特許
J-GLOBAL ID:200903053642795513
暗号化パケット転送方法、中継装置、そのプログラムおよび通信システム
発明者:
,
,
,
出願人/特許権者:
代理人 (2件):
磯野 道造
, 大石 恵
公報種別:公開公報
出願番号(国際出願番号):特願2007-130238
公開番号(公開出願番号):特開2008-288757
出願日: 2007年05月16日
公開日(公表日): 2008年11月27日
要約:
【課題】End-to-End暗号化通信において中継装置が暗号化パケットの中身を確認する。【解決手段】SIPサーバ3は、発側端末1Aと着側端末1Bとの間で、パケットを中継する中継装置4に対し、発側端末1A、着側端末1Bそれぞれとの間でセキュリティパスを確立するよう指示する。そして、発側端末1A、着側端末1Bそれぞれとの間でセキュリティパスを確立する。よって、この中継装置4は、発側端末1Aとの間で交換したSAに関する情報を用いて暗号化パケットをいったん復号できるので、このパケットのセキュリティチェックをすることができる。【選択図】図1
請求項(抜粋):
第1の端末と、この第1の端末と通信を行う第2の端末とのセッション制御を行うセッション制御サーバと、前記第1の端末と前記第2の端末との間で送受信される暗号化パケットを転送する中継装置とを含む通信システムにおいて、前記中継装置が前記第1の端末から受信した暗号化パケットを復号して、前記第2の端末へ転送する暗号化パケット転送方法であって、
前記中継装置が、
前記セッション制御サーバから、前記第1の端末および前記第2の端末のアドレスと、前記第1の端末と前記第2の端末との間のシグナリングセッション識別情報である呼識別情報とを含む中継装置制御情報を受信し、
IKE(Internet Key Exchange)により、前記第1の端末および前記第2の端末それぞれとの間で、前記呼識別情報を含むSA(Security Association)に関する情報を交換して、IPsecSAを確立し、前記SAに関する情報を記憶部に記憶し、
前記受信した中継装置制御情報と、前記記憶部に記憶されたSAに関する情報とを用いて、前記呼識別情報ごとに、この呼識別情報に対応する前記第1の端末および前記第2の端末のアドレスと、前記第1の端末および前記第2の端末それぞれとの間のSAに関するSPI値(Security Parameters Index)とを示した通信セッション情報を作成し、前記記憶部に記憶し、
前記第1の端末から、暗号化パケットを受信したとき、
前記受信した暗号化パケットに含まれるSPI値をキーとして前記記憶部から、前記第1の端末との間のSAに関する情報を検索し、この検索したSAに関する情報を用いて、前記暗号化パケットを復号し、
前記復号したパケットに対しセキュリティチェックを実行し、
前記セキュリティチェックを実行したパケットに含まれる前記第1の端末のアドレスおよび前記SPI値の組み合わせをキーとして、前記通信セッション情報から、前記第1の端末からの前記暗号化パケットの送信先である第2の端末のアドレスおよび前記第2の端末との間のSAに関するSPI値を検索し、
前記復号したパケットの宛先アドレスを、前記検索した第2の端末のアドレスに書き換え、
前記検索したSPI値をキーとして、前記記憶部から、前記第2の端末との間のSAに関する情報を検索し、
この検索したSAに関する情報を用いて、前記復号したパケットを暗号化し、
この暗号化したパケットを、前記第2の端末へ送信することを特徴とする暗号化パケット転送方法。
IPC (5件):
H04L 9/08
, G09C 1/00
, H04L 12/66
, H04L 12/56
, H04L 12/46
H04L9/00 601B
, G09C1/00 660E
, H04L12/66 B
, H04L12/56 A
, H04L12/46 M
5J104AA12
, 5J104PA04
, 5J104PA07
, 5K030GA15
, 5K030HA08
, 5K030HD03
, 5K030HD06
, 5K030JT02
, 5K030KA05
, 5K030LB02
, 5K030LD19
, 5K030MA04
, 5K033AA08
, 5K033CC01
, 5K033DB18
, 5K033EA02
, 5K033EA06
