本发明专利技术提供一种建立在进行加密通信时的通信路径的通信路径建立方法。在该方法中,在经由IP网建立通信装置(10、12)之间的通信路径时,在等待从第2通信装置向第1通信装置发送的ISAKMP报文的分组时,借助分组等待计时器以随机间隔对等待分组的时间进行计时,当接收到除期望从第2通信装置发送的分组的顺序以外的分组时,受理该分组,从而建立通信路径。
【技术实现步骤摘要】
本专利技术涉及将分组加密来进行通信的通信路径的通信路径建立方法,例如涉及将在IPsec (Security Architecture for Internet Protocol,互联 网协议安全体系结构)通信中使用的IP (InternetProtocol,互联网协议) 分组加密来进行通信的IPsec通信中使用的通信路径的通信路径建立方 法和装置。
技术介绍
以往,作为用于自动进行在通信设备之间通过IPsec进行加密通信时 使用的SA (SecurityAssociation,安全关联)的建立和IPsec通信管理的 协议,有非专利文献1所示的IKE (Internet Key Exchange:互联网密钥 交换)。在IPsec通信中,利用该IKE进行密钥交换。SA是用于防止通过 通信装置的通信路径的IP分组受到窃听和篡改的加密通信连接。IKE的进程是在加密通信开始时将被称为ISAKMP(Internet Security Association And Key Management Protocol,互联网安全关联和密钥管理协 议)分组的报文在通信装置间交换来建立SA。通过ISAKMP分组的交换, 协商在使用SA的加密通信中使用的加密方式、认证方式、加密密钥、认 证密钥和SA的有效期间等,并在通信装置间进行决定。在通信装置的发送侧向对置的通信装置送出IP分组的定时,在与对 置的通信设备之间的SA未建立的情况下开始IKE。送出该IKE中的第1 个ISAKMP报文的通信装置被称为发起者,针对第1个ISAKMP报文送 出第2个ISAKMP报文的通信装置被称为响应者。在专利文献1记载的专利技术中,记载了这样的现有例,即;如果在进 行IPsec通信中发生故障,则发送故障通知分组,接收到该故障通知分组 的装置重新建立IPsec通信。专利文献1日本特开2005—020215号公报非专利文献lThe Internet Key Exchange (IKE), Network Working Group, Request for Comments: 2409, Category: Standards Track, The Internet Society, November 1998然而,假定对置的两通信装置要在相同的定时送出IP分组,则在双 方的通信装置在相同的定时开始IKE的情况下,会引起IKE的第1个 ISAKMP报文在通信路径上交错的情况。当发生这种故障时,双方的通信装置都作为发起者进行动作,各自 处于等待来自对置的通信装置的第2个ISAKMP报文的状态,在该状态 下,即使从对置的通信装置接收到第l个ISAKMP报文,也废弃该报文, 因而IKE未成功,具有不能建立通信路径的问题。并且,在等待第2个ISAKMP报文的限制时间经过后,两通信装置 都重发第1个ISAKMP报文。该重发处理按照预先设定在各个通信装置 中的各重发间隔和重发次数进行发送。该重发间隔是在发送第1个 ISAKMP报文后等待接收来自对置的通信装置的第2个ISAKMP报文的 限制时间,将其称为第2个ISAKMP报文的等待计时器。在第2个ISAKMP报文的等待计时器经过前,在不能从对置的通信 装置接收到第2个ISAKMP报文的情况下,以该等待计时器的经过为触 发,再次将第l个ISAKMP报文送出到对置的通信装置。在该等待计时 器的间隔和重发次数在两通信装置中被设定相同值的情况下,重复IKE 的报文交错,不能使IKE成功,不能建立通信路径。这种交错时的处理 在RFC (Request For Comments,请求注解)中未作规定,不能防止交错。
技术实现思路
鉴于上述问题,本专利技术的目的是提供一种可建立通信路径的通信路 径建立方法和装置,特别是提供一种可建立进行加密通信时的通信路径 的通信路径建立方法和装置。为了解决上述问题,本专利技术提供一种通信路径建立方法,其建立第 l通信装置和对置的第2通信装置之间的通信路径,其特征在于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发送的分组; 计时装置,其以随机间隔保持分组等待计时器,该分组等待计时器对等 待分组的时间进行计时;接收装置,其接收除期望从第2通信装置发送 的分组的顺序以外的分组;受理装置,其受理分组;以及建立装置,其 根据在受理装置中所受理的分组建立通信路径。在该情况下,优选的是,在等待装置中,在从第1通信装置向第2 通信装置发送的第1分组和从第2通信装置向第1通信装置发送的第2 分组发生分组交错的情况下,第1通信装置等待第2分组。并且,优选 的是,分组是用于建立用于进行加密通信的通信路径的分组。并且,为了解决上述问题,本专利技术还提供一种通信路径建立方法, 其建立第1通信装置和对置的第2通信装置之间的通信路径,其特征在 于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发 送的分组;接收装置,其接收除期望从第2通信装置发送的分组的顺序 以外的分组;比较装置,其对设定在第1通信装置和第2通信装置内的 彼此不同的值的大小进行比较;受理装置,其受理分组;以及建立装置, 其根据在受理装置中所受理的分组来建立通信路径,当在接收装置中由 第1通信装置接收到除期望从第2通信装置发送的分组的顺序以外的分 组时,在受理装置中根据比较装置的大小比较结果来判断是否受理分组。在该情况下,优选的是,在受理装置中,在分组的交换开始时、分 组的交换过程中以及分组的交换结束后判断是否受理所述分组。根据本专利技术,在第1和第2通信装置在相同的定时作为发起者进行 动作,并且作为第1个分组的ISAKMP报文发生交错的情况下,即使接 收到除期望从对置的通信装置发送的以外的报文,也具有对该报文进行 响应的状态,根据这样的结构,与在发生分组交错的情况下的应对安装 方法无关,由对置的通信装置发送期望的报文,可使IKE成功,可建立 SA。并且,在第1和第2通信装置在相同的定时作为发起者进行动作, 并且第1个ISAKMP报文发生交错的情况下,只要对置的通信装置是作 为在发生交错的情况下的应对措施而进行相同安装的装置,就能对MAC地址或IP地址等的装置固有的值的大小进行比较,并根据该比较结果在交错发生后立即决定成为发起者的装置,因而可使IKE成功,可建立SA。 并且,预先决定哪个通信装置使作为发起者的IKE有效,可在双向 的IKE结束后决定使用2个SA中的哪一方。附图说明图1是示出应用本专利技术的通信系统的结构例的图。图2是示出通信装置的第1动作例的图。图3是示出通信装置的第2动作例的图。图4是示出通信装置的第3动作例的图。图5是示出通信装置的另一动作例的图。图6是示出通信装置的另一动作例的图。标号说明10、 12:通信装置;20、 22:等待计时器。具体实施方式下面参照附图详细说明本专利技术的通信路径建立方法的实施例。参照 图1,示出在2个通信装置10、 12之间建立开始加密通信时的通信路径 的通信系统14中的通信进程。本实施例中的通信装置10和通信装置12 在经由IP网进行IPsec (Security Architecture for Internet Protocol,互联网 协议安全体系结构)通信时形成用于进行加密通信的通信路径。另本文档来自技高网...
【技术保护点】
一种通信路径建立方法,其建立第1通信装置和对置的第2通信装置之间的通信路径,其特征在于,该方法包含: 等待装置,其等待从第2通信装置向第1通信装置发送的分组; 计时装置,其以随机间隔保持分组等待计时器,该分组等待计时器对等待所述分组的时间进行计时; 接收装置,其接收除期望从第2通信装置发送的分组的顺序以外的分组; 受理装置,其受理所述分组;以及 建立装置,其根据在该受理装置中所受理的分组来建立通信路径。
【技术特征摘要】
JP 2007-9-27 2007-2508611. 一种通信路径建立方法,其建立第1通信装置和对置的第2通信装置之间的通信路径,其特征在于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发送的分组;计时装置,其以随机间隔保持分组等待计时器,该分组等待计时器对等待所述分组的时间进行计时;接收装置,其接收除期望从第2通信装置发送的分组的顺序以外的分组;受理装置,其受理所述分组;以及建立装置,其根据在该受理装置中所受理的分组来建立通信路径。2. 根据权利要求1所述的通信路径建立方法,其特征在于,在所述 等待装置中,在从第1通信装置向第2通信装置发送的第1分组和从第2 通信装置向第1通信装置发送的第2分组发生分组交错的情况下,第1 通信装置等待第2分组。 '3. 根据权利要求1所述的通信路径建立方法,其特征在于,所述分 组是用于建立用于进行加密通信的通信路径的分组。4. 一种通信路径建立方法,其建立第1通信装置和对置的第2通信 装置之间的通信路径,其特征在于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发送的分组; 接收装置,其接收除期望从第2通信装置发送的分组的顺序以外的 分组;比较装置,其对设定在第1通信装置和第2通信装置内的彼此不同 的值的大小进行比较;受理装置,其受理所述分组;以及建立装置,其根据在该受理装置中所受理的分组来建立通信路径, 当在所述接收装置中由第1通信装置接收到除期望从第2通信装置发送的分组的顺序以外的分组时,在所述受理装置中根据所述比较装置的大小比较结果来判断是否受理所述分组。5. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受理装置中,在分组的交换开始时判断是否受理所述分组。6. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受理装置中,在该分组的交换过程中判断是否受理所述分组。7. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受...
【专利技术属性】
技术研发人员:山野凉子,
申请(专利权)人:冲电气工业株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。