[go: up one dir, main page]

JP2006033350A - Proxy secure router device and program - Google Patents

Proxy secure router device and program Download PDF

Info

Publication number
JP2006033350A
JP2006033350A JP2004208559A JP2004208559A JP2006033350A JP 2006033350 A JP2006033350 A JP 2006033350A JP 2004208559 A JP2004208559 A JP 2004208559A JP 2004208559 A JP2004208559 A JP 2004208559A JP 2006033350 A JP2006033350 A JP 2006033350A
Authority
JP
Japan
Prior art keywords
encryption
packet
network
network side
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004208559A
Other languages
Japanese (ja)
Inventor
Katsutomo Matsuura
克智 松浦
Kei Karasawa
圭 唐沢
Yusuke Kira
雄介 吉良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004208559A priority Critical patent/JP2006033350A/en
Publication of JP2006033350A publication Critical patent/JP2006033350A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 通信相手に設定の手間をかけずにセキュア機能が実装されていない端末装置に対してセキュア処理を代理することができる代理セキュアルータ装置を提供する。
【解決手段】 暗号処理の適用要否を判定するためのフィルタ情報をフィルタ情報記憶手段15に記憶し、該フィルタ情報に基づき暗号化要否判定手段19及び復号化要否判定手段16で暗号処理の要否を判定し、暗号化手段18及び復号化手段14でパケットの暗号処理を行う。
【選択図】 図1
PROBLEM TO BE SOLVED: To provide a proxy secure router device capable of proxying a secure process to a terminal device in which a secure function is not implemented without taking time for setting a communication partner.
Filter information for determining whether or not to apply encryption processing is stored in filter information storage means 15, and encryption processing is performed by encryption necessity determination means 19 and decryption necessity determination means 16 based on the filter information. The encryption unit 18 and the decryption unit 14 perform packet encryption processing.
[Selection] Figure 1

Description

本発明は、ネットワーク間でパケットを中継するルータ装置に関し、詳しくは、IPsec等のセキュア機能が実装されていない端末装置に対してセキュア処理を代理する代理セキュアルータ装置に関する。   The present invention relates to a router device that relays packets between networks, and more particularly, to a proxy secure router device that performs secure processing for a terminal device that does not have a secure function such as IPsec.

従来、インターネット等のネットワークを介して暗号通信を行うための規格として、IPsec(Security Architecture for Internet Protocol)が知られている(例えば非特許文献1参照)。IPsec機能は、端末装置に実装される他に、VPN(Virtual Private Network)装置等によって構成される代理IPsec装置に実装される。   Conventionally, IPsec (Security Architecture for Internet Protocol) is known as a standard for performing cryptographic communication through a network such as the Internet (see, for example, Non-Patent Document 1). In addition to being implemented in the terminal device, the IPsec function is implemented in a proxy IPsec device configured by a VPN (Virtual Private Network) device or the like.

このような代理IPsec装置として、例えば、アクセスが制限された閉鎖型ネットワークに接続され、閉鎖型ネットワークをアークとゲートウェイを経由して接続された開放型ネットワークに接続された端末装置との暗号通信を閉鎖型ネットワークに接続された端末装置に代行して行うものがある(例えば、特許文献1参照)。
馬場 達也、”マスタリングIPsec”、株式会社オライリー・ジャパン、2001年10月25日、p.73−89 特開2003−304227号公報 As such a proxy IPsec device, for example, encryption communication is performed with a terminal device connected to an open network connected to an open network connected via an arc and a gateway. Some are performed on behalf of a terminal device connected to a closed network (for example, see Patent Document 1).
Tatsuya Baba, “Mastering IPsec”, O'Reilly Japan, Inc., October 25, 2001, p. 73-89 JP 2003-304227 A

しかしながら、前述したような従来の技術では、IPsecによる暗号化の終端が代理IPsec装置であり、パケットの送信先の終端が端末装置であるため、代理IPsec装置を導入した場合には、通信相手側で端末装置を示すIPアドレス等の設定情報を変更する必要があり、通信相手に設定の手間をかけてしまうという問題があった。   However, in the conventional technology as described above, since the end of encryption by IPsec is a proxy IPsec device and the end of a packet transmission destination is a terminal device, when a proxy IPsec device is introduced, the communication partner side Therefore, it is necessary to change the setting information such as the IP address indicating the terminal device, and there is a problem that it takes time and effort to set the communication partner.

本発明は、このような問題を解決するためになされたもので、通信相手に設定の手間をかけずにセキュア機能が実装されていない端末装置に対してセキュア処理を代理することができる代理セキュアルータ装置及びプログラムを提供することを目的とする。   The present invention has been made to solve such a problem, and proxy secure processing that can proxy secure processing to a terminal device that does not have a secure function implemented without setting a communication partner. An object is to provide a router device and a program.

上記目的を達成するために、本願では、第1のネットワークと第2のネットワークとの間でパケットを中継するとともにパケットの暗号処理を第2のネットワーク側の装置の代理で行う代理セキュアルータ装置において、暗号化処理の適用要否のルール情報を記憶した記憶手段と、前記記憶手段に記憶されたルール情報に基づき第1のネットワーク又は第2のネットワークから受信したパケットに対して暗号化処理を適用するか否かを判定する暗号化処理要否判定手段と、第1のネットワーク側から第2のネットワーク側に中継する第2のネットワーク側の装置宛の暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該暗号化パケットを宛先装置に代理して復号化する復号化手段と、第2のネットワーク側から第1のネットワーク側に中継する非暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該非暗号化パケットを発信元装置に代理して暗号化する暗号化手段とを備えたことを特徴とするものを提案する。   In order to achieve the above object, in the present application, in a proxy secure router device that relays a packet between a first network and a second network and performs encryption processing of the packet on behalf of a device on the second network side , Storage means storing rule information indicating whether or not to apply encryption processing, and applying encryption processing to a packet received from the first network or the second network based on the rule information stored in the storage means Encryption processing necessity determination means for determining whether or not to perform an encryption packet addressed to a device on the second network side relayed from the first network side to the second network side. And a decryption means for decrypting the encrypted packet on behalf of the destination device when the means determines to apply the encryption processing; and a second network When the non-encrypted packet relayed from the network side to the first network side is determined to apply the encryption process by the encryption process necessity determination means, the non-encrypted packet is encrypted on behalf of the source device. It proposes the thing characterized by having the encryption means to make.

本発明によれば、代理セキュアルータ装置が、該装置を通過するパケットに対して、ルール情報に基づいて第2のネットワーク側の装置に代理して暗号化処理を実施する。したがって、第1のネットワーク側の装置では、通信相手先となる第2のネットワーク側の装置がセキュア機能を有しているか否かに関わらず、セキュア機能を有しているものとしてセキュア通信を行うことができる。換言すれば、第1のネットワーク側の装置では、第2のネットワーク側の装置構成等に併せた設定等を行う必要がないので利便性の高いものとなる。   According to the present invention, the proxy secure router device performs an encryption process for a packet passing through the device on behalf of the device on the second network side based on the rule information. Therefore, the first network side device performs secure communication on the assumption that it has the secure function regardless of whether or not the second network side device as the communication partner has the secure function. be able to. In other words, the device on the first network side is highly convenient because it is not necessary to make settings in accordance with the device configuration on the second network side.

本願発明の好適な一例として、本願では、さらに、第1のネットワークと第2のネットワークとの間を中継するパケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、前記復号化手段及び暗号化手段での暗号通信路形成に必要な暗号通信路情報を、第2のネットワーク側の装置に代理して、第1のネットワーク側の装置との間で合意する暗号通信路情報合意手段を備えたことを特徴とするものを提案する。   As a preferred example of the present invention, in the present application, when the packet relaying between the first network and the second network is further determined to apply the encryption processing by the encryption processing necessity determination means. Encrypting the encrypted communication path information necessary for forming the encrypted communication path in the decryption means and the encryption means with the second network side apparatus on behalf of the second network side apparatus We propose a communication path information agreement means.

本発明によれば、暗号通信路形成に必要な暗号通信路情報についても代理セキュアルータ装置が第2のネットワーク側の装置に代理して合意を行うので、前述の暗号化処理を確実に行うことができる。   According to the present invention, the proxy secure router device also makes an agreement on behalf of the device on the second network side for the encryption channel information necessary for forming the encryption channel, so that the above-described encryption processing is reliably performed. Can do.

また、本願では、前記暗号処理要否判定手段は、第1のネットワーク側から受信した暗号化パケットの正当性を判定するパケット正当性判定手段を備えたことを特徴とするものを提案する。   In addition, the present application proposes that the encryption processing necessity determination unit includes a packet validity determination unit that determines the validity of the encrypted packet received from the first network side.

本発明によれば、不当な暗号化パケットを検出できるので該パケットを廃棄等することにより第2のネットワーク側の装置では不要なパケットの連続受信を防止できる。   According to the present invention, since illegally encrypted packets can be detected, continuous reception of unnecessary packets in the second network side device can be prevented by discarding the packets.

さらに、本願では、第2のネットワーク側の装置の情報を収集するとともに該装置情報に基づいて前記ルール情報を生成するルール情報生成手段を備えたことを特徴とするものを提案する。   Further, the present application proposes a device characterized by comprising rule information generating means for collecting information of devices on the second network side and generating the rule information based on the device information.

本発明によれば、前記ルール情報が自動生成されるのでネットワーク構築をより容易に行うことができる。   According to the present invention, since the rule information is automatically generated, network construction can be performed more easily.

なお、上記ルール情報の好適な一例としては、少なくともパケットの送信元情報、送信先情報及びプロトコル情報を含むものが挙げられ、また、暗号処理プロトコルの好適な一例としてはIPsecプロトコルスイートが挙げられる。なお、暗号処理プロトコルとしてIPsecプロトコルスイートを用いる場合には、カプセル化モード(IPsecプロトコルモードとも言う)としてトランスポートモードを用いると本発明を好適に実施できる。   A preferable example of the rule information includes at least packet source information, destination information, and protocol information, and a preferred example of the cryptographic processing protocol includes an IPsec protocol suite. Note that when the IPsec protocol suite is used as the cryptographic processing protocol, the present invention can be suitably implemented by using the transport mode as the encapsulation mode (also referred to as the IPsec protocol mode).

以上説明したように本発明によれば、代理セキュアルータ装置が、該装置を通過するパケットに対して、ルール情報に基づいて第2のネットワーク側の装置に代理して暗号化処理を実施する。したがって、第1のネットワーク側の装置では、通信相手先となる第2のネットワーク側の装置がセキュア機能を有しているか否かに関わらず、セキュア機能を有しているものとしてセキュア通信を行うことができる。   As described above, according to the present invention, the proxy secure router device performs an encryption process on the packet passing through the device on behalf of the second network side device based on the rule information. Therefore, the first network side device performs secure communication on the assumption that it has the secure function regardless of whether or not the second network side device as the communication partner has the secure function. be able to.

本発明の一実施の形態に係る代理セキュアルータ装置(以下、単に「ルータ装置」と言う)について図面を参照して説明する。図1は、本実施形態に係るルータ装置の構成を示すブロック図である。なお、本実施の形態ではTCP/IPプロトコルスイートを用いるものとし、特にセキュア機能の実現にはIPsecプロトコルスイートを用いる。   A proxy secure router device (hereinafter simply referred to as “router device”) according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram illustrating a configuration of a router device according to the present embodiment. In this embodiment, the TCP / IP protocol suite is used, and in particular, the IPsec protocol suite is used for realizing the secure function.

ルータ装置1は、図1に示すように、インターネットなどのWAN(Wide Area Network)2とLAN(Local Area Network)3との間に介在して両ネットワーク間のパケットを中継する。WAN2にはIPsecが実装された相手先端末装置4が接続しており、LAN3にはIPsecが実装されていない(又はIPsecを機能させていない)端末装置5が接続されている。本願発明では、相手先端末装置4からみると、端末装置5がIPsec機能を有しており、該端末装置5との間でトランスポートでIPsecを用いたセキュア通信しているのと等価となるように、ルータ装置1が端末装置5の代理でセキュア機能を処理する。なお、端末装置5は、例えばパーソナルコンピュータや通信機能を有する家電等のインターネット通信機器よりなる。   As shown in FIG. 1, the router device 1 is interposed between a WAN (Wide Area Network) 2 such as the Internet and a LAN (Local Area Network) 3 to relay packets between both networks. The WAN 2 is connected to a partner terminal device 4 in which IPsec is implemented, and the LAN 3 is connected to a terminal device 5 in which IPsec is not implemented (or IPsec is not functioning). In the present invention, when viewed from the counterpart terminal device 4, the terminal device 5 has an IPsec function, and is equivalent to performing secure communication with the terminal device 5 using IPsec for transport. As described above, the router device 1 processes the secure function on behalf of the terminal device 5. The terminal device 5 is composed of an Internet communication device such as a personal computer or a home appliance having a communication function.

ルータ装置1の装置構成について図1を参照して説明する。ルータ装置1は、図1に示すように、WAN2のパケットの送受信を行うWAN側ネットワークインターフェース10と、LAN3とのパケットの送受信を行うLAN側ネットワークインターフェース11とを備えている。各インターフェース10,11には、それぞれ各ネットワーク側のIPアドレスが振られている。   The device configuration of the router device 1 will be described with reference to FIG. As shown in FIG. 1, the router device 1 includes a WAN-side network interface 10 that transmits and receives WAN2 packets and a LAN-side network interface 11 that transmits and receives packets with the LAN 3. Each interface 10, 11 is assigned an IP address on each network side.

また、ルータ装置1は、相手先端末装置4との間で暗号通信路情報(以下、単に「SA(Security Association)情報」と言う)を合意する暗号通信路情報合意手段12と、暗号通信路情報合意手段12によって合意された暗号通信路情報を記憶する暗号通信路情報記憶手段13とを備えている。前記SA情報は、相手先端末装置4と端末装置5との間でIPsecに準拠したパケットを伝送するために、WAN2上に安全な通信経路を確立するための両端末間で合意される情報である。   Further, the router device 1 includes an encrypted communication channel information agreement means 12 for agreeing encrypted communication channel information (hereinafter simply referred to as “SA (Security Association) information”) with the counterpart terminal device 4, and an encrypted communication channel. And encrypted communication path information storage means 13 for storing encrypted communication path information agreed by the information agreement means 12. The SA information is information agreed between both terminals for establishing a secure communication path on the WAN 2 in order to transmit a packet conforming to IPsec between the counterpart terminal apparatus 4 and the terminal apparatus 5. is there.

さらに、ルータ装置1は、相手先端末装置4がIPsecに準拠して暗号化して送信したパケットを復号化する復号化手段14と、セキュア機能を代理で行うか否かのルール情報であるフィルタ情報を記憶したフィルタ情報記憶手段15と、相手先端末装置4が送信したパケットを復号化手段14によって復号化するか否かをフィルタ情報に基づいて判断する復号化要否判定手段16と、相手先端末装置4が送信した暗号化パケットが正当なものであるか否かを判断する受信パケット正当性判定手段17とを備えている。フィルタ情報記憶手段15に記憶したフィルタ情報の詳細については後述する。   Further, the router device 1 includes decryption means 14 for decrypting the packet transmitted by the counterpart terminal device 4 in accordance with IPsec, and filter information which is rule information indicating whether or not to perform the secure function as a proxy. Filter information storage means 15 that stores information, a decryption necessity determination means 16 that determines whether or not a packet transmitted by the counterpart terminal apparatus 4 is to be decoded by the decryption means 14, and a counterpart Received packet validity determining means 17 is provided for determining whether or not the encrypted packet transmitted by the terminal device 4 is valid. Details of the filter information stored in the filter information storage unit 15 will be described later.

さらに、ルータ装置1は、暗号通信路情報記憶手段13に記憶されたSA情報に基づいて、端末装置5が送信したIPsecに準拠していないパケットをIPsecに準拠して暗号化する暗号化手段18と、フィルタ情報記憶手段15に記憶されたフィルタ情報に基づいて、端末装置5が送信したパケットを暗号化手段18によって暗号化するか否かを判断する暗号化要否判定手段19とを備えている。   Further, the router device 1 encrypts a packet that is not compliant with IPsec transmitted by the terminal device 5 based on the SA information stored in the encrypted communication path information storage unit 13 according to IPsec. And encryption necessity determination means 19 for determining whether or not the encryption means 18 encrypts the packet transmitted by the terminal device 5 based on the filter information stored in the filter information storage means 15. Yes.

暗号通信路情報記憶手段13は、不揮発性の記憶媒体によって構成される。SA情報には、各SA情報を識別するための識別番号(SPI:Security Parameter Index)、AH(Authentication Header)及びESP(Encapsulation Security Payload)の何れかのプロトコルを表すプロトコル情報、暗号化や認証でそれぞれ使用される暗号アルゴリズムや鍵情報、トンネルモード及びトランスポートモードの何れかのモードを表すモード情報、IPアドレスやポート番号よりなる識別子、及びSA情報の生存時間等が含まれる。   The encrypted communication path information storage unit 13 is configured by a nonvolatile storage medium. The SA information includes an identification number (SPI: Security Parameter Index) for identifying each SA information, protocol information indicating any one of AH (Authentication Header) and ESP (Encapsulation Security Payload), encryption and authentication. Each of them includes encryption algorithm and key information used, mode information indicating one of the tunnel mode and the transport mode, an identifier composed of an IP address and a port number, and the lifetime of SA information.

SAの各パラメータは、IKE(Internet Key Exchange)等の鍵交換プロトコルによって通信相手との間で合意されるものであり、暗号通信路情報合意手段12は、端末装置5に代わってSA情報の各パラメータを相手先端末装置4と合意し、合意したパラメータが反映されたSA情報を暗号通信路情報記憶手段13に格納する。   Each parameter of SA is agreed with a communication partner by a key exchange protocol such as IKE (Internet Key Exchange), and the encrypted communication path information agreement means 12 replaces each of the SA information on behalf of the terminal device 5. The parameter is agreed with the counterpart terminal device 4, and the SA information reflecting the agreed parameter is stored in the encryption channel information storage unit 13.

復号化手段14は、暗号通信路情報記憶手段13に記憶されたSA情報に含まれる暗号アルゴリズムや鍵情報に基づいて、相手先端末装置4が端末装置5に向けて送信したIPsecに準拠して暗号化したパケットを、パケットの送信元と送信先を変えずに復号化するようになっている。   Based on the encryption algorithm and key information included in the SA information stored in the encryption channel information storage unit 13, the decryption unit 14 conforms to the IPsec transmitted from the counterpart terminal device 4 to the terminal device 5. The encrypted packet is decrypted without changing the transmission source and transmission destination of the packet.

復号化要否判定手段16は、フィルタ情報記憶手段15に記憶されたフィルタ情報を参照し、相手先端末装置4が端末装置5に向けて送信したパケットを復元するか、端末装置5にそのままLAN側ネットワークインターフェース11を介して送信するか、パケットを廃棄するか、を判断し、判断結果に応じてパケットを出力又は廃棄する。   The decryption necessity determination unit 16 refers to the filter information stored in the filter information storage unit 15 and restores the packet transmitted from the counterpart terminal device 4 to the terminal device 5 or directly transmits the LAN to the terminal device 5. It is determined whether to transmit through the side network interface 11 or to discard the packet, and the packet is output or discarded according to the determination result.

受信パケット正当性判定手段17は、IPsecに準拠して暗号化されたパケットに含まれる完全性チェック値やシーケンス番号等に基づいて、当該パケットが正当であるか判断する。なお、完全性チェック値(ICV:Integrity Check Value)の算出アルゴリズムは、認証アルゴリズムによって決定する。   The received packet validity determination unit 17 determines whether the packet is valid based on an integrity check value, a sequence number, and the like included in the packet encrypted in accordance with IPsec. Note that an algorithm for calculating an integrity check value (ICV) is determined by an authentication algorithm.

暗号化手段18は、暗号通信路情報記憶手段13に記憶されたSA情報に含まれる暗号アルゴリズムや鍵情報に基づいて、端末装置5が相手先端末装置4に向けて送信したパケットを、パケットの送信元と送信先を変えずにIPsecに準拠して暗号化する。   Based on the encryption algorithm and key information included in the SA information stored in the encryption channel information storage unit 13, the encryption unit 18 converts the packet transmitted from the terminal device 5 toward the counterpart terminal device 4 into the packet Encryption is performed according to IPsec without changing the transmission source and transmission destination.

暗号化要否判定手段19は、フィルタ情報記憶手段15に記憶されたフィルタ情報を参照し、端末装置5が送信したパケットを暗号化するか、相手先端末装置4にそのままWAN側ネットワークインターフェース10を介して送信するか、パケットを廃棄するか、を判断し、判断結果に応じてパケットを出力又は廃棄する。   The encryption necessity determination unit 19 refers to the filter information stored in the filter information storage unit 15 and either encrypts the packet transmitted by the terminal device 5 or directly connects the WAN side network interface 10 to the counterpart terminal device 4. Whether the packet is to be transmitted or the packet is to be discarded, and the packet is output or discarded according to the determination result.

暗号化要否判定手段19を設けることによって、ルータ装置1は、LAN3内の複数の端末装置のうち不正な端末装置の接続を防ぐことができ、さらに、不正な相手先端末装置4との間で暗号通信が行われることを防ぐことができる。   By providing the encryption necessity determination unit 19, the router device 1 can prevent an unauthorized terminal device from being connected among a plurality of terminal devices in the LAN 3, and further, the router device 1 can communicate with an unauthorized partner terminal device 4. Thus, it is possible to prevent encrypted communication from being performed.

次に、フィルタ情報記憶手段15に記憶されるフィルタ情報について図2を参照して説明する。フィルタ情報は、パケットの送信元を識別するための送信元識別情報、パケットの送信先を識別するための送信先識別情報、及びパケットを伝送するための通信手順を表すプロトコル情報に対応したパケットの処理情報を含んでいる。   Next, filter information stored in the filter information storage unit 15 will be described with reference to FIG. The filter information includes transmission source identification information for identifying the transmission source of the packet, transmission destination identification information for identifying the transmission destination of the packet, and packet information corresponding to protocol information indicating a communication procedure for transmitting the packet. Contains processing information.

図2の具体例では、送信元識別情報を構成する送信元のIPアドレス、送信先識別情報を構成する送信先のIPアドレス、プロトコル、送信元識別情報を構成する送信元のポート番号、送信先識別情報を構成する送信先のポート番号、及びパケットをどのように処理するかを表す情報を含む。   In the specific example of FIG. 2, the IP address of the transmission source constituting the transmission source identification information, the IP address of the transmission destination constituting the transmission destination identification information, the protocol, the port number of the transmission source constituting the transmission source identification information, and the transmission destination It includes information indicating the port number of the transmission destination constituting the identification information and how to process the packet.

例えば、1行目は、送信元のIPアドレス(IPv4)が10.0.1.1/32、送信先のアドレスが10.0.0.*/24に含まれ、及び、プロトコルがtcp(Transmission Control Protcol)の場合には、受信したパケットに対してIPsecの処理を行う(apply)ことを示している。   For example, in the first line, the source IP address (IPv4) is 10.0.1.1/32, and the destination address is 10.0.0. When included in * / 24 and the protocol is tcp (Transmission Control Protocol), it indicates that IPsec processing is applied to the received packet (apply).

また、2行目は、送信元のIPアドレス(IPv6)が2001::1、送信先のIPアドレスが2001::2、プロトコルがudp(User Datagram Protocol)、及び、送信元のポート番号と送信先のポート番号とが137の場合には、受信したパケットをそのまま送信する(bypass)ことを示している。   The second line shows that the source IP address (IPv6) is 2001: 1, the destination IP address is 2001 :: 2, the protocol is udp (User Datagram Protocol), and the source port number and transmission. When the previous port number is 137, it indicates that the received packet is transmitted as it is (bypass).

また、3行目は、送信元のIPアドレス(IPv6)が2001::1/128、送信先のIPアドレスが2001::2/128、プロトコルがicmp(Internet Control Message Protocol)、及び、送信元のポート番号が135の場合には、受信したパケットを廃棄する(drop)ことを示している。   In the third line, the source IP address (IPv6) is 2001 :: 1/128, the destination IP address is 2001 :: 2/128, the protocol is icmp (Internet Control Message Protocol), and the source When the port number is 135, it indicates that the received packet is to be dropped.

このように、このフィルタ情報により、IPsec機能を実装していない端末装置5が送受信するパケットにはIPsecの処理を行う(apply)ように、IPsec機能を実装している端末装置が送受信するパケットはそのまま送信する(bypass)ように設定することができる。   As described above, the packet transmitted and received by the terminal device that implements the IPsec function is applied to the packet transmitted and received by the terminal device 5 that does not implement the IPsec function based on the filter information. It can be set to transmit as it is (bypass).

なお、復号化要否判定手段16は、相手先端末装置4が送信したパケットを復号化すると判断した際に、相手先端末装置4が送信したパケットを参照し、この参照したパケットがIPsecに準拠して暗号化されていないと判断された場合に、このパケットを廃棄するようにしてもよい。   When the decryption necessity determination unit 16 determines to decrypt the packet transmitted by the counterpart terminal device 4, the decryption necessity reference unit 16 refers to the packet transmitted by the counterpart terminal device 4, and the referred packet conforms to IPsec. If it is determined that the packet is not encrypted, the packet may be discarded.

以下に、ルータ装置1の動作を説明する。なお、以下に説明するルータ装置1の各動作においては、暗号通信路情報合意手段12によって合意されたパラメータが反映されたSA情報が、暗号通信路情報記憶手段13に既に記憶されているものとする。   Below, operation | movement of the router apparatus 1 is demonstrated. In each operation of the router device 1 described below, the SA information reflecting the parameters agreed by the encryption channel information agreement unit 12 is already stored in the encryption channel information storage unit 13. To do.

図3は、ルータ装置1のWAN2側からのパケット受信動作を示すフローチャートである。ルータ装置1のパケット受信動作は、相手先端末装置4がWAN2を介して端末装置5に向けて送信したパケットが、WAN側ネットワークインターフェース10によって受信されたときにスタートする。   FIG. 3 is a flowchart showing a packet receiving operation from the WAN 2 side of the router device 1. The packet reception operation of the router device 1 starts when a packet transmitted from the counterpart terminal device 4 to the terminal device 5 via the WAN 2 is received by the WAN-side network interface 10.

まず、復号化要否判定手段16が、WAN側ネットワークインターフェース10で受信したパケットを復号化するか、端末装置5にそのままLAN側ネットワークインターフェース11を介して送信するか、パケットを廃棄するかについて、フィルタ情報記憶手段15に記憶されたフィルタ情報に基づいて判断する(ステップS1,S2)。   First, whether the decryption necessity determination unit 16 decrypts a packet received by the WAN side network interface 10, transmits it to the terminal device 5 as it is through the LAN side network interface 11, or discards the packet. A determination is made based on the filter information stored in the filter information storage means 15 (steps S1 and S2).

パケットを復号化すると判断した場合には、受信パケット正当性判定手段17が、当該受信パケットの正当性を判断する(ステップS3)。当該受信パケットが正当なものではないと判断した場合は、受信パケット正当性判定手段17は当該受信パケットを廃棄する(ステップS4)。   If it is determined that the packet is to be decrypted, the received packet validity determining means 17 determines the validity of the received packet (step S3). If it is determined that the received packet is not valid, the received packet validity determination unit 17 discards the received packet (step S4).

WAN側ネットワークインターフェース10で受信したパケットが正当なものであると判断された場合に、復号化手段14が、当該受信パケットを、暗号通信路情報記憶手段13に記憶されたSA情報に基づいて復号化し(ステップS5)、復号化されたパケットをLAN側ネットワークインターフェース11及びLAN3を介して端末装置5に送信する(ステップS6)。   When it is determined that the packet received by the WAN-side network interface 10 is valid, the decryption unit 14 decrypts the received packet based on the SA information stored in the encrypted communication path information storage unit 13. (Step S5), and the decrypted packet is transmitted to the terminal device 5 via the LAN-side network interface 11 and the LAN 3 (step S6).

一方、WAN側ネットワークインターフェース10で受信したパケットを端末装置5にそのままLAN側ネットワークインターフェース11を介して送信すると判断した場合(ステップS2)、復号化要否判定手段16は、当該受信パケットをLAN側ネットワークインターフェース11及びLAN3を介して端末装置5に送信する(ステップS6)。   On the other hand, when it is determined that the packet received by the WAN side network interface 10 is transmitted as it is to the terminal device 5 via the LAN side network interface 11 (step S2), the decryption necessity determination unit 16 transmits the received packet to the LAN side. The data is transmitted to the terminal device 5 via the network interface 11 and the LAN 3 (step S6).

他方、WAN側ネットワークインターフェース10で受信したパケットを復号化せず、かつ端末装置5にそのまま送信しないと判断した場合(ステップS1,S2)、すなわち、パケットを廃棄すると判断した場合、復号化要否判定手段16は、当該受信パケットを廃棄する(ステップS4)。   On the other hand, if it is determined that the packet received by the WAN side network interface 10 is not decoded and is not transmitted to the terminal device 5 as it is (steps S1 and S2), that is, if it is determined that the packet is to be discarded, the necessity of decoding is determined. The determination unit 16 discards the received packet (step S4).

次に、ルータ装置1のWAN2側へのパケット送信動作について図4のフローチャートを参照して説明する。ルータ装置1のパケット送信動作は、端末装置5がLAN3を介して相手先端末装置4に向けて送信したパケットが、LAN側ネットワークインターフェース11によって受信されたときにスタートする。   Next, a packet transmission operation to the WAN 2 side of the router device 1 will be described with reference to the flowchart of FIG. The packet transmission operation of the router device 1 starts when a packet transmitted from the terminal device 5 to the counterpart terminal device 4 via the LAN 3 is received by the LAN-side network interface 11.

まず、暗号化要否判定手段19が、LAN側ネットワークインターフェース11で受信したパケットを暗号化するか、相手先端末装置4にそのままWAN側ネットワークインターフェース10を介して送信するか、パケットを廃棄するかについて、フィルタ情報記憶手段15に記憶されたフィルタ情報に基づいて判断する(ステップS11,S12)。   First, whether the encryption necessity determination unit 19 encrypts a packet received by the LAN-side network interface 11, transmits it to the counterpart terminal device 4 as it is through the WAN-side network interface 10, or discards the packet Is determined based on the filter information stored in the filter information storage means 15 (steps S11 and S12).

パケットを暗号化すると判断した場合には、暗号化手段18が、LAN側ネットワークインターフェース11で受信したパケットを、暗号通信路情報記憶手段13に記憶されたSA情報に基づいてIPsecに準拠して暗号化し(ステップS13)、この暗号化したパケットをWAN側ネットワークインターフェース10及びWAN2を介して相手先端末装置4に送信する(ステップS14)。   If it is determined that the packet is to be encrypted, the encryption unit 18 encrypts the packet received by the LAN-side network interface 11 in accordance with IPsec based on the SA information stored in the encryption channel information storage unit 13. (Step S13), and transmits the encrypted packet to the destination terminal device 4 via the WAN side network interface 10 and the WAN 2 (step S14).

一方、LAN側ネットワークインターフェース11で受信したパケットを相手先端末装置4にそのままWAN側ネットワークインターフェース10を介して送信すると判断した場合(ステップS12)、暗号化要否判定手段19は、当該パケットをWAN側ネットワークインターフェース10及びWAN2を介して相手先端末装置4に送信する(ステップS14)。   On the other hand, when it is determined that the packet received by the LAN-side network interface 11 is to be transmitted as it is to the counterpart terminal device 4 via the WAN-side network interface 10 (step S12), the encryption necessity determining unit 19 transmits the packet to the WAN. It transmits to the counterpart terminal device 4 via the side network interface 10 and WAN 2 (step S14).

他方、LAN側ネットワークインターフェース11で受信したパケットを暗号化せず、かつ相手先端末装置4にそのまま送信しないと判断した場合(ステップS11,S12)、すなわち、パケットを廃棄すると判断した場合、暗号化要否判定手段19は、当該受信パケットを廃棄する。   On the other hand, if it is determined that the packet received by the LAN-side network interface 11 is not encrypted and is not transmitted to the counterpart terminal device 4 as it is (steps S11 and S12), that is, if it is determined that the packet is to be discarded, encryption is performed. Necessity determining means 19 discards the received packet.

なお、以上で説明したルータ装置1の各構成要素は、上記で説明した動作を記述したプログラムをプロセッサに実行させるようにしてもよい。すなわち、暗号通信路情報合意手段12、復号化手段14、復号化要否判定手段16、受信パケット正当性判定手段17、暗号化手段18、及び、暗号化要否判定手段19は、上記プログラムを実行するプロセッサによって構成するようにしてもよい。   Each component of the router device 1 described above may cause a processor to execute a program describing the operation described above. That is, the encryption channel information agreement unit 12, the decryption unit 14, the decryption necessity determination unit 16, the received packet validity determination unit 17, the encryption unit 18, and the encryption necessity determination unit 19 execute the above program. You may make it comprise with the processor to perform.

また、暗号通信路情報記憶手段13及びフィルタ情報記憶手段15のうち少なくとも一方は、記憶した情報の少なくとも一部を利用者が変更できないよう、ICカード、USB(Universal Serial Bus)キー、SD(Secure Digital)メモリカードなどの耐タンパ性のある着脱可能なデバイスによって構成してもよい。   In addition, at least one of the encryption channel information storage unit 13 and the filter information storage unit 15 has an IC card, a USB (Universal Serial Bus) key, an SD (Secure) so that the user cannot change at least a part of the stored information. (Digital) A tamper-resistant detachable device such as a memory card may be used.

一方、暗号通信路情報記憶手段13及びフィルタ情報記憶手段15のうち少なくとも一方は、WAN2を介して認証された利用者が、記憶した情報の少なくとも一部を変更できるようにしてもよい。   On the other hand, at least one of the encrypted communication path information storage unit 13 and the filter information storage unit 15 may allow a user authenticated via the WAN 2 to change at least a part of the stored information.

なお、ルータ装置1は、ARP(Address Resolution Protocol:アドレス解決プロトコル)やNDP(Neighbor Discovery Protocol:近隣発見プロトコル)などの情報収集プロトコルや、UPnP(Universal Plug and Play)などの相互接続機能をもって、接続されている端末装置5のIPアドレスやサービス等の機器情報を収集し、収集した機器情報に基づいて暗号通信路情報及びフィルタ情報のうち少なくとも一方を生成する際の、IPアドレスの生成、情報参照の効率化、及び、ユーザ入力の支援などの情報管理を行うようにしてもよい。   The router device 1 is connected with an information collection protocol such as ARP (Address Resolution Protocol) and NDP (Neighbor Discovery Protocol) and an interconnection function such as UPnP (Universal Plug and Play). IP address generation and information reference when collecting device information such as the IP address and service of the terminal device 5 being used, and generating at least one of encrypted communication path information and filter information based on the collected device information It is also possible to perform information management such as efficiency improvement and user input support.

以上説明したように、ルータ装置1によれば、IPsecによる暗号化の終端が端末装置5であるものとして相手先端末装置4が処理できるため、トランスポートモードを採ることができ、相手先端末装置4の利用者に設定の手間をかけずにIPsec機能が実装されていない端末装置5に対してIPsec処理を代理することができる。   As described above, according to the router device 1, since the partner terminal device 4 can process the terminal device 5 as if the terminal of the encryption by IPsec is the terminal device 5, the transport mode can be adopted. It is possible to proxy the IPsec processing for the terminal device 5 in which the IPsec function is not implemented without taking time and effort for setting the user 4.

なお、フィルタ情報記憶手段15に記憶されているフィルタ情報は、ルータ装置1が動作する前に決められて設定される必要があるが、ルータ装置1が該フィルタ情報を自動的に生成するようにしてもよい。例えば、ルータ装置1がDHCP(Dynamic Host Configuration Protocol)機能やRA(ルータアドバタイズ)といったアドレス払い出し機能を備え、配下の端末装置5がルータ装置1からアドレスの払い出しを受ける設定になっている場合、ルータ装置1では、配下の端末装置5が利用しているアドレス状況が分かることになる。そこで、ルータ装置1がアドレスを払い出す際に、アドレスを払い出した端末装置5に対してIPsecのセッション要求を送信し、その端末装置5がIPsecを利用可能であるかを判定し、その判定結果に基づいてフィルタ情報を作成するようにしてもよい。また、UPnPなどの端末装置5からルータ装置1へ通信を行うプロトコルを用いて、端末装置5がLAN3に接続されたことをルータ装置1が検知し、検出した端末装置5に対してIPsecのセッション要求を送信し、その結果に基づいてフィルタ情報を作成するようにしてもよい。   The filter information stored in the filter information storage means 15 needs to be determined and set before the router device 1 operates. However, the router device 1 automatically generates the filter information. May be. For example, when the router device 1 has an address issue function such as a DHCP (Dynamic Host Configuration Protocol) function and RA (router advertisement), and the subordinate terminal device 5 is set to receive an address issue from the router device 1, the router In the device 1, the address status used by the subordinate terminal device 5 is known. Therefore, when the router device 1 issues an address, it transmits an IPsec session request to the terminal device 5 that has issued the address, determines whether the terminal device 5 can use IPsec, and the determination result. Filter information may be created based on the above. Further, the router device 1 detects that the terminal device 5 is connected to the LAN 3 by using a protocol for communication from the terminal device 5 to the router device 1 such as UPnP, and the IPsec session is detected with respect to the detected terminal device 5. A request may be transmitted, and filter information may be created based on the result.

また、上記実施の形態では、セキュア機能を実現するためのIPsecプロトコルスイートを用いたが他のプロトコルであってもよい。また、上記実施の形態では、TCP/IPプロトコルスイートを用いてるが他のプロトコルを用いてネットワークを構成してもよい。   In the above embodiment, the IPsec protocol suite for realizing the secure function is used, but other protocols may be used. In the above embodiment, the TCP / IP protocol suite is used, but the network may be configured using other protocols.

代理セキュアルータ装置のブロック図Block diagram of proxy secure router device フィルタ情報の一例を説明する図The figure explaining an example of filter information WAN側からのパケット受信時のルータ装置の動作を説明するフローチャートFlowchart explaining the operation of the router device when receiving a packet from the WAN side LAN側からのパケット受信時のルータ装置の動作を説明するフローチャートFlowchart for explaining the operation of the router device when receiving a packet from the LAN side

符号の説明Explanation of symbols

1…ルータ装置、2…WAN、3…LAN、4…相手先端末装置、5…端末装置、10…WAN側ネットワークインターフェース、11…LAN側ネットワークインターフェース、12…暗号通信路経路情報合意手段、13…暗号通信路情報記憶手段、14…復号化手段、15…フィルタ情報記憶手段、16…復号化要否判定手段、17…受信パケット正当性判定手段、18…暗号化手段、19…暗号化要否判定手段。   DESCRIPTION OF SYMBOLS 1 ... Router apparatus, 2 ... WAN, 3 ... LAN, 4 ... Counterpart terminal apparatus, 5 ... Terminal apparatus, 10 ... WAN side network interface, 11 ... LAN side network interface, 12 ... Encryption communication path information agreement means, 13 ... Encryption channel information storage means, 14 ... Decryption means, 15 ... Filter information storage means, 16 ... Decryption necessity judgment means, 17 ... Received packet validity judgment means, 18 ... Encryption means, 19 ... Encryption required No decision means.

Claims (8)

第1のネットワークと第2のネットワークとの間でパケットを中継するとともにパケットの暗号処理を第2のネットワーク側の装置の代理で行う代理セキュアルータ装置において、
暗号化処理の適用要否のルール情報を記憶した記憶手段と、
前記記憶手段に記憶されたルール情報に基づき第1のネットワーク又は第2のネットワークから受信したパケットに対して暗号化処理を適用するか否かを判定する暗号化処理要否判定手段と、
第1のネットワーク側から第2のネットワーク側に中継する第2のネットワーク側の装置宛の暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該暗号化パケットを宛先装置に代理して復号化する復号化手段と、
第2のネットワーク側から第1のネットワーク側に中継する非暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該非暗号化パケットを発信元装置に代理して暗号化する暗号化手段とを備えた
ことを特徴とする代理セキュアルータ装置。 In a proxy secure router device that relays a packet between a first network and a second network and performs encryption processing of the packet on behalf of a device on the second network side,
Storage means for storing rule information on whether or not to apply encryption processing;
Encryption processing necessity determination means for determining whether or not to apply encryption processing to a packet received from the first network or the second network based on the rule information stored in the storage means;
When the encrypted packet addressed to the second network side device relayed from the first network side to the second network side is determined by the encryption processing necessity determination means to apply the encryption processing, Decoding means for decoding the encrypted packet on behalf of the destination device;
When a non-encrypted packet relayed from the second network side to the first network side is determined to apply the encryption process by the encryption process necessity determination unit, the non-encrypted packet is proxyed to the source device And a proxy secure router device comprising: an encryption means for performing encryption. 第1のネットワークと第2のネットワークとの間を中継するパケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、前記復号化手段及び暗号化手段での暗号通信路形成に必要な暗号通信路情報を、第2のネットワーク側の装置に代理して、第1のネットワーク側の装置との間で合意する暗号通信路情報合意手段を備えた
ことを特徴とする請求項1記載の代理セキュアルータ装置。 When a packet relayed between the first network and the second network is determined to apply the encryption process by the encryption process necessity determination unit, the encryption communication by the decryption unit and the encryption unit A cryptographic communication path information agreement means is provided for agreeing with the first network side device on behalf of the second network side device for encryption channel information necessary for path formation. The proxy secure router device according to claim 1. 前記暗号処理要否判定手段は、第1のネットワーク側から受信した暗号化パケットの正当性を判定するパケット正当性判定手段を備えた
ことを特徴とする請求項1又は2何れか1項記載の代理暗号処理ルータ装置。 The said encryption processing necessity determination means is provided with the packet validity determination means which determines the validity of the encryption packet received from the 1st network side. The one of Claim 1 or 2 characterized by the above-mentioned. Proxy cryptographic processing router device. 第2のネットワーク側の装置の情報を収集するとともに該装置情報に基づいて前記ルール情報を生成するルール情報生成手段を備えた
ことを特徴とする請求項1乃至3何れか1項記載の代理セキュアルータ装置。 The proxy secure according to any one of claims 1 to 3, further comprising: rule information generation means for collecting information on a device on the second network side and generating the rule information based on the device information. Router device. 前記ルール情報は少なくともパケットの送信元情報、送信先情報及びプロトコル情報を含む
ことを特徴とする請求項1乃至4何れか1項記載の代理セキュアルータ装置。 The proxy secure router device according to any one of claims 1 to 4, wherein the rule information includes at least packet source information, destination information, and protocol information. 暗号処理プロトコルとしてIPsecプロトコルスイートを用いた
ことを特徴とする請求項1乃至5何れか1項記載の代理セキュアルータ装置。 The proxy secure router device according to any one of claims 1 to 5, wherein an IPsec protocol suite is used as an encryption processing protocol. IPsecのカプセル化モードとしてトランスポートモードを用いた
ことを特徴とする請求項6記載の代理セキュアルータ装置。 The proxy secure router device according to claim 6, wherein a transport mode is used as an IPsec encapsulation mode. 第1のネットワークと第2のネットワークとの間でパケットを中継するとともにパケットの暗号処理を第2のネットワーク側の装置の代理で行う代理セキュアルータ装置を実現するプログラムであって、
コンピュータを、
暗号化処理の適用要否のルール情報を記憶した記憶手段と、
前記記憶手段に記憶されたルール情報に基づき第1のネットワーク又は第2のネットワークから受信したパケットに対して暗号化処理を適用するか否かを判定する暗号化処理要否判定手段と、
第1のネットワーク側から第2のネットワーク側に中継する第2のネットワーク側の装置宛の暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該暗号化パケットを宛先装置に代理して復号化する復号化手段と、
第2のネットワーク側から第1のネットワーク側に中継する非暗号化パケットが前記暗号化処理要否判定手段で暗号化処理を適用すると判定された場合に、該非暗号化パケットを発信元装置に代理して暗号化する暗号化手段として機能させる
ことを特徴とする代理セキュアルータプログラム。
A program for realizing a proxy secure router device that relays a packet between a first network and a second network and performs encryption processing of the packet on behalf of a device on the second network side,
Computer
Storage means for storing rule information on whether or not to apply encryption processing;
Encryption processing necessity determination means for determining whether or not to apply encryption processing to a packet received from the first network or the second network based on the rule information stored in the storage means;
When the encrypted packet addressed to the second network side device relayed from the first network side to the second network side is determined by the encryption processing necessity determination means to apply the encryption processing, Decoding means for decoding the encrypted packet on behalf of the destination device;
When a non-encrypted packet relayed from the second network side to the first network side is determined to apply the encryption process by the encryption process necessity determination unit, the non-encrypted packet is proxyed to the source device A proxy secure router program that functions as an encryption means for encryption.
JP2004208559A 2004-07-15 2004-07-15 Proxy secure router device and program Pending JP2006033350A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004208559A JP2006033350A (en) 2004-07-15 2004-07-15 Proxy secure router device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004208559A JP2006033350A (en) 2004-07-15 2004-07-15 Proxy secure router device and program

Publications (1)

Publication Number Publication Date
JP2006033350A true JP2006033350A (en) 2006-02-02

Family

ID=35899174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004208559A Pending JP2006033350A (en) 2004-07-15 2004-07-15 Proxy secure router device and program

Country Status (1)

Country Link
JP (1) JP2006033350A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8321659B2 (en) 2007-02-15 2012-11-27 Fujitsu Limited Data encryption apparatus, data decryption apparatus, data encryption method, data decryption method, and data transfer controlling apparatus
US8478984B2 (en) 2007-02-15 2013-07-02 Fujitsu Limited Data encryption apparatus, data decryption apparatus, data encryption method, data decryption method, and data relay apparatus
JP2022075196A (en) * 2020-11-06 2022-05-18 株式会社東芝 Transfer device, key management server device, communication system, transfer method, and program
US12489610B2 (en) 2020-11-06 2025-12-02 Kabushiki Kaisha Toshiba Forwarding device, key management server device, communication system, forwarding method, and computer program product

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10327193A (en) * 1997-05-26 1998-12-08 Nec Corp Encipherment system
JP2001203761A (en) * 2000-01-20 2001-07-27 Dainippon Printing Co Ltd Relay device and network system provided with the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10327193A (en) * 1997-05-26 1998-12-08 Nec Corp Encipherment system
JP2001203761A (en) * 2000-01-20 2001-07-27 Dainippon Printing Co Ltd Relay device and network system provided with the same

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8321659B2 (en) 2007-02-15 2012-11-27 Fujitsu Limited Data encryption apparatus, data decryption apparatus, data encryption method, data decryption method, and data transfer controlling apparatus
US8478984B2 (en) 2007-02-15 2013-07-02 Fujitsu Limited Data encryption apparatus, data decryption apparatus, data encryption method, data decryption method, and data relay apparatus
JP2022075196A (en) * 2020-11-06 2022-05-18 株式会社東芝 Transfer device, key management server device, communication system, transfer method, and program
JP7642348B2 (en) 2020-11-06 2025-03-10 株式会社東芝 Transfer device, communication system, transfer method, and program
US12489610B2 (en) 2020-11-06 2025-12-02 Kabushiki Kaisha Toshiba Forwarding device, key management server device, communication system, forwarding method, and computer program product
US12500748B2 (en) 2020-11-06 2025-12-16 Kabushiki Kaisha Toshiba Forwarding device, key management server device, communication system, forwarding method, and computer program product

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
Hennebert et al. Security protocols and privacy issues into 6LoWPAN stack: A synthesis
JP3343064B2 (en) Pseudo network adapter for capturing, encapsulating and encrypting frames
CN102347870B (en) A kind of flow rate security detection method, equipment and system
CN103188351B (en) IPSec VPN traffic method for processing business and system under IPv6 environment
JP4346094B2 (en) Packet encryption processing proxy device
JP2009111437A (en) Network system
KR100479261B1 (en) Data transmitting method on network address translation and apparatus therefor
KR20090102050A (en) Security method of mobile internet protocol based server
KR100814400B1 (en) IP4 / IP6 security communication method and apparatus therefor
JP2006033350A (en) Proxy secure router device and program
CN114039812B (en) Data transmission channel establishment method, device, computer equipment and storage medium
JP2003244194A (en) Data encryption device, encryption communication processing method, and data relay device
CN110351308B (en) Virtual private network communication method and virtual private network device
KR100450774B1 (en) Method for end-to-end private information transmition using IPSec in NAT-based private network and security service using its method
EP2579537A1 (en) Method for securing data communication
JP5126209B2 (en) Access point and access point packet relay control method
Gabriel-Robez VPN and Firewall Traversal
Kim et al. New mechanisms for end-to-end security using IPSec in NAT-based private networks
Al-Abaychi et al. Evaluation of VPNs
Balitanas et al. IPV6 Mobile Network Protocol Weaknesses and a Cryptosystem Approach
JP2005348321A (en) Packet communication apparatus and method, and program
Napier SECURING VIRTUAL PRIVATE NETWORKS
JP2005252464A (en) COMMUNICATION METHOD, COMMUNICATION TERMINAL DEVICE, AND GATEWAY DEVICE

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081202