[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2009071455A - Communication module, communicating method, communication program, and communication terminal - Google Patents

Communication module, communicating method, communication program, and communication terminal Download PDF

Info

Publication number
JP2009071455A
JP2009071455A JP2007235986A JP2007235986A JP2009071455A JP 2009071455 A JP2009071455 A JP 2009071455A JP 2007235986 A JP2007235986 A JP 2007235986A JP 2007235986 A JP2007235986 A JP 2007235986A JP 2009071455 A JP2009071455 A JP 2009071455A
Authority
JP
Japan
Prior art keywords
communication
unit
module
data
signaling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007235986A
Other languages
Japanese (ja)
Other versions
JP5087779B2 (en
Inventor
Naoya Seta
直也 瀬田
Haruya Miyajima
春弥 宮島
Akira Cho
亮 張
Hideki Hayashi
秀樹 林
Teruya Fujii
輝也 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Mobile Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Mobile Corp filed Critical SoftBank Mobile Corp
Priority to JP2007235986A priority Critical patent/JP5087779B2/en
Publication of JP2009071455A publication Critical patent/JP2009071455A/en
Application granted granted Critical
Publication of JP5087779B2 publication Critical patent/JP5087779B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To assure mobility of a communication terminal and security of communication data, and to reduce needless security process. <P>SOLUTION: The communication module includes an application part for generating communication data, an encryption condition deciding part which decides whether a condition for transmitting communication data agrees with a predetermined condition or not, an encryption part which does not encrypt communication data that does not agree with the predetermined condition but encrypts communication data that agrees with the predetermined condition, and a data transmitting/receiving part which transmits the communication data encrypted by the encryption part. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、通信モジュール、通信方法、通信プログラム、および通信端末に関する。本発明は、特に、通信データを送受信する通信モジュール、通信方法、通信プログラム、および通信端末に関する。   The present invention relates to a communication module, a communication method, a communication program, and a communication terminal. The present invention particularly relates to a communication module, a communication method, a communication program, and a communication terminal that transmit and receive communication data.

特許文献1には、動画像のフレーム種別または動画像データのヘッダ情報に基づいて、動画像データの一部を選択的に暗号化する通信装置が開示されている。具体的には、動画像がMPEGで符号化される場合、Iフレームを含むパケットのみを選択して暗号化する。また、特許文献2には、入力データの種別または通信網の伝送特性に応じて、入力データの一部を選択的に暗号化する通信装置が開示されている。具体的には、入力データのアプリケーションまたは通信網の伝送速度に応じて、入力データのうちで暗号化する範囲を決定する。
特開2005−295468 特開2002−319936 Patent Document 1 discloses a communication device that selectively encrypts a part of moving image data based on the frame type of moving image or header information of moving image data. Specifically, when a moving image is encoded by MPEG, only a packet including an I frame is selected and encrypted. Patent Document 2 discloses a communication device that selectively encrypts a part of input data according to the type of input data or the transmission characteristics of a communication network. Specifically, the encryption range of the input data is determined according to the input data application or the transmission rate of the communication network.
JP-A-2005-295468 JP 2002-319936 A

しかしながら、暗号化の対象となっているデータが既に暗号化されている場合、または通信網に送出される前に再度暗号化される場合であっても、特許文献1および特許文献2に開示された暗号化処理は実行される。また、セキュリティが高く、データを暗号化する必要がない通信網に対してデータを送出する場合であっても、暗号化処理は実行される。したがって、送受信のためのデータ処理、および通信トラフィックの負荷が不必要に大きくなってしまう。   However, even if the data to be encrypted is already encrypted, or is encrypted again before being sent to the communication network, it is disclosed in Patent Document 1 and Patent Document 2. The encryption process is executed. Even when data is transmitted to a communication network that has high security and does not require data encryption, the encryption process is executed. Therefore, data processing for transmission / reception and communication traffic load become unnecessarily large.

上記課題を解決するために、本発明の第1の形態においては、通信データを送受信する通信端末の通信モジュールであって、通信データを生成するアプリケーション部と、通信データを送信する条件が、予め定められた条件に合致するか否かを判断する暗号化条件判断部と、予め定められた条件に合致しない通信データを暗号化せず、予め定められた条件に合致する通信データを暗号化する暗号化部と、暗号化部が暗号化した通信データを送信するデータ送受信部と、を備える。予め定められた条件を格納する暗号化条件格納部、をさらに備え、暗号化条件判断部は、通信データを送信する条件が、暗号化条件格納部が格納している条件に合致するか否かを判断してもよい。   In order to solve the above-described problem, in the first embodiment of the present invention, a communication module of a communication terminal that transmits and receives communication data, and an application unit that generates communication data and a condition for transmitting communication data are preliminarily set. An encryption condition determination unit that determines whether or not a predetermined condition is met, and communication data that does not meet a predetermined condition is not encrypted, and communication data that meets a predetermined condition is encrypted An encryption unit; and a data transmission / reception unit that transmits communication data encrypted by the encryption unit. An encryption condition storage unit that stores a predetermined condition, and the encryption condition determination unit determines whether or not the condition for transmitting the communication data matches the condition stored in the encryption condition storage unit May be judged.

暗号化条件格納部は、予め定められた条件として、アプリケーションの種類を格納しており、暗号化条件判断部は、通信データを生成したアプリケーションの種類が、暗号化条件格納部が格納しているアプリケーションの種類に合致するか否かを判断してもよい。暗号化条件格納部は、予め定められた条件として、通信データに適用されるプロトコルを格納しており、暗号化条件判断部は、通信データに適用されるプロトコルが、暗号化条件格納部が格納しているプロトコルに合致するか否かを判断してもよい。   The encryption condition storage unit stores the application type as a predetermined condition, and the encryption condition determination unit stores the type of application that generated the communication data in the encryption condition storage unit. It may be determined whether or not it matches the type of application. The encryption condition storage unit stores a protocol applied to the communication data as a predetermined condition, and the encryption condition determination unit stores the protocol applied to the communication data in the encryption condition storage unit. It may be determined whether or not the protocol is matched.

データ送受信部は、通信方式が異なる複数の通信部のいずれかを介して、通信データを送信し、暗号化条件格納部は、予め定められた条件として、通信方式の種類を格納しており、暗号化条件判断部は、通信データが送信される通信部の通信方式の種類が、暗号化条件格納部が格納している通信方式の種類に合致するか否かを判断してもよい。   The data transmission / reception unit transmits communication data via any of a plurality of communication units with different communication methods, and the encryption condition storage unit stores the type of communication method as a predetermined condition, The encryption condition determination unit may determine whether or not the communication method type of the communication unit to which communication data is transmitted matches the communication method type stored in the encryption condition storage unit.

通信端末と通信相手端末との通信を中継する通信中継装置によって通信端末に対して動的に割り当てられる実アドレスを取得するアドレス取得部と、仮想アドレスが割り当てられた仮想インターフェース部と、アドレス取得部が取得した実アドレスを用いて、通信端末と通信相手端末とのセッションを管理する通信制御装置との間に第1セッションを確立し、第1セッションを確立した後、仮想インターフェース部が有する仮想アドレスを用いて、通信制御装置との間に第2セッションを確立するシグナリング制御部と、シグナリング制御部が生成するシグナリングメッセージを、第2セッションが確立される前は第1セッションを介して通信制御装置に送信し、第2セッションが確立された後は第2セッションを介して通信制御装置に送信するシグナリング送受信部と、をさらに備えてもよい。   An address acquisition unit that acquires a real address dynamically assigned to a communication terminal by a communication relay device that relays communication between the communication terminal and a communication partner terminal, a virtual interface unit to which a virtual address is assigned, and an address acquisition unit Is used to establish a first session between the communication control apparatus that manages the session between the communication terminal and the communication partner terminal, and after establishing the first session, the virtual interface unit has a virtual address. And a signaling control unit that establishes a second session with the communication control device and a signaling message generated by the signaling control unit via the first session before the second session is established. To the communication control device via the second session after the second session is established And signaling transceiver that may further comprise a.

シグナリングメッセージを生成するシグナリング制御部と、シグナリング制御部が生成したシグナリングメッセージを、通信端末と通信相手端末とのセッションを管理する通信制御装置に送信するシグナリング送受信部と、をさらに備えてもよい。シグナリング制御部は、通信モジュールが起動された場合に、第1セキュリティプロトコルに基づく第1シグナリング用セッションを、通信制御装置との間に確立し、第1シグナリング用セッションが確立された場合に、第2セキュリティプロトコルに基づく第2シグナリング用セッションを、通信制御装置との間に確立し、シグナリング送受信部は、シグナリング制御部が生成したシグナリングメッセージを、第2シグナリング用セッションを介して通信制御装置に送信してもよい。   You may further provide the signaling control part which produces | generates a signaling message, and the signaling transmission / reception part which transmits the signaling message which the signaling control part produced | generated to the communication control apparatus which manages the session of a communication terminal and a communicating party terminal. When the communication module is activated, the signaling control unit establishes a first signaling session based on the first security protocol with the communication control device, and when the first signaling session is established, A second signaling session based on the two security protocols is established with the communication control apparatus, and the signaling transceiver transmits the signaling message generated by the signaling control section to the communication control apparatus via the second signaling session May be.

なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。   It should be noted that the above summary of the invention does not enumerate all the necessary features of the present invention. In addition, a sub-combination of these feature groups can also be an invention.

以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。   Hereinafter, the present invention will be described through embodiments of the invention, but the following embodiments do not limit the invention according to the claims. In addition, not all the combinations of features described in the embodiments are essential for the solving means of the invention.

図1は、本発明の一実施形態に係る通信システムのネットワーク接続構成を示す。本実施形態に係る通信システムは、通信端末10、通信端末12、プロキシサーバ20、SIP(Session Initiation Protocol)サーバ22、ロケーションサーバ24、公開サーバ26、基地局30、アクセスポイント31、アクセスポイント32、セルラー網40、コアネットワーク42、インターネット44、および無線LAN網46を備える。   FIG. 1 shows a network connection configuration of a communication system according to an embodiment of the present invention. The communication system according to the present embodiment includes a communication terminal 10, a communication terminal 12, a proxy server 20, a SIP (Session Initiation Protocol) server 22, a location server 24, a public server 26, a base station 30, an access point 31, an access point 32, A cellular network 40, a core network 42, the Internet 44, and a wireless LAN network 46 are provided.

本実施形態に係る通信端末10は、セルラー網40と無線LAN網46との双方を介して通信可能な通信端末10のモビリティ性を確保することを目的とする。また、通信端末10とSIPサーバ22との間で送受信されるシグナリングメッセージの秘匿性を確保するとともに、通信端末10と通信端末12との間で送受信される通信データの秘匿性を確保することを目的とする。さらに、不必要なセキュリティ処理を削減することで、通信データを送受信する場合における処理負荷、および通信トラフィックを低減することを目的とする。   The purpose of the communication terminal 10 according to the present embodiment is to ensure the mobility of the communication terminal 10 that can communicate via both the cellular network 40 and the wireless LAN network 46. Moreover, while ensuring the confidentiality of the signaling message transmitted / received between the communication terminal 10 and the SIP server 22, ensuring the confidentiality of the communication data transmitted / received between the communication terminal 10 and the communication terminal 12. Objective. Furthermore, it aims at reducing the processing load and communication traffic in the case of transmitting / receiving communication data by reducing unnecessary security processing.

なお、SIPとは、複数の通信端末がネットワークを介して、音声、テキスト、および映像等の様々なメディアの送受信を実行すべく、複数の通信端末間における通信の開始および通信の切断等におけるシグナリングに用いられるプロトコルである。また、ここでのシグナリングには、通信端末10のSIPサーバ22への位置登録の他、SIP Register、SIP Invite、SIP Bye、200OK等のすべてのシグナリングが含まれる。   Note that SIP is signaling in starting and disconnecting communication between a plurality of communication terminals so that the plurality of communication terminals can transmit and receive various media such as voice, text, and video via the network. Is the protocol used for The signaling here includes all signaling such as SIP Register, SIP Invite, SIP Bye, and 200 OK, in addition to the location registration of the communication terminal 10 to the SIP server 22.

SIPサーバ22は、通信制御装置の一例である。通信制御装置は、通信端末10のシグナリングを制御するシグナリング制御サーバであればよく、SIPサーバ22に限られるものではない。また、基地局30、無線アクセスポイント31、および無線アクセスポイント32は、通信端末10と通信端末12との通信を中継する通信中継装置の一例である。通信中継装置は、通信端末10に実IPアドレスを割り当てて通信端末10の通信を中継するゲートウェイであればよく、基地局30、無線アクセスポイント31、および無線アクセスポイント32に限られるものではない。   The SIP server 22 is an example of a communication control device. The communication control device may be a signaling control server that controls the signaling of the communication terminal 10 and is not limited to the SIP server 22. The base station 30, the wireless access point 31, and the wireless access point 32 are an example of a communication relay device that relays communication between the communication terminal 10 and the communication terminal 12. The communication relay device may be a gateway that assigns a real IP address to the communication terminal 10 and relays communication of the communication terminal 10, and is not limited to the base station 30, the wireless access point 31, and the wireless access point 32.

通信端末10は、複数の異なる通信方式、例えば、3G方式、GSM方式、またはPHS方式等の通信方式のそれぞれで通信する機能を有する。さらに、通信端末10は、無線LANを用いて通信する機能を有する。なお、通信端末10は、例えば、電話通信機能および無線LAN通信機能を有するノートパソコンである。また、通信端末10は、無線LAN機能を有する携帯電話端末、電話通信機能および無線LAN通信機能を有するPDA、および電話通信機能および無線LAN通信機能を有するデジタルカメラ等の携帯通信端末であってもよい。   The communication terminal 10 has a function of communicating with each of a plurality of different communication methods, for example, a communication method such as a 3G method, a GSM method, or a PHS method. Furthermore, the communication terminal 10 has a function of communicating using a wireless LAN. The communication terminal 10 is, for example, a notebook computer having a telephone communication function and a wireless LAN communication function. Further, the communication terminal 10 may be a mobile communication terminal such as a mobile phone terminal having a wireless LAN function, a PDA having a telephone communication function and a wireless LAN communication function, and a digital camera having a telephone communication function and a wireless LAN communication function. Good.

通信端末10が通信相手端末である通信端末12と通信する場合、通信端末10は、まず、通信端末10が存在する位置において利用可能な通信方式を用いて、SIPサーバ22に対してシグナリングする。例えば、通信端末10がアクセスポイント32を介して無線LAN通信方式を利用できる場合、通信端末10は、無線LAN通信方式を用いて、SIPサーバ22に対してシグナリングする。すなわち、通信端末10は、アクセスポイント32、無線LAN網46、およびコアネットワーク42を介して、SIPサーバ22に対してシグナリングする。一方、通信端末10が電話通信機能を利用できる場合、通信端末10は、電話通信の通信方式を用いてSIPサーバ22に対してシグナリングする。すなわち、通信端末10は、基地局30、セルラー網40、およびコアネットワーク42を介して、SIPサーバ22に対してシグナリングする。   When the communication terminal 10 communicates with the communication terminal 12 that is the communication partner terminal, the communication terminal 10 first signals to the SIP server 22 using a communication method that can be used at the position where the communication terminal 10 exists. For example, when the communication terminal 10 can use the wireless LAN communication system via the access point 32, the communication terminal 10 signals the SIP server 22 using the wireless LAN communication system. That is, the communication terminal 10 signals to the SIP server 22 via the access point 32, the wireless LAN network 46, and the core network 42. On the other hand, when the communication terminal 10 can use the telephone communication function, the communication terminal 10 performs signaling to the SIP server 22 using a telephone communication method. That is, the communication terminal 10 performs signaling to the SIP server 22 via the base station 30, the cellular network 40, and the core network 42.

SIPサーバ22は、通信端末10がネットワーク上に存在する位置に関する情報である位置情報をロケーションサーバ24に蓄積させる。ロケーションサーバ24は、SIPサーバ22に制御され、通信端末10の位置情報を格納する。また、SIPサーバ22は、通信端末12がシグナリングした場合も、通信端末12の位置情報をロケーションサーバ24に蓄積させる。   The SIP server 22 causes the location server 24 to accumulate position information that is information related to the position of the communication terminal 10 on the network. The location server 24 is controlled by the SIP server 22 and stores location information of the communication terminal 10. Further, the SIP server 22 stores the location information of the communication terminal 12 in the location server 24 even when the communication terminal 12 performs signaling.

本実施形態の第1の例において、通信端末10は、基地局30またはアクセスポイント32によって割り当てられた実IPアドレスを用いて、シグナリング用の第1TLS(Transport Layer Security)セッションをSIPサーバ22との間に確立する。そして、通信端末10は、第1TLSセッションを確立した後、SIPサーバ22によって通信端末10に割り当てられた仮想IPアドレスを用いて、SIPサーバ22との間に、シグナリング用の第2TLSセッションを確立する。このとき、通信端末10は、仮想IPアドレスを送信元アドレスとして付加されたシグナリングメッセージに、実IPアドレスを送信元アドレスとして付加することによってカプセル化した後、SIPサーバ22に送信する。   In the first example of this embodiment, the communication terminal 10 performs a first TLS (Transport Layer Security) session for signaling with the SIP server 22 using the real IP address assigned by the base station 30 or the access point 32. Establish in between. Then, after establishing the first TLS session, the communication terminal 10 establishes a second TLS session for signaling with the SIP server 22 using the virtual IP address assigned to the communication terminal 10 by the SIP server 22. . At this time, the communication terminal 10 encapsulates the signaling message added with the virtual IP address as the transmission source address by adding the real IP address as the transmission source address, and then transmits it to the SIP server 22.

この場合、通信端末10は、TLSプロトコルを用いてシグナリングメッセージを暗号化した上で、第2TLSセッションを介して、UDPでSIPサーバ22へ送信する。これにより、通信端末10とSIPサーバ22とのシグナリングは、TLSプロトコルによってセキュアに実現される。   In this case, the communication terminal 10 encrypts the signaling message using the TLS protocol, and then transmits the encrypted message to the SIP server 22 via the second TLS session. Thereby, signaling between the communication terminal 10 and the SIP server 22 is securely realized by the TLS protocol.

また、本実施形態の第2の例において、通信端末10は、基地局30またはアクセスポイント32を介して、SIPサーバ22との間にシグナリング用のTLSセッションを確立する。続いて、通信端末10は、TLSセッションを確立した後、TLSセッションを用いてSIPサーバ22との間でシグナリングメッセージをやりとりすることで、SIPサーバ22との間にシグナリング用のSRTP(Secure Real−Time Transport Protocol)セッションを確立する。ここで、通信端末10は、TLSセッションを確立したときに得られたSIPサーバ22との間の認証の結果を使って、SRTPセッションを確立するときのSIPサーバ22との認証を得ることで、SRTPセッションを確立する。他の例においては、通信端末10は、TLSセッションを確立したときに得られたSIPサーバ22との間の認証の結果を使わず、SIPサーバ22との間で改めて認証情報をやりとりして認証を得ることで、SRTPセッションを確立してもよい。   In the second example of the present embodiment, the communication terminal 10 establishes a TLS session for signaling with the SIP server 22 via the base station 30 or the access point 32. Subsequently, after establishing the TLS session, the communication terminal 10 exchanges a signaling message with the SIP server 22 using the TLS session, thereby performing SRTP (Secure Real- for signaling) with the SIP server 22. Establish a Time Transport Protocol) session. Here, the communication terminal 10 obtains authentication with the SIP server 22 when establishing the SRTP session by using the result of authentication with the SIP server 22 obtained when the TLS session is established. Establish an SRTP session. In another example, the communication terminal 10 does not use the result of authentication with the SIP server 22 obtained when the TLS session is established, but exchanges authentication information with the SIP server 22 for authentication. May establish an SRTP session.

この場合、通信端末10は、SRTPプロトコルを用いてシグナリングメッセージを暗号化した上で、SRTPセッションを介して、コネクションレス型のプロトコルであるUDP(User Datagram Protocol)でSIPサーバ22へ送信する。これにより、通信端末10とSIPサーバ22とのシグナリングは、SRTPプロトコルによってセキュアに実現される。   In this case, the communication terminal 10 encrypts the signaling message using the SRTP protocol, and transmits the encrypted message to the SIP server 22 via the SRTP session using UDP (User Datagram Protocol) which is a connectionless protocol. Thereby, signaling between the communication terminal 10 and the SIP server 22 is realized securely by the SRTP protocol.

図2は、本実施形態に係る通信セキュリティの概要を示す。通信端末10とSIPサーバ22との間でやりとりされるシグナリングメッセージは、TLSまたはSRTPにより暗号化される。また、通信端末10と通信端末12またはプロキシサーバ20との間でやりとりされる通信データは、SRTPにより暗号化される。したがって、セルラー網40、無線LAN網46、およびインターネット44のようなオープンネットワークにおけるシグナリングメッセージおよび通信データのセキュリティを確保できる。   FIG. 2 shows an outline of communication security according to the present embodiment. A signaling message exchanged between the communication terminal 10 and the SIP server 22 is encrypted by TLS or SRTP. Communication data exchanged between the communication terminal 10 and the communication terminal 12 or the proxy server 20 is encrypted by SRTP. Therefore, the security of signaling messages and communication data in an open network such as the cellular network 40, the wireless LAN network 46, and the Internet 44 can be ensured.

本実施形態の第1の例において、通信端末10は、SIPサーバ22との間で、TLSセッションを確立してシグナリングメッセージを送受信する。通信端末10は、実IPアドレスを用いて第1TLSセッションを確立した後、仮想IPアドレスを用いて第2TLSセッションを確立する。そして、通信端末10は、TLSにより暗号化されたシグナリングメッセージを、仮想IPアドレスを送信元アドレスとするシグナリングメッセージから実IPアドレスを送信元アドレスとするシグナリングメッセージにカプセル化する。そして、通信端末10は、カプセル化されたシグナリングメッセージを、第2TLSセッションを介してUDPでSIPサーバ22へ送信する。したがって、通信端末10は、継続的に迅速にTLSセッションでシグナリングメッセージをSIPサーバ22とやりとりすることができる。   In the first example of the present embodiment, the communication terminal 10 establishes a TLS session with the SIP server 22 to transmit and receive signaling messages. The communication terminal 10 establishes the first TLS session using the real IP address, and then establishes the second TLS session using the virtual IP address. Then, the communication terminal 10 encapsulates the signaling message encrypted by TLS from a signaling message having the virtual IP address as the transmission source address into a signaling message having the real IP address as the transmission source address. Then, the communication terminal 10 transmits the encapsulated signaling message to the SIP server 22 by UDP via the second TLS session. Accordingly, the communication terminal 10 can continuously and rapidly exchange signaling messages with the SIP server 22 in the TLS session.

また、通信端末10は、通信端末12およびプロキシサーバ20との間で、通信データをSRTPで暗号化して送受信する。通信端末10は、通信端末12およびプロキシサーバ20に送信すべき通信データを、仮想IPアドレスを送信元アドレスとする通信データから実IPアドレスを送信元アドレスとする通信データにカプセル化する。そして、通信端末10は、カプセル化された通信データを、SRTPで暗号化してUDPで通信端末12およびプロキシサーバ20へ送信する。通信端末10は、第2TLSセッションを介してのシグナリングを常に有効に動作させることができる。   Further, the communication terminal 10 transmits / receives communication data encrypted with SRTP between the communication terminal 12 and the proxy server 20. The communication terminal 10 encapsulates communication data to be transmitted to the communication terminal 12 and the proxy server 20 from communication data having a virtual IP address as a transmission source address to communication data having a real IP address as a transmission source address. Then, the communication terminal 10 encrypts the encapsulated communication data using SRTP, and transmits it to the communication terminal 12 and the proxy server 20 using UDP. The communication terminal 10 can always operate the signaling through the second TLS session effectively.

また、本実施形態の第2の例において、通信端末10は、起動するとまず、SIPサーバ22との間に、TLSセッションを確立する。続いて、通信端末10は、確立したTLSセッションを介してシグナリングメッセージを送受信することにより、SIPサーバ22との間に、SRTPセッションを確立する。その後、通信端末10は、確立されたSRTPセッションを介してシグナリングを送受信する。したがって、通信端末10は、継続的かつ迅速にSRTPセッションでシグナリングメッセージをSIPサーバ22とやりとりすることができる。   In the second example of the present embodiment, when the communication terminal 10 is activated, it first establishes a TLS session with the SIP server 22. Subsequently, the communication terminal 10 establishes an SRTP session with the SIP server 22 by transmitting and receiving a signaling message via the established TLS session. Thereafter, the communication terminal 10 transmits and receives signaling through the established SRTP session. Therefore, the communication terminal 10 can continuously and quickly exchange signaling messages with the SIP server 22 in the SRTP session.

また、通信端末10は、通信端末12およびプロキシサーバ20との間で、通信データをSRTPで暗号化して送受信する。通信端末10は、通信端末12およびプロキシサーバ20に送信すべき通信データを、TLSセッションが確立された場合にSIPサーバ22によって割り当てられた仮想IPアドレスを送信元アドレスとする通信データから実IPアドレスを送信元アドレスとする通信データにカプセル化する。そして、通信端末10は、カプセル化された通信データを、SRTPで暗号化してUDPで通信端末12およびプロキシサーバ20へ送信する。したがって、通信端末10は、SRTPによる通信を常に実現することができる。   Further, the communication terminal 10 transmits / receives communication data encrypted with SRTP between the communication terminal 12 and the proxy server 20. The communication terminal 10 transmits the communication data to be transmitted to the communication terminal 12 and the proxy server 20 from the communication data whose source address is the virtual IP address assigned by the SIP server 22 when the TLS session is established. Is encapsulated in communication data with a source address. Then, the communication terminal 10 encrypts the encapsulated communication data using SRTP, and transmits it to the communication terminal 12 and the proxy server 20 using UDP. Therefore, the communication terminal 10 can always realize communication by SRTP.

図3は、本実施形態の第1の例に係る通信端末10の通信モジュール14の機能構成の一例を示す。通信モジュール14は、一般アプリケーション部100、リアルタイムアプリケーション部105、仮想インターフェース部110、通信ユニット120、通信制御ユニット130、およびセッションモビリティ制御ユニット160を備える。なお、プロキシサーバ20およびSIPサーバ22は、通信モジュール14の機能および構成の一部、または全部を備えていてよい。   FIG. 3 shows an example of a functional configuration of the communication module 14 of the communication terminal 10 according to the first example of the present embodiment. The communication module 14 includes a general application unit 100, a real-time application unit 105, a virtual interface unit 110, a communication unit 120, a communication control unit 130, and a session mobility control unit 160. Note that the proxy server 20 and the SIP server 22 may include some or all of the functions and configurations of the communication module 14.

通信ユニット120は、第1通信部122、第2通信部124、および第n通信部126を含む複数の通信部を有する。また、通信制御ユニット130は、通信IF選択部140およびアドレス取得部150を有する。また、セッションモビリティ制御ユニット160は、データ形式変換部1600、シグナリング制御部1605、(デ)カプセル化部1610、第1暗号化部1615、第2暗号化部1620、シグナリング送受信部1625、変換テーブル記憶部1640、データ送受信部1645、暗号化条件格納部1650、および暗号化条件判断部1655を有する。   The communication unit 120 has a plurality of communication units including a first communication unit 122, a second communication unit 124, and an nth communication unit 126. In addition, the communication control unit 130 includes a communication IF selection unit 140 and an address acquisition unit 150. In addition, the session mobility control unit 160 includes a data format conversion unit 1600, a signaling control unit 1605, a (de) encapsulation unit 1610, a first encryption unit 1615, a second encryption unit 1620, a signaling transmission / reception unit 1625, and a conversion table storage. Unit 1640, data transmission / reception unit 1645, encryption condition storage unit 1650, and encryption condition determination unit 1655.

なお、図3において、第1暗号化部1615は、2つのブロックとして記載されているが、機能的、物理的に1つの構成であってよい。また、第1暗号化部1615と第2暗号化部1620は、物理的に別個の構成であってもよいし、物理的に1つの構成であってもよい。また、シグナリング送受信部1625とデータ送受信部1645とは、物理的に別個の構成であってもよいし、物理的に1つの構成であってもよい。   In FIG. 3, the first encryption unit 1615 is described as two blocks, but it may be functionally and physically configured as one. Also, the first encryption unit 1615 and the second encryption unit 1620 may be physically separate configurations or may be physically one configuration. Further, the signaling transmission / reception unit 1625 and the data transmission / reception unit 1645 may have a physically separate configuration or a physically single configuration.

通信ユニット120は、通信モジュール14が通信可能な複数の通信方式ごとに異なる複数の通信部を有する。例えば、通信ユニット120は、第1の通信方式(例えば、無線LAN通信方式)で通信する第1通信部122、第2の通信方式(例えば、電話通信方式)で通信する第2通信部124、および第nの通信方式(例えば、無線LANおよび電話通信方式を除く他の通信方式)で通信する第n通信部126を有する。なお、通信ユニット120は、複数の通信方式で通信可能な通信部を有していてもよい。例えば、通信ユニット120は、第1の通信方式と第2の通信方式とのいずれかで通信可能な通信部、すなわち、上述した第1通信部および第2通信部の機能を併せ持った通信部を有していてもよい。これにより、通信モジュール14の構成の簡略化、および小型化に資することができる。   The communication unit 120 has a plurality of different communication units for each of a plurality of communication methods with which the communication module 14 can communicate. For example, the communication unit 120 includes a first communication unit 122 that communicates with a first communication method (for example, a wireless LAN communication method), a second communication unit 124 that communicates with a second communication method (for example, a telephone communication method), And an nth communication unit 126 that communicates with the nth communication method (for example, other communication methods excluding a wireless LAN and a telephone communication method). Note that the communication unit 120 may include a communication unit that can communicate with a plurality of communication methods. For example, the communication unit 120 includes a communication unit that can communicate with either the first communication method or the second communication method, that is, a communication unit that has the functions of the first communication unit and the second communication unit described above. You may have. Thereby, it can contribute to the simplification of the structure of the communication module 14, and size reduction.

また、複数の通信部のそれぞれは、セルラー網40、無線LAN網46等の複数の通信網のそれぞれに対応する複数の通信中継装置のそれぞれを介して、シグナリング送受信部1625が生成したシグナリングメッセージを、SIPサーバ22との間で送信する。また、通信ユニット120が有する複数の通信部のそれぞれは、一般アプリケーション部100またはリアルタイムアプリケーション部105が生成した通信データを、通信端末12またはプロキシサーバ20との間で送信する。   Each of the plurality of communication units receives the signaling message generated by the signaling transmission / reception unit 1625 via each of a plurality of communication relay apparatuses corresponding to each of a plurality of communication networks such as the cellular network 40 and the wireless LAN network 46. , And transmitted to the SIP server 22. Each of the plurality of communication units included in the communication unit 120 transmits communication data generated by the general application unit 100 or the real-time application unit 105 to or from the communication terminal 12 or the proxy server 20.

また、複数の通信部のそれぞれは、SIPサーバ22から受信したシグナリングメッセージを、通信制御ユニット130を介してシグナリング制御部1605に供給する。また、複数の通信部のそれぞれは、通信端末12またはプロキシサーバ20から受信した通信データを、通信制御ユニット130を介して一般アプリケーション部100またはリアルタイムアプリケーション部105に供給する。   Each of the plurality of communication units supplies the signaling message received from the SIP server 22 to the signaling control unit 1605 via the communication control unit 130. Each of the plurality of communication units supplies communication data received from the communication terminal 12 or the proxy server 20 to the general application unit 100 or the real-time application unit 105 via the communication control unit 130.

通信ユニット120が有する複数の通信部のそれぞれは、それぞれに割り当てられた通信方式で通信することができるか否かを通信IF選択部140が判断するために用いられる情報を、通信制御ユニット130に供給する。さらに、複数の通信部は、それぞれが通信可能な通信中継装置から動的な実IPアドレスを割り当てられた場合、割り当てられた実アドレスを通信制御ユニット130に供給する。   Each of the plurality of communication units included in the communication unit 120 transmits, to the communication control unit 130, information used by the communication IF selection unit 140 to determine whether or not communication can be performed using the communication method assigned to each of the communication units. Supply. Furthermore, when a plurality of communication units are assigned dynamic real IP addresses from communication relay apparatuses that can communicate with each other, the plurality of communication units supply the assigned real addresses to the communication control unit 130.

通信IF選択部140は、複数の通信部から供給された情報に基づいて、複数の通信部のうち通信可能な通信部を選択する。例えば、通信IF選択部140は、通信中継装置が発する通信方式を識別する情報を含む電波の電波強度を示す情報を、複数の通信部から受け取り、電荷強度の大きさに基づいて通信可能な通信部を判断する。他の例において、通信IF選択部140は、複数の通信部に対して予め設定された利用優先順位等のポリシーに基づいて、複数の通信部から1つの通信部を選択してもよい。そして、通信IF選択部140は、選択した通信部を識別する情報を変換テーブル記憶部1640に供給する。   The communication IF selection unit 140 selects a communicable communication unit among the plurality of communication units based on information supplied from the plurality of communication units. For example, the communication IF selection unit 140 receives information indicating the radio wave intensity including information for identifying a communication method issued by the communication relay device from a plurality of communication units, and enables communication based on the magnitude of the charge intensity. Judge the part. In another example, the communication IF selection unit 140 may select one communication unit from the plurality of communication units based on a policy such as a usage priority order set in advance for the plurality of communication units. Then, the communication IF selection unit 140 supplies information for identifying the selected communication unit to the conversion table storage unit 1640.

アドレス取得部150は、通信中継装置によって通信端末10に対して動的に割り当てられる実アドレスを取得する。すなわち、アドレス取得部150は、通信IF選択部140が選択した通信部に割り当てられた実アドレスを取得する。実アドレスは、例えば、通信中継装置が管理しているプライベートIPアドレスまたはグローバルIPアドレスであり、以下において、実IPアドレスと称する。そして、アドレス取得部150は、取得した実IPアドレスを変換テーブル記憶部1640に供給する。   The address acquisition unit 150 acquires a real address that is dynamically assigned to the communication terminal 10 by the communication relay device. That is, the address acquisition unit 150 acquires a real address assigned to the communication unit selected by the communication IF selection unit 140. The real address is, for example, a private IP address or a global IP address managed by the communication relay device, and is hereinafter referred to as a real IP address. Then, the address acquisition unit 150 supplies the acquired real IP address to the conversion table storage unit 1640.

変換テーブル記憶部1640は、通信IF選択部140が選択した通信部を識別する情報、およびアドレス取得部150が取得した実IPアドレスを記憶する。そして、変換テーブル記憶部1640は、記憶している実IPアドレスをデータ形式変換部1600および(デ)カプセル化部1610に通知する。   The conversion table storage unit 1640 stores information for identifying the communication unit selected by the communication IF selection unit 140 and the real IP address acquired by the address acquisition unit 150. Then, the conversion table storage unit 1640 notifies the stored real IP address to the data format conversion unit 1600 and the (de) encapsulation unit 1610.

一般アプリケーション部100は、所定の目的の処理を実行する。具体的には、一般アプリケーション部100は、データ処理を実行するアプリケーションプログラムに所定の目的のデータ処理を実行させる。アプリケーションプログラムは、例えば、Webブラウザプログラム、電子メール送受信プログラム、およびマルチメディアデータの送受信プログラム等であってよい。一般アプリケーション部100は、アプリケーションプログラムが処理したデータであって、通信端末12またはプロキシサーバ20に送信すべき通信データを、仮想インターフェース部110に供給する。   The general application unit 100 executes processing for a predetermined purpose. Specifically, the general application unit 100 causes an application program that executes data processing to execute predetermined target data processing. The application program may be, for example, a Web browser program, an e-mail transmission / reception program, and a multimedia data transmission / reception program. The general application unit 100 supplies the virtual interface unit 110 with data processed by the application program and to be transmitted to the communication terminal 12 or the proxy server 20.

係る場合において、一般アプリケーション部100は、仮想インターフェース部110を一意に識別する識別番号を通信データに付加して仮想インターフェース部110に供給する。識別番号は、例えば、仮想インターフェース部110に割り当てられた仮想アドレスである。仮想アドレスは、シグナリング制御部1605の起動段階においてSIPサーバ22によって動的または静的に割り当てられる。仮想アドレスは、例えば、IPアドレスの構成を有し、以下において、仮想IPアドレスと称する。なお、仮想IPアドレスは、一般アプリケーション部100に対して固定的に設定されてよい。   In such a case, the general application unit 100 adds an identification number that uniquely identifies the virtual interface unit 110 to the communication data and supplies the communication data to the virtual interface unit 110. The identification number is a virtual address assigned to the virtual interface unit 110, for example. The virtual address is dynamically or statically assigned by the SIP server 22 at the activation stage of the signaling control unit 1605. The virtual address has an IP address configuration, for example, and is hereinafter referred to as a virtual IP address. The virtual IP address may be fixedly set for the general application unit 100.

リアルタイムアプリケーション部105は、所定の目的の処理を実行する。具体的には、リアルタイムアプリケーション部105は、データ処理を実行するSIPアプリケーションプログラムに所定の目的のデータ処理を実行させる。例えば、SIPアプリケーションプログラムは、リアルタイムのマルチメディア通信を提供するIP電話等のアプリケーションプログラムであってよい。   The real-time application unit 105 executes a predetermined target process. Specifically, the real-time application unit 105 causes a SIP application program that executes data processing to execute predetermined data processing. For example, the SIP application program may be an application program such as an IP phone that provides real-time multimedia communication.

仮想インターフェース部110は、仮想IPアドレスが割り当てられており、通信端末12またはプロキシサーバ20に送信する通信データを一般アプリケーション部100から受け取る。仮想インターフェース部110は、受け取った通信データをデータ形式変換部1600に供給する。また、仮想インターフェース部110は、シグナリング制御部1605が生成したシグナリングメッセージを、第1暗号化部1615を介して受け取る。仮想インターフェース部110は、受け取ったシグナリングメッセージを(デ)カプセル化部1610に供給する。   The virtual interface unit 110 is assigned a virtual IP address, and receives communication data to be transmitted to the communication terminal 12 or the proxy server 20 from the general application unit 100. The virtual interface unit 110 supplies the received communication data to the data format conversion unit 1600. In addition, the virtual interface unit 110 receives the signaling message generated by the signaling control unit 1605 via the first encryption unit 1615. The virtual interface unit 110 supplies the received signaling message to the (de) encapsulation unit 1610.

シグナリング制御部1605は、通信端末10のシグナリングを制御する。シグナリング制御部1605は、例えばSIPによるシグナリングを制御する。具体的には、シグナリング制御部1605は、アドレス取得部150が取得した実IPアドレス、または仮想インターフェース部110が有する仮想IPアドレスを用いて、SIPサーバ22とのセッションを確立する。より具体的には、シグナリング制御部1605は、アドレス取得部150が取得した実IPアドレスを用いて、SIPサーバ22との間に第1セッションを確立し、第1セッションを確立した後、仮想インターフェース部110が有する仮想IPアドレスを用いて、SIPサーバ22との間に第2セッションを確立する。   The signaling control unit 1605 controls signaling of the communication terminal 10. The signaling control unit 1605 controls signaling by SIP, for example. Specifically, the signaling control unit 1605 establishes a session with the SIP server 22 using the real IP address acquired by the address acquisition unit 150 or the virtual IP address of the virtual interface unit 110. More specifically, the signaling control unit 1605 uses the real IP address acquired by the address acquisition unit 150 to establish a first session with the SIP server 22, and after establishing the first session, the virtual interface A second session is established with the SIP server 22 using the virtual IP address of the unit 110.

シグナリング制御部1605は、SIPサーバ22との第1セッションを確立する場合、および第1セッションを確立してから第2セッションが確立されるまでの間は、第1暗号化部1615を介して、シグナリングメッセージをシグナリング送受信部1625に供給し、第1セッションを介してSIPサーバ22とやりとりする。一方で、シグナリング制御部1605は、第2セッションが確立された後は、第1暗号化部1615、仮想インターフェース部110、および(デ)カプセル化部1610を介して、シグナリングメッセージをシグナリング送受信部1625に供給し、第2セッションを介してSIPサーバ22とやりとりする。なお、シグナリング制御部1605は、通信端末10への電源投入、通信モジュール14の起動または再起動、通信端末10のHO(Handover)、通話中のコーデック変更、定期的なSIP登録更新等の様々な動作を契機として、シグナリングメッセージを生成し、位置登録等のシグナリングを行う。   The signaling control unit 1605 establishes the first session with the SIP server 22 and during the period from the establishment of the first session to the establishment of the second session via the first encryption unit 1615. The signaling message is supplied to the signaling transmission / reception unit 1625 and exchanged with the SIP server 22 via the first session. On the other hand, after the second session is established, the signaling control unit 1605 sends a signaling message to the signaling transmission / reception unit 1625 via the first encryption unit 1615, the virtual interface unit 110, and the (de) encapsulation unit 1610. And interacts with the SIP server 22 via the second session. The signaling control unit 1605 performs various operations such as turning on the power to the communication terminal 10, starting or restarting the communication module 14, HO (Handover) of the communication terminal 10, changing the codec during a call, and periodically updating the SIP registration. In response to the operation, a signaling message is generated and signaling such as location registration is performed.

第1暗号化部1615は、シグナリング制御部1605がSIPサーバ22に対してシグナリングすべく生成したシグナリングメッセージを、通信のセキュリティを確保する第1セキュリティプロトコルを用いて暗号化する。具体的には、第1暗号化部1615は、コネクション型の通信プロトコルとともに利用可能な第1セキュリティプロトコルを用いて暗号化する。より具体的には、第1暗号化部1615は、OSI参照モデルにおけるトランスポート層(レイヤー4)で用いられるコネクション型の通信プロトコルとともに利用可能な第1セキュリティプロトコルを用いて暗号化する。第1セキュリティプロトコルは、公開鍵暗号または秘密鍵暗号、デジタル証明書、およびハッシュ関数等のセキュリティ技術の少なくとも1つを用いて通信データの盗聴および改ざん等を防止するプロトコルであってよい。例えば、第1暗号化部1615は、シグナリングメッセージを、第1セキュリティプロトコルとしてTLSプロトコルを用いて暗号化する。   The first encryption unit 1615 encrypts the signaling message generated by the signaling control unit 1605 for signaling to the SIP server 22 using a first security protocol that ensures communication security. Specifically, the first encryption unit 1615 performs encryption using a first security protocol that can be used together with a connection-type communication protocol. More specifically, the first encryption unit 1615 performs encryption using the first security protocol that can be used together with the connection-type communication protocol used in the transport layer (layer 4) in the OSI reference model. The first security protocol may be a protocol that prevents tapping and tampering of communication data using at least one of security techniques such as public key encryption or private key encryption, digital certificate, and hash function. For example, the first encryption unit 1615 encrypts the signaling message using the TLS protocol as the first security protocol.

第2セッションが確立される前において、第1暗号化部1615は、暗号化したシグナリングメッセージを、直接、シグナリング送受信部1625に供給する。一方で、第2セッションが確立された後において、第1暗号化部1615は、暗号化したシグナリングメッセージを、仮想インターフェース部110および(デ)カプセル化部1610を介してシグナリング送受信部1625に供給する。   Before the second session is established, the first encryption unit 1615 supplies the encrypted signaling message directly to the signaling transmission / reception unit 1625. On the other hand, after the second session is established, the first encryption unit 1615 supplies the encrypted signaling message to the signaling transmission / reception unit 1625 via the virtual interface unit 110 and the (de) encapsulation unit 1610. .

また、第1暗号化部1615は、SIPサーバ22から送信されたシグナリングメッセージを復号化してシグナリング制御部1605に供給する。この場合も、第1暗号化部1615は、第2セッションが確立される前において、シグナリングメッセージを、直接、シグナリング送受信部1625から受け取り、一方で、第2セッションが確立された後において、シグナリングメッセージを、(デ)カプセル化部1610および仮想インターフェース部110を介して受け取る。   The first encryption unit 1615 decrypts the signaling message transmitted from the SIP server 22 and supplies the decrypted signaling message to the signaling control unit 1605. Also in this case, the first encryption unit 1615 receives the signaling message directly from the signaling transmission / reception unit 1625 before the second session is established, while the signaling message is received after the second session is established. Is received via the (de) encapsulation unit 1610 and the virtual interface unit 110.

データ形式変換部1600は、通信端末12またはプロキシサーバ20に送信する通信データを、SRTPを用いて暗号化できるデータ形式に変換する。データ形式変換部1600は、通信データのデータ構成およびヘッダの形式を変換することにより、SRTPを用いて暗号化できるデータ形式に変換する。例えば、データ形式変換部1600は、仮想インターフェース部110から受け取ったTCP(Transmission Control Protocol)で送信可能な通信データを、UDPで送信可能な通信データに変換すべく、予め定められた付加情報を仮想インターフェース部110から受け取った通信データに付加する。但し、データ形式変換部1600は、通信データがRTP(Real−Time Transport Protocol)のパケットである場合には、データ形式の変換を実行せず、通信データがRTP以外のパケットである場合には、RTPヘッダを付加することにより、RTPのパケットへのデータ形式の変換を実行する。そして、データ形式変換部1600は、データ形式を変換した後の通信データを第2暗号化部1620に供給する。   The data format conversion unit 1600 converts communication data to be transmitted to the communication terminal 12 or the proxy server 20 into a data format that can be encrypted using SRTP. The data format conversion unit 1600 converts the data structure of the communication data and the header format into a data format that can be encrypted using SRTP. For example, the data format conversion unit 1600 virtually converts predetermined additional information to convert communication data that can be transmitted by TCP (Transmission Control Protocol) received from the virtual interface unit 110 into communication data that can be transmitted by UDP. It is added to the communication data received from the interface unit 110. However, the data format conversion unit 1600 does not perform data format conversion when the communication data is an RTP (Real-Time Transport Protocol) packet, and when the communication data is a packet other than RTP, By adding the RTP header, the data format is converted into an RTP packet. Then, the data format conversion unit 1600 supplies the communication data after the data format conversion to the second encryption unit 1620.

また、データ形式変換部1600は、通信端末12またはプロキシサーバ20から送信された通信データのデータ形式を逆変換する。例えば、データ形式変換部1600は、通信データからRTPヘッダを外し、通信データをTCP/UDPパケットに変換する。そして、データ形式変換部1600は、データ形式を逆変換した後の通信データを仮想インターフェース部110に供給する。   Further, the data format conversion unit 1600 reversely converts the data format of communication data transmitted from the communication terminal 12 or the proxy server 20. For example, the data format conversion unit 1600 removes the RTP header from the communication data and converts the communication data into a TCP / UDP packet. Then, the data format conversion unit 1600 supplies the communication data after the reverse conversion of the data format to the virtual interface unit 110.

(デ)カプセル化部1610は、仮想インターフェース部110から受け取ったシグナリングメッセージ、または第2暗号化部1620から受け取った通信データに、予め定められた付加情報を付加することによりカプセル化する。具体的には、(デ)カプセル化部1610は、仮想インターフェース部110から供給される、仮想IPアドレスが送信元アドレスとして付加されたシグナリングメッセージ、または第2暗号化部1620から供給される通信データに、アドレス取得部150が取得して変換テーブル記憶部1640に記憶されている実IPアドレスを送信元アドレスとして付加してカプセル化する。そして、(デ)カプセル化部1610は、カプセル化したシグナリングメッセージを、シグナリング送受信部1625に供給する。また、(デ)カプセル化部1610は、カプセル化した通信データを、データ送受信部1645に供給する。   The (de) encapsulation unit 1610 encapsulates the signaling message received from the virtual interface unit 110 or the communication data received from the second encryption unit 1620 by adding predetermined additional information. Specifically, the (de) encapsulation unit 1610 is supplied from the virtual interface unit 110, a signaling message with a virtual IP address added as a source address, or communication data supplied from the second encryption unit 1620. In addition, the real IP address acquired by the address acquisition unit 150 and stored in the conversion table storage unit 1640 is added as a source address for encapsulation. Then, the (de) encapsulation unit 1610 supplies the encapsulated signaling message to the signaling transmission / reception unit 1625. The (de) encapsulation unit 1610 supplies the encapsulated communication data to the data transmission / reception unit 1645.

また、(デ)カプセル化部1610は、SIPサーバ22から送信された、カプセル化されたシグナリングメッセージを受け取った場合、受け取ったシグナリングメッセージをデカプセル化して仮想インターフェース部110に供給する。また、(デ)カプセル化部1610は、通信端末12またはプロキシサーバ20から送信された、カプセル化された通信データを受け取った場合、受け取った通信データをデカプセル化して第2暗号化部1620に供給する。例えば、(デ)カプセル化部1610は、UDPカプセリングされた通信データからUDPヘッダを外し、通信データをRTPパケットに変換する。そして、(デ)カプセル化部1610は、デカプセル化された後の通信データを第2暗号化部1620に供給する。   Further, when receiving the encapsulated signaling message transmitted from the SIP server 22, the (de) encapsulation unit 1610 decapsulates the received signaling message and supplies it to the virtual interface unit 110. Further, when receiving the encapsulated communication data transmitted from the communication terminal 12 or the proxy server 20, the (de) encapsulation unit 1610 decapsulates the received communication data and supplies it to the second encryption unit 1620. To do. For example, the (de) encapsulation unit 1610 removes the UDP header from the UDP-encapsulated communication data, and converts the communication data into an RTP packet. Then, the (de) encapsulation unit 1610 supplies the communication data after the decapsulation to the second encryption unit 1620.

第2暗号化部1620は、シグナリング送受信部1625がSIPサーバ22に送信したシグナリングメッセージに応じて、SIPサーバ22が通信端末10のシグナリングをした後、第2暗号化部1620から供給された通信データを第1セキュリティプロトコルとは異なる第2セキュリティプロトコルを用いて暗号化する。具体的には、第2暗号化部1620は、コネクションレス型の通信プロトコルとともに利用可能な第2セキュリティプロトコルを用いて暗号化する。例えば、第2暗号化部1620は、通信データを、第2セキュリティプロトコルとしてSRTPを用いて暗号化する。   The second encryption unit 1620 transmits the communication data supplied from the second encryption unit 1620 after the SIP server 22 signals the communication terminal 10 in response to the signaling message transmitted from the signaling transmission / reception unit 1625 to the SIP server 22. Is encrypted using a second security protocol different from the first security protocol. Specifically, the second encryption unit 1620 performs encryption using a second security protocol that can be used together with a connectionless communication protocol. For example, the second encryption unit 1620 encrypts the communication data using SRTP as the second security protocol.

そして、第2暗号化部1620は、暗号化した通信データを、(デ)カプセル化部1610に供給する。また、第2暗号化部1620は、通信端末12またはプロキシサーバ20から送信された通信データを復号化してデータ形式変換部1600に供給する。例えば、第2暗号化部1620は、SRTPセッションの鍵情報を用いて、(デ)カプセル化部1610がRTPパケットに変換した通信データを復号化する。   Then, the second encryption unit 1620 supplies the encrypted communication data to the (de) encapsulation unit 1610. The second encryption unit 1620 decrypts the communication data transmitted from the communication terminal 12 or the proxy server 20 and supplies the decrypted communication data to the data format conversion unit 1600. For example, the second encryption unit 1620 decrypts the communication data converted into the RTP packet by the (de) encapsulation unit 1610 using the key information of the SRTP session.

シグナリング送受信部1625は、第1セッションが確立されてから第2セッションが確立されるまでの間、シグナリング制御部1605が生成して第1暗号化部1615が暗号化したシグナリングメッセージを、第1セッションを介してSIPサーバ22に送信する。このとき、シグナリング送受信部1625は、コネクション型の通信プロトコルを用いてシグナリングメッセージを送信する。具体的には、シグナリング送受信部1625は、第1暗号化部1615から供給されたシグナリングメッセージを、通信IF選択部140が選択した通信部に通信制御ユニット130を介して供給し、TCPを用いて送信させる。   The signaling transmission / reception unit 1625 generates a signaling message generated by the signaling control unit 1605 and encrypted by the first encryption unit 1615 after the first session is established until the second session is established. To the SIP server 22 via At this time, the signaling transmission / reception unit 1625 transmits a signaling message using a connection-type communication protocol. Specifically, the signaling transmission / reception unit 1625 supplies the signaling message supplied from the first encryption unit 1615 to the communication unit selected by the communication IF selection unit 140 via the communication control unit 130, and uses TCP. Send it.

また、シグナリング送受信部1625は、第2セッションが確立された後、シグナリング制御部1605が生成して第1暗号化部1615が暗号化し、(デ)カプセル化部1610がカプセル化したシグナリングメッセージを、第2セッションを介してSIPサーバ22に送信する。このとき、シグナリング送受信部1625は、コネクションレス型の通信プロトコルを用いてシグナリングメッセージを送信する。具体的には、シグナリング送受信部1625は、(デ)カプセル化部1610から供給されたシグナリングメッセージを、通信IF選択部140が選択した通信部に通信制御ユニット130を介して供給し、UDPを用いて送信させる。   Further, after the second session is established, the signaling transmission / reception unit 1625 generates a signaling message generated by the signaling control unit 1605, encrypted by the first encryption unit 1615, and encapsulated by the (de) encapsulation unit 1610. It transmits to the SIP server 22 via the second session. At this time, the signaling transmission / reception unit 1625 transmits a signaling message using a connectionless communication protocol. Specifically, the signaling transmission / reception unit 1625 supplies the signaling message supplied from the (de) encapsulation unit 1610 to the communication unit selected by the communication IF selection unit 140 via the communication control unit 130, and uses UDP. To send.

また、シグナリング送受信部1625は、SIPサーバ22から送信されたシグナリングメッセージをシグナリング制御部1605に供給する。この場合も、シグナリング送受信部1625は、第2セッションが確立される前において、シグナリングメッセージを第1暗号化部1615に供給し、一方で、第2セッションが確立された後において、シグナリングメッセージを、(デ)カプセル化部1610に供給する。   Further, the signaling transmission / reception unit 1625 supplies the signaling message transmitted from the SIP server 22 to the signaling control unit 1605. Also in this case, the signaling transceiver 1625 supplies the signaling message to the first encryption unit 1615 before the second session is established, while the signaling message is sent to the first encryption unit 1615 after the second session is established. (De) Supply to the encapsulation unit 1610.

データ送受信部1645は、通信端末12またはプロキシサーバ20に送信すべき通信データを、通信IF選択部140が選択した通信部に通信制御ユニット130を介して供給し、通信端末12またはプロキシサーバ20に送信する。具体的には、データ送受信部1645は、第2暗号化部1620が暗号化した通信データを、コネクションレス型の通信プロトコルを用いて送信する。例えば、データ送受信部1645は、第2暗号化部1620がSPTPによって暗号化した通信データを、UDPを用いて送信する。また、データ送受信部1645は、通信端末12またはプロキシサーバ20から受信するデータを、通信IF選択部140が選択した通信部から通信制御ユニット130を介して受け取り、(デ)カプセル化部1610に供給する。   The data transmission / reception unit 1645 supplies communication data to be transmitted to the communication terminal 12 or the proxy server 20 to the communication unit selected by the communication IF selection unit 140 via the communication control unit 130, and transmits the communication data to the communication terminal 12 or the proxy server 20. Send. Specifically, the data transmission / reception unit 1645 transmits the communication data encrypted by the second encryption unit 1620 using a connectionless communication protocol. For example, the data transmission / reception unit 1645 transmits the communication data encrypted by the second encryption unit 1620 using SPTP using UDP. Further, the data transmission / reception unit 1645 receives data received from the communication terminal 12 or the proxy server 20 from the communication unit selected by the communication IF selection unit 140 via the communication control unit 130 and supplies the received data to the (de) encapsulation unit 1610. To do.

暗号化条件格納部1650は、第2暗号化部1620に暗号化させるか否かを決定するための、予め定められた条件を格納する。暗号化条件格納部1650は、ユーザによって個別に設定された条件を格納してもよい。   The encryption condition storage unit 1650 stores a predetermined condition for determining whether or not the second encryption unit 1620 is to perform encryption. The encryption condition storage unit 1650 may store conditions individually set by the user.

暗号化条件判断部1655は、前記第2暗号化部1620が受け取った通信データを送信する条件が、暗号化条件格納部1650が格納している予め定められた条件に合致するか否かを判断する。   The encryption condition determination unit 1655 determines whether or not the condition for transmitting the communication data received by the second encryption unit 1620 matches a predetermined condition stored in the encryption condition storage unit 1650. To do.

データ形式変換部1600は、暗号化条件判断部1655によって予め定められた条件に合致しないと判断された通信データのデータ形式を変換しない。そして、第2暗号化部1620は、当該通信データを暗号化しない。一方で、データ形式変換部1600は、暗号化条件判断部1655によって予め定められた条件に合致すると判断された通信データを、SRTPを用いて暗号化できるデータ形式に変換する。そして、第2暗号化部1620は、当該通信データを暗号化する。   The data format conversion unit 1600 does not convert the data format of the communication data determined by the encryption condition determination unit 1655 as not meeting the predetermined condition. Then, the second encryption unit 1620 does not encrypt the communication data. On the other hand, the data format conversion unit 1600 converts the communication data determined by the encryption condition determination unit 1655 to meet a predetermined condition into a data format that can be encrypted using SRTP. Then, the second encryption unit 1620 encrypts the communication data.

暗号化条件格納部1650は、予め定められた条件として、アプリケーションの種類を格納する。暗号化条件判断部1655は、第2暗号化部1620が受け取った通信データを解析することにより、当該通信データを生成したアプリケーションの種類を判断する。そして、暗号化条件判断部1655は、当該通信データを生成したアプリケーションの種類が、暗号化条件格納部1650が格納しているアプリケーションの種類に合致する否かを判断する。   The encryption condition storage unit 1650 stores the type of application as a predetermined condition. The encryption condition determination unit 1655 analyzes the communication data received by the second encryption unit 1620 to determine the type of application that generated the communication data. Then, the encryption condition determination unit 1655 determines whether or not the type of application that generated the communication data matches the type of application stored in the encryption condition storage unit 1650.

当該通信データを生成したアプリケーションの種類が、暗号化条件格納部1650に格納されていない場合、データ形式変換部1600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部1620は、当該通信データを暗号化せずに、データ送受信部1645に供給する。一方で、当該通信データを生成したアプリケーションの種類が、暗号化条件格納部1650に格納されている場合、データ形式変換部1600は、当該通信データのデータ形式を変換する。そして、第2暗号化部1620は、当該通信データを暗号化する。   If the type of application that generated the communication data is not stored in the encryption condition storage unit 1650, the data format conversion unit 1600 does not convert the data format of the communication data. Then, the second encryption unit 1620 supplies the communication data to the data transmission / reception unit 1645 without encrypting the communication data. On the other hand, when the type of application that generated the communication data is stored in the encryption condition storage unit 1650, the data format conversion unit 1600 converts the data format of the communication data. Then, the second encryption unit 1620 encrypts the communication data.

暗号化条件格納部1650は、例えば、HTTPS(Hypertext Transfer Protocol Security)、SSH(Secure Shell)等のアプリケーションの種類を格納する。これにより、上位レイヤにおいて既に暗号化が施されている通信データに対してさらに暗号化を施すことを防ぐことができる。   The encryption condition storage unit 1650 stores application types such as HTTPS (Hypertext Transfer Protocol Security) and SSH (Secure Shell). This can prevent further encryption of communication data that has already been encrypted in the upper layer.

また、暗号化条件格納部1650は、予め定められた条件として、通信データに適用されるプロトコルを格納してもよい。暗号化条件判断部1655は、第2暗号化部1620が受け取った通信データを解析すること、またはデータ送受信部1645による適用されるプロトコルを調べることにより、当該通信データに適用されるプロトコルを判断する。そして、暗号化条件判断部1655は、当該通信データに適用されるプロトコルが、暗号化条件格納部1650が格納しているプロトコルに合致する否かを判断する。   Further, the encryption condition storage unit 1650 may store a protocol applied to communication data as a predetermined condition. The encryption condition determination unit 1655 determines the protocol applied to the communication data by analyzing the communication data received by the second encryption unit 1620 or examining the protocol applied by the data transmission / reception unit 1645. . Then, the encryption condition determination unit 1655 determines whether or not the protocol applied to the communication data matches the protocol stored in the encryption condition storage unit 1650.

当該通信データに適用されるプロトコルが、暗号化条件格納部1650に格納されていない場合、データ形式変換部1600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部1620は、当該通信データを暗号化せずに、データ送受信部1645に供給する。一方で、当該通信データに適用されるプロトコルが、暗号化条件格納部1650に格納されている場合、データ形式変換部1600は、当該通信データのデータ形式を変換する。そして、第2暗号化部1620は、当該通信データを暗号化する。   When the protocol applied to the communication data is not stored in the encryption condition storage unit 1650, the data format conversion unit 1600 does not convert the data format of the communication data. Then, the second encryption unit 1620 supplies the communication data to the data transmission / reception unit 1645 without encrypting the communication data. On the other hand, when the protocol applied to the communication data is stored in the encryption condition storage unit 1650, the data format conversion unit 1600 converts the data format of the communication data. Then, the second encryption unit 1620 encrypts the communication data.

暗号化条件格納部1650は、例えば、UDP、IGMP(Internet Group Management Protocol)等のプロトコルを格納する。これにより、通信データの転送効率を向上させるために特定のプロトコルの適用される場合に、暗号化処理によって転送効率を低減させることを防ぐことができる。   The encryption condition storage unit 1650 stores protocols such as UDP and IGMP (Internet Group Management Protocol). Thereby, when a specific protocol is applied in order to improve the transfer efficiency of communication data, it is possible to prevent the transfer efficiency from being reduced by the encryption process.

また、暗号化条件格納部1650は、予め定められた条件として、通信方式の種類を格納してもよい。暗号化条件判断部1655は、通信IF選択部140が選択した通信部の通信方式の種類から、当該通信データが送信される場合の通信方式の種類を判断する。そして、暗号化条件判断部1655は、当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部1650が格納している通信方式の種類に合致する否かを判断する。   The encryption condition storage unit 1650 may store the type of communication method as a predetermined condition. The encryption condition determination unit 1655 determines the type of communication method when the communication data is transmitted from the type of communication method of the communication unit selected by the communication IF selection unit 140. Then, the encryption condition determination unit 1655 determines whether or not the type of communication method when the communication data is transmitted matches the type of communication method stored in the encryption condition storage unit 1650.

当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部1650に格納されていない場合、データ形式変換部1600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部1620は、当該通信データを暗号化せずに、データ送受信部1645に供給する。一方で、当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部1650に格納されている場合、第2暗号化部1620は、当該通信データを暗号化する。   If the type of communication method when the communication data is transmitted is not stored in the encryption condition storage unit 1650, the data format conversion unit 1600 does not convert the data format of the communication data. Then, the second encryption unit 1620 supplies the communication data to the data transmission / reception unit 1645 without encrypting the communication data. On the other hand, when the type of communication method when the communication data is transmitted is stored in the encryption condition storage unit 1650, the second encryption unit 1620 encrypts the communication data.

暗号化条件格納部1650は、例えば、WiFi方式等の通信方式を格納する。これにより、セキュリティレベルが比較的低い場合が多いWiFi方式で通信データが送信される場合には、暗号化処理を実行させ、セキュリティレベルが比較的高い場合が多いセルラー方式で通信データが送信される場合には、暗号化処理を実行させないことができる。したがって、セキュリティレベルが高い通信方式で送信される通信データに対して、過剰に暗号化を施すことを防ぐことができる。   The encryption condition storage unit 1650 stores a communication method such as a WiFi method, for example. As a result, when communication data is transmitted using the WiFi method, which often has a relatively low security level, encryption processing is executed, and the communication data is transmitted using the cellular method, which often has a relatively high security level. In this case, the encryption process can not be executed. Therefore, excessive encryption can be prevented for communication data transmitted by a communication method with a high security level.

本実施形態に係る通信端末10によれば、SIPサーバ22とのシグナリングを実行する場合に、SIPサーバ22に送信するシグナリングメッセージのセキュリティを、TLSを用いて確保できる。また、通信端末がデータ通信を実行する場合に、通信端末12またはプロキシサーバ20に送信する通信データのセキュリティを、SRTPを用いて確保できる。これにより、通信端末10は、通信端末12、プロキシサーバ20、およびSIPサーバ22との通信接続を切断することなく通信を継続することができるだけでなく、シグナリングメッセージおよび通信データのセキュリティを確実に確保できる。さらに、第2暗号化部1620による暗号化処理を、必要な場合だけ適用することで、暗号化処理の処理量、および通信トラフィックを低減させることができる。   According to the communication terminal 10 according to the present embodiment, when signaling with the SIP server 22 is performed, the security of the signaling message transmitted to the SIP server 22 can be secured using TLS. Moreover, when a communication terminal performs data communication, the security of the communication data transmitted to the communication terminal 12 or the proxy server 20 can be ensured using SRTP. Thereby, the communication terminal 10 can not only continue the communication without disconnecting the communication connection with the communication terminal 12, the proxy server 20, and the SIP server 22, but also ensures the security of the signaling message and the communication data. it can. Furthermore, the amount of encryption processing and the communication traffic can be reduced by applying the encryption processing by the second encryption unit 1620 only when necessary.

図4は、本実施形態の第1の例に係る通信端末10のモジュール構成の一例を示す。なお、一般クライアントアプリケーションモジュール200は、例えば、Webブラウザ等のアプリケーションであり、図3の上記説明における一般アプリケーション部100の一例である。Mobile SIP APsモジュール205は、図3の上記説明におけるリアルタイムアプリケーション部105の一例であり、例えば、VoIPアプリケーションである。また、Virtual IFモジュール210は、図3の上記説明における仮想インターフェース部110の一例である。また、複数の通信IFモジュールを有する通信インターフェースユニット220および複数のNICは、図3の上記説明における通信ユニット120の一例である。   FIG. 4 shows an example of a module configuration of the communication terminal 10 according to the first example of the present embodiment. The general client application module 200 is an application such as a Web browser, for example, and is an example of the general application unit 100 in the above description of FIG. The Mobile SIP APs module 205 is an example of the real-time application unit 105 in the above description of FIG. 3, and is, for example, a VoIP application. The Virtual IF module 210 is an example of the virtual interface unit 110 in the above description of FIG. The communication interface unit 220 having a plurality of communication IF modules and the plurality of NICs are examples of the communication unit 120 in the above description of FIG.

シグナリング制御モジュール2605は、図3の上記説明におけるシグナリング制御部1605の一例である。また、IACモジュール2610は、図3の上記説明における通信IF選択部140およびアドレス取得部150の一例である。また、(デ)カプセル化モジュール2600は、図3の上記説明における(デ)カプセル化部1610および変換テーブル記憶部1640の一例である。   The signaling control module 2605 is an example of the signaling control unit 1605 in the above description of FIG. The IAC module 2610 is an example of the communication IF selection unit 140 and the address acquisition unit 150 in the above description of FIG. The (de) encapsulation module 2600 is an example of the (de) encapsulation unit 1610 and the conversion table storage unit 1640 in the above description of FIG.

RTPモジュール2615およびRTPモジュール2620は、図3の上記説明におけるデータ形式変換部1600の一例であり、RTPモジュール2615とRTPモジュール2620とは、物理的に1つのモジュールであってもよい。また、ポリシーコントロールモジュール2625は、図3の上記説明における暗号化条件格納部1650および暗号化条件判断部1655の一例である。   The RTP module 2615 and the RTP module 2620 are an example of the data format conversion unit 1600 in the above description of FIG. 3, and the RTP module 2615 and the RTP module 2620 may be physically one module. The policy control module 2625 is an example of the encryption condition storage unit 1650 and the encryption condition determination unit 1655 in the above description of FIG.

TLSモジュール252およびTLSモジュール258は、図3の上記説明における第1暗号化部1615の一例であり、TLSモジュール252とTLSモジュール258とは、物理的に1つのモジュールであってもよい。また、SRTPモジュール256は、図3の上記説明における第2暗号化部1620の一例である。また、UDPモジュール240は、図3の上記説明におけるシグナリング送受信部1625およびデータ送受信部1645の一例である。また、TCPモジュール242は、図3の上記説明におけるシグナリング送受信部1625の一例である。   The TLS module 252 and the TLS module 258 are examples of the first encryption unit 1615 in the above description of FIG. 3, and the TLS module 252 and the TLS module 258 may be physically one module. The SRTP module 256 is an example of the second encryption unit 1620 in the above description of FIG. The UDP module 240 is an example of the signaling transmission / reception unit 1625 and the data transmission / reception unit 1645 in the above description of FIG. The TCP module 242 is an example of the signaling transmission / reception unit 1625 in the above description of FIG.

複数のネットワークインターフェースカード(NIC)は、それぞれに対応する通信方式を用いて通信端末12、プロキシサーバ20、およびSIPサーバ22と通信する。複数のNICはそれぞれに対応する通信IFモジュールに制御されて、通信データを送受信する。複数の通信IFモジュールは、それぞれに対応するNICを介して通信データを送受信する。   The plurality of network interface cards (NICs) communicate with the communication terminal 12, the proxy server 20, and the SIP server 22 using a communication method corresponding to each of them. The plurality of NICs are controlled by the corresponding communication IF modules to transmit and receive communication data. The plurality of communication IF modules transmit and receive communication data via the corresponding NICs.

例えば、通信IFモジュールa222はNICa232を介して通信データを送受信する。同様にして、通信IFモジュールb224はNICb234を介して、そして、通信IFモジュールn226はNICn236を介して通信データを送受信する。具体的には、NICa232は、無線LANインターフェースカードであってよく、NICb234は、携帯電話通信方式のインターフェースカードであってよい。そして、NICn236は、無線LAN通信方式および携帯電話通信方式を除く、他の通信方式のインターフェースカードであってよい。   For example, the communication IF module a222 transmits / receives communication data via the NICa232. Similarly, the communication IF module b224 transmits / receives communication data via the NICb234, and the communication IF module n226 transmits / receives communication data via the NICn236. Specifically, the NICa 232 may be a wireless LAN interface card, and the NICb 234 may be a mobile phone communication system interface card. The NICn 236 may be an interface card of another communication method excluding the wireless LAN communication method and the mobile phone communication method.

IACモジュール2610は、通信インターフェースユニット220が有する複数の通信IFモジュール(例えば、通信IFモジュールa222、通信IFモジュールb224、および通信IFモジュールn226等)のうち、いずれが利用可能かを判断して選択する。すなわち、IACモジュール2610は、通信中継装置と通信可能な通信IFモジュールがいずれであるかを判断して、通信可能な通信IFモジュールを選択する。IACモジュール2610が、通信可能な通信IFモジュールがいずれであるかを判断する方法は、図3の上記説明における通信IF選択部140と略同様であるので詳細な説明は省略する。   The IAC module 2610 determines and selects which of a plurality of communication IF modules (for example, the communication IF module a222, the communication IF module b224, the communication IF module n226, etc.) included in the communication interface unit 220 can be used. . That is, the IAC module 2610 determines which communication IF module can communicate with the communication relay device, and selects a communication IF module capable of communication. The method by which the IAC module 2610 determines which communication IF module can communicate is substantially the same as the communication IF selection unit 140 in the above description of FIG.

IACモジュール2610は、通信可能な通信IFモジュールを介して、通信中継装置が通信端末10に対して動的に割り当てたIPアドレスを取得する。そして、IACモジュール2610は、通信可能な通信IFモジュールを識別する情報と取得したIPアドレスとをシグナリング制御モジュール2605、(デ)カプセル化モジュール2600、RTPモジュール2615、RTPモジュール2620、およびMobile SIP APsモジュール205に通知する。   The IAC module 2610 acquires an IP address dynamically assigned to the communication terminal 10 by the communication relay device via a communication IF module capable of communication. The IAC module 2610 then transmits information for identifying a communication IF module capable of communication and the acquired IP address to the signaling control module 2605, the (de) encapsulation module 2600, the RTP module 2615, the RTP module 2620, and the Mobile SIP APs module. 205 is notified.

まず、シグナリング制御モジュール2605は、例えば通信端末10の起動時に、TLSを用いてSIPサーバ22に対してシグナリングする。すなわち、シグナリング制御モジュール2605は、シグナリング処理を実行するシグナリングメッセージをTLSモジュール258においてTLSを用いて暗号化させる。そして、シグナリング制御モジュール2605は、暗号化されたシグナリングメッセージをTCPモジュール242においてTCPで送信可能な形式にして、SIPサーバ22に送信させる。具体的には、シグナリング制御モジュール2605は、通信インターフェースユニット220が有する複数の通信IFモジュールのうち、通信中継装置と通信可能な通信IFモジュールを介して、TLSで暗号化されたシグナリングメッセージをSIPサーバ22に送信する。   First, the signaling control module 2605 signals to the SIP server 22 using TLS when the communication terminal 10 is activated, for example. That is, the signaling control module 2605 causes the TLS module 258 to encrypt the signaling message for executing the signaling process using TLS. Then, the signaling control module 2605 converts the encrypted signaling message into a format that can be transmitted by TCP in the TCP module 242 and transmits it to the SIP server 22. Specifically, the signaling control module 2605 outputs a signaling message encrypted by TLS to the SIP server via the communication IF module that can communicate with the communication relay device among the plurality of communication IF modules of the communication interface unit 220. 22 to send.

例えば、シグナリング制御モジュール2605は、通信端末10が起動されたことを契機として、SIPサーバ22とシグナリングメッセージをやりとりすることにより、通信端末10とSIPサーバ22との間に第1TLSセッションを確立する。そして、シグナリング制御モジュール2605は、SIPサーバ22に、シグナリングメッセージとしてREGISTERリクエストメッセージを送信する。REGISTERリクエストメッセージは、シグナリング処理をするSIPサーバ22のSIP URI、登録を要求する通信端末10のSIP URI、および登録の有効期限を示す情報等を含む。そして、REGISTERリクエストメッセージを受信したSIPサーバ22は、通信端末10のシグナリング処理を実行する。SIPサーバ22は、シグナリング処理が完了した場合、シグナリングが完了したことを、例えば、200OKメッセージを返信することで通信端末10のシグナリング制御モジュール2605に通知する。   For example, the signaling control module 2605 establishes a first TLS session between the communication terminal 10 and the SIP server 22 by exchanging a signaling message with the SIP server 22 when the communication terminal 10 is activated. Then, the signaling control module 2605 transmits a REGISTER request message as a signaling message to the SIP server 22. The REGISTER request message includes the SIP URI of the SIP server 22 that performs signaling processing, the SIP URI of the communication terminal 10 that requests registration, information indicating the registration expiration date, and the like. Then, the SIP server 22 that has received the REGISTER request message executes the signaling process of the communication terminal 10. When the signaling process is completed, the SIP server 22 notifies the signaling control module 2605 of the communication terminal 10 that the signaling is completed, for example, by returning a 200 OK message.

次に、通信中継装置との通信が可能な通信IFモジュールが変更した場合、すなわち、通信端末10が移動することにより、ハンドオーバー制御を要する場合について説明する。係る場合に、シグナリング制御モジュール2605は、通信端末10から見て通信端末12およびSIPサーバ22との通信が切断されていないように見せるべく、通信端末10のシグナリングを以下に示すべく実行する。   Next, a case where the communication IF module capable of communicating with the communication relay device is changed, that is, a case where the handover control is required due to the movement of the communication terminal 10 will be described. In such a case, the signaling control module 2605 executes signaling of the communication terminal 10 as shown below so that the communication with the communication terminal 12 and the SIP server 22 is not disconnected when viewed from the communication terminal 10.

まず、シグナリング制御モジュール2605は、通信端末10とSIPサーバ22との間に第1TLSセッションを確立した後、REGISTERリクエストメッセージをTLSモジュール252においてTLSを用いて暗号化させる。そして、シグナリング制御モジュール2605は、TLSで暗号化されたREGISTERリクエストメッセージをTCP/UDPモジュール254においてTCPで送信可能な形式にする。続いて、シグナリング制御モジュール2605は、TLSで暗号化した上で、TCPで送信可能な形式にしたREGISTERリクエストメッセージを、仮想的なインターフェースモジュールであるVirtual IFモジュール210に供給する。   First, the signaling control module 2605 establishes a first TLS session between the communication terminal 10 and the SIP server 22, and then encrypts the REGISTER request message using the TLS in the TLS module 252. Then, the signaling control module 2605 converts the REGISTER request message encrypted by TLS into a format that can be transmitted by TCP in the TCP / UDP module 254. Subsequently, the signaling control module 2605 supplies a REGISTER request message that has been encrypted with TLS and converted into a format that can be transmitted with TCP to the Virtual IF module 210 that is a virtual interface module.

続いて、Virtual IFモジュール210は、TCPで送信可能な形式にしたREGISTERリクエストメッセージを(デ)カプセル化モジュール2600に供給する。(デ)カプセル化モジュール2600は、TLSで暗号化した上でTCPで送信可能な形式にしたREGISTERリクエストメッセージを、UDPで送信可能な形式にカプセル化する。例えば、(デ)カプセル化モジュール2600は、TLSで暗号化した上でTCPで送信可能な形式にしたREGISTERリクエストメッセージを、UDPで送信可能な形式にすべく、予め定められた付加情報をREGISTERリクエストメッセージに付加することによりカプセル化する。そして、(デ)カプセル化モジュール2600は、カプセル化したREGISTERリクエストメッセージをUDPモジュール240から通信IFモジュールを介してSIPサーバ22に送信する。   Subsequently, the Virtual IF module 210 supplies a REGISTER request message in a format that can be transmitted by TCP to the (de) encapsulation module 2600. The (de) encapsulation module 2600 encapsulates the REGISTER request message encrypted in TLS and converted into a format that can be transmitted in TCP into a format that can be transmitted in UDP. For example, the (de) encapsulation module 2600 uses a REGISTER request to add predetermined additional information to a REGISTER request message encrypted in TLS and converted into a format that can be transmitted in TCP into a format that can be transmitted in UDP. Encapsulate by appending to the message. Then, the (de) encapsulation module 2600 transmits the encapsulated REGISTER request message from the UDP module 240 to the SIP server 22 via the communication IF module.

その後、カプセル化されたREGISTERリクエストメッセージを受信したSIPサーバ22は、通信端末10のシグナリング処理を実行する。SIPサーバ22は、シグナリング処理が完了した場合、シグナリングが完了したことを、例えば、200OKメッセージを返信することで通信端末10のシグナリング制御モジュール2605に通知する。これにより、通信端末10のシグナリングが完了して、通信端末10とSIPサーバ22との間に第2TLSセッションが確立される。以上のように、通信端末10は、仮想IPアドレスに基づく第2TLSセッションを確立できるので、通信端末10に動的に割り当てられる実IPアドレスが変化した場合でも、SIPサーバ22とのシグナリングのためのセッションが切断されることなく、継続的にSIPサーバ22とのシグナリングを実行することができる。   Thereafter, the SIP server 22 that has received the encapsulated REGISTER request message executes the signaling process of the communication terminal 10. When the signaling process is completed, the SIP server 22 notifies the signaling control module 2605 of the communication terminal 10 that the signaling is completed, for example, by returning a 200 OK message. Thereby, the signaling of the communication terminal 10 is completed, and the second TLS session is established between the communication terminal 10 and the SIP server 22. As described above, since the communication terminal 10 can establish the second TLS session based on the virtual IP address, even when the real IP address dynamically allocated to the communication terminal 10 changes, the communication terminal 10 can perform signaling with the SIP server 22. It is possible to continuously perform signaling with the SIP server 22 without disconnecting the session.

次に、一般クライアントアプリケーションモジュール200が通信端末12と所定の通信データの送受信を実行する場合を説明する。一般クライアントアプリケーションモジュール200は、通信端末12に送信すべき通信データを、TCP/UDPモジュール254においてTCPで送信可能な形式にして、Virtual IFモジュールに供給する。   Next, a case where the general client application module 200 executes transmission / reception of predetermined communication data with the communication terminal 12 will be described. The general client application module 200 converts the communication data to be transmitted to the communication terminal 12 into a format that can be transmitted by TCP in the TCP / UDP module 254 and supplies the data to the Virtual IF module.

係る場合において、一般クライアントアプリケーションモジュール200は、Virtual IFモジュール210に割り当てられた仮想IPアドレスを通信データに付加する。そして、一般クライアントアプリケーションモジュール200は、仮想IPアドレスを付加した通信アドレスをVirtual IFモジュール210に供給する。これにより、一般クライアントアプリケーションモジュール200は、通信端末10に割り当てられる実IPアドレスが変更された場合でも、実IPアドレスの変更の影響を受けることなく、通信端末12とのTCPセッションを継続できる。   In such a case, the general client application module 200 adds the virtual IP address assigned to the Virtual IF module 210 to the communication data. Then, the general client application module 200 supplies the communication address with the virtual IP address added to the Virtual IF module 210. Thereby, even when the real IP address assigned to the communication terminal 10 is changed, the general client application module 200 can continue the TCP session with the communication terminal 12 without being affected by the change of the real IP address.

Virtual IFモジュール210は、一般クライアントアプリケーションモジュール200から受け取った通信データを、(デ)カプセル化モジュール2600に供給する。(デ)カプセル化モジュール2600は、Virtual IFモジュール210から受け取った通信データをカプセル化する。(デ)カプセル化モジュール2600は、RTPモジュール2620、SRTPモジュール256、およびUDPモジュール240を制御して、受け取った通信データをカプセル化および暗号化する。   The virtual IF module 210 supplies the communication data received from the general client application module 200 to the (de) encapsulation module 2600. The (de) encapsulation module 2600 encapsulates the communication data received from the virtual IF module 210. The (de) encapsulation module 2600 controls the RTP module 2620, the SRTP module 256, and the UDP module 240 to encapsulate and encrypt the received communication data.

RTPモジュール2620は、通信データにRTPヘッダを付加することで、SRTPを用いて暗号化できるデータ形式に変換する。ポリシーコントロールモジュール2625は、予め定められた条件に基づいて、RTPモジュール2620から出力される通信データに対してSRTPによる暗号化が必要か否かを判断する。   The RTP module 2620 converts the data into a data format that can be encrypted using SRTP by adding an RTP header to the communication data. The policy control module 2625 determines whether or not the communication data output from the RTP module 2620 needs to be encrypted by SRTP based on a predetermined condition.

ポリシーコントロールモジュール2625によってSRTPによる暗号化が必要であると判断された場合には、SRTPモジュール256は、RTPモジュール2620がRTPパケットに変換した通信データを、SRTPを用いて暗号化する。UDPモジュール240は、SRTPモジュール256が暗号化した通信データにUDPヘッダを付加することでカプセル化し、通信IFモジュールを介して通信端末12に送信する。   When the policy control module 2625 determines that SRTP encryption is necessary, the SRTP module 256 encrypts the communication data converted into the RTP packet by the RTP module 2620 using SRTP. The UDP module 240 encapsulates the communication data encrypted by the SRTP module 256 by adding a UDP header, and transmits it to the communication terminal 12 via the communication IF module.

一方、ポリシーコントロールモジュール2625によってSRTPによる暗号化が必要でないと判断された場合には、RTPモジュール2620は、通信データにRTPヘッダを付加しない。また、SRTPモジュール256は、RTPモジュール2620が出力した通信データを暗号化することなく、UDPモジュール240から通信IFモジュールを介して通信端末12に送信する。   On the other hand, if it is determined by the policy control module 2625 that encryption by SRTP is not necessary, the RTP module 2620 does not add an RTP header to the communication data. The SRTP module 256 transmits the communication data output from the RTP module 2620 from the UDP module 240 to the communication terminal 12 via the communication IF module without encryption.

一方、通信端末12が通信端末10にあてて送信した通信データは、NIC、当該NICに対応する通信IFモジュールを介して受信する。なお、通信端末12が送信した通信データは、TCPで通信可能な通信データをUDPで通信可能な形式にカプセル化した上で、SRTPで暗号化されている。UDPモジュール240は、受信した通信データをSRTPモジュール256に供給する。SRTPモジュール256は、SRTPで暗号化された通信データを復号化する。そして、RTPモジュール2620は、復号かされた通信データの形式を逆変換して(デ)カプセル化モジュール2600に供給する。   On the other hand, the communication data transmitted from the communication terminal 12 to the communication terminal 10 is received via the NIC and the communication IF module corresponding to the NIC. The communication data transmitted by the communication terminal 12 is encrypted with SRTP after encapsulating communication data communicable with TCP into a format communicable with UDP. The UDP module 240 supplies the received communication data to the SRTP module 256. The SRTP module 256 decrypts communication data encrypted with SRTP. The RTP module 2620 then inversely converts the format of the decrypted communication data and supplies it to the (de) encapsulation module 2600.

(デ)カプセル化モジュール2600は、SRTPモジュール256が復号化した通信データを、デカプセル化する。すなわち、(デ)カプセル化モジュール2600は、UDPで送信可能な形式にカプセル化された通信データをデカプセル化する。(デ)カプセル化モジュール2600は、デカプセル化した通信データをVirtual IFモジュール210に供給する。   The (de) encapsulation module 2600 decapsulates the communication data decrypted by the SRTP module 256. That is, the (de) encapsulation module 2600 decapsulates communication data encapsulated in a format that can be transmitted by UDP. The (de) encapsulation module 2600 supplies the decapsulated communication data to the virtual IF module 210.

Virtual IFモジュール210は、TCP/UDPモジュール254を介して受け取った通信データを一般クライアントアプリケーションモジュール200に供給する。一般クライアントアプリケーションモジュール200は、Virtual IFモジュール210から受け取った通信データを、所定のアプリケーションに渡すことにより処理する。   The virtual IF module 210 supplies communication data received via the TCP / UDP module 254 to the general client application module 200. The general client application module 200 processes the communication data received from the virtual IF module 210 by passing it to a predetermined application.

これにより、一般クライアントアプリケーションモジュール200は、通信端末10に割り当てられる実IPアドレスが変更された場合でも、実IPアドレスの変更の影響を受けることなく、通信端末12とのTCPセッションを継続できる。また、一般クライアントアプリケーションモジュール200がTCPで通信可能な通信データをUDPで通信可能な通信データに変換すること、および通信端末12と送受信する通信データを暗号化/復号化することがなくなる。すなわち、本実施形態に係る通信端末10によれば、一般クライアントアプリケーションモジュール200が特別な機能を有さなくても、E2Eのセキュリティを提供することができる。   Thereby, even when the real IP address assigned to the communication terminal 10 is changed, the general client application module 200 can continue the TCP session with the communication terminal 12 without being affected by the change of the real IP address. Further, the general client application module 200 does not convert communication data that can be communicated by TCP into communication data that can be communicated by UDP, and encryption / decryption of communication data transmitted to and received from the communication terminal 12 is eliminated. That is, according to the communication terminal 10 according to the present embodiment, E2E security can be provided even if the general client application module 200 does not have a special function.

次に、Mobile SIP APsモジュール205が通信データを送信する場合について説明する。Mobile SIP APsモジュール205は、IACモジュール2610から通知された、利用可能な通信IFモジュールを介して、通信端末12に送信すべき通信データを送信する。   Next, a case where the Mobile SIP APs module 205 transmits communication data will be described. The Mobile SIP APs module 205 transmits communication data to be transmitted to the communication terminal 12 via the available communication IF module notified from the IAC module 2610.

具体的には、Mobile SIP APsモジュール205は、通信端末12に送信すべき通信データをRTPモジュール2615に送信する。RTPモジュール2615は、Mobile SIP APsモジュール205から受け取った通信データを、RTPで送信可能な形式に変換する。   Specifically, the Mobile SIP APs module 205 transmits communication data to be transmitted to the communication terminal 12 to the RTP module 2615. The RTP module 2615 converts the communication data received from the Mobile SIP APs module 205 into a format that can be transmitted by RTP.

そして、RTPモジュール2615は、RTPで送信可能な形式に変換した通信データを、SRTPモジュール256に供給する。SRTPモジュール256は、RTPモジュール2615から受け取った通信データを、SRTPを用いて暗号化する。そして、SRTPモジュール256は、暗号化した通信データを、通信モジュールを介して通信端末12に送信する。また、通信端末12から通信IFモジュールが受信したSIP APの通信データは、SRTPモジュール256が復号化する。そして、SRTPモジュール256は、復号化した通信データを、RTPモジュール2615を介して、Mobile SIP APsモジュール205に供給する。   Then, the RTP module 2615 supplies the communication data converted into a format that can be transmitted by RTP to the SRTP module 256. The SRTP module 256 encrypts the communication data received from the RTP module 2615 using SRTP. Then, the SRTP module 256 transmits the encrypted communication data to the communication terminal 12 via the communication module. In addition, the SIP AP communication data received by the communication IF module from the communication terminal 12 is decrypted by the SRTP module 256. Then, the SRTP module 256 supplies the decrypted communication data to the Mobile SIP APs module 205 via the RTP module 2615.

なお、上記説明における通信端末12に送信する通信データは、プロキシサーバ20を介して公開サーバ26等の他のサーバ、または通信端末に送信してもよい。係る場合に、通信端末10が送信した通信データのデカプセル化および復号化、並びに公開サーバ26等が送信した通信データのカプセル化および暗号化は、プロキシサーバ20が実行する。   Note that the communication data transmitted to the communication terminal 12 in the above description may be transmitted to another server such as the public server 26 or the communication terminal via the proxy server 20. In such a case, the proxy server 20 executes decapsulation and decryption of the communication data transmitted by the communication terminal 10 and encapsulation and encryption of the communication data transmitted by the public server 26 and the like.

これにより、通信端末10は、通信端末12と送受信する通信データのセキュリティをSRTPを用いて確保できる。さらに、IPsecを用いることがないので、IPsec Security Gatewayを介して通信データを送受信することがなくなる。これにより、通信トラフィックが一点集中することを回避できる。   Thereby, the communication terminal 10 can ensure the security of the communication data transmitted / received with the communication terminal 12 using SRTP. Furthermore, since IPsec is not used, communication data is not transmitted / received via the IPsec Security Gateway. Thereby, it can avoid that communication traffic concentrates on one point.

図5は、本実施形態の第1の例に係る通信端末10によるシグナリング処理の流れの一例を示す。まず、IACモジュール2610は、複数の通信IFモジュールから、通信可能な通信IFモジュールを選択する(S500)。そして、IACモジュール2610は、選択した通信IFモジュールに割り当てられた実IPアドレスを取得する(S505)。そして、シグナリング制御モジュール2605は、第1プロトコルの第1セッションを実IPアドレスに基づいて確立する(S510)。第1セッションは、例えば、TLSおよびTCPによるセッションである。その後、シグナリング制御モジュール2605は、第1セッションを用いて、シグナリングをセキュアに送受信する(S515)。次に、Virtual IFモジュール210が有効に設定される(S520)。   FIG. 5 shows an example of the flow of signaling processing by the communication terminal 10 according to the first example of the present embodiment. First, the IAC module 2610 selects a communication IF module capable of communication from a plurality of communication IF modules (S500). Then, the IAC module 2610 acquires a real IP address assigned to the selected communication IF module (S505). Then, the signaling control module 2605 establishes the first session of the first protocol based on the real IP address (S510). The first session is, for example, a session using TLS and TCP. Thereafter, the signaling control module 2605 transmits and receives signaling securely using the first session (S515). Next, the Virtual IF module 210 is set to be valid (S520).

ここで、通信端末10のシグナリングセキュリティのモビリティが必要でない場合(S525:NO)、通信端末10は、待機状態に移行する(S545)。この場合、待機状態において、シグナリング制御モジュール2605は、必要に応じて、第1セッションを介してシグナリングを行う。一方で、通信端末10のシグナリングセキュリティのモビリティが必要である場合(S525:YES)、通信端末10は、任意のプロトコルの第2セッションを、Virtual IFモジュール210に設定された仮想IPアドレスに基づいて確立する(S530)。任意のプロトコルとは、上述した第1プロトコルと同一であってもよいし、他のプロトコルであってもよい。そして、第2セッションは、例えば、TLSおよびTCPによるセッションである、SRTPおよびUDPによるセッションである。   Here, when the mobility of the signaling security of the communication terminal 10 is not necessary (S525: NO), the communication terminal 10 shifts to a standby state (S545). In this case, in the standby state, the signaling control module 2605 performs signaling through the first session as necessary. On the other hand, when the mobility of the signaling security of the communication terminal 10 is necessary (S525: YES), the communication terminal 10 makes a second session of an arbitrary protocol based on the virtual IP address set in the Virtual IF module 210. Establish (S530). The arbitrary protocol may be the same as the first protocol described above, or may be another protocol. The second session is, for example, a session based on SRTP and UDP, which is a session based on TLS and TCP.

その後、シグナリング制御モジュール2605は、第2セッションを用いて、シグナリングをセキュアに送受信する(S535)。そして、シグナリング制御モジュール2605は、シグナリング処理が完了したか否かを判断する(S540)。シグナリング処理が完了していない場合には、S540に戻り、シグナリング制御モジュール2605は、引き続き、第2セッションを用いて、シグナリングをセキュアに送受信する(S535)。一方で、シグナリング処理が完了している場合には、通信端末10は、待機状態に移行する(S545)。この場合、待機状態において、シグナリング制御モジュール2605は、第2セッションを介してシグナリングを行う。   Thereafter, the signaling control module 2605 uses the second session to securely transmit and receive signaling (S535). Then, the signaling control module 2605 determines whether or not the signaling process is completed (S540). If the signaling process is not completed, the process returns to S540, and the signaling control module 2605 continues to transmit and receive signaling securely using the second session (S535). On the other hand, when the signaling process is completed, the communication terminal 10 shifts to a standby state (S545). In this case, in the standby state, the signaling control module 2605 performs signaling through the second session.

その後、セッションモビリティコントローラモジュール260が停止されない場合(S545:NO)には、通信端末10は、待機状態に維持される。一方で、セッションモビリティコントローラモジュール260が停止された場合(S545:YES)には、シグナリング処理が終了する。   Thereafter, when the session mobility controller module 260 is not stopped (S545: NO), the communication terminal 10 is maintained in a standby state. On the other hand, when the session mobility controller module 260 is stopped (S545: YES), the signaling process ends.

図6は、待機状態(S545)における通信データの送信処理の流れの一例を示す。まず、一般クライアントアプリケーションモジュール200は、通信端末12に送信すべき通信データを、Virtual IFモジュール210に割り当てられた仮想IPアドレスを指定して、Virtual IFモジュール210を介して(デ)カプセル化モジュール2600に供給する(S600)。仮想IPアドレスは、Virtual IFモジュール210に固定的に割り当てられるので、一般クライアントアプリケーションモジュール200は、通信中継装置が通信端末10に動的に割り当てたIPアドレスがいかなるIPアドレスであっても、常に仮想IPアドレスを指定して、通信データを送信する。なお、一般クライアントアプリケーションモジュール200は、TCPを用いて送信可能な形式で通信データをVirtual IFモジュール210に送信する。   FIG. 6 shows an example of the flow of communication data transmission processing in the standby state (S545). First, the general client application module 200 designates the communication data to be transmitted to the communication terminal 12 by designating the virtual IP address assigned to the virtual IF module 210, and the (de) encapsulation module 2600 through the virtual IF module 210. (S600). Since the virtual IP address is fixedly assigned to the virtual IF module 210, the general client application module 200 is always virtual regardless of the IP address dynamically assigned to the communication terminal 10 by the communication relay device. An IP address is designated and communication data is transmitted. The general client application module 200 transmits communication data to the virtual IF module 210 in a format that can be transmitted using TCP.

ポリシーコントロールモジュール2625は、一般クライアントアプリケーションモジュール200から供給された通信データを送信する条件が、予め定められた条件に合致するか否かを判断する(S610)。予め定められた条件に合致すると判断された場合(S610:YES)、RTPモジュール2620は、Virtual IFモジュール210から供給された通信データにパケット処理を実行する(S620)。すなわち、RTPモジュール2620は、通信データにRTPヘッダを付加してカプセル化する。   The policy control module 2625 determines whether or not the condition for transmitting the communication data supplied from the general client application module 200 matches a predetermined condition (S610). If it is determined that the predetermined condition is met (S610: YES), the RTP module 2620 performs packet processing on the communication data supplied from the Virtual IF module 210 (S620). That is, the RTP module 2620 adds the RTP header to the communication data and encapsulates it.

次に、SRTPモジュール256は、RTPモジュールがカプセル化した通信データを、第2セキュリティプロトコルであるSRTPで暗号化する(S630)。そして、UDPモジュール240は、SRTPモジュール256が暗号化した通信データにUDPヘッダを付加してカプセル化する(S640)。そして、UDPモジュール240は、SRTPモジュール256が暗号化した通信データを、UDPを用いて通信IFモジュールから通信端末12に送信する(S650)。   Next, the SRTP module 256 encrypts the communication data encapsulated by the RTP module with SRTP, which is the second security protocol (S630). Then, the UDP module 240 adds a UDP header to the communication data encrypted by the SRTP module 256 and encapsulates it (S640). Then, the UDP module 240 transmits the communication data encrypted by the SRTP module 256 from the communication IF module to the communication terminal 12 using UDP (S650).

S610において、予め定められた条件に合致しないと判断された場合(S610:NO)、RTPモジュール2620は、通信データをカプセル化せず、SRTPモジュール256は、通信データを暗号化しない。UDPモジュール240は、SRTPで暗号化されていない通信データにUDPヘッダを付加してカプセル化する(S660)。そして、UDPモジュール240は、SRTPで暗号化されていない通信データを、UDPを用いて通信IFモジュールから通信端末12に送信する(S670)。   If it is determined in S610 that the predetermined condition is not met (S610: NO), the RTP module 2620 does not encapsulate the communication data, and the SRTP module 256 does not encrypt the communication data. The UDP module 240 adds a UDP header to the communication data not encrypted with SRTP and encapsulates it (S660). Then, the UDP module 240 transmits communication data not encrypted with SRTP from the communication IF module to the communication terminal 12 using UDP (S670).

図7は、待機状態(S545)における通信データの受信処理の流れの一例を示す。まず、UDPモジュール240は、通信端末12が通信端末10にあてて送信した通信データを、通信IFモジュールを介して受信する(S700)。通信端末12が通信端末10にあてて送信した通信データは、TCPで通信可能な通信データをUDPで通信可能な形式にカプセル化した上で、第2セキュリティプロトコルであるSRTPを用いて暗号化されている。   FIG. 7 shows an example of the flow of communication data reception processing in the standby state (S545). First, the UDP module 240 receives the communication data transmitted from the communication terminal 12 to the communication terminal 10 via the communication IF module (S700). Communication data transmitted from the communication terminal 12 to the communication terminal 10 is encrypted using SRTP, which is the second security protocol, after encapsulating communication data communicable with TCP into a format communicable with UDP. ing.

UDPモジュール240は、(デ)カプセル化モジュール2600の制御に従い、受信した通信データからUDPヘッダを外すことによって、通信データをデカプセル化する(S710)。SRTPモジュール256は、SRTPを用いて暗号化されているデカプセル化された通信データを復号化する(S720)。(デ)カプセル化モジュール2600は、デカプセル化された後に復号化された通信データをVirtual IFモジュール210に供給する。Virtual IFモジュール210は、(デ)カプセル化モジュール2600から受け取った通信データをパケット処理して(S730)、一般クライアントアプリケーションモジュール200に転送する(S740)。   The UDP module 240 decapsulates the communication data by removing the UDP header from the received communication data in accordance with the control of the (de) encapsulation module 2600 (S710). The SRTP module 256 decrypts the decapsulated communication data encrypted using SRTP (S720). The (de) encapsulation module 2600 supplies the communication data decoded after being decapsulated to the virtual IF module 210. The virtual IF module 210 performs packet processing on the communication data received from the (de) encapsulation module 2600 (S730) and transfers it to the general client application module 200 (S740).

図8は、本実施形態の第2の例に係る通信端末10の通信モジュール14の機能構成の一例を示す。通信モジュール14は、一般アプリケーション部800、リアルタイムアプリケーション部805、仮想インターフェース部810、通信ユニット820、通信制御ユニット830、およびセッションモビリティ制御ユニット860を備える。なお、プロキシサーバ20およびSIPサーバ22は、通信モジュール14の機能および構成の一部、または全部を備えていてよい。   FIG. 8 shows an example of a functional configuration of the communication module 14 of the communication terminal 10 according to the second example of the present embodiment. The communication module 14 includes a general application unit 800, a real-time application unit 805, a virtual interface unit 810, a communication unit 820, a communication control unit 830, and a session mobility control unit 860. Note that the proxy server 20 and the SIP server 22 may include some or all of the functions and configurations of the communication module 14.

通信ユニット820は、第1通信部822、第2通信部824、および第n通信部826を含む複数の通信部を有する。また、通信制御ユニット830は、通信IF選択部840およびアドレス取得部850を有する。また、セッションモビリティ制御ユニット860は、データ形式変換部8600、シグナリング制御部8605、(デ)カプセル化部8610、第1暗号化部8615、第2暗号化部8620、シグナリング送受信部8625、変換テーブル記憶部8640、データ送受信部8645、暗号化条件格納部8650、および暗号化条件判断部8655を有する。   The communication unit 820 includes a plurality of communication units including a first communication unit 822, a second communication unit 824, and an nth communication unit 826. In addition, the communication control unit 830 includes a communication IF selection unit 840 and an address acquisition unit 850. The session mobility control unit 860 includes a data format conversion unit 8600, a signaling control unit 8605, a (de) encapsulation unit 8610, a first encryption unit 8615, a second encryption unit 8620, a signaling transmission / reception unit 8625, and a conversion table storage. Unit 8640, data transmission / reception unit 8645, encryption condition storage unit 8650, and encryption condition determination unit 8655.

通信ユニット820は、通信モジュール14が通信可能な複数の通信方式ごとに異なる複数の通信部を有する。例えば、通信ユニット820は、第1の通信方式(例えば、無線LAN通信方式)で通信する第1通信部822、第2の通信方式(例えば、電話通信方式)で通信する第2通信部824、および第nの通信方式(例えば、無線LANおよび電話通信方式を除く他の通信方式)で通信する第n通信部826を有する。なお、通信ユニット820は、複数の通信方式で通信可能な通信部を有していてもよい。例えば、通信ユニット820は、第1の通信方式と第2の通信方式とのいずれかで通信可能な通信部、すなわち、上述した第1通信部および第2通信部の機能を併せ持った通信部を有していてもよい。これにより、通信モジュール14の構成の簡略化、および小型化に資することができる。   The communication unit 820 includes a plurality of communication units that differ for each of a plurality of communication methods with which the communication module 14 can communicate. For example, the communication unit 820 includes a first communication unit 822 that communicates with a first communication method (for example, a wireless LAN communication method), a second communication unit 824 that communicates with a second communication method (for example, a telephone communication method), And an nth communication unit 826 that communicates with the nth communication method (for example, other communication methods excluding a wireless LAN and a telephone communication method). Note that the communication unit 820 may include a communication unit that can communicate with a plurality of communication methods. For example, the communication unit 820 includes a communication unit that can communicate with either the first communication method or the second communication method, that is, a communication unit that has the functions of the first communication unit and the second communication unit described above. You may have. Thereby, it can contribute to the simplification of the structure of the communication module 14, and size reduction.

また、複数の通信部のそれぞれは、セルラー網40、無線LAN網46等の複数の通信網のそれぞれに対応する複数の通信中継装置のそれぞれを介して、シグナリング送受信部8625が生成したシグナリングメッセージを、SIPサーバ22との間で送信する。また、通信ユニット820が有する複数の通信部のそれぞれは、一般アプリケーション部800またはリアルタイムアプリケーション部805が生成した通信データを、通信端末12またはプロキシサーバ20との間で送信する。   In addition, each of the plurality of communication units receives a signaling message generated by the signaling transmission / reception unit 8625 via each of a plurality of communication relay apparatuses corresponding to each of a plurality of communication networks such as the cellular network 40 and the wireless LAN network 46. , And transmitted to the SIP server 22. Each of the plurality of communication units included in the communication unit 820 transmits communication data generated by the general application unit 800 or the real-time application unit 805 to or from the communication terminal 12 or the proxy server 20.

また、複数の通信部のそれぞれは、SIPサーバ22から受信したシグナリングメッセージを、通信制御ユニット830を介してシグナリング制御部8605に供給する。また、複数の通信部のそれぞれは、通信端末12またはプロキシサーバ20から受信した通信データを、通信制御ユニット830を介して一般アプリケーション部800またはリアルタイムアプリケーション部805に供給する。   Each of the plurality of communication units supplies the signaling message received from the SIP server 22 to the signaling control unit 8605 via the communication control unit 830. Each of the plurality of communication units supplies communication data received from the communication terminal 12 or the proxy server 20 to the general application unit 800 or the real-time application unit 805 via the communication control unit 830.

通信ユニット820が有する複数の通信部のそれぞれは、それぞれに割り当てられた通信方式で通信することができるか否かを通信IF選択部840が判断するために用いられる情報を、通信制御ユニット830に供給する。さらに、複数の通信部は、それぞれが通信可能な通信中継装置から動的な実IPアドレスを割り当てられた場合、割り当てられた実アドレスを通信制御ユニット830に供給する。   Each of the plurality of communication units included in the communication unit 820 sends information used for the communication IF selection unit 840 to determine whether or not communication can be performed using the communication method assigned to each of the communication units to the communication control unit 830. Supply. Further, when a dynamic real IP address is assigned from a communication relay device that can communicate with each other, the plurality of communication units supplies the assigned real address to the communication control unit 830.

通信IF選択部840は、複数の通信部から供給された情報に基づいて、複数の通信部のうち通信可能な通信部を選択する。例えば、通信IF選択部840は、通信中継装置が発する通信方式を識別する情報を含む電波の電波強度を示す情報を、複数の通信部から受け取り、電荷強度の大きさに基づいて通信可能な通信部を判断する。他の例において、通信IF選択部840は、複数の通信部に対して予め設定された利用優先順位等のポリシーに基づいて、複数の通信部から1つの通信部を選択してもよい。そして、通信IF選択部840は、選択した通信部を識別する情報を変換テーブル記憶部8640に供給する。   The communication IF selection unit 840 selects a communicable communication unit among the plurality of communication units based on information supplied from the plurality of communication units. For example, the communication IF selection unit 840 receives information indicating the radio wave intensity including information for identifying a communication method issued by the communication relay device from a plurality of communication units, and enables communication based on the magnitude of the charge intensity. Judge the part. In another example, the communication IF selection unit 840 may select one communication unit from the plurality of communication units based on a policy such as a usage priority set in advance for the plurality of communication units. Then, the communication IF selection unit 840 supplies information for identifying the selected communication unit to the conversion table storage unit 8640.

アドレス取得部850は、通信中継装置によって通信端末10に対して動的に割り当てられる実アドレスを取得する。すなわち、アドレス取得部850は、通信IF選択部840が選択した通信部に割り当てられた実アドレスを取得する。実アドレスは、例えば、通信中継装置が管理しているプライベートIPアドレスまたはグローバルIPアドレスであり、以下において、実IPアドレスと称する。そして、アドレス取得部850は、取得した実IPアドレスを変換テーブル記憶部8640に供給する。   The address acquisition unit 850 acquires a real address that is dynamically assigned to the communication terminal 10 by the communication relay device. That is, the address acquisition unit 850 acquires the real address assigned to the communication unit selected by the communication IF selection unit 840. The real address is, for example, a private IP address or a global IP address managed by the communication relay device, and is hereinafter referred to as a real IP address. Then, the address acquisition unit 850 supplies the acquired real IP address to the conversion table storage unit 8640.

変換テーブル記憶部8640は、通信IF選択部840が選択した通信部を識別する情報、およびアドレス取得部850が取得した実IPアドレスを記憶する。そして、変換テーブル記憶部8640は、記憶している実IPアドレスをデータ形式変換部8600および(デ)カプセル化部8610に通知する。   The conversion table storage unit 8640 stores information for identifying the communication unit selected by the communication IF selection unit 840 and the real IP address acquired by the address acquisition unit 850. Then, the conversion table storage unit 8640 notifies the stored real IP address to the data format conversion unit 8600 and the (de) encapsulation unit 8610.

一般アプリケーション部800は、所定の目的の処理を実行する。具体的には、一般アプリケーション部800は、データ処理を実行するアプリケーションプログラムに所定の目的のデータ処理を実行させる。アプリケーションプログラムは、例えば、Webブラウザプログラム、電子メール送受信プログラム、およびマルチメディアデータの送受信プログラム等であってよい。一般アプリケーション部800は、アプリケーションプログラムが処理したデータであって、通信端末12またはプロキシサーバ20に送信すべき通信データを、仮想インターフェース部810に供給する。   The general application unit 800 executes processing for a predetermined purpose. Specifically, the general application unit 800 causes an application program that executes data processing to execute predetermined data processing. The application program may be, for example, a Web browser program, an e-mail transmission / reception program, and a multimedia data transmission / reception program. The general application unit 800 supplies the virtual interface unit 810 with data processed by the application program and to be transmitted to the communication terminal 12 or the proxy server 20.

係る場合において、一般アプリケーション部800は、仮想インターフェース部810を一意に識別する識別番号を通信データに付加して仮想インターフェース部810に供給する。識別番号は、例えば、仮想インターフェース部810に割り当てられた仮想アドレスである。仮想アドレスは、シグナリング制御部8605の起動段階においてSIPサーバ22によって動的または静的に割り当てられる。仮想アドレスは、例えば、IPアドレスの構成を有しており、以下において、仮想IPアドレスと称する。なお、仮想IPアドレスは、一般アプリケーション部800に対して固定的に設定されてよい。   In such a case, the general application unit 800 adds an identification number uniquely identifying the virtual interface unit 810 to the communication data and supplies the communication data to the virtual interface unit 810. The identification number is a virtual address assigned to the virtual interface unit 810, for example. The virtual address is dynamically or statically assigned by the SIP server 22 at the activation stage of the signaling control unit 8605. The virtual address has an IP address configuration, for example, and is hereinafter referred to as a virtual IP address. The virtual IP address may be fixedly set for the general application unit 800.

リアルタイムアプリケーション部805は、所定の目的の処理を実行する。具体的には、リアルタイムアプリケーション部805は、データ処理を実行するSIPアプリケーションプログラムに所定の目的のデータ処理を実行させる。例えば、SIPアプリケーションプログラムは、リアルタイムのマルチメディア通信を提供するIP電話等のアプリケーションプログラムであってよい。   The real-time application unit 805 executes a predetermined target process. Specifically, the real-time application unit 805 causes a SIP application program that executes data processing to execute predetermined data processing. For example, the SIP application program may be an application program such as an IP phone that provides real-time multimedia communication.

仮想インターフェース部810は、仮想IPアドレスが割り当てられており、通信端末12またはプロキシサーバ20に送信する通信データを一般アプリケーション部800から受け取る。仮想インターフェース部810は、受け取った通信データをデータ形式変換部8600に供給する。   The virtual interface unit 810 is assigned a virtual IP address and receives communication data to be transmitted to the communication terminal 12 or the proxy server 20 from the general application unit 800. The virtual interface unit 810 supplies the received communication data to the data format conversion unit 8600.

シグナリング制御部8605は、シグナリングメッセージを生成して、通信端末10のシグナリングを制御する。シグナリング制御部8605は、例えばSIPによるシグナリングを制御する。具体的には、シグナリング制御部8605は、アドレス取得部850が取得した実IPアドレスを用いて、SIPサーバ22とのセッションを確立する。より具体的には、シグナリング制御部8605は、第1セキュリティプロトコルに基づく第1シグナリング用セッションをSIPサーバ22との間に確立する。そして、第1シグナリング用セッションを確立した後、第2セキュリティプロトコルに基づく第2シグナリング用セッションをSIPサーバ22との間に確立する。   The signaling control unit 8605 generates a signaling message and controls signaling of the communication terminal 10. The signaling control unit 8605 controls signaling by SIP, for example. Specifically, the signaling control unit 8605 establishes a session with the SIP server 22 using the real IP address acquired by the address acquisition unit 850. More specifically, the signaling control unit 8605 establishes a first signaling session based on the first security protocol with the SIP server 22. Then, after establishing the first signaling session, a second signaling session based on the second security protocol is established with the SIP server 22.

シグナリング制御部8605は、まず、第1暗号化部8615を介してシグナリングメッセージをシグナリング送受信部8625に供給する。これにより、シグナリング制御部8605は、第1セキュリティプロトコルに基づく第1シグナリング用セッションを、SIPサーバ22との間に確立する。このとき、シグナリング制御部8605は、第1セキュリティプロトコルを用いて、通信端末10とSIPサーバ22との間の相互の認証を得ることによって、第1シグナリング用セッションを確立する。   The signaling control unit 8605 first supplies a signaling message to the signaling transmission / reception unit 8625 via the first encryption unit 8615. Accordingly, the signaling control unit 8605 establishes a first signaling session based on the first security protocol with the SIP server 22. At this time, the signaling control unit 8605 establishes a first signaling session by obtaining mutual authentication between the communication terminal 10 and the SIP server 22 using the first security protocol.

シグナリング制御部8605は、第1シグナリング用セッションが確立すると、第1暗号化部8615を介してシグナリングメッセージをシグナリング送受信部8625に供給して、第1シグナリング用セッションを介してSIPサーバ22とやりとりする。これにより、シグナリング制御部8605は、第2セキュリティプロトコルに基づく第2シグナリング用セッションを、SIPサーバ22との間に確立する。このとき、シグナリング制御部8605は、第1シグナリング用セッションを確立する場合に第1セキュリティプロトコルを用いて得られた認証の結果を使って、第2シグナリング用セッションを確立する。   When the first signaling session is established, the signaling control unit 8605 supplies a signaling message to the signaling transmission / reception unit 8625 via the first encryption unit 8615 and exchanges with the SIP server 22 via the first signaling session. . Accordingly, the signaling control unit 8605 establishes a second signaling session based on the second security protocol with the SIP server 22. At this time, the signaling control unit 8605 establishes the second signaling session using the authentication result obtained by using the first security protocol when establishing the first signaling session.

シグナリング制御部8605は、第2シグナリング用セッションが確立された後は、データ形式変換部8600および第2暗号化部8620を介して、シグナリングメッセージをシグナリング送受信部8625に供給して、第2シグナリング用セッションを介してSIPサーバ22とやりとりする。なお、シグナリング制御部8605は、通信端末10への電源投入、通信モジュール14の起動または再起動、通信端末10のHO(Handover)、通話中のコーデック変更、定期的なSIP登録更新等の様々な動作を契機として、シグナリングメッセージを生成して位置登録等のシグナリングを処理する。   After the second signaling session is established, the signaling control unit 8605 supplies the signaling message to the signaling transmission / reception unit 8625 via the data format conversion unit 8600 and the second encryption unit 8620, and the second signaling session Exchanges with the SIP server 22 via the session. The signaling control unit 8605 performs various operations such as turning on the power to the communication terminal 10, starting or restarting the communication module 14, HO (Handover) of the communication terminal 10, changing the codec during a call, and periodically updating the SIP registration. In response to the operation, a signaling message is generated to process signaling such as location registration.

第1暗号化部8615は、シグナリング制御部8605がSIPサーバ22に対してシグナリングすべく生成したシグナリングメッセージを、通信のセキュリティを確保する第1セキュリティプロトコルを用いて暗号化する。具体的には、第1暗号化部8615は、コネクション型の通信プロトコルとともに利用可能な第1セキュリティプロトコルを用いて暗号化する。より具体的には、第1暗号化部8615は、OSI参照モデルにおけるトランスポート層(レイヤー4)で用いられるコネクション型の通信プロトコルとともに利用可能な第1セキュリティプロトコルを用いて暗号化する。第1セキュリティプロトコルは、公開鍵暗号または秘密鍵暗号、デジタル証明書、およびハッシュ関数等のセキュリティ技術の少なくとも1つを用いて通信データの盗聴および改ざん等を防止するプロトコルであってよい。例えば、第1暗号化部8615は、シグナリングメッセージを、第1セキュリティプロトコルとしてTLSプロトコルを用いて暗号化する。   The first encryption unit 8615 encrypts the signaling message generated by the signaling control unit 8605 for signaling to the SIP server 22 using a first security protocol that ensures communication security. Specifically, the first encryption unit 8615 performs encryption using a first security protocol that can be used together with a connection-type communication protocol. More specifically, the first encryption unit 8615 performs encryption using the first security protocol that can be used together with the connection-type communication protocol used in the transport layer (layer 4) in the OSI reference model. The first security protocol may be a protocol that prevents tapping and tampering of communication data using at least one of security techniques such as public key encryption or private key encryption, digital certificate, and hash function. For example, the first encryption unit 8615 encrypts the signaling message using the TLS protocol as the first security protocol.

また、第1暗号化部8615は、SIPサーバ22から送信されたシグナリングメッセージを復号化してシグナリング制御部8605に供給する。この場合、第1暗号化部8615は、シグナリングメッセージを直接シグナリング送受信部8625から受け取る。   The first encryption unit 8615 decrypts the signaling message transmitted from the SIP server 22 and supplies the decrypted signaling message to the signaling control unit 8605. In this case, the first encryption unit 8615 receives the signaling message directly from the signaling transmission / reception unit 8625.

データ形式変換部8600は、シグナリング制御部8605が生成したシグナリングメッセージを、第2セキュリティプロトコルに基づいて暗号化できるデータ形式に変換する。具体的には、データ形式変換部8600は、RTPヘッダを付加することによって、シグナリング制御部8605が生成したシグナリングメッセージを、SRTPに基づいて暗号化できるRTPのデータ形式に変換する。そして、データ形式変換部8600は、データ形式を変換したシグナリングメッセージを、第2暗号化部8620に供給する。   The data format conversion unit 8600 converts the signaling message generated by the signaling control unit 8605 into a data format that can be encrypted based on the second security protocol. Specifically, the data format conversion unit 8600 converts the signaling message generated by the signaling control unit 8605 into an RTP data format that can be encrypted based on SRTP by adding an RTP header. Then, the data format conversion unit 8600 supplies the second encryption unit 8620 with the signaling message whose data format has been converted.

また、データ形式変換部8600は、通信端末12またはプロキシサーバ20に送信する通信データを、SRTPを用いて暗号化できるデータ形式に変換する。データ形式変換部8600は、通信データのデータ構成およびヘッダの形式を変換することにより、SRTPを用いて暗号化できるデータ形式に変換する。データ形式変換部8600は、通信データがRTPのパケットである場合には、データ形式の変換を実行せず、通信データがRTP以外のパケットである場合には、RTPヘッダを付加することにより、RTPのパケットへのデータ形式の変換を実行する。そして、データ形式変換部8600は、データ形式を変換した後の通信データを第2暗号化部8620に供給する。   The data format conversion unit 8600 converts communication data transmitted to the communication terminal 12 or the proxy server 20 into a data format that can be encrypted using SRTP. The data format conversion unit 8600 converts the data configuration of the communication data and the format of the header into a data format that can be encrypted using SRTP. The data format conversion unit 8600 does not perform data format conversion when the communication data is an RTP packet, and adds an RTP header when the communication data is a packet other than RTP, thereby adding an RTP header. Perform data format conversion to packet. Then, the data format conversion unit 8600 supplies the communication data after the data format conversion to the second encryption unit 8620.

また、データ形式変換部8600は、通信端末12またはプロキシサーバ20から送信された通信データのデータ形式を逆変換する。例えば、データ形式変換部8600は、通信データからRTPヘッダを外し、通信データをTCP/UDPパケットに変換する。そして、データ形式変換部8600は、データ形式を逆変換した後の通信データを仮想インターフェース部810に供給する。   The data format conversion unit 8600 reversely converts the data format of communication data transmitted from the communication terminal 12 or the proxy server 20. For example, the data format conversion unit 8600 removes the RTP header from the communication data and converts the communication data into a TCP / UDP packet. Then, the data format conversion unit 8600 supplies the communication data after the reverse conversion of the data format to the virtual interface unit 810.

(デ)カプセル化部8610は、第2暗号化部8620から受け取った通信データに、予め定められた付加情報を付加することによりカプセル化する。具体的には、(デ)カプセル化部8610は、仮想インターフェース部810から供給される、仮想IPアドレスが送信元アドレスとして付加された通信データに、アドレス取得部850が取得して変換テーブル記憶部8640に記憶されている実IPアドレスを送信元アドレスとして付加してカプセル化する。そして、(デ)カプセル化部8610は、カプセル化した通信データを、データ送受信部8645に供給する。   The (de) encapsulation unit 8610 encapsulates the communication data received from the second encryption unit 8620 by adding predetermined additional information. Specifically, the (de) encapsulation unit 8610 acquires the communication data supplied from the virtual interface unit 810 with the virtual IP address added as the transmission source address, and the address acquisition unit 850 acquires the conversion table storage unit. The real IP address stored in 8640 is added as a source address and encapsulated. The (de) encapsulation unit 8610 supplies the encapsulated communication data to the data transmission / reception unit 8645.

また、(デ)カプセル化部8610は、通信端末12またはプロキシサーバ20から送信された、カプセル化された通信データを受け取る。そして、(デ)カプセル化部8610は、受け取った通信データをデカプセル化して第2暗号化部8620に供給する。例えば、(デ)カプセル化部8610は、UDPカプセリングされた通信データからUDPヘッダを外し、RTPパケットに変換する。そして、(デ)カプセル化部8610は、デカプセル化された後の通信データを第2暗号化部8620に供給する。   The (de) encapsulation unit 8610 receives the encapsulated communication data transmitted from the communication terminal 12 or the proxy server 20. Then, the (de) encapsulation unit 8610 decapsulates the received communication data and supplies it to the second encryption unit 8620. For example, the (de) encapsulation unit 8610 removes the UDP header from the UDP-encapsulated communication data and converts it into an RTP packet. Then, the (de) encapsulation unit 8610 supplies the communication data after the decapsulation to the second encryption unit 8620.

第2暗号化部8620は、データ形式変換部8600によってデータ形式が変換されたシグナリングメッセージまたは通信データを、第1セキュリティプロトコルとは異なる第2セキュリティプロトコルに基づいて暗号化する。具体的には、第2暗号化部8620は、コネクションレス型の通信プロトコルとともに利用可能な第2セキュリティプロトコルを用いて暗号化する。例えば、第2暗号化部8620は、シグナリングメッセージまたは通信データを、第2セキュリティプロトコルとしてSRTPを用いて暗号化する。   The second encryption unit 8620 encrypts the signaling message or communication data whose data format has been converted by the data format conversion unit 8600 based on a second security protocol different from the first security protocol. Specifically, the second encryption unit 8620 performs encryption using a second security protocol that can be used together with a connectionless communication protocol. For example, the second encryption unit 8620 encrypts the signaling message or communication data using SRTP as the second security protocol.

そして、第2暗号化部8620は、暗号化したシグナリングメッセージを、シグナリング送受信部8625に供給する。また、第2暗号化部8620は、暗号化した通信データを、(デ)カプセル化部8610に供給する。また、第2暗号化部8620は、SIPサーバ22から送信されたシグナリングメッセージを復号化して、データ形式変換部8600に供給する。第2暗号化部8620は、通信端末12またはプロキシサーバ20から送信され(デ)カプセル化部8610によってデカプセル化された通信データを復号化して、データ形式変換部8600に供給する。例えば、第2暗号化部8620は、SRTPセッションの鍵情報を用いて、(デ)カプセル化部8610がRTPパケットに変換した通信データを復号化する。   Then, the second encryption unit 8620 supplies the encrypted signaling message to the signaling transmission / reception unit 8625. The second encryption unit 8620 supplies the encrypted communication data to the (de) encapsulation unit 8610. The second encryption unit 8620 decrypts the signaling message transmitted from the SIP server 22 and supplies the decrypted signaling message to the data format conversion unit 8600. The second encryption unit 8620 decrypts the communication data transmitted from the communication terminal 12 or the proxy server 20 and decapsulated by the (de) encapsulation unit 8610, and supplies the decrypted communication data to the data format conversion unit 8600. For example, the second encryption unit 8620 decrypts the communication data converted into the RTP packet by the (de) encapsulation unit 8610 using the key information of the SRTP session.

シグナリング送受信部8625は、第1シグナリング用セッションを確立する場合、シグナリング制御部8605が生成して第1暗号化部8615が暗号化したシグナリングメッセージを、SIPサーバ22に送信する。また、シグナリング送受信部8625は、第2シグナリング用セッションを確立する場合、シグナリング制御部8605が生成して第1暗号化部8615が暗号化したシグナリングメッセージを、第1シグナリング用セッションを介してSIPサーバ22に送信する。このとき、シグナリング送受信部8625は、コネクション型の通信プロトコルを用いてシグナリングメッセージを送信する。具体的には、シグナリング送受信部8625は、第1暗号化部8615から供給されたシグナリングメッセージを、通信IF選択部840が選択した通信部に通信制御ユニット830を介して供給してTCPを用いて送信させる。   When establishing the first signaling session, the signaling transmission / reception unit 8625 transmits the signaling message generated by the signaling control unit 8605 and encrypted by the first encryption unit 8615 to the SIP server 22. Further, when establishing the second signaling session, the signaling transmission / reception unit 8625 generates a signaling message generated by the signaling control unit 8605 and encrypted by the first encryption unit 8615 via the first signaling session. 22 to send. At this time, the signaling transmission / reception unit 8625 transmits a signaling message using a connection-type communication protocol. Specifically, the signaling transmission / reception unit 8625 supplies the signaling message supplied from the first encryption unit 8615 to the communication unit selected by the communication IF selection unit 840 via the communication control unit 830 and uses TCP. Send it.

シグナリング送受信部8625は、第2シグナリング用セッションが確立された後、第2暗号化部8620が暗号化したシグナリングメッセージを、第2シグナリング用セッションを介してSIPサーバ22に送信する。このとき、シグナリング送受信部8625は、コネクションレス型の通信プロトコルを用いてシグナリングメッセージを送信する。具体的には、シグナリング送受信部8625は、第2暗号化部8620から供給されたシグナリングメッセージを、通信IF選択部840が選択した通信部に通信制御ユニット830を介して供給してUDPを用いて送信させる。   After the second signaling session is established, the signaling transmission / reception unit 8625 transmits the signaling message encrypted by the second encryption unit 8620 to the SIP server 22 via the second signaling session. At this time, the signaling transmission / reception unit 8625 transmits a signaling message using a connectionless communication protocol. Specifically, the signaling transmission / reception unit 8625 supplies the signaling message supplied from the second encryption unit 8620 to the communication unit selected by the communication IF selection unit 840 via the communication control unit 830 and uses UDP. Send it.

通信端末10が、第1通信部822が通信可能な第1エリアから第2通信部824が通信可能な第2エリアに移動する場合に、シグナリング送受信部8625は、第2エリアにおいて第2通信方式で確立される第3シグナリング用セッションであるSRTPセッションを確立するためのシグナリングメッセージを、第1エリアにおいて第1通信方式で確立された第2シグナリング用セッションを介して、第1通信方式の通信中継装置経由でSIPサーバ22に送信する。つまり、第2通信部824に通信中継装置から実IPアドレスが割り当てられると、通信IF選択部840が第2通信部824を選択する以前に、第2通信方式によるSRTPセッションを予め確立する。これにより、通信IF選択部840によって、第1通信部822から第2通信部824に切り換えられた場合に、即座に第2通信方式によるシグナリングが可能となり、シグナリングに遅延を生じさせることがない。   When the communication terminal 10 moves from the first area where the first communication unit 822 can communicate to the second area where the second communication unit 824 can communicate, the signaling transmission / reception unit 8625 uses the second communication method in the second area. The communication message for establishing the SRTP session, which is the third signaling session established in step S1, is transmitted to the first communication method via the second signaling session established in the first communication method in the first area. It transmits to the SIP server 22 via the device. That is, when a real IP address is assigned to the second communication unit 824 from the communication relay device, an SRTP session by the second communication method is established in advance before the communication IF selection unit 840 selects the second communication unit 824. As a result, when the communication IF selection unit 840 switches from the first communication unit 822 to the second communication unit 824, signaling by the second communication method is immediately possible, and there is no delay in the signaling.

同様に、通信端末10が、第1通信部822が通信可能な第1エリアから第2通信部824が通信可能な第2エリアに移動する場合に、シグナリング送受信部8625は、第2エリアにおいて第2通信方式で確立される第2通信データ用セッションを確立するためのシグナリングメッセージを、第1エリアにおいて第1通信方式で確立された第2シグナリング用セッションを介して、第1通信方式の通信中継装置経由でSIPサーバ22に送信する。つまり、第2通信部824に通信中継装置から実IPアドレスが割り当てられると、通信IF選択部840が第2通信部824を選択する以前に、第2通信方式によるSRTPセッションを予め確立する。これにより、通信IF選択部840によって、第1通信部822から第2通信部824に切り換えられた場合に、即座に第2通信方式によるデータ通信が可能となり、データ通信に遅延を生じさせることがない。   Similarly, when the communication terminal 10 moves from the first area in which the first communication unit 822 can communicate to the second area in which the second communication unit 824 can communicate, the signaling transmission / reception unit 8625 has the second area in the second area. A communication message for establishing a second communication data session established by the second communication method via the second signaling session established by the first communication method in the first area. It transmits to the SIP server 22 via the device. That is, when a real IP address is assigned to the second communication unit 824 from the communication relay device, an SRTP session by the second communication method is established in advance before the communication IF selection unit 840 selects the second communication unit 824. As a result, when the communication IF selection unit 840 switches from the first communication unit 822 to the second communication unit 824, data communication by the second communication method can be immediately performed, causing a delay in data communication. Absent.

また、シグナリング送受信部8625は、SIPサーバ22から送信されたシグナリングメッセージをシグナリング制御部8605に供給する。この場合も、シグナリング送受信部8625は、第1シグナリング用セッションおよび第2シグナリング用セッションを確立する場合、シグナリングメッセージを第1暗号化部8615に供給する。一方で、シグナリング送受信部8625は、第2シグナリング用セッションが確立された後において、シグナリングメッセージを、第2暗号化部8620およびデータ形式変換部8600を介してシグナリング制御部8605に供給する。   Further, the signaling transmission / reception unit 8625 supplies the signaling message transmitted from the SIP server 22 to the signaling control unit 8605. Also in this case, the signaling transmission / reception unit 8625 supplies a signaling message to the first encryption unit 8615 when establishing the first signaling session and the second signaling session. On the other hand, the signaling transmission / reception unit 8625 supplies the signaling message to the signaling control unit 8605 via the second encryption unit 8620 and the data format conversion unit 8600 after the second signaling session is established.

また、シグナリング送受信部8625は、一般アプリケーション部800およびリアルタイムアプリケーション部805が生成した通信データを通信端末10に送信するために用いる通信データ用セッションを確立するためのシグナリングメッセージを、第2シグナリング用セッションを介してSIPサーバ22に送信する。   Further, the signaling transmission / reception unit 8625 transmits a signaling message for establishing a communication data session used for transmitting the communication data generated by the general application unit 800 and the real-time application unit 805 to the communication terminal 10, as a second signaling session. To the SIP server 22 via

データ送受信部8645は、通信端末12またはプロキシサーバ20に送信すべき通信データを、通信IF選択部840が選択した通信部に通信制御ユニット830を介して供給して通信端末12またはプロキシサーバ20に送信する。具体的には、データ送受信部8645は、第2暗号化部8620が暗号化した通信データを、コネクションレス型の通信プロトコルを用いて送信する。例えば、データ送受信部8645は、第2暗号化部8620がSPTPによって暗号化した通信データを、UDPを用いて送信する。また、データ送受信部8645は、通信端末12またはプロキシサーバ20から受信するデータを、通信IF選択部840が選択した通信部から通信制御ユニット830を介して受け取り、(デ)カプセル化部8610に供給する。   The data transmission / reception unit 8645 supplies communication data to be transmitted to the communication terminal 12 or the proxy server 20 to the communication unit selected by the communication IF selection unit 840 via the communication control unit 830, and transmits the communication data to the communication terminal 12 or the proxy server 20. Send. Specifically, the data transmission / reception unit 8645 transmits the communication data encrypted by the second encryption unit 8620 using a connectionless communication protocol. For example, the data transmission / reception unit 8645 transmits the communication data encrypted by the second encryption unit 8620 using SPTP using UDP. Further, the data transmission / reception unit 8645 receives data received from the communication terminal 12 or the proxy server 20 from the communication unit selected by the communication IF selection unit 840 via the communication control unit 830 and supplies the received data to the (de) encapsulation unit 8610. To do.

暗号化条件格納部8650は、第2暗号化部8620に暗号化させるか否かを決定するための、予め定められた条件を格納する。暗号化条件格納部8650は、ユーザによって個別に設定された条件を格納してもよい。   The encryption condition storage unit 8650 stores a predetermined condition for determining whether or not the second encryption unit 8620 performs encryption. The encryption condition storage unit 8650 may store conditions individually set by the user.

暗号化条件判断部8655は、前記第2暗号化部8620が受け取った通信データを送信する条件が、暗号化条件格納部8650が格納している予め定められた条件に合致するか否かを判断する。   The encryption condition determination unit 8655 determines whether or not the condition for transmitting the communication data received by the second encryption unit 8620 matches a predetermined condition stored in the encryption condition storage unit 8650. To do.

データ形式変換部8600は、暗号化条件判断部8655によって予め定められた条件に合致しないと判断された通信データのデータ形式を変換しない。そして、第2暗号化部8620は、当該通信データを暗号化しない。一方で、データ形式変換部8600は、暗号化条件判断部8655によって予め定められた条件に合致すると判断された通信データを、SRTPを用いて暗号化できるデータ形式に変換する。そして、第2暗号化部8620は、当該通信データを暗号化する。   The data format conversion unit 8600 does not convert the data format of the communication data determined by the encryption condition determination unit 8655 not to meet the predetermined condition. Then, the second encryption unit 8620 does not encrypt the communication data. On the other hand, the data format conversion unit 8600 converts the communication data determined by the encryption condition determination unit 8655 to meet a predetermined condition into a data format that can be encrypted using SRTP. Then, the second encryption unit 8620 encrypts the communication data.

暗号化条件格納部8650は、予め定められた条件として、アプリケーションの種類を格納する。暗号化条件判断部8655は、第2暗号化部8620が受け取った通信データを解析することにより、当該通信データを生成したアプリケーションの種類を判断する。そして、暗号化条件判断部8655は、当該通信データを生成したアプリケーションの種類が、暗号化条件格納部8650が格納しているアプリケーションの種類に合致する否かを判断する。   The encryption condition storage unit 8650 stores the type of application as a predetermined condition. The encryption condition determination unit 8655 analyzes the communication data received by the second encryption unit 8620 to determine the type of application that generated the communication data. Then, the encryption condition determination unit 8655 determines whether or not the type of application that generated the communication data matches the type of application stored in the encryption condition storage unit 8650.

当該通信データを生成したアプリケーションの種類が、暗号化条件格納部8650に格納されていない場合、データ形式変換部8600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部8620は、当該通信データを暗号化せずに、データ送受信部8645に供給する。一方で、当該通信データを生成したアプリケーションの種類が、暗号化条件格納部8650に格納されている場合、データ形式変換部8600は、当該通信データのデータ形式を変換する。そして、第2暗号化部8620は、当該通信データを暗号化して、データ送受信部8645に供給する。   If the type of application that generated the communication data is not stored in the encryption condition storage unit 8650, the data format conversion unit 8600 does not convert the data format of the communication data. Then, the second encryption unit 8620 supplies the communication data to the data transmission / reception unit 8645 without encryption. On the other hand, when the type of application that generated the communication data is stored in the encryption condition storage unit 8650, the data format conversion unit 8600 converts the data format of the communication data. Then, the second encryption unit 8620 encrypts the communication data and supplies it to the data transmission / reception unit 8645.

暗号化条件格納部8650は、例えば、HTTPS、SSH等のアプリケーションの種類を格納する。これにより、上位レイヤにおいて既に暗号化が施されている通信データに対してさらに暗号化を施すことを防ぐことができる。   The encryption condition storage unit 8650 stores application types such as HTTPS and SSH, for example. This can prevent further encryption of communication data that has already been encrypted in the upper layer.

また、暗号化条件格納部8650は、予め定められた条件として、通信データに適用されるプロトコルを格納してもよい。暗号化条件判断部8655は、第2暗号化部8620が受け取った通信データを解析すること、またはデータ送受信部8645による適用されるプロトコルを調べることにより、当該通信データに適用されるプロトコルを判断する。そして、暗号化条件判断部8655は、当該通信データに適用されるプロトコルが、暗号化条件格納部8650が格納しているプロトコルに合致する否かを判断する。   Further, the encryption condition storage unit 8650 may store a protocol applied to communication data as a predetermined condition. The encryption condition determination unit 8655 determines the protocol applied to the communication data by analyzing the communication data received by the second encryption unit 8620 or examining the protocol applied by the data transmission / reception unit 8645. . Then, the encryption condition determination unit 8655 determines whether or not the protocol applied to the communication data matches the protocol stored in the encryption condition storage unit 8650.

当該通信データに適用されるプロトコルが、暗号化条件格納部8650に格納されていない場合、データ形式変換部8600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部8620は、当該通信データを暗号化せずに、データ送受信部8645に供給する。一方で、当該通信データに適用されるプロトコルが、暗号化条件格納部8650に格納されている場合、データ形式変換部8600は、当該通信データのデータ形式を変換する。そして、第2暗号化部8620は、当該通信データを暗号化して、データ送受信部8645に供給する。   When the protocol applied to the communication data is not stored in the encryption condition storage unit 8650, the data format conversion unit 8600 does not convert the data format of the communication data. Then, the second encryption unit 8620 supplies the communication data to the data transmission / reception unit 8645 without encryption. On the other hand, when the protocol applied to the communication data is stored in the encryption condition storage unit 8650, the data format conversion unit 8600 converts the data format of the communication data. Then, the second encryption unit 8620 encrypts the communication data and supplies it to the data transmission / reception unit 8645.

暗号化条件格納部8650は、例えば、UDP、IGMP等のプロトコルを格納する。これにより、通信データの転送効率を向上させるために特定のプロトコルの適用される場合に、暗号化処理によって転送効率を低減させることを防ぐことができる。   The encryption condition storage unit 8650 stores protocols such as UDP and IGMP, for example. Thereby, when a specific protocol is applied in order to improve the transfer efficiency of communication data, it is possible to prevent the transfer efficiency from being reduced by the encryption process.

また、暗号化条件格納部8650は、予め定められた条件として、通信方式の種類を格納してもよい。暗号化条件判断部8655は、通信IF選択部840が選択した通信部の通信方式の種類から、当該通信データが送信される場合の通信方式の種類を判断する。そして、暗号化条件判断部8655は、当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部8650が格納している通信方式の種類に合致する否かを判断する。   The encryption condition storage unit 8650 may store the type of communication method as a predetermined condition. The encryption condition determination unit 8655 determines the type of communication method when the communication data is transmitted from the type of communication method of the communication unit selected by the communication IF selection unit 840. Then, the encryption condition determining unit 8655 determines whether or not the type of communication method when the communication data is transmitted matches the type of communication method stored in the encryption condition storage unit 8650.

当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部8650に格納されていない場合、データ形式変換部8600は、当該通信データのデータ形式を変換しない。そして、第2暗号化部8620は、当該通信データを暗号化せずに、データ送受信部8645に供給する。一方で、当該通信データが送信される場合の通信方式の種類が、暗号化条件格納部8650に格納されている場合、第2暗号化部8620は、当該通信データを暗号化して、データ送受信部8645に供給する。   If the type of communication method for transmitting the communication data is not stored in the encryption condition storage unit 8650, the data format conversion unit 8600 does not convert the data format of the communication data. Then, the second encryption unit 8620 supplies the communication data to the data transmission / reception unit 8645 without encryption. On the other hand, when the type of the communication method when the communication data is transmitted is stored in the encryption condition storage unit 8650, the second encryption unit 8620 encrypts the communication data and transmits the data transmission / reception unit. 8645.

暗号化条件格納部8650は、例えば、WiFi方式等の通信方式を格納する。これにより、セキュリティレベルが比較的低い場合が多いWiFi方式で通信データが送信される場合には、暗号化処理を実行させ、セキュリティレベルが比較的高い場合が多いセルラー方式で通信データが送信される場合には、暗号化処理を実行させないことができる。したがって、セキュリティレベルが高い通信方式で送信される通信データに対して、過剰に暗号化を施すことを防ぐことができる。   The encryption condition storage unit 8650 stores a communication method such as a WiFi method, for example. As a result, when communication data is transmitted using the WiFi method, which often has a relatively low security level, encryption processing is executed, and the communication data is transmitted using the cellular method, which often has a relatively high security level. In this case, the encryption process can not be executed. Therefore, excessive encryption can be prevented for communication data transmitted by a communication method with a high security level.

本実施形態に係る通信端末10によれば、SIPサーバ22とのシグナリングを実行する場合に、SIPサーバ22に送信するシグナリングメッセージのセキュリティを、SRTPを用いて確保できる。また、通信端末がデータ通信を実行する場合に、通信端末12またはプロキシサーバ20に送信する通信データのセキュリティを、SRTPを用いて確保できる。これにより、通信端末10は、通信端末12、プロキシサーバ20、およびSIPサーバ22との通信接続が途切れることなく通信を継続することができるだけでなく、シグナリングメッセージおよび通信データのセキュリティを確実に確保できる。さらに、第2暗号化部1620による暗号化処理を、必要な場合だけ適用することで、暗号化処理の処理量、および通信トラフィックを低減させることができる。   According to the communication terminal 10 according to the present embodiment, when signaling with the SIP server 22 is executed, the security of the signaling message transmitted to the SIP server 22 can be secured using SRTP. Moreover, when a communication terminal performs data communication, the security of the communication data transmitted to the communication terminal 12 or the proxy server 20 can be ensured using SRTP. Thereby, the communication terminal 10 can not only continue the communication without disconnecting the communication connection with the communication terminal 12, the proxy server 20, and the SIP server 22, but also can ensure the security of the signaling message and the communication data. . Furthermore, the amount of encryption processing and the communication traffic can be reduced by applying the encryption processing by the second encryption unit 1620 only when necessary.

図9は、本実施形態の第2の例に係る通信端末10のモジュール構成の一例を示す。なお、一般クライアントアプリケーションモジュール900は、例えば、Webブラウザ等のアプリケーションであり、図8の上記説明における一般アプリケーション部800の一例である。Mobile SIP APsモジュール905は、図8の上記説明におけるリアルタイムアプリケーション部805の一例であり、例えば、VoIPアプリケーションである。また、Virtual IFモジュール910は、図8の上記説明における仮想インターフェース部810の一例である。また、複数の通信IFモジュールを有する通信インターフェースユニット920および複数のNICは、図8の上記説明における通信ユニット820の一例である。   FIG. 9 shows an example of a module configuration of the communication terminal 10 according to the second example of the present embodiment. The general client application module 900 is an application such as a Web browser, for example, and is an example of the general application unit 800 in the above description of FIG. The Mobile SIP APs module 905 is an example of the real-time application unit 805 in the above description of FIG. 8, and is, for example, a VoIP application. The Virtual IF module 910 is an example of the virtual interface unit 810 in the above description of FIG. The communication interface unit 920 having a plurality of communication IF modules and the plurality of NICs are examples of the communication unit 820 in the above description of FIG.

シグナリング制御モジュール9605は、図8の上記説明におけるシグナリング制御部8605の一例である。また、IACモジュール9610は、図8の上記説明における通信IF選択部840およびアドレス取得部850の一例である。また、(デ)カプセル化モジュール9600は、図8の上記説明における(デ)カプセル化部8610および変換テーブル記憶部8640の一例である。   The signaling control module 9605 is an example of the signaling control unit 8605 in the above description of FIG. The IAC module 9610 is an example of the communication IF selection unit 840 and the address acquisition unit 850 in the above description of FIG. The (de) encapsulation module 9600 is an example of the (de) encapsulation unit 8610 and the conversion table storage unit 8640 in the above description of FIG.

RTPモジュール9615およびRTPモジュール9620は、図8の上記説明におけるデータ形式変換部8600の一例であり、RTPモジュール9615とRTPモジュール9620とは、物理的に1つのモジュールであってもよい。また、ポリシーコントロールモジュール9625は、図8の上記説明における暗号化条件格納部8650および暗号化条件判断部8655の一例である。   The RTP module 9615 and the RTP module 9620 are an example of the data format conversion unit 8600 in the above description of FIG. 8, and the RTP module 9615 and the RTP module 9620 may be physically one module. The policy control module 9625 is an example of the encryption condition storage unit 8650 and the encryption condition determination unit 8655 in the above description of FIG.

TLSモジュール958は、図8の上記説明における第1暗号化部8615の一例である。また、SRTPモジュール956は、図8の上記説明における第2暗号化部8620の一例である。また、UDPモジュール940は、図8の上記説明におけるシグナリング送受信部8625およびデータ送受信部8645の一例である。また、TCPモジュール942は、図8の上記説明におけるシグナリング送受信部8625の一例である。   The TLS module 958 is an example of the first encryption unit 8615 in the above description of FIG. The SRTP module 956 is an example of the second encryption unit 8620 in the above description of FIG. The UDP module 940 is an example of the signaling transmission / reception unit 8625 and the data transmission / reception unit 8645 in the above description of FIG. The TCP module 942 is an example of the signaling transmission / reception unit 8625 in the above description of FIG.

複数のネットワークインターフェースカード(NIC)は、それぞれに対応する通信方式を用いて通信端末12、プロキシサーバ20、およびSIPサーバ22と通信する。複数のNICはそれぞれに対応する通信IFモジュールに制御されて、通信データを送受信する。複数の通信IFモジュールは、それぞれに対応するNICを介して通信データを送受信する。   The plurality of network interface cards (NICs) communicate with the communication terminal 12, the proxy server 20, and the SIP server 22 using a communication method corresponding to each of them. The plurality of NICs are controlled by the corresponding communication IF modules to transmit and receive communication data. The plurality of communication IF modules transmit and receive communication data via the corresponding NICs.

例えば、通信IFモジュールa922はNICa932を介して通信データを送受信する。同様にして、通信IFモジュールb924はNICb934を介して、そして、通信IFモジュールn926はNICn936を介して通信データを送受信する。具体的には、NICa932は、無線LANインターフェースカードであってよく、NICb934は、携帯電話通信方式のインターフェースカードであってよい。そして、NICn936は、無線LAN通信方式および携帯電話通信方式を除く、他の通信方式のインターフェースカードであってよい。   For example, the communication IF module a922 transmits / receives communication data via the NICa932. Similarly, the communication IF module b924 transmits / receives communication data via the NICb934, and the communication IF module n926 transmits / receives communication data via the NICn936. Specifically, the NICa 932 may be a wireless LAN interface card, and the NICb 934 may be a mobile phone communication system interface card. The NICn 936 may be an interface card of another communication method excluding the wireless LAN communication method and the mobile phone communication method.

IACモジュール9610は、通信インターフェースユニット920が有する複数の通信IFモジュール(例えば、通信IFモジュールa922、通信IFモジュールb924、および通信IFモジュールn926等)のうち、いずれが利用可能かを判断して選択する。すなわち、IACモジュール9610は、通信中継装置と通信可能な通信IFモジュールがいずれであるかを判断して、通信可能な通信IFモジュールを選択する。IACモジュール9610が、通信可能な通信IFモジュールがいずれであるかを判断する方法は、図8の上記説明における通信IF選択部840と略同様であるので詳細な説明は省略する。   The IAC module 9610 determines and selects which of the plurality of communication IF modules (for example, the communication IF module a922, the communication IF module b924, the communication IF module n926, and the like) included in the communication interface unit 920 can be used. . That is, the IAC module 9610 determines which communication IF module can communicate with the communication relay device, and selects a communication IF module capable of communication. The method by which the IAC module 9610 determines which communication IF module is communicable is substantially the same as the communication IF selection unit 840 in the above description of FIG.

IACモジュール9610は、通信可能な通信IFモジュールを介して、通信中継装置が通信端末10に対して動的に割り当てたIPアドレスを取得する。そして、IACモジュール9610は、通信可能な通信IFモジュールを識別する情報と取得したIPアドレスとをシグナリング制御モジュール9605、(デ)カプセル化モジュール9600、RTPモジュール9615、RTPモジュール9620、およびMobile SIP APsモジュール905に通知する。   The IAC module 9610 acquires an IP address dynamically assigned to the communication terminal 10 by the communication relay device via a communication IF module capable of communication. The IAC module 9610 then transmits information for identifying a communication IF module capable of communication and the acquired IP address to the signaling control module 9605, the (de) encapsulation module 9600, the RTP module 9615, the RTP module 9620, and the Mobile SIP APs module. 905 is notified.

まず、シグナリング制御モジュール9605は、例えば通信端末10の起動時に、TLSを用いてSIPサーバ22に対してシグナリングする。すなわち、シグナリング制御モジュール9605は、シグナリング処理を実行するシグナリングメッセージをTLSモジュール958においてTLSを用いて暗号化させる。そして、シグナリング制御モジュール9605は、暗号化されたシグナリングメッセージをTCPモジュール942においてTCPで送信可能な形式にして、SIPサーバ22に送信させる。具体的には、シグナリング制御モジュール9605は、通信インターフェースユニット920が有する複数の通信IFモジュールのうち、通信中継装置と通信可能な通信IFモジュールを介して、TLSで暗号化されたシグナリングメッセージをSIPサーバ22に送信する。   First, the signaling control module 9605 performs signaling to the SIP server 22 using TLS when the communication terminal 10 is activated, for example. That is, the signaling control module 9605 causes the TLS module 958 to encrypt the signaling message for executing the signaling process using TLS. Then, the signaling control module 9605 causes the encrypted signaling message to be sent to the SIP server 22 in a format that can be sent by the TCP module 942 using TCP. Specifically, the signaling control module 9605 sends a TLS-encrypted signaling message to the SIP server via the communication IF module that can communicate with the communication relay device among the plurality of communication IF modules of the communication interface unit 920. 22 to send.

例えば、シグナリング制御モジュール9605は、通信端末10が起動されたことを契機として、SIPサーバ22との間に第1シグナリング用セッションであるTLSセッションを確立する。その後、シグナリング制御モジュール9605は、SIPサーバ22に、シグナリングメッセージとしてREGISTERリクエストメッセージを送信する。REGISTERリクエストメッセージは、シグナリング処理をするSIPサーバ22のSIP URI、登録を要求する通信端末10のSIP URI、および登録の有効期限を示す情報等を含む。そして、REGISTERリクエストメッセージを受信したSIPサーバ22は、通信端末10のシグナリング処理を実行する。SIPサーバ22は、シグナリング処理が完了した場合、シグナリングが完了したことを、例えば、200OKメッセージを返信することで通信端末10のシグナリング制御モジュール9605に通知する。   For example, the signaling control module 9605 establishes a TLS session, which is a first signaling session, with the SIP server 22 when the communication terminal 10 is activated. Thereafter, the signaling control module 9605 transmits a REGISTER request message as a signaling message to the SIP server 22. The REGISTER request message includes the SIP URI of the SIP server 22 that performs signaling processing, the SIP URI of the communication terminal 10 that requests registration, information indicating the registration expiration date, and the like. Then, the SIP server 22 that has received the REGISTER request message executes the signaling process of the communication terminal 10. When the signaling process is completed, the SIP server 22 notifies the signaling control module 9605 of the communication terminal 10 that the signaling is completed, for example, by returning a 200 OK message.

次に、シグナリング制御モジュール9605は、第2シグナリング用セッションであるSRTPセッションを確立するためのシグナリングメッセージを、TLSセッションを介してSIPサーバ22に送信する。このとき、シグナリング制御モジュール9605は、TLSセッションを確立する場合にSIPサーバ22との間で認証された認証結果をSIPサーバ22との間でやりとりすることで、再度SIPサーバ22との間で認証処理を実行することなく、SRTPセッションを確立する。   Next, the signaling control module 9605 transmits a signaling message for establishing an SRTP session, which is the second signaling session, to the SIP server 22 via the TLS session. At this time, when the TLS session is established, the signaling control module 9605 exchanges the authentication result authenticated with the SIP server 22 with the SIP server 22, thereby authenticating with the SIP server 22 again. An SRTP session is established without executing processing.

次に、通信中継装置との通信が可能な通信IFモジュールが変更した場合、すなわち、通信端末10が移動することによってハンドオーバ制御を要する場合について説明する。係る場合に、シグナリング制御モジュール9605は、通信端末10から見て通信端末12およびSIPサーバ22との通信が切断されていないように見せるべく、通信端末10のシグナリングを以下に示すべく実行する。   Next, a case where the communication IF module capable of communicating with the communication relay device is changed, that is, a case where handover control is required due to movement of the communication terminal 10 will be described. In such a case, the signaling control module 9605 executes the signaling of the communication terminal 10 as shown below so that the communication with the communication terminal 12 and the SIP server 22 is not disconnected when viewed from the communication terminal 10.

IACモジュール9610は、新たに通信可能となった通信IFモジュールが検出された場合に、通信中継装置が通信IFモジュールに割り当てたIPアドレスを取得する。そして、IACモジュール9610は、通信可能な通信IFモジュールを識別する情報と取得したIPアドレスとをシグナリング制御モジュール9605に通知する。   The IAC module 9610 acquires the IP address assigned to the communication IF module by the communication relay device when a communication IF module that is newly communicable is detected. Then, the IAC module 9610 notifies the signaling control module 9605 of information for identifying a communicable communication IF module and the acquired IP address.

シグナリング制御モジュール9605は、新たに通信可能となった通信IFモジュールを識別する情報が通知されると、通信端末10とSIPサーバ22との間に第3シグナリング用セッションであるSRTPセッションを確立すべく、シグナリングメッセージを生成する。シグナリング制御モジュール9605は、シグナリングメッセージをRTPモジュール9615に供給してRTPのデータ形式に変換させ、SRTPモジュール956にSRTPを用いて暗号化させる。そして、シグナリング制御モジュール9605は、既に確立されているSRTPセッションを介して、シグナリングメッセージをSIPサーバ22に送信することによって、新たなSRTPセッションをSIPサーバ22との間に確立する。   When the signaling control module 9605 is notified of information for identifying a communication IF module that is newly communicable, the signaling control module 9605 should establish an SRTP session, which is a third signaling session, between the communication terminal 10 and the SIP server 22. Generate a signaling message. The signaling control module 9605 supplies the signaling message to the RTP module 9615, converts it into the RTP data format, and causes the SRTP module 956 to encrypt it using SRTP. Then, the signaling control module 9605 establishes a new SRTP session with the SIP server 22 by transmitting a signaling message to the SIP server 22 via the already established SRTP session.

以上のように、通信端末10は、現在選択されている通信IFモジュールを介して確立されているシグナリング用のSRTPセッションを用いて、次に選択される通信IFモジュールからのシグナリング用のSRTPセッションを確立する。これにより、通信端末10がネットワーク間をハンドオーバする前に、移動先のネットワークで利用できるSRTPセッションを予め用意することができるので、モビリティ性を確保することができる。   As described above, the communication terminal 10 uses the SRTP session for signaling established through the currently selected communication IF module to perform the SRTP session for signaling from the next selected communication IF module. Establish. Thereby, before the communication terminal 10 hands over between networks, the SRTP session which can be utilized in a network of a movement destination can be prepared beforehand, Therefore Mobility can be ensured.

次に、一般クライアントアプリケーションモジュール900が通信端末12と所定の通信データの送受信を実行する場合を説明する。一般クライアントアプリケーションモジュール900は、通信端末12に送信すべき通信データを、TCP/UDPモジュール954においてTCPで送信可能な形式にして、Virtual IFモジュールに供給する。   Next, a case where the general client application module 900 executes transmission / reception of predetermined communication data with the communication terminal 12 will be described. The general client application module 900 converts the communication data to be transmitted to the communication terminal 12 into a format that can be transmitted by TCP in the TCP / UDP module 954 and supplies it to the Virtual IF module.

係る場合において、一般クライアントアプリケーションモジュール900は、TLSセッションの確立時にVirtual IFモジュール910に割り当てられた仮想IPアドレスを通信データに付加する。そして、一般クライアントアプリケーションモジュール900は、仮想IPアドレスを付加した通信アドレスをVirtual IFモジュール910に供給する。これにより、一般クライアントアプリケーションモジュール900は、通信端末10に割り当てられる実IPアドレスが変更された場合でも、実IPアドレスの変更の影響を受けることなく、通信端末12とのTCPセッションを継続できる。   In such a case, the general client application module 900 adds the virtual IP address assigned to the virtual IF module 910 to the communication data when the TLS session is established. Then, the general client application module 900 supplies the communication address with the virtual IP address added to the Virtual IF module 910. Thereby, even when the real IP address assigned to the communication terminal 10 is changed, the general client application module 900 can continue the TCP session with the communication terminal 12 without being affected by the change of the real IP address.

Virtual IFモジュール910は、一般クライアントアプリケーションモジュール900から受け取った通信データを、(デ)カプセル化モジュール9600に供給する。(デ)カプセル化モジュール9600は、Virtual IFモジュール910から受け取った通信データをカプセル化する。具体的には、(デ)カプセル化モジュール9600は、RTPモジュール9620、SRTPモジュール956、およびUDPモジュール940を制御して、受け取った通信データをカプセル化および暗号化する。   The virtual IF module 910 supplies the communication data received from the general client application module 900 to the (de) encapsulation module 9600. The (de) encapsulation module 9600 encapsulates the communication data received from the virtual IF module 910. Specifically, the (de) encapsulation module 9600 controls the RTP module 9620, the SRTP module 956, and the UDP module 940 to encapsulate and encrypt the received communication data.

RTPモジュール9620は、通信データにRTPヘッダを付加することで、SRTPを用いて暗号化できるデータ形式に変換する。ポリシーコントロールモジュール9625は、予め定められた条件に基づいて、RTPモジュール9620から出力される通信データに対してSRTPによる暗号化が必要か否かを判断する。   The RTP module 9620 converts the data into a data format that can be encrypted using SRTP by adding an RTP header to the communication data. The policy control module 9625 determines whether the communication data output from the RTP module 9620 needs to be encrypted by SRTP based on a predetermined condition.

ポリシーコントロールモジュール9625によってSRTPによる暗号化が必要であると判断された場合には、SRTPモジュール956は、RTPモジュール9620がRTPパケットに変換した通信データを、SRTPを用いて暗号化する。UDPモジュール940は、SRTPモジュール956が暗号化した通信データにUDPヘッダを付加することでカプセル化し、通信IFモジュールを介して通信端末12に送信する。   If the policy control module 9625 determines that SRTP encryption is necessary, the SRTP module 956 encrypts the communication data converted into RTP packets by the RTP module 9620 using SRTP. The UDP module 940 encapsulates the communication data encrypted by the SRTP module 956 by adding a UDP header, and transmits it to the communication terminal 12 via the communication IF module.

一方、ポリシーコントロールモジュール9625によってSRTPによる暗号化が必要でないと判断された場合には、RTPモジュール9620は、通信データにRTPヘッダを付加しない。また、SRTPモジュール956は、RTPモジュール9620が出力した通信データを暗号化することなく、UDPモジュール940から通信IFモジュールを介して通信端末12に送信する。   On the other hand, when the policy control module 9625 determines that SRTP encryption is not necessary, the RTP module 9620 does not add the RTP header to the communication data. The SRTP module 956 transmits the communication data output from the RTP module 9620 from the UDP module 940 to the communication terminal 12 via the communication IF module without encrypting the communication data.

一方、通信端末12が通信端末10にあてて送信した通信データは、NIC、当該NICに対応する通信IFモジュールを介して受信する。なお、通信端末12が送信した通信データは、TCPで通信可能な通信データをUDPで通信可能な形式にカプセル化した上で、SRTPで暗号化されている。UDPモジュール940は、受信した通信データをSRTPモジュール956に供給する。SRTPモジュール956は、SRTPで暗号化された通信データを復号化する。そして、RTPモジュール9620は、復号かされた通信データの形式を逆変換して(デ)カプセル化モジュール9600に供給する。   On the other hand, the communication data transmitted from the communication terminal 12 to the communication terminal 10 is received via the NIC and the communication IF module corresponding to the NIC. The communication data transmitted by the communication terminal 12 is encrypted with SRTP after encapsulating communication data communicable with TCP into a format communicable with UDP. The UDP module 940 supplies the received communication data to the SRTP module 956. The SRTP module 956 decrypts communication data encrypted with SRTP. Then, the RTP module 9620 inversely converts the format of the decrypted communication data and supplies it to the (de) encapsulation module 9600.

(デ)カプセル化モジュール9600は、SRTPモジュール956が復号化した通信データを、デカプセル化する。すなわち、(デ)カプセル化モジュール9600は、UDPで送信可能な形式にカプセル化された通信データをデカプセル化する。(デ)カプセル化モジュール9600は、デカプセル化した通信データをVirtual IFモジュール910に供給する。   The (de) encapsulation module 9600 decapsulates the communication data decrypted by the SRTP module 956. That is, the (de) encapsulation module 9600 decapsulates communication data encapsulated in a format that can be transmitted by UDP. The (de) encapsulation module 9600 supplies the decapsulated communication data to the virtual IF module 910.

Virtual IFモジュール910は、TCP/UDPモジュール954を介して受け取った通信データを一般クライアントアプリケーションモジュール900に供給する。一般クライアントアプリケーションモジュール900は、Virtual IFモジュール910から受け取った通信データを、所定のアプリケーションに渡すことにより処理する。   The virtual IF module 910 supplies the communication data received via the TCP / UDP module 954 to the general client application module 900. The general client application module 900 processes the communication data received from the virtual IF module 910 by passing it to a predetermined application.

これにより、一般クライアントアプリケーションモジュール900は、通信端末10に割り当てられる実IPアドレスが変更された場合でも、実IPアドレスの変更の影響を受けることなく、通信端末12とのTCPセッションを継続できる。また、一般クライアントアプリケーションモジュール900がTCPで通信可能な通信データをUDPで通信可能な通信データに変換すること、および通信端末12と送受信する通信データを暗号化/復号化することがなくなる。すなわち、本実施形態に係る通信端末10によれば、一般クライアントアプリケーションモジュール900が特別な機能を有さなくても、E2Eのセキュリティを提供することができる。   Thereby, even when the real IP address assigned to the communication terminal 10 is changed, the general client application module 900 can continue the TCP session with the communication terminal 12 without being affected by the change of the real IP address. Further, the general client application module 900 does not convert communication data communicable with TCP into communication data communicable with UDP, and encrypt / decrypt communication data transmitted / received to / from the communication terminal 12. That is, according to the communication terminal 10 according to the present embodiment, E2E security can be provided even if the general client application module 900 does not have a special function.

次に、Mobile SIP APsモジュール905が通信データを送信する場合について説明する。Mobile SIP APsモジュール905は、IACモジュール9610から通知された、利用可能な通信IFモジュールを介して、通信端末12に送信すべき通信データを送信する。   Next, a case where the Mobile SIP APs module 905 transmits communication data will be described. The Mobile SIP APs module 905 transmits communication data to be transmitted to the communication terminal 12 via the available communication IF module notified from the IAC module 9610.

具体的には、Mobile SIP APsモジュール905は、通信端末12に送信すべき通信データをRTPモジュール9615に送信する。RTPモジュール9615は、Mobile SIP APsモジュール905から受け取った通信データを、RTPで送信可能な形式に変換する。   Specifically, the Mobile SIP APs module 905 transmits communication data to be transmitted to the communication terminal 12 to the RTP module 9615. The RTP module 9615 converts the communication data received from the Mobile SIP APs module 905 into a format that can be transmitted by RTP.

そして、RTPモジュール9615は、RTPで送信可能な形式に変換した通信データを、SRTPモジュール956に供給する。SRTPモジュール956は、RTPモジュール9615から受け取った通信データを、SRTPを用いて暗号化する。そして、SRTPモジュール956は、暗号化した通信データを、通信モジュールを介して通信端末12に送信する。また、通信端末12から通信IFモジュールが受信したSIP APの通信データは、SRTPモジュール956が復号化する。そして、SRTPモジュール956は、RTPモジュール9615を介して、復号化した通信データをMobile SIP APsモジュール905に供給する。   Then, the RTP module 9615 supplies the communication data converted into a format that can be transmitted by RTP to the SRTP module 956. The SRTP module 956 encrypts the communication data received from the RTP module 9615 using SRTP. Then, the SRTP module 956 transmits the encrypted communication data to the communication terminal 12 via the communication module. Also, the SRTP module 956 decrypts the SIP AP communication data received by the communication IF module from the communication terminal 12. Then, the SRTP module 956 supplies the decrypted communication data to the Mobile SIP APs module 905 via the RTP module 9615.

なお、上記説明における通信端末12に送信する通信データは、プロキシサーバ20を介して公開サーバ26等の他のサーバ、または通信端末に送信してもよい。係る場合に、通信端末10が送信した通信データのデカプセル化および復号化、並びに公開サーバ26等が送信した通信データのカプセル化および暗号化は、プロキシサーバ20が実行する。   Note that the communication data transmitted to the communication terminal 12 in the above description may be transmitted to another server such as the public server 26 or the communication terminal via the proxy server 20. In such a case, the proxy server 20 executes decapsulation and decryption of the communication data transmitted by the communication terminal 10 and encapsulation and encryption of the communication data transmitted by the public server 26 and the like.

これにより、通信端末10は、通信端末12と送受信する通信データのセキュリティを、SRTPを用いて確保できる。さらに、IPsecを用いることがないので、IPsec Security Gatewayを介して通信データを送受信することがなくなる。これにより、通信トラフィックが一点集中することを回避できる。   Thereby, the communication terminal 10 can ensure the security of the communication data transmitted / received with the communication terminal 12 using SRTP. Furthermore, since IPsec is not used, communication data is not transmitted / received via the IPsec Security Gateway. Thereby, it can avoid that communication traffic concentrates on one point.

図10は、本実施形態の第2の例に係る通信端末10の起動処理の流れの一例を示す。セッションモビリティコントローラモジュール960が起動すると(S1000)、シグナリング制御モジュール9605は、SIPサーバ22との間にTLSセッションを確立する(S1010)。TLSセッションが確立されると、SIPサーバ22は、通信端末10をSIP登録する(S1020)。   FIG. 10 shows an example of the flow of activation processing of the communication terminal 10 according to the second example of the present embodiment. When the session mobility controller module 960 is activated (S1000), the signaling control module 9605 establishes a TLS session with the SIP server 22 (S1010). When the TLS session is established, the SIP server 22 performs SIP registration of the communication terminal 10 (S1020).

次に、シグナリング制御モジュール9605は、Virtual IFモジュール910を有効にするために必要な情報を取得して設定する(S1030)。具体的には、仮想IPアドレス、プロキシサーバのIPアドレス、デフォルトゲートウェイのIPアドレス、DNSサーバのIPアドレス等のコアネットワーク42に関する情報を取得する。   Next, the signaling control module 9605 obtains and sets information necessary for enabling the Virtual IF module 910 (S1030). Specifically, information about the core network 42 such as a virtual IP address, a proxy server IP address, a default gateway IP address, and a DNS server IP address is acquired.

次に、シグナリング制御モジュール9605は、SIPサーバ22との間にSRTPセッションを確立する(S1040)。このとき、シグナリング制御モジュール9605は、TLSセッションを用いて、SRTPセッションを確立するためのシグナリングメッセージをSIPサーバ22との間でやりとりする。係る場合において、シグナリング制御モジュール9605は、TLSセッションを確立したときに得られた、SIPサーバ22との相互の認証情報を使って、SRTPセッションを確立する。その後、シグナリング制御モジュール9605は、TLSセッションを用いることなく、SRTPセッションを用いて、音声データ通信を確立する場合のシグナリングメッセージをやりとりする(S1050)。   Next, the signaling control module 9605 establishes an SRTP session with the SIP server 22 (S1040). At this time, the signaling control module 9605 exchanges a signaling message for establishing an SRTP session with the SIP server 22 using a TLS session. In such a case, the signaling control module 9605 establishes the SRTP session using mutual authentication information with the SIP server 22 obtained when the TLS session is established. Thereafter, the signaling control module 9605 exchanges a signaling message for establishing voice data communication using the SRTP session without using the TLS session (S1050).

図11は、本実施形態の第2に係る通信端末10のハンドオーバ処理の流れの一例を示す。通信端末10が第1通信IFモジュールを用いて第1通信方式で通信している状態において(S1100)、IACモジュール9610は、第1通信方式とは異なる第2通信方式で通信する第2通信IFモジュールが実IPアドレスを取得したか否かを検出する(S1110)。この場合において、IACモジュール9610は、複数の通信IFモジュールが通信中継装置から受信する電波の強度、複数の通信IFモジュールに対して予め設定された利用優先順位等のポリシー等に基づいて、第1通信IFモジュールと第2通信IFモジュールとのいずれを選択するかを判断する。そして、IACモジュール9610は、第2通信IFモジュールを選択する場合に、第2通信方式における実IPアドレスを取得する。第2通信IFモジュールが実IPアドレスを取得していない場合には(S1110:NO)、通信端末10は、引き続き第1通信方式で通信する(S1100)。   FIG. 11 shows an example of the flow of the handover process of the communication terminal 10 according to the second embodiment. In a state where the communication terminal 10 is communicating with the first communication method using the first communication IF module (S1100), the IAC module 9610 communicates with the second communication method different from the first communication method. It is detected whether the module has acquired a real IP address (S1110). In this case, the IAC module 9610 uses the first policy based on the strength of the radio waves received by the plurality of communication IF modules from the communication relay device, the usage priority order set in advance for the plurality of communication IF modules, and the like. It is determined which of the communication IF module and the second communication IF module is selected. Then, when selecting the second communication IF module, the IAC module 9610 acquires an actual IP address in the second communication method. If the second communication IF module has not acquired a real IP address (S1110: NO), the communication terminal 10 continues to communicate using the first communication method (S1100).

第2通信IFモジュールが実IPアドレスを取得した場合には(S1110:YES)、シグナリング制御モジュール9605は、第1通信方式で確立されているSRTPセッションを介して、第2通信方式で利用するシグナリング用のSRTPセッションを確立する(S1120)。さらに、シグナリング制御モジュール9605は、第1通信方式で確立されているSRTPセッションを介して、第2通信方式で利用する通信データ用のSRTPセッションを確立する(S1130)。係る場合において、シグナリング制御モジュール9605は、第1通信方式のSRTPセッションを確立したときに得られた、SIPサーバ22との相互の認証情報を使って、第2通信方式のSRTPセッションを確立する。   When the second communication IF module has acquired the real IP address (S1110: YES), the signaling control module 9605 uses the SRTP session established in the first communication method to perform signaling used in the second communication method. An SRTP session is established (S1120). Further, the signaling control module 9605 establishes an SRTP session for communication data used in the second communication method via the SRTP session established in the first communication method (S1130). In this case, the signaling control module 9605 uses the mutual authentication information with the SIP server 22 obtained when the SRTP session of the first communication method is established to establish the SRTP session of the second communication method.

その後、通信端末10は、第2通信IFモジュールを用いて第2通信方式で通信する(S1140)。そして、通信端末10は、SIPサーバ22との間で、S1120で確立されたSRTPセッションを介してシグナリングメッセージをやりとりする。また、通信端末10は、通信端末12との間で、S1130で確立されたSRTPセッションを介して通信データをやりとりする。   Thereafter, the communication terminal 10 communicates with the second communication method using the second communication IF module (S1140). Then, the communication terminal 10 exchanges a signaling message with the SIP server 22 via the SRTP session established in S1120. Further, the communication terminal 10 exchanges communication data with the communication terminal 12 through the SRTP session established in S1130.

なお、第2の例に係る通信データの送信処理は、図6で説明した通信データの送信処理と同一であるので、その説明を省略する。また、第2の例に係る通信データの受信処理は、図7で説明した通信データの受信処理と同一であるので、その説明を省略する。   The communication data transmission process according to the second example is the same as the communication data transmission process described with reference to FIG. The communication data reception process according to the second example is the same as the communication data reception process described with reference to FIG.

図12は、本実施形態に係る通信端末10またはSIPサーバ22のハードウェア構成の一例を示す。なお、本実施形態に係るプロキシサーバ20は、以下に述べるハードウェア構成の一部または全部を備えていてもよい。本実施形態に係る通信端末10およびSIPサーバ22は、ホスト・コントローラ1582により相互に接続されるCPU1505、RAM1520、グラフィック・コントローラ1575、および表示装置1580を有するCPU周辺部と、入出力コントローラ1584によりホスト・コントローラ1582に接続される通信インターフェース1530、ハードディスクドライブ1540、およびCD−ROMドライブ1560を有する入出力部と、入出力コントローラ1584に接続されるROM1510、フレキシブルディスク・ドライブ1550、および入出力チップ1570を有するレガシー入出力部とを備える。   FIG. 12 shows an example of a hardware configuration of the communication terminal 10 or the SIP server 22 according to the present embodiment. Note that the proxy server 20 according to the present embodiment may include a part or all of the hardware configuration described below. The communication terminal 10 and the SIP server 22 according to the present embodiment include a CPU peripheral unit having a CPU 1505, a RAM 1520, a graphic controller 1575, and a display device 1580 connected to each other by a host controller 1582, and a host by an input / output controller 1584. An input / output unit having a communication interface 1530, a hard disk drive 1540, and a CD-ROM drive 1560 connected to the controller 1582; a ROM 1510, a flexible disk drive 1550, and an input / output chip 1570 connected to the input / output controller 1584; A legacy input / output unit.

ホスト・コントローラ1582は、RAM1520と、高い転送レートでRAM1520をアクセスするCPU1505およびグラフィック・コントローラ1575とを接続する。CPU1505は、ROM1510およびRAM1520に格納されたプログラムに基づいて動作して、各部を制御する。グラフィック・コントローラ1575は、CPU1505等がRAM1520内に設けたフレーム・バッファ上に生成する画像データを取得して、表示装置1580上に表示させる。これに代えて、グラフィック・コントローラ1575は、CPU1505等が生成する画像データを格納するフレーム・バッファを、内部に含んでもよい。   The host controller 1582 connects the RAM 1520 to the CPU 1505 and the graphic controller 1575 that access the RAM 1520 at a high transfer rate. The CPU 1505 operates based on programs stored in the ROM 1510 and the RAM 1520 to control each unit. The graphic controller 1575 acquires image data generated by the CPU 1505 or the like on a frame buffer provided in the RAM 1520 and displays the image data on the display device 1580. Alternatively, the graphic controller 1575 may include a frame buffer that stores image data generated by the CPU 1505 or the like.

入出力コントローラ1584は、ホスト・コントローラ1582と、比較的高速な入出力装置である通信インターフェース1530、ハードディスクドライブ1540、CD−ROMドライブ1560を接続する。通信インターフェース1530は、ネットワークを介して他の装置と通信する。ハードディスクドライブ1540は、通信端末10またはSIPサーバ22内のCPU1505が使用するプログラムおよびデータを格納する。CD−ROMドライブ1560は、CD−ROM1595からプログラムまたはデータを読み取り、RAM1520を介してハードディスクドライブ1540に提供する。   The input / output controller 1584 connects the host controller 1582 to the communication interface 1530, the hard disk drive 1540, and the CD-ROM drive 1560, which are relatively high-speed input / output devices. The communication interface 1530 communicates with other devices via a network. The hard disk drive 1540 stores programs and data used by the communication terminal 10 or the CPU 1505 in the SIP server 22. The CD-ROM drive 1560 reads a program or data from the CD-ROM 1595 and provides it to the hard disk drive 1540 via the RAM 1520.

また、入出力コントローラ1584には、ROM1510と、フレキシブルディスク・ドライブ1550、および入出力チップ1570の比較的低速な入出力装置とが接続される。ROM1510は、通信端末10またはSIPサーバ22が起動時に実行するブート・プログラム、通信端末10またはSIPサーバ22のハードウェアに依存するプログラム等を格納する。フレキシブルディスク・ドライブ1550は、フレキシブルディスク1590からプログラムまたはデータを読み取り、RAM1520を介してハードディスクドライブ1540に提供する。入出力チップ1570は、フレキシブルディスク・ドライブ1550、例えばパラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を接続する。   The input / output controller 1584 is connected to the ROM 1510, the flexible disk drive 1550, and the relatively low-speed input / output device of the input / output chip 1570. The ROM 1510 stores a boot program executed when the communication terminal 10 or the SIP server 22 is started, a program depending on the hardware of the communication terminal 10 or the SIP server 22, and the like. The flexible disk drive 1550 reads a program or data from the flexible disk 1590 and provides it to the hard disk drive 1540 via the RAM 1520. The input / output chip 1570 connects various input / output devices via a flexible disk drive 1550 such as a parallel port, a serial port, a keyboard port, and a mouse port.

RAM1520を介してハードディスクドライブ1540に提供される通信プログラムは、フレキシブルディスク1590、CD−ROM1595、またはICカード等の記録媒体に格納されて利用者によって提供される。通信プログラムは、記録媒体から読み出され、RAM1520を介して通信端末10またはSIPサーバ22内のハードディスクドライブ1540にインストールされ、CPU1505において実行される。   A communication program provided to the hard disk drive 1540 via the RAM 1520 is stored in a recording medium such as the flexible disk 1590, the CD-ROM 1595, or an IC card and provided by the user. The communication program is read from the recording medium, installed in the communication terminal 10 or the hard disk drive 1540 in the SIP server 22 via the RAM 1520, and executed by the CPU 1505.

本実施形態の第1の例に係る通信端末10にインストールされて実行される通信プログラムは、CPU1505等に働きかけて、通信端末10を、図1から図11にかけて説明した一般アプリケーション部100、リアルタイムアプリケーション部105、仮想インターフェース部110、複数の通信部、通信IF選択部140、アドレス取得部150、データ形式変換部1600、シグナリング制御部1605、(デ)カプセル化部1610、第2暗号化部1620、シグナリング送受信部1625、変換テーブル記憶部1640、データ送受信部1645、暗号化条件格納部1650、および暗号化条件判断部1655として機能させる。   The communication program installed and executed in the communication terminal 10 according to the first example of the present embodiment works on the CPU 1505 or the like to change the communication terminal 10 to the general application unit 100, real-time application described with reference to FIGS. Unit 105, virtual interface unit 110, multiple communication units, communication IF selection unit 140, address acquisition unit 150, data format conversion unit 1600, signaling control unit 1605, (de) encapsulation unit 1610, second encryption unit 1620, The signaling transmission / reception unit 1625, the conversion table storage unit 1640, the data transmission / reception unit 1645, the encryption condition storage unit 1650, and the encryption condition determination unit 1655 are caused to function.

また、本実施形態の第2の例に係る通信端末10にインストールされて実行される通信プログラムは、CPU1505等に働きかけて、通信端末10を、図1から図11にかけて説明した一般アプリケーション部800、リアルタイムアプリケーション部805、仮想インターフェース部810、複数の通信部、通信IF選択部840、アドレス取得部850、データ形式変換部8600、シグナリング制御部8605、(デ)カプセル化部8610、第2暗号化部8620、シグナリング送受信部8625、変換テーブル記憶部8640、データ送受信部8645、暗号化条件格納部8650、および暗号化条件判断部8655として機能させる。   In addition, the communication program installed and executed in the communication terminal 10 according to the second example of the present embodiment works on the CPU 1505 and the like to make the communication terminal 10 the general application unit 800 described with reference to FIGS. Real-time application unit 805, virtual interface unit 810, multiple communication units, communication IF selection unit 840, address acquisition unit 850, data format conversion unit 8600, signaling control unit 8605, (de) encapsulation unit 8610, second encryption unit 8620, signaling transmission / reception unit 8625, conversion table storage unit 8640, data transmission / reception unit 8645, encryption condition storage unit 8650, and encryption condition determination unit 8655.

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。   As mentioned above, although this invention was demonstrated using embodiment, the technical scope of this invention is not limited to the range as described in the said embodiment. It will be apparent to those skilled in the art that various modifications or improvements can be added to the above-described embodiment. It is apparent from the scope of the claims that the embodiments added with such changes or improvements can be included in the technical scope of the present invention.

通信システムのネットワーク接続構成を示す。1 shows a network connection configuration of a communication system. 通信セキュリティの概要を示す。An overview of communication security is shown. 第1の例に係る通信端末10の通信モジュール14の機能構成を示す。The function structure of the communication module 14 of the communication terminal 10 which concerns on a 1st example is shown. 第1の例に係る通信端末10のモジュール構成を示す。The module structure of the communication terminal 10 which concerns on a 1st example is shown. 第1の例に係る通信端末10によるシグナリング処理の流れを示す。The flow of the signaling process by the communication terminal 10 which concerns on a 1st example is shown. 待機状態(S545)における通信データの送信処理の流れを示す。The flow of the transmission process of communication data in a standby state (S545) is shown. 待機状態(S545)における通信データの受信処理の流れを示す。The flow of the reception process of communication data in a standby state (S545) is shown. 第2の例に係る通信端末10の通信モジュール14の機能構成を示す。The function structure of the communication module 14 of the communication terminal 10 which concerns on a 2nd example is shown. 第2の例に係る通信端末10のモジュール構成を示す。The module structure of the communication terminal 10 which concerns on a 2nd example is shown. 第2の例に係る通信端末10の起動処理の流れを示す。The flow of the starting process of the communication terminal 10 which concerns on a 2nd example is shown. 第2に係る通信端末10のハンドオーバ処理の流れを示す。The flow of the hand-over process of the communication terminal 10 which concerns on 2nd is shown. 通信端末10またはSIPサーバ22のハードウェア構成の一例を示す。An example of the hardware constitutions of the communication terminal 10 or the SIP server 22 is shown.

符号の説明Explanation of symbols

10 通信端末
12 通信端末
14 通信モジュール
20 プロキシサーバ
22 SIPサーバ
24 ロケーションサーバ
26 公開サーバ
30 基地局
31 アクセスポイント
32 アクセスポイント
40 セルラー網
42 コアネットワーク
44 インターネット
46 無線LAN網
100 一般アプリケーション部
105 リアルタイムアプリケーション部
110 仮想インターフェース部
120 通信ユニット
122 第1通信部
124 第2通信部
126 第n通信部
130 通信制御ユニット
140 通信IF選択部
150 アドレス取得部
160 セッションモビリティ制御ユニット
200 一般クライアントアプリケーションモジュール
205 Mobile SIP APsモジュール
210 Virtual IFモジュール
220 通信インターフェースユニット
222 通信IFモジュールa
224 通信IFモジュールb
226 通信IFモジュールn
232 NICa
234 NICb
236 NICn
240 UDPモジュール
242 TCPモジュール
252 TLSモジュール
254 TCP/UDPモジュール
256 SRTPモジュール
258 TLSモジュール
260 セッションモビリティコントローラモジュール
800 一般アプリケーション部
805 リアルタイムアプリケーション部
810 仮想インターフェース部
820 通信ユニット
822 第1通信部
824 第2通信部
826 第n通信部
830 通信制御ユニット
840 通信IF選択部
850 アドレス取得部
860 セッションモビリティ制御ユニット
900 一般クライアントアプリケーションモジュール
905 Mobile SIP APsモジュール
910 Virtual IFモジュール
920 通信インターフェースユニット
922 通信IFモジュールa
924 通信IFモジュールb
926 通信IFモジュールn
932 NICa
934 NICb
936 NICn
940 UDPモジュール
942 TCPモジュール
952 TLSモジュール
954 TCP/UDPモジュール
956 SRTPモジュール
958 TLSモジュール
960 セッションモビリティコントローラモジュール
1505 CPU
1510 ROM
1520 RAM
1530 通信インターフェース
1540 ハードディスクドライブ
1550 フレキシブルディスク・ドライブ
1560 CD−ROMドライブ
1570 入出力チップ
1575 グラフィック・コントローラ
1580 表示装置
1582 ホスト・コントローラ
1584 入出力コントローラ
1590 フレキシブルディスク
1595 CD−ROM
1600 データ形式変換部
1605 シグナリング制御部
1610 (デ)カプセル化部
1615 第1暗号化部
1620 第2暗号化部
1625 シグナリング送受信部
1640 変換テーブル記憶部
1645 データ送受信部
1650 暗号化条件格納部
1655 暗号化条件判断部
2600 (デ)カプセル化モジュール
2605 シグナリング制御モジュール
2610 IACモジュール
2615 RTPモジュール
2620 RTPモジュール
2625 ポリシーコントロールモジュール
8600 データ形式変換部
8605 シグナリング制御部
8610 (デ)カプセル化部
8615 第1暗号化部
8620 第2暗号化部
8625 シグナリング送受信部
8640 変換テーブル記憶部
8645 データ送受信部
8650 暗号化条件格納部
8655 暗号化条件判断部
9600 (デ)カプセル化モジュール
9605 シグナリング制御モジュール
9610 IACモジュール
9615 RTPモジュール
9620 RTPモジュール
9625 ポリシーコントロールモジュール DESCRIPTION OF SYMBOLS 10 Communication terminal 12 Communication terminal 14 Communication module 20 Proxy server 22 SIP server 24 Location server 26 Public server 30 Base station 31 Access point 32 Access point 40 Cellular network 42 Core network 44 Internet 46 Wireless LAN network 100 General application part 105 Real time application part DESCRIPTION OF SYMBOLS 110 Virtual interface part 120 Communication unit 122 1st communication part 124 2nd communication part 126 nth communication part 130 Communication control unit 140 Communication IF selection part 150 Address acquisition part 160 Session mobility control unit 200 General client application module 205 Mobile SIP APs module 210 Virtual IF module 220 Communication interface Interface Unit 222 communication IF module a
224 Communication IF module b
226 Communication IF module n
232 NICa
234 NICb
236 NICn
240 UDP module 242 TCP module 252 TLS module 254 TCP / UDP module 256 SRTP module 258 TLS module 260 Session mobility controller module 800 General application part 805 Real-time application part 810 Virtual interface part 820 Communication unit 822 First communication part 824 Second communication part 826 nth communication unit 830 communication control unit 840 communication IF selection unit 850 address acquisition unit 860 session mobility control unit 900 general client application module 905 Mobile SIP APs module 910 virtual IF module 920 communication interface unit 922 communication IF module a
924 Communication IF module b
926 Communication IF module n
932 NICa
934 NICb
936 NICn
940 UDP module 942 TCP module 952 TLS module 954 TCP / UDP module 956 SRTP module 958 TLS module 960 Session mobility controller module 1505 CPU
1510 ROM
1520 RAM
1530 Communication interface 1540 Hard disk drive 1550 Flexible disk drive 1560 CD-ROM drive 1570 Input / output chip 1575 Graphic controller 1580 Display device 1582 Host controller 1584 Input / output controller 1590 Flexible disk 1595 CD-ROM
1600 Data format conversion unit 1605 Signaling control unit 1610 (De) Encapsulation unit 1615 First encryption unit 1620 Second encryption unit 1625 Signaling transmission / reception unit 1640 Conversion table storage unit 1645 Data transmission / reception unit 1650 Encryption condition storage unit 1655 Encryption Condition determination unit 2600 (de) encapsulation module 2605 signaling control module 2610 IAC module 2615 RTP module 2620 RTP module 2625 policy control module 8600 data format conversion unit 8605 signaling control unit 8610 (de) encapsulation unit 8615 first encryption unit 8620 Second encryption unit 8625 Signaling transmission / reception unit 8640 Conversion table storage unit 8645 Data transmission / reception unit 8650 Encryption condition storage unit 8655 encryption condition determination unit 9600 (de) encapsulation module 9605 signaling control module 9610 IAC module 9615 RTP module 9620 RTP module 9625 policy control module

Claims (10)

通信データを送受信する通信端末の通信モジュールであって、
前記通信データを生成するアプリケーション部と、
前記通信データを送信する条件が、予め定められた条件に合致するか否かを判断する暗号化条件判断部と、
前記予め定められた条件に合致しない前記通信データを暗号化せず、前記予め定められた条件に合致する前記通信データを暗号化する暗号化部と、
前記暗号化部が暗号化した前記通信データを送信するデータ送受信部と、
を備える通信モジュール。 A communication module of a communication terminal that transmits and receives communication data,
An application unit for generating the communication data;
An encryption condition determination unit that determines whether or not a condition for transmitting the communication data matches a predetermined condition;
An encryption unit that encrypts the communication data that does not encrypt the communication data that does not match the predetermined condition and that matches the predetermined condition;
A data transmission / reception unit for transmitting the communication data encrypted by the encryption unit;
A communication module comprising: 前記予め定められた条件を格納する暗号化条件格納部、
をさらに備え、
前記暗号化条件判断部は、前記通信データを送信する条件が、前記暗号化条件格納部が格納している条件に合致するか否かを判断する請求項1に記載の通信モジュール。 An encryption condition storage unit for storing the predetermined condition;
Further comprising
The communication module according to claim 1, wherein the encryption condition determination unit determines whether a condition for transmitting the communication data matches a condition stored in the encryption condition storage unit. 前記暗号化条件格納部は、前記予め定められた条件として、アプリケーションの種類を格納しており、
前記暗号化条件判断部は、前記通信データを生成したアプリケーションの種類が、前記暗号化条件格納部が格納しているアプリケーションの種類に合致するか否かを判断する請求項2に記載の通信モジュール。 The encryption condition storage unit stores the type of application as the predetermined condition,
The communication module according to claim 2, wherein the encryption condition determination unit determines whether the type of application that generated the communication data matches the type of application stored in the encryption condition storage unit. . 前記暗号化条件格納部は、前記予め定められた条件として、前記通信データに適用されるプロトコルを格納しており、
前記暗号化条件判断部は、前記通信データに適用されるプロトコルが、前記暗号化条件格納部が格納しているプロトコルに合致するか否かを判断する請求項2に記載の通信モジュール。 The encryption condition storage unit stores a protocol applied to the communication data as the predetermined condition,
The communication module according to claim 2, wherein the encryption condition determining unit determines whether a protocol applied to the communication data matches a protocol stored in the encryption condition storage unit. 前記データ送受信部は、通信方式が異なる複数の通信部のいずれかを介して、前記通信データを送信し、
前記暗号化条件格納部は、前記予め定められた条件として、通信方式の種類を格納しており、
前記暗号化条件判断部は、前記通信データが送信される前記通信部の通信方式の種類が、前記暗号化条件格納部が格納している通信方式の種類に合致するか否かを判断する請求項2に記載の通信モジュール。 The data transmission / reception unit transmits the communication data via any of a plurality of communication units having different communication methods,
The encryption condition storage unit stores the type of communication method as the predetermined condition,
The encryption condition determination unit determines whether or not a communication method type of the communication unit to which the communication data is transmitted matches a communication method type stored in the encryption condition storage unit. Item 3. The communication module according to Item 2. 前記通信端末と通信相手端末との通信を中継する通信中継装置によって前記通信端末に対して動的に割り当てられる実アドレスを取得するアドレス取得部と、
仮想アドレスが割り当てられた仮想インターフェース部と、
前記アドレス取得部が取得した実アドレスを用いて、前記通信端末と前記通信相手端末とのセッションを管理する通信制御装置との間に第1セッションを確立し、前記第1セッションを確立した後、前記仮想インターフェース部が有する仮想アドレスを用いて、前記通信制御装置との間に第2セッションを確立するシグナリング制御部と、
前記シグナリング制御部が生成するシグナリングメッセージを、前記第2セッションが確立される前は前記第1セッションを介して前記通信制御装置に送信し、前記第2セッションが確立された後は前記第2セッションを介して前記通信制御装置に送信するシグナリング送受信部と、
をさらに備える請求項1に記載の通信モジュール。 An address acquisition unit that acquires a real address dynamically assigned to the communication terminal by a communication relay device that relays communication between the communication terminal and a communication partner terminal;
A virtual interface part to which a virtual address is assigned; and
Using the real address acquired by the address acquisition unit, establishing a first session between the communication control device that manages the session between the communication terminal and the communication partner terminal, after establishing the first session, A signaling control unit that establishes a second session with the communication control device using a virtual address of the virtual interface unit;
The signaling message generated by the signaling control unit is transmitted to the communication control apparatus via the first session before the second session is established, and after the second session is established, the second session is established. A signaling transceiver for transmitting to the communication control device via
The communication module according to claim 1, further comprising: シグナリングメッセージを生成するシグナリング制御部と、
前記シグナリング制御部が生成したシグナリングメッセージを、前記通信端末と通信相手端末とのセッションを管理する通信制御装置に送信するシグナリング送受信部と、
をさらに備え、
前記シグナリング制御部は、
前記通信モジュールが起動された場合に、第1セキュリティプロトコルに基づく第1シグナリング用セッションを、前記通信制御装置との間に確立し、
前記第1シグナリング用セッションが確立された場合に、第2セキュリティプロトコルに基づく第2シグナリング用セッションを、前記通信制御装置との間に確立し、
前記シグナリング送受信部は、前記シグナリング制御部が生成したシグナリングメッセージを、前記第2シグナリング用セッションを介して前記通信制御装置に送信する請求項1に記載の通信モジュール。 A signaling controller for generating a signaling message;
A signaling transceiver that transmits a signaling message generated by the signaling controller to a communication controller that manages a session between the communication terminal and a communication partner terminal;
Further comprising
The signaling control unit includes:
A first signaling session based on a first security protocol is established with the communication control device when the communication module is activated;
When the first signaling session is established, a second signaling session based on a second security protocol is established with the communication control device;
The communication module according to claim 1, wherein the signaling transmission / reception unit transmits a signaling message generated by the signaling control unit to the communication control device via the second signaling session. 通信データを送受信する通信端末の通信方法であって、
前記通信データを生成する段階と、
前記通信データを送信する条件が、予め定められた条件に合致するか否かを判断する段階と、
前記予め定められた条件に合致しない前記通信データを暗号化せず、前記予め定められた条件に合致する前記通信データを暗号化する段階と、
暗号化された前記通信データを送信する段階と、
を備える通信方法。 A communication method of a communication terminal that transmits and receives communication data,
Generating the communication data;
Determining whether a condition for transmitting the communication data matches a predetermined condition;
Not encrypting the communication data not meeting the predetermined condition, and encrypting the communication data meeting the predetermined condition;
Transmitting the communication data encrypted;
A communication method comprising: 通信データを送受信する通信端末の通信モジュール用の通信プログラムであって、前記通信モジュールを、
前記通信データを生成するアプリケーション部、
前記通信データを送信する条件が、予め定められた条件に合致するか否かを判断する暗号化条件判断部、
前記予め定められた条件に合致しない前記通信データを暗号化せず、前記予め定められた条件に合致する前記通信データを暗号化する暗号化部、および
前記暗号化部が暗号化した前記通信データを送信するデータ送受信部、
として機能させる通信プログラム。 A communication program for a communication module of a communication terminal that transmits and receives communication data, the communication module comprising:
An application unit for generating the communication data;
An encryption condition determination unit that determines whether or not a condition for transmitting the communication data matches a predetermined condition;
An encryption unit that encrypts the communication data that matches the predetermined condition without encrypting the communication data that does not match the predetermined condition, and the communication data that is encrypted by the encryption unit Data transmission / reception unit,
Communication program to function as. 通信データを送受信する通信端末であって、
前記通信データを生成するアプリケーション部と、
前記通信データを送信する条件が、予め定められた条件に合致するか否かを判断する暗号化条件判断部と、
前記予め定められた条件に合致しない前記通信データを暗号化せず、前記予め定められた条件に合致する前記通信データを暗号化する暗号化部と、
前記暗号化部が暗号化した前記通信データを送信するデータ送受信部と、
を備える通信端末。 A communication terminal for transmitting and receiving communication data,
An application unit for generating the communication data;
An encryption condition determination unit that determines whether or not a condition for transmitting the communication data matches a predetermined condition;
An encryption unit that encrypts the communication data that does not encrypt the communication data that does not match the predetermined condition and that matches the predetermined condition;
A data transmission / reception unit for transmitting the communication data encrypted by the encryption unit;
A communication terminal comprising:
JP2007235986A 2007-09-11 2007-09-11 Communication module, program, and communication terminal Expired - Fee Related JP5087779B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007235986A JP5087779B2 (en) 2007-09-11 2007-09-11 Communication module, program, and communication terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007235986A JP5087779B2 (en) 2007-09-11 2007-09-11 Communication module, program, and communication terminal

Publications (2)

Publication Number Publication Date
JP2009071455A true JP2009071455A (en) 2009-04-02
JP5087779B2 JP5087779B2 (en) 2012-12-05

Family

ID=40607285

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007235986A Expired - Fee Related JP5087779B2 (en) 2007-09-11 2007-09-11 Communication module, program, and communication terminal

Country Status (1)

Country Link
JP (1) JP5087779B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103296715A (en) * 2012-03-01 2013-09-11 株式会社杰士汤浅国际 Switch failure detection device, battery pack, switch failure detection program, and method of detecting failure of electronic switch
JP2014107766A (en) * 2012-11-29 2014-06-09 Brother Ind Ltd Image processing system, image processing device, and information processing device
JP2014171083A (en) * 2013-03-04 2014-09-18 Buffalo Inc Network system, communication terminal, method, program and recording medium
CN113438215A (en) * 2021-06-11 2021-09-24 郑州阿帕斯数云信息科技有限公司 Data transmission method, device, equipment and storage medium
WO2021200309A1 (en) * 2020-04-01 2021-10-07 キヤノン株式会社 Communication device, communication device control method, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001296911A (en) * 2000-02-10 2001-10-26 Omron Corp Controller
JP2002064482A (en) * 2000-08-23 2002-02-28 Matsushita Electric Works Ltd Encryption apparatus
JP2009038536A (en) * 2007-07-31 2009-02-19 Softbank Mobile Corp Communication module, communication method, communication program, communication terminal, and communication control device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001296911A (en) * 2000-02-10 2001-10-26 Omron Corp Controller
JP2002064482A (en) * 2000-08-23 2002-02-28 Matsushita Electric Works Ltd Encryption apparatus
JP2009038536A (en) * 2007-07-31 2009-02-19 Softbank Mobile Corp Communication module, communication method, communication program, communication terminal, and communication control device

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103296715A (en) * 2012-03-01 2013-09-11 株式会社杰士汤浅国际 Switch failure detection device, battery pack, switch failure detection program, and method of detecting failure of electronic switch
CN103296715B (en) * 2012-03-01 2017-07-04 株式会社杰士汤浅国际 Switch fault diagnostic device, battery pack and fault diagnosis method for switch
JP2014107766A (en) * 2012-11-29 2014-06-09 Brother Ind Ltd Image processing system, image processing device, and information processing device
JP2014171083A (en) * 2013-03-04 2014-09-18 Buffalo Inc Network system, communication terminal, method, program and recording medium
WO2021200309A1 (en) * 2020-04-01 2021-10-07 キヤノン株式会社 Communication device, communication device control method, and program
CN113438215A (en) * 2021-06-11 2021-09-24 郑州阿帕斯数云信息科技有限公司 Data transmission method, device, equipment and storage medium

Also Published As

Publication number Publication date
JP5087779B2 (en) 2012-12-05

Similar Documents

Publication Publication Date Title
CN101496387B (en) System and method for access authentication in a mobile wireless network
JP5771603B2 (en) Media independent handover protocol security
US20160212219A1 (en) Method and apparatus for initiating and maintaining sessions between endpoints
WO2018137689A1 (en) Method for secure data transmission, access network, terminal and core network device
US20070271606A1 (en) Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US20050176473A1 (en) Internet protocol based wireless communication arrangements
US20080165964A1 (en) Application steering and application blocking over a secure tunnel
US9411968B2 (en) Apparatus and method for performing different cryptographic algorithms in a communication system
WO2011124055A1 (en) Method and terminal for access control of network service
JP5591890B2 (en) Method and apparatus with null encryption for signaling and media packets between mobile station and secure gateway
JP2015525018A (en) System and method for reducing call establishment time
WO2012083828A1 (en) Method, base station and system for implementing local routing
KR101297936B1 (en) Method for security communication between mobile terminals and apparatus for thereof
JP2006086936A (en) Radio network system and communication method, communication apparatus, radio terminal, communication control program and terminal control program
JP5087779B2 (en) Communication module, program, and communication terminal
TWI258952B (en) Architecture for implementation of radio access bearer manager (RABM) and packet data convergence protocol (PDCP) process
EP3506716B1 (en) Methods for packet exchange and related devices
US20080062977A1 (en) Electric Device, Server Apparatus, Mobile Terminal, Communication System, Communication Method and Program
JP5002830B2 (en) COMMUNICATION MODULE, COMMUNICATION METHOD, COMMUNICATION PROGRAM, COMMUNICATION TERMINAL, AND COMMUNICATION CONTROL DEVICE
WO2018170703A1 (en) Connection establishment method and device
US20150043421A1 (en) Wireless relay apparatus, communication system, and communication method
WO2006102565A2 (en) Optimized derivation of handover keys in mobile ipv6
JP5070568B2 (en) COMMUNICATION MODULE, COMMUNICATION METHOD, COMMUNICATION PROGRAM, COMMUNICATION TERMINAL, AND COMMUNICATION CONTROL DEVICE
JP2008219150A (en) Mobile communication system, gateway device and mobile terminal
CN114070606A (en) Network security terminal device based on domestic operating system and working method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100709

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120814

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120817

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150921

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5087779

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees