of the communication data;
The communication control method characterized by including. 第1のネットワーク内の通信制御装置であって、
前記第1のネットワーク内の端末から受信した通信データの宛先が、前記第1のネットワークと接続される第2のネットワーク内であるか、又は、当該第2のネットワークに接続される外部ネットワークであるかを識別する識別部と、
記識別部で識別された通信データの宛先が前記外部ネットワークである場合、当該通信データのうち所定の一部分として、少なくとも当該通信データのヘッダ情報に含まれる秘匿化対象部分としてMACアドレス、IPアドレス、プロトコル番号およびポート番号のうち一つ以上を秘匿化し、該通信データに対して前記第2のネットワーク内の第2の装置とトンネル通信するためのカプセリング処理を実行する第1のトンネリング処理部と、
前記第1のトンネリング処理部による処理後の通信データを前記第2の装置へ送信する第1の通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in the first network,
The destination of the communication data received from the terminal in the first network, the first network and that it is within the second network that will be connected, or is the external network that is connected to the second network An identification part for identifying
If the destination of the communication data identified in the previous SL identification portion is the external network, as a predetermined part of the communication data, MAC address as concealing the subject portion included in the header information of at least the communication data, IP address, , concealed one or more of the protocol number and port number, the first tunneling process you perform encapsulation processing for the second device and the tunnel communication in the second network for the communication data And
A first communication unit that transmits communication data after processing by the first tunneling processing unit to the second device;
A communication control apparatus comprising: 第1のネットワークと接続される第2のネットワーク内の通信制御装置であって、
前記第1のネットワーク内の通信装置から送信された通信データを受信して、受信した通信データに対して実行されているヘッダ情報に含まれる秘匿化対象部分であるMACアドレス、IPアドレス、プロトコル番号およびポート番号のうちの一つ以上の秘匿化処理及びトンネル通信するためのカプセリング処理、又は、トンネル通信するためのカプセリング処理の解除を実行するトンネリング処理部と、
前記トンネリング処理により解除された通信データを、当該通信データの宛先へ送信する通信部と、
を備えたことを特徴とする通信制御装置。 A communication control device in a second network connected to the first network,
The MAC address, the IP address, and the protocol number that are the concealment target parts included in the header information that is received from the communication data transmitted from the communication device in the first network and is received for the received communication data A tunneling processing unit that executes concealment processing for one or more of the port numbers and capsuling processing for tunnel communication, or canceling the capsuling processing for tunnel communication;
A communication unit that transmits the communication data released by the tunneling process to a destination of the communication data;
A communication control apparatus comprising: コンピュータを請求項7または8に記載の通信制御装置として機能させるための通信制御プログラム。 A communication control program for causing a computer to function as the communication control device according to claim 7 or 8 .
JP2013099612A 2013-05-09 2013-05-09 Network system, communication control method, communication control apparatus, and communication control program Active JP6075871B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013099612A JP6075871B2 (en) 2013-05-09 2013-05-09 Network system, communication control method, communication control apparatus, and communication control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013099612A JP6075871B2 (en) 2013-05-09 2013-05-09 Network system, communication control method, communication control apparatus, and communication control program

Publications (2)

Publication Number Publication Date
JP2014220707A JP2014220707A (en) 2014-11-20
JP6075871B2 true JP6075871B2 (en) 2017-02-08

Family

ID=51938777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013099612A Active JP6075871B2 (en) 2013-05-09 2013-05-09 Network system, communication control method, communication control apparatus, and communication control program

Country Status (1)

Country Link
JP (1) JP6075871B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5986044B2 (en) * 2013-07-02 2016-09-06 日本電信電話株式会社 Network system, communication control method, communication control apparatus, and program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007036834A (en) * 2005-07-28 2007-02-08 Canon Inc Encryption apparatus, program, recording medium, and method
JP4473851B2 (en) * 2006-10-31 2010-06-02 株式会社東芝 Telephone system and its encryption processing method, communication terminal, and connection device
JP2012075070A (en) * 2010-09-30 2012-04-12 Fujitsu Ltd Management program, device and method, router, and information processing program and method
JP5893546B2 (en) * 2012-11-30 2016-03-23 日本電信電話株式会社 Network system, communication control method, communication control apparatus, and communication control program

Also Published As

Publication number Publication date
JP2014220707A (en) 2014-11-20

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
JP3793083B2 (en) Method and apparatus for providing security by network address translation using tunneling and compensation
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
US7647492B2 (en) Architecture for routing and IPSec integration
US20160380894A1 (en) Path maximum transmission unit handling for virtual private networks
US20150304427A1 (en) Efficient internet protocol security and network address translation
JP2009111437A (en) Network system
CN102088438B (en) Method for solving address conflict of Internet protocol security (IPSec) Client and IPSec Client
CN110832806B (en) ID-based data plane security for identity-oriented networks
JP6075871B2 (en) Network system, communication control method, communication control apparatus, and communication control program
JP5893546B2 (en) Network system, communication control method, communication control apparatus, and communication control program
Hassan et al. Enhanced encapsulated security payload a new mechanism to secure internet protocol version 6 over internet protocol version 4
Jaiswal IP Security architecture, application, associated database, and mode
Zhang The solution and management of VPN based IPSec technology
Alhoaimel Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data
Hadi An analytical study for Security in IPv6
Al-Abaychi et al. Evaluation of VPNs
JP2005252464A (en) Communication method, communication terminal and gateway unit

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150805

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160524

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170106

R150 Certificate of patent or registration of utility model

Ref document number: 6075871

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150