专利名称:通信路径建立方法和装置的制作方法
技术领域:
本发明涉及将分组加密来进行通信的通信路径的通信路径建立方法,例如涉及将在IPsec (Security Architecture for Internet Protocol,互联 网协议安全体系结构)通信中使用的IP (InternetProtocol,互联网协议) 分组加密来进行通信的IPsec通信中使用的通信路径的通信路径建立方 法和装置。
背景技术:
以往,作为用于自动进行在通信设备之间通过IPsec进行加密通信时 使用的SA (SecurityAssociation,安全关联)的建立和IPsec通信管理的 协议,有非专利文献1所示的IKE (Internet Key Exchange:互联网密钥 交换)。在IPsec通信中,利用该IKE进行密钥交换。SA是用于防止通过 通信装置的通信路径的IP分组受到窃听和篡改的加密通信连接。IKE的进程是在加密通信开始时将被称为ISAKMP(Internet Security Association And Key Management Protocol,互联网安全关联和密钥管理协 议)分组的报文在通信装置间交换来建立SA。通过ISAKMP分组的交换, 协商在使用SA的加密通信中使用的加密方式、认证方式、加密密钥、认 证密钥和SA的有效期间等,并在通信装置间进行决定。在通信装置的发送侧向对置的通信装置送出IP分组的定时,在与对 置的通信设备之间的SA未建立的情况下开始IKE。送出该IKE中的第1 个ISAKMP报文的通信装置被称为发起者,针对第1个ISAKMP报文送 出第2个ISAKMP报文的通信装置被称为响应者。在专利文献1记载的发明中,记载了这样的现有例,即;如果在进 行IPsec通信中发生故障,则发送故障通知分组,接收到该故障通知分组 的装置重新建立IPsec通信。
专利文献1日本特开2005—020215号公报非专利文献lThe Internet Key Exchange (IKE), Network Working Group, Request for Comments: 2409, Category: Standards Track, The Internet Society, November 1998然而,假定对置的两通信装置要在相同的定时送出IP分组,则在双 方的通信装置在相同的定时开始IKE的情况下,会引起IKE的第1个 ISAKMP报文在通信路径上交错的情况。当发生这种故障时,双方的通信装置都作为发起者进行动作,各自 处于等待来自对置的通信装置的第2个ISAKMP报文的状态,在该状态 下,即使从对置的通信装置接收到第l个ISAKMP报文,也废弃该报文, 因而IKE未成功,具有不能建立通信路径的问题。并且,在等待第2个ISAKMP报文的限制时间经过后,两通信装置 都重发第1个ISAKMP报文。该重发处理按照预先设定在各个通信装置 中的各重发间隔和重发次数进行发送。该重发间隔是在发送第1个 ISAKMP报文后等待接收来自对置的通信装置的第2个ISAKMP报文的 限制时间,将其称为第2个ISAKMP报文的等待计时器。在第2个ISAKMP报文的等待计时器经过前,在不能从对置的通信 装置接收到第2个ISAKMP报文的情况下,以该等待计时器的经过为触 发,再次将第l个ISAKMP报文送出到对置的通信装置。在该等待计时 器的间隔和重发次数在两通信装置中被设定相同值的情况下,重复IKE 的报文交错,不能使IKE成功,不能建立通信路径。这种交错时的处理 在RFC (Request For Comments,请求注解)中未作规定,不能防止交错。发明内容鉴于上述问题,本发明的目的是提供一种可建立通信路径的通信路 径建立方法和装置,特别是提供一种可建立进行加密通信时的通信路径 的通信路径建立方法和装置。为了解决上述问题,本发明提供一种通信路径建立方法,其建立第 l通信装置和对置的第2通信装置之间的通信路径,其特征在于,该方法
包含等待装置,其等待从第2通信装置向第1通信装置发送的分组; 计时装置,其以随机间隔保持分组等待计时器,该分组等待计时器对等 待分组的时间进行计时;接收装置,其接收除期望从第2通信装置发送 的分组的顺序以外的分组;受理装置,其受理分组;以及建立装置,其 根据在受理装置中所受理的分组建立通信路径。在该情况下,优选的是,在等待装置中,在从第1通信装置向第2 通信装置发送的第1分组和从第2通信装置向第1通信装置发送的第2 分组发生分组交错的情况下,第1通信装置等待第2分组。并且,优选 的是,分组是用于建立用于进行加密通信的通信路径的分组。并且,为了解决上述问题,本发明还提供一种通信路径建立方法, 其建立第1通信装置和对置的第2通信装置之间的通信路径,其特征在 于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发 送的分组;接收装置,其接收除期望从第2通信装置发送的分组的顺序 以外的分组;比较装置,其对设定在第1通信装置和第2通信装置内的 彼此不同的值的大小进行比较;受理装置,其受理分组;以及建立装置, 其根据在受理装置中所受理的分组来建立通信路径,当在接收装置中由 第1通信装置接收到除期望从第2通信装置发送的分组的顺序以外的分 组时,在受理装置中根据比较装置的大小比较结果来判断是否受理分组。在该情况下,优选的是,在受理装置中,在分组的交换开始时、分 组的交换过程中以及分组的交换结束后判断是否受理所述分组。根据本发明,在第1和第2通信装置在相同的定时作为发起者进行 动作,并且作为第1个分组的ISAKMP报文发生交错的情况下,即使接 收到除期望从对置的通信装置发送的以外的报文,也具有对该报文进行 响应的状态,根据这样的结构,与在发生分组交错的情况下的应对安装 方法无关,由对置的通信装置发送期望的报文,可使IKE成功,可建立 SA。并且,在第1和第2通信装置在相同的定时作为发起者进行动作, 并且第1个ISAKMP报文发生交错的情况下,只要对置的通信装置是作 为在发生交错的情况下的应对措施而进行相同安装的装置,就能对MAC
地址或IP地址等的装置固有的值的大小进行比较,并根据该比较结果在交错发生后立即决定成为发起者的装置,因而可使IKE成功,可建立SA。 并且,预先决定哪个通信装置使作为发起者的IKE有效,可在双向 的IKE结束后决定使用2个SA中的哪一方。
图1是示出应用本发明的通信系统的结构例的图。图2是示出通信装置的第1动作例的图。图3是示出通信装置的第2动作例的图。图4是示出通信装置的第3动作例的图。图5是示出通信装置的另一动作例的图。图6是示出通信装置的另一动作例的图。标号说明10、 12:通信装置;20、 22:等待计时器。
具体实施方式
下面参照附图详细说明本发明的通信路径建立方法的实施例。参照 图1,示出在2个通信装置10、 12之间建立开始加密通信时的通信路径 的通信系统14中的通信进程。本实施例中的通信装置10和通信装置12 在经由IP网进行IPsec (Security Architecture for Internet Protocol,互联网 协议安全体系结构)通信时形成用于进行加密通信的通信路径。另外,IP 网可以是有线的,也可以是无线的。通信装置10、 12具有在开始加密通信时将ISAKMP(Internet Security Association And Key Management Protocol,互联网安全关联和密钥管理协 议)分组发送到对置的通信装置12的功能。通过进行该分组的收发来生 成IKE (Internet Key Exchange,互联网密钥交换)用的SA (Security Association,安全关联),即IKE SA。 IKE是决定在使用SA的加密通信 中使用的加密方式、认证方式、加密密钥和认证密钥等的进程。通信装置10、 12在所生成的IKESA上分别生成收发用的密钥,并 在通信装置间交换所生成的密钥。当进行密钥交换使得KE成功时,建 立通信装置10、 12间的SA。利用由该IKE建立的SA,通信装置10、 12开始IPsec通信。此时,通信装置IO、 12中的一方生成IPsec用的发 送用SA,另一方生成IPsec用的接收用SA,执行IPsec的分组通信。在本实施例中,在通信装置10侧具有以下功能。另外,在对置的通 信装置12侧也具有相同功能。通信装置10具有等待计时器20,该等待计时器20设定在继发送第 1个ISAKMP报文后到发送第2个ISAKMP报文为止的时间,并对该时 间进行计时。另外,通信装置12也具有相同的等待计时器22。通信装置10进行将第2个ISAKMP报文的等待计时器的计时值加 上或减去随机值的任一处理,使该等待计时器的长度、即设定时间发生 变化。该随机值将自身的通信装置10的MAC (Media Access Control, 介质访问控制)地址或IP地址等那样的不能成为与设定在对置的通信装 置12的等待计时器内的值相同的值的值作为随机数产生的种子,采用根 据随机数产生函数等而产生的值。在通信装置12的等待计时器22内可 以不对该随机值进行加减运算。通信设备10还具有这样的功能,即在发送第1个ISAKMP报文 并作为发起者处于等待来自对置的通信装置12的第2个ISAKMP报文的 状态时,在从通信装置12接收到第1个ISAKMP报文的情况下,判断为 发生交错。通信设备10具有这样的状态管理功能,即当识别出发生交 错时,作为处于等待第1个ISAKMP报文或第2个ISAKMP报文的状态, 变更自己的通信装置10的状态。在可接收第1个和第2个这两个ISAKMP报文的状态下,通信装置 10具有处于等待对置的通信装置12的下一动作的等待状态的等待功能。 在该等待状态时,通信装置10不停止等待计时器20的计时动作,继续 计数。根据以上那样的结构,说明本实施例中的通信系统的动作。首先, 当通信装置10处于发送第1个ISAKMP报文并作为发起者等待第2个 ISAKMP报文的状态时,通信装置10从对置的通信装置12接收第1个
ISAKMP报文,因此,在通信装置10处于等待第1个ISAKMP报文或第 2个ISAKMP报文的状态的情况下,根据从对置的通信装置12发送的报 文或者由通信装置10设定的第2个ISAKMP报文的等待计时器20的超 时,执行以下第1至第3动作。第1动作是,如图2的步骤S200所示,从通信装置10、 12之间的 SA未建立的状态起,开始进行从通信装置10向通信装置12的IP分组 发送动作(步骤S202),与此相反,开始进行从通信装置12向通信装置 IO的IP分组发送动作(步骤S204)。从通信装置10发往通信装置12的第1分组的ISAKMP报文在步骤 S206中被发送,之后,通信装置10处于等待第2个ISAKMP报文的状 态(步骤S208)。当该ISAKMP报文发送完成时,通信装置10开始进行 第2个ISAKMP报文的等待计时器20的计时。在该等待计时器20中, 对随机值进行加法或减法运算。并且,从通信装置12发往通信装置10的第1分组的ISAKMP报文 在步骤S210中被发送,之后,通信装置12处于等待第2个ISAKMP报 文的状态(步骤S212)。当该ISAKMP报文发送完成时,通信装置12开 始进行第2个ISAKMP报文的等待计时器22的计时。在通信装置10中,对等待第2个ISAKMP报文的状态进行变更, 而成为等待第1个和第2个ISAKMP报文的状态(步骤S214)。在该状 态时,在从对置的通信装置12接收到第1个ISAKMP报文的情况下(步 骤S216),通信设备IO从发起者变更为响应者(步骤S218),将第2分 组的ISAKMP报文发送到通信装置12 (步骤S220),转移到等待第3个 ISAKMP报文的状态(步骤S222)。然后进到步骤S224,从对置的通信 装置12发送第3分组的ISAKMP报文,该报文由通信装置IO接收。结 果,通信装置IO、 12之间的IKE成功,在作为发起者的通信装置12和 成为响应者的通信装置10之间建立SA (步骤S226),之后进行IPsec通 信。如上所述,在与通信设备10对置的通信装置12未安装利用等待计 时器22对随机值进行加减运算的结构的情况下,如步骤S216所示,即
使在将第1个ISAKMP报文重发到通信装置10的情况下,通信装置10 自身也切换成作为响应者进行动作,从而可使IKE成功。下面参照图3说明第2动作。第2动作是以下情况下的动作,即 当通信装置10处于等待第1个ISAKMP报文或第2个ISAKMP报文的 状态时,从对置的通信装置12接收第2个ISAKMP报文。第2动作由于可以是与图2所示的步骤S200 步骤S214的动作相 同的动作,因而用相同的参照标号表示。如图3所示,当继作为与通信 装置10对置的通信装置12的动作的步骤S212后进到步骤S300时,重 视与通信装置12对置的通信装置10,将通信装置12自身从发起者切换 变更为响应者。之后,通信装置12将第2分组的ISAKMP报文发送到通 信装置IO (步骤S302),转移到等待第3个ISAKMP报文的状态(步骤 S304)。然后进到步骤S306,从通信装置10发送第3分组的ISAKMP报 文,该报文由通信装置12接收。然后,通信设备10在作为发起者的状 态下,送出第3个ISAKMP报文,转移到等待第4个ISAKMP报文的状 态(步骤S308)。结果,通信装置IO、 12之间的IKE成功,在作为发起者的通信装置 IO和成为响应者的通信装置12之间建立SA(步骤S308),之后进行IPsec通信。如上所述,通信设备12在等待第2个ISAKMP报文的状态下从对 置的通信设备10接收到第1个ISAKMP报文的情况下,重视与通信装置 12对置的通信装置10,在通信设备12进行了作为响应者发送第2个 ISAKMP报文这样的安装的情况下,通信设备IO对应作为响应者的通信 设备12的动作而进行动作,从而可使KE成功。下面参照图4说明第3动作。第3动作例如是这样的情况,即如 针对第2个ISKMP报文从等待计时器20的值中减去随机值、并将该运 算结果设定在等待计时器内的情况等那样,与通信装置12侧的等待计时 器22的设定值相比通信装置10侧的等待计时器20的设定值被设定为短 的时间。在该情况下,当等待计时器20的计时经过设定时间才结束时, 则为超时。在该超时之际,等待计时器20再次重复计时。
在图4中,由于可以是与图3所示的步骤S200 步骤S214的动作 相同的动作,因而用相同参照标号表示。如图4所示,当处于等待第1 个或第2个ISAKMP报文的状态时(步骤S214),如果通信装置10的等 待计时器20比对置的通信装置12先超时,则通信装置10在发起者的状 态下将第1分组的ISAKMP报文重新发送到发送装置12 (步骤S400)。 并且,等待计时器20重新开始计时。在该情况下,通信装置IO维持发 起者的状态,并且仍处于等待第1个或第2个ISAKMP报文的状态,状 态不变更(步骤S402)。然后进到步骤S404,当对置的通信装置12发送了第1分组的 ISAKMP报文时,通信设备10进行与上述的第1动作相同的动作,在对 置的通信装置12发送了第2分组的ISAKMP报文的情况下,通信装置 10通过进行与上述第2动作相同的动作,可使IKE成功(步骤S406)。如以上说明那样,在双方的通信装置10、 12在相同的定时作为发起 者进行动作、并且第1个ISAKMP报文在通信路径上发生交错的情况下, 即使接收到期望从对置的通信装置发送分组的意思的报文以外的报文, 也能通过使至少一方通信装置具有可对该报文进行响应的状态,从而与 在发生相互对置的通信装置的分组交错的情况下的应对安装方法无关, 对置的通信装置也能发送期望的报文,可使IKE成功,可建立SA。特别是,通过安装具有这样的状态的进程,即在等待来自对置的 通信装置的分组的状态时,使自己的通信装置的分组等待计时器根据随 机值以随机间隔保持,而且期望从对置的通信装置发送的分组的顺序以 外的分组也由自身的通信装置接收,由此,即使在发生分组交错的情况 下,最终也能使分组交换成功。下面说明应用本发明的通信系统的另一实施例。在本实施例中的通 信系统中,当发生分组交错时,将对置的通信装置IO、 12的MAC地址 或IP地址等那样的与对置装置不同的值分别进行比较,根据这些值的大 小来决定通信装置是仍作为发起者还是变更为响应者进行动作。在本实施例中,对通信装置10的MAC地址(或IP地址)比通信装 置12的MAC地址(或IP地址)大的情况的动作例进行说明。 如图5所示,步骤S200 步骤S212的动作可以是与图2所示的相 同参照标号的动作相同的动作。当步骤S208、 S212中的通信装置10、 12 处于分别发送第1分组的ISAKMP报文、并作为发起者等待第2个 ISAKMP报文的状态时,在从对置的通信装置接收到第1个ISAKMP报 文的情况下,通信装置10、 12分别对对置装置的MAC地址或IP地址的 大小等进行比较。具有比对置装置大的值的通信装置10仍作为发起者等待第2个 ISAKMP报文(步骤S500)。反之,具有比对置装置小的值的通信设备 12变更为响应者,将第2分组的ISAKMP报文发送到通信装置10 (步骤 S504)。然后,通信装置12转移到等待第3个ISAKMP报文的状态(步 骤S506)。然后,通信装置10将第3分组的ISAKMP报文发送到通信装置12 (步骤S508),并转移到等待第4个ISAKMP报文的状态(步骤S510)。 如上所述,第1分组的ISAKMP报文的交错被消除,能使IKE成功。 在通信装置IO、 12的双方以相同定时作为发起者进行动作,并且第 1分组的ISAKMP报文发生交错的情况下,只要对方的通信装置是执行 作为在发生交错的情况下的应对措施而进行相同动作的安装的装置,就 能通过将自身装置的MAC地址或IP地址等的设备固有值的大小进行比 较,在交错发生后立即决定成为发起者的设备,可使IKE成功,可建立 SA。这样,安装以下的进程,即通过将MAC地址、IP地址等不能成 为彼此相同的值的不同值在对置通信装置和自身通信装置之间进行大小 比较,从而在接收到期望从对置装置发送的分组的顺序以外的分组的情 况下,在分组的交换开始时判断是否受理该分组。结果,即使在发生分 组交错的情况下,也能使分组的交换成功。在上述实施例中,对MAC地址或IP地址小的一方的通信装置变更 为响应者、大的一方仍为发起者的例子作了说明,然而不限于此,也可 以这样决定,即MAC地址或IP地址大的一方变更为响应者、小的一 方仍为发起者。这样,两通信装置IO、 12之间可以是相同决定的安装方 法。下面说明应用本发明的通信系统的另一实施例。在本实施例中的通信系统中,形成如下当发生分组交错时,实施双向的IKE,在IKE的 分组交换途中或结束时,将对置的通信装置的MAC地址或IP地址等的 与对置装置不同的值进行比较来判断值的大小,根据该判断结果决定将 哪个通信装置使发起者(或响应者)的IKE作为IPsec通信路径有效。如图6所示,步骤S200 步骤S212的动作可以是与图2所示的相 同参照标号的动作相同的动作。步骤S208、 S212中的通信装置10、 12 在分别发送第1分组的ISAKMP报文后,分别转移到等待第2个ISAKMP 报文的状态。此时,通信装置IO、 12都作为发起者进行动作。接收到第1分组的ISAKMP报文的发送装置10、 12分别作为响应 者开始动作。从通信装置10、 12分别发送第2分组的ISAKMP报文(步 骤S600、 S602),通信装置IO、 12分别转移到等待第3个ISAKMP报文 的状态(步骤S604、 S606)。接收到第2分组的ISAKMP报文的发送装置10、 12分别作为发起 者开始动作。从通信装置10、 12分别发送第3分组的ISAKMP报文(步 骤S608、 S610),通信装置IO、 12分别转移到等待第4个ISAKMP报文 的状态(步骤S612、 S614)。然后,接收到第3分组的ISAKMP报文的发送装置10、 12分别作 为响应者开始动作。从通信装置10、 12分别发送第4分组的ISAKMP报 文(步骤S616、 S618),通信装置10、 12分别转移到等待第5个ISAKMP 报文的状态(步骤S620、 S622)。这样,在两通信装置IO、 12之间,在第1个ISAKMP报文发生交 错的情况下,实施双向的IKE。在双向的IKE交换途中或者双向的IKE 成功后建立2个SA (步骤S624),之后决定将哪个设备作为发起者或响 应者而将建立的SA用于IPsec通信。在进行该决定时,可使用对置的通 信装置的MAC地址或IP地址等不能成为与对置装置彼此相同的值的不 同值来进行判断。在图示的例子中,可将对置的通信装置的例如MAC地址进行比较,
使在大的一方的通信装置10作为发起者进行了动作的IKE中建立的SA 有效,可在IPsec通信中使用该SA。如上所述,在双方的通信装置以相同定时作为发起者进行动作,并 且第1个ISAKMP报文发生交错的情况下,在对方的通信装置是作为在 发生交错的情况下的应对措施执行与自身通信装置相同的安装的设备的 情况下,通过将MAC地址等那样的附给设备的固有值的大小进行比较, 预先决定哪个通信装置使作为发起者时的IKE有效,在双向的IKE结束 后,可决定选择2个SA中的哪一方来使用。这样,安装以下的进程,.即通过将MAC地址、IP地址等那样的 不同值在自身通信装置和对置的通信装置之间进行大小比较,在自身装 置中接收到期望从对置装置发送的分组的顺序以外的分组的情况下,在 分组的交换中或者在分组的交换结束后判断是否受理该分组。结果,即 使在发生分组交错的情况下,最终也能使分组交换成功。在以上说明的各实施例中,对在IKE中建立在将IP分组加密来进行 通信的IPsec通信中使用的通信路径的方法作了说明,然而本发明不限于 此。例如在进行加密通信的通信装置中,可将本发明应用于按照与对置 装置之间的协商等的进程来生成通信路径的所有装置。
权利要求
1. 一种通信路径建立方法,其建立第1通信装置和对置的第2通信装置之间的通信路径,其特征在于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发送的分组;计时装置,其以随机间隔保持分组等待计时器,该分组等待计时器对等待所述分组的时间进行计时;接收装置,其接收除期望从第2通信装置发送的分组的顺序以外的分组;受理装置,其受理所述分组;以及建立装置,其根据在该受理装置中所受理的分组来建立通信路径。
2. 根据权利要求1所述的通信路径建立方法,其特征在于,在所述 等待装置中,在从第1通信装置向第2通信装置发送的第1分组和从第2 通信装置向第1通信装置发送的第2分组发生分组交错的情况下,第1 通信装置等待第2分组。 '
3. 根据权利要求1所述的通信路径建立方法,其特征在于,所述分 组是用于建立用于进行加密通信的通信路径的分组。
4. 一种通信路径建立方法,其建立第1通信装置和对置的第2通信 装置之间的通信路径,其特征在于,该方法包含等待装置,其等待从第2通信装置向第1通信装置发送的分组; 接收装置,其接收除期望从第2通信装置发送的分组的顺序以外的 分组;比较装置,其对设定在第1通信装置和第2通信装置内的彼此不同 的值的大小进行比较;受理装置,其受理所述分组;以及建立装置,其根据在该受理装置中所受理的分组来建立通信路径, 当在所述接收装置中由第1通信装置接收到除期望从第2通信装置发送的分组的顺序以外的分组时,在所述受理装置中根据所述比较装置的大小比较结果来判断是否受理所述分组。
5. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受理装置中,在分组的交换开始时判断是否受理所述分组。
6. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受理装置中,在该分组的交换过程中判断是否受理所述分组。
7. 根据权利要求4所述的通信路径建立方法,其特征在于,在所述 受理装置中,在该分组的交换结束后判断是否受理所述分组。
8. —种通信路径建立装置,其建立第1通信装置和对置的第2通信 装置之间的通信路径,其特征在于,该装置包含等待单元,其等待从第2通信装置向第1通信装置发送的分组; 计时单元,其以随机间隔保持分组等待计时器,该分组等待计时器对等待所述分组的时间进行计时;接收单元,其接收除期望从第2通信装置发送的分组的顺序以外的分组;受理单元,其受理所述分组;以及建立单元,其根据在该受理单元中所受理的分组来建立通信路径。
9. 根据权利要求8所述的通信路径建立装置,其特征在于,在所述 等待单元中,在从第1通信装置向第2通信装置发送的第1分组和从第2 通信装置向第1通信装置发送的第2分组发生分组交错的情况下,第1 通信装置等待第2分组。
10. 根据权利要求8所述的通信路径建立装置,其特征在于,所述 分组是用于建立用于进行加密通信的通信路径的分组。
11. 一种通信路径建立装置,其建立第1通信装置和对置的第2通 信装置之间的通信路径,其特征在于,该装置包含等待单元,其等待从第2通信装置向第1通信装置发送的分组; 接收单元,其接收除期望从第2通信装置发送的分组的顺序以外的 分组;比较单元,其对设定在第1通信装置和第2通信装置内的彼此不同 的值的大小进行比较;受理单元,其受理所述分组;以及建立单元,其根据在该受理单元中所受理的分组来建立通信路径, 当在所述接收单元中由第1通信装置接收到除期望从第2通信装置发送的分组的顺序以外的分组时,所述受理单元根据所述比较单元的大小比较结果来判断是否受理所述分组。
12. 根据权利要求ll所述的通信路径建立装置,其特征在于,所述受理单元在分组的交换开始时判断是否受理所述分组。
13. 根据权利要求ll所述的通信路径建立装置,其特征在于,所述 受理单元在该分组的交换过程中判断是否受理所述分组。
14. 根据权利要求ll所述的通信路径建立装置,其特征在于,所述 受理单元在该分组的交换结束后判断是否受理所述分组。
全文摘要
本发明提供一种建立在进行加密通信时的通信路径的通信路径建立方法。在该方法中,在经由IP网建立通信装置(10、12)之间的通信路径时,在等待从第2通信装置向第1通信装置发送的ISAKMP报文的分组时,借助分组等待计时器以随机间隔对等待分组的时间进行计时,当接收到除期望从第2通信装置发送的分组的顺序以外的分组时,受理该分组,从而建立通信路径。
文档编号H04L29/06GK101399831SQ20081013396
公开日2009年4月1日 申请日期2008年7月18日 优先权日2007年9月27日
发明者山野凉子 申请人:冲电气工业株式会社