JP2003318992A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2003318992A5 JP2003318992A5 JP2002125261A JP2002125261A JP2003318992A5 JP 2003318992 A5 JP2003318992 A5 JP 2003318992A5 JP 2002125261 A JP2002125261 A JP 2002125261A JP 2002125261 A JP2002125261 A JP 2002125261A JP 2003318992 A5 JP2003318992 A5 JP 2003318992A5
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- data
- terminal device
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Description
【発明の名称】ゲートウェイ、通信端末装置、および通信制御プログラム
【特許請求の範囲】
【請求項1】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側の通信制御プログラム。
【請求項2】無線ネットワークを経由して通信を行うための通信端末装置側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側の通信制御プログラム。
【請求項3】前記ゲートウェイのアドレスを取得する際には、前記無線ネットワークに対して前記ゲートウェイがブロードキャストで定期的に送信しているメッセージから、前記アドレスを取得することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項4】前記ゲートウェイのアドレスを取得する際には、他のサーバから前記ゲートウェイのアドレスを取得することにより、前記通信端末装置と前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に決定することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項5】前記認証方式と前記暗号化規則と復号規則の決定は、前記アドレスの取得時において前記ゲートウェイのアドレス変更を検出した場合、前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に再決定することを特徴とする請求項4記載の通信端末装置側の通信制御プログラム。
【請求項6】前記通信端末装置が複数の通信手段を有する場合、
予めどの通信手段が使用可能であるかを調べ、使用できる通信手段が複数あるときに、その優先順位を前記通信端末装置内に定義し、
前記通信端末装置にて、前記優先順位に従って通信手段を自動選択し、使用する通信手段以外を無効にして、使用する通信手段で前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを決定することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項7】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御方法において、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
ことを特徴とするゲートウェイ側の通信制御方法。
【請求項8】無線ネットワークを経由して通信を行うための通信端末装置側の通信制御方法において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
ことを特徴とする通信端末装置側の通信制御方法。
【請求項9】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイにおいて、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信する接続確認部と、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する通信経路自動確立部と、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とするゲートウェイ。
【請求項10】無線ネットワークを経由して通信を行うための通信端末装置において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する受信データ処理部と、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する通信経路自動確立部と、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とする通信端末装置。
【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は無線を使用して通信制御を行うゲートウェイ、通信端末装置、および通信制御プログラムに関し、特にデータを送受信する移動可能な通信端末装置と、セキュリティ機能を持つゲートウェイとの間で通信制御を行うゲートウェイ、通信端末装置、および通信制御プログラムに関する。
【0002】
【従来の技術】
近年ハードウェアベンダでは、無線LAN(Wireless Local Area Network)を始めとする無線通信インタフェースを内蔵した、移動する通信端末装置(ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)など)を次々と出荷している。また、従来仕様を高速化したIEEE802.11aやIEEE802.11g(共に、無線LANの標準プロトコル)などをサポートした製品(アクセスポイントやPCカードなど)も登場し、無線通信技術は企業ネットワークのインフラとしての位置を獲得しつつある。
【0003】
このような状況の中で、無線通信技術を企業ネットワークに導入することを考えた場合、セキュリティの確保が不可欠となる。例えば、無線LAN通信のセキュア化技術の主流であるWEP(Wired Equivalent Privacy)は、その脆弱さを露呈してきており,新たなソリューションの開発が望まれている。更に、無線通信を既存の有線による通信と比較した場合の特徴として、無線通信インタフェースを実装した通信端末装置は移動するということが挙げられる。
【0004】
このため、無線通信技術を企業に導入する際のセキュリティを保つ手段として、従来は、無線ネットワークと既存の有線ネットワークとの間にセキュリティを確保するためのゲートウェイコンピュータを設置することが考えられる。また、通信端末装置が移動するということは、インターネットを介してのファイアウォール間、あるいは、クライアントとファイアウォール間におけるVPN(Virtual Private Network)通信と異なり、通信端末装置がセキュアな通信経路を確立する必要があるゲートウェイコンピュータが変化するということを意味する。
【0005】
【発明が解決しようとする課題】
しかしながら、従来のような技術では、通信端末装置の移動に際し、ゲートウェイコンピュータが変化する度に通信環境の設定やシステムのリブートをユーザが手動操作で設定しなければならなかった。そのため、このような設定をユーザに強いるようでは通信端末装置本来の価値を失ってしまう。以下、このような点を具体的に示す。
【0006】
(1)通信端末装置のサブネットを跨いだ移動に伴い、ゲートウェイコンピュータのアドレスは変化する。この場合、通信端末装置がゲートウェイコンピュータのアドレスを更新し、セキュア(安全)な通信経路を確立するためには、OSのリブートや手動による通信環境の再設定が必要となる。
【0007】
(2)通信端末装置がゲートウェイコンピュータのサービスエリアから離れた場合、サービスエリアから離れたことを迅速に検出する手段がないため、ユーザはリカバリ処理に時間を要する。
【0008】
(3)複数の通信インタフェースを実装している通信端末装置において、有効/無効にするインタフェースを決定する手段が無いため、ユーザは状況に適したインタフェースの選択ができない。また、通信にオーバヘッドが生じる。さらに、有効なインタフェースの選択や、セキュアな通信経路の確立には、ユーザは手動による通信環境の設定が必要となる。
【0009】
本発明はこのような点に鑑みてなされたものであり、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができる通信制御方法、ゲートウェイ、通信端末装置、および通信制御プログラムの提供を目的とする。
【0010】
【課題を解決するための手段】
本発明では上記課題を解決するために、図1に示すようなゲートウェイ側の通信制御プログラムが提供される。本発明のゲートウェイ側の通信制御プログラムは、無線ネットワークと他のネットワークとの間で送受信されるデータを中継する場合に適用される。
【0011】
本発明では、前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、ブロードキャストで定期的に送信する(ステップS1)。また、前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する(ステップS3)。そして、前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する(ステップS4)。すなわち、ゲートウェイコンピュータ30は、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、通信端末装置10に対してブロードキャストで一定時間間隔に送信する。また、ゲートウェイコンピュータ30は、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、この認証方式に従い互いを認証することでセキュアな通信経路を確立する。そして、ゲートウェイコンピュータ30は、通信端末装置10宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由で通信端末装置10に対して送信する。逆に、ゲートウェイコンピュータ30は、無線ネットワーク経由で通信端末装置10から受信した別の暗号データを、復号規則で復号することでデータ通信を行う。
【0012】
このようなゲートウェイ側の通信制御プログラムによれば、ゲートウェイコンピュータ30により、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10に対してブロードキャストで一定時間間隔に送信される。また、ゲートウェイコンピュータ30により、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信が行われ、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、互いを認証することでセキュアな通信経路が確立される。そして、ゲートウェイコンピュータ30により、通信端末装置10宛のデータが暗号化規則に従って暗号化されて無線ネットワーク経由で通信端末装置10へ送信される。逆に、ゲートウェイコンピュータ30により、無線ネットワーク経由で通信端末装置10から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0013】
また、上記課題を解決するために、図1に示すような通信端末装置側の通信制御プログラムが提供される。本発明の通信端末装置側の通信制御プログラムは、無線ネットワークを経由してデータ通信を行う場合に適用される。
【0014】
本発明では、前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する(ステップS2)。また、取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する(ステップS3)。そして、他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する(ステップS4)。すなわち、通信端末装置10は、無線ネットワークによる通信可能範囲に入ると、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスを取得する。また、通信端末装置10は、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、この認証方式に従い互いを認証することでセキュアな通信経路を確立する。そして、通信端末装置10は、他のコンピュータ宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由でゲートウェイコンピュータ30へ送信する。逆に、通信端末装置10は、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データを、復号規則で復号することでデータ通信を行う。
【0015】
このような通信端末装置側の通信制御プログラムによれば、通信端末装置10が無線ネットワークによる通信可能範囲に入ると、通信端末装置10により、無線ネットワーク経由でセキュリティ機能を有するゲートウェイコンピュータ30のアドレスが取得される。また、通信端末装置10により、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信が行われ、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、互いを認証する。そして、通信端末装置10により、他のコンピュータ宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由でゲートウェイコンピュータ30へ送信される。逆に、通信端末装置10により、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0016】
その結果、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の原理構成図である。本発明に係わるゲートウェイ側の通信制御プログラムは、無線ネットワークと他のネットワークとの間で送受信されるデータを中継する場合に適用される。また、本発明の通信端末装置側の通信制御プログラムは、無線ネットワークを経由してデータ通信を行う場合に適用される。以下、これらの2つのプログラムの手順をステップ番号に沿って、組み合わせて説明する。
【0018】
図1によると、本発明では、無線ネットワークを経由してデータ通信を行う通信端末装置10と、無線ネットワークと他のネットワークとの間で送受信されるデータを中継するゲートウェイ(以下、ゲートウェイコンピュータと称する)30との間においてデータ通信を行う手順を示している。
【0019】
まず、ゲートウェイコンピュータ30は、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、通信端末装置10に対してブロードキャストで一定時間間隔に送信する(ステップS1)。
【0020】
次に、通信端末装置10は、無線ネットワークによる通信可能範囲に入ると、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスを取得する(ステップS2)。また、通信端末装置10は、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定する(以下、暗号化規則と復号規則の決定、あるいは相互認証等のセキュア化技術を総じて、セキュアな通信経路の確立と定義する)。一方、ゲートウェイコンピュータ30は、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信を行い、互いに通信するデータのセキュアな通信経路を確立する(ステップS3)。
【0021】
そして、ゲートウェイコンピュータ30は、通信端末装置10宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由で通信端末装置10に対して送信する。また、ゲートウェイコンピュータ30は、無線ネットワーク経由で通信端末装置10から受信した別の暗号データを復号規則で復号することでデータ通信を行う。一方、通信端末装置10は、他のコンピュータ宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由でゲートウェイコンピュータ30へ送信する。また、通信端末装置10は、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データを、復号規則で復号することでデータ通信を行う(ステップS4)。
【0022】
このように本発明では、ゲートウェイコンピュータ30により、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10に対してブロードキャストで一定時間間隔に送信される。
【0023】
また、通信端末装置10が無線ネットワークによる通信可能範囲に入ると、この通信端末装置10により、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスが取得される。また、通信端末装置10により、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。一方、ゲートウェイコンピュータ30により、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。
【0024】
そして、ゲートウェイコンピュータ30により、通信端末装置10宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由で通信端末装置10に対して送信される。また、ゲートウェイコンピュータ30により、無線ネットワーク経由で通信端末装置10から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。一方、通信端末装置10により、他のコンピュータ宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由でゲートウェイコンピュータ30へ送信される。また、通信端末装置10により、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0025】
これにより、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0026】
以下に、本発明の実施の形態について具体的に説明する。
まず、本発明の実施の形態を適用したシステムについて、図2を参照して説明する。
【0027】
図2は、本発明の実施の形態を適用したシステム構成図である。なお、以下の実施の形態は、IP(Internet Protocol)による通信システムに本発明を適用したものである。
【0028】
本発明の実施の形態は、無線通信インタフェースを有する通信端末装置10a〜10f、無線通信インタフェースを有する複数のLANノード(中継装置20a,アクセスポイント20b)、セキュリティ機能を実装したゲートウェイコンピュータ30a、および、各装置のIPアドレスを動的に割り当てるDHCPサーバ40から構成されるLANシステムにおいて適用される。このLANシステムは、ゲートウェイコンピュータ30aにより全体のネットワークが論理的に分断され、サブネットAが構成されている。このサブネットAは、ゲートウェイコンピュータ30aの管理配下のネットワークである。また、サブネットBは、他のゲートウェイコンピュータの管理配下のネットワークである。なお、通信端末装置10のIPアドレスは、固定ではなくDHCP(Dynamic Host Configuration Protocol)サーバにより動的に割り当てられる。また、通信端末装置10のIPアドレスは、PPP(Point-to-Point Protocol)プロトコルのIPCP(Internet Protocol Control Protocol)機能をもったリモート・アクセス・サーバ(Remote Access Server)などにより自動的に割り当てられる。ここで、サブネットA内には、中継装置20a、アクセスポイント20b、通信端末装置10e、および通信端末装置10fが存在し、それらがLAN90aを介してゲートウェイコンピュータ30aに接続され、且つサブネット固有のセキュアな通信経路が確立されている。なお、LAN(Local Area Network)90aは、複数のコンピュータが互いに通信可能な有線通信手段であればどのようなものでもよい。
【0029】
通信端末装置10a及び通信端末装置10bは、WAN90bに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10a及び通信端末装置10bは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、WAN(Wide Area Network)90bは、中継装置20aが遠隔地のコンピュータとの間においてデータ通信が可能であればどのようなものでもよい。また、通信端末装置10a及び通信端末装置10bの詳細については、図3にて後述する。
【0030】
通信端末装置10c及び通信端末装置10dは、無線LAN90cに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10c及び通信端末装置10dは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、無線LAN90cは、アクセスポイント20bが無線により接続されたコンピュータとの間においてデータ通信が可能であればどのようなものでもよい。また、通信端末装置10c及び通信端末装置10dの詳細については、図3にて後述する。
【0031】
通信端末装置10e及び通信端末装置10fは、LAN90aに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10e及び通信端末装置10fは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、通信端末装置10e及び通信端末装置10fの詳細については、図3にて後述する。
【0032】
中継装置20aは、ゲートウェイコンピュータ30aとWAN90bに接続されており、通信端末装置10a又は通信端末装置10bとゲートウェイコンピュータ30aとのデータ通信を中継する。なお、中継装置20aは、2つのネットワークを接続するブリッジやスイッチとして機能すればどのようなものでもよく、例えばルータ(router)やリモート・アクセス・サーバなどである。
【0033】
アクセスポイント20bは、ゲートウェイコンピュータ30aと無線LAN90cに接続されており、通信端末装置10c又は通信端末装置10dとゲートウェイコンピュータ30aとのデータ通信を中継する。なお、中継装置20aは、2つのネットワークを接続するブリッジとして機能すればどのようなものでもよい。
【0034】
ゲートウェイコンピュータ30aは、中継装置20a、アクセスポイント20b、通信端末装置10e、および通信端末装置10fにLAN90aを介して接続されており、サブネットA内のコンピュータ同士、ならびに、サブネットA内のコンピュータと他のサブネット内のコンピュータとのデータ通信を中継する。また、ゲートウェイコンピュータ30aは、セキュアな通信経路確立のためのメッセージをサブネットA内のコンピュータへ一定時間間隔で通知する。なお、ゲートウェイコンピュータ30aの詳細については、図4にて後述する。
【0035】
DHCPサーバ40は、サブネットA内の各装置に接続されており、各装置のIPアドレスを動的に割り当てる。
このような構成によると、例えば、ゲートウェイコンピュータ30aにより、無線LAN90c上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10cに対してブロードキャストで一定時間間隔に送信される。また、ゲートウェイコンピュータ30aにより、メッセージを受信した通信端末装置10cからの要求に応じて通信端末装置10cとの間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。そして、ゲートウェイコンピュータ30aにより、通信端末装置10c宛のデータが暗号化規則に従って暗号化されて無線LAN90c経由で通信端末装置10cへ送信される。逆に、ゲートウェイコンピュータ30aにより、無線LAN90c経由で通信端末装置10cから受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0036】
一方、通信端末装置10cにより、無線LAN90c経由でセキュリティ機能を有するゲートウェイコンピュータ30aのアドレスが取得される。また、通信端末装置10cにより、取得したアドレスに基づきゲートウェイコンピュータ30aとの間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。そして、通信端末装置10cにより、他のコンピュータ(例えばサーバコンピュータ)宛のデータが、暗号化規則に従って暗号化されて無線LAN90c経由でゲートウェイコンピュータ30aへ送信される。逆に、通信端末装置10cにより、無線LAN90c経由でゲートウェイコンピュータ30aから受信した他のコンピュータ(例えばサーバコンピュータ)からの別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0037】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態における通信端末装置10の機能構成について、図3を参照して具体的に説明する。
【0038】
図3は、本発明の実施の形態における通信端末装置の機能ブロック図である。
図3によると、通信端末装置10は、セキュアな通信経路自動確立あるいは通信経路手動確立の選択を行うサービス選択部11、通信デバイスの優先順位による自動選択を行う通信デバイス選択部12、データ通信を行うためのセキュアな通信経路の自動確立を行うセキュアな通信経路自動確立部13、データを送信するデータ送信部14、他のコンピュータとの間で暗号データの送受信を行う暗号化通信部15、メッセージD31と通常データD33と復号されたデータとを受信するデータ受信部16、受信したデータの種別に対応した処理を行う受信データ処理部17、データ通信を行うための通信経路を手動により確立する通信経路手動確立部18、ゲートウェイコンピュータ30のアドレス等の情報を格納するクライアント側管理テーブルM10、および、現在時刻を計時するタイマT10から構成されている。
【0039】
サービス選択部11は、通信デバイス選択部12と通信経路手動確立部18に接続されており、セキュアな通信経路自動確立あるいは通信経路手動確立の選択を行う。ここで、サービス選択部11は、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作する。このサービス選択部11は、例えば電源投入等が行われると、サービス(セキュアな通信経路自動確立)の開始を選択するようにユーザへ促す。そして、ユーザがサービス(セキュアな通信経路自動確立)の開始を選択した場合、通信デバイス選択部12へ制御を移行する。一方、ユーザがサービス(通信経路手動確立)を選択した場合、通信経路手動確立部18へ制御を移行する。
【0040】
通信デバイス選択部12は、サービス選択部11とセキュアな通信経路自動確立部13に接続されており、通信デバイスの優先順位による自動選択を行う。ここで、通信デバイス選択部12は、優先順位テーブル(後述)において、最も高い優先順位が設定された通信デバイスを検索する。さらに、通信デバイス選択部12は、検索した結果、通信デバイスが見つかったかどうかを判定する。そして、通信可能な通信デバイスが存在した場合、セキュアな通信経路自動確立部13へ制御を移行する。一方、通信可能な通信デバイスが存在しない場合、全ての通信デバイスが使用不能であることをTCP/IP層の管理機能へ通知する。この通知により、通信端末装置10は、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに通信エラーを認識させることができる。なお、通信デバイス選択部12の詳細は後述する。
【0041】
セキュアな通信経路自動確立部13は、通信デバイス選択部12、データ送信部14、受信データ処理部17、およびクライアント側管理テーブルM10に接続されており、データ通信を行うための通信経路の自動確立を行う。ここで、セキュアな通信経路自動確立部13は、クライアント側管理テーブルM10のゲートウェイコンピュータ30のアドレスを取得して、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。そして、セキュアな通信経路の確立後に、セキュアな通信経路自動確立部13は、データ送信部14へ制御を移行するとともにセキュアな通信経路が確立したことを知らせる。
【0042】
データ送信部14は、セキュアな通信経路自動確立部13、暗号化通信部15、および通信経路手動確立部18に接続されており、所定のデータを送信する。ここで、データ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、このデータを暗号化通信部15へ渡す。一方、暗号化する必要がない場合には、そのデータを通常データD13として、ネットワーク上に送信する。
【0043】
暗号化通信部15は、データ送信部14とデータ受信部16に接続されており、他のコンピュータとの間で暗号データの送受信を行う。ここで、暗号化通信部15は、セキュアプロトコル層において、データ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。一方、暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0044】
データ受信部16は、暗号化通信部15と受信データ処理部17に接続されており、メッセージD31と通常データD33と復号されたデータとを受信する。ここで、データ受信部16は、TCP/IP層において、暗号化通信部15から渡されたデータを受信して、受信データ処理部17へ渡す。また、データ受信部16は、TCP/IP層において、ゲートウェイコンピュータ30からのメッセージD31を受信する。そして、データ受信部16は、受信したメッセージD31を受信データ処理部17へ渡す。なお、通信端末装置10は、ゲートウェイコンピュータ30のIPアドレスを要求する際に、自身のIPアドレスもDHCPプロトコルによりDHCPサーバ40から再取得することが可能である。この場合、通信端末装置10がDHCPサーバ40に対してゲートウェイコンピュータ30のIPアドレスを要求した後、データ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。
【0045】
受信データ処理部17は、通信経路自動確立部13、データ受信部16、クライアント側管理テーブルM10、およびタイマT10に接続されており、受信したデータの種別に対応した処理を行う。ここで、受信データ処理部17は、ゲートウェイコンピュータ30からセキュアな通信を行うためのメッセージD31を受信すると、メッセージD31に含まれるアドレスを、通信端末装置10との間でセキュリティ通信を行う対向ノードと見なしクライアント側管理テーブルM10に格納(設定)する。その際、受信データ処理部17は、セキュアな通信経路自動確立部13へ制御を移行するとともにメッセージD31を正常に受信処理したことを知らせる。
【0046】
また、受信データ処理部17は、新旧メッセージ(IPアドレス)の比較も行う。この受信データ処理部17は、ゲートウェイコンピュータ30からのメッセージD31を新たに受信すると、以前に受信した、送信元が旧ゲートウェイコンピュータであるメッセージ(IPアドレス)を、クライアント側管理テーブルM10から取得する。さらに、通信端末装置10が別のサブネットへ移動した場合、受信データ処理部17は、取得した、送信元が旧ゲートウェイコンピュータであるメッセージ(IPアドレス)と、新たに受信した新ゲートウェイコンピュータのメッセージD31(IPアドレス)とを比較して、送信元が異なることを検出する。そして、受信データ処理部17は、送信元が異なることが検出されたので、以前とは異なるサブネットに接続したと判断し、クライアント側管理テーブルM10に送信元IPアドレスを格納する。以後、通信端末装置10からの通信は、その新ゲートウェイコンピュータを介して行なう。
【0047】
さらに、受信データ処理部17は接続状態も監視する。この受信データ処理部17は、メッセージD31を受け取ると同時にタイマT10から現在時刻を取得する。また、受信データ処理部17は、取得した現在時刻をクライアント側管理テーブルM10へ格納する。さらに、受信データ処理部17は、現在時刻を格納すると同時にタイマカウンタをリセット(規定値をセット)する。以後、タイマT10からの現在時刻をもとにタイマカウンタをカウントダウンしていく。つまり、受信データ処理部17は、一定時間毎に受信されるゲートウェイコンピュータ30からのメッセージを監視している。そして、受信データ処理部17は、カウントダウンしたタイマカウンタが、一定時間経過して“0”となった場合、ゲートウェイコンピュータ30管理配下のネットワーク離脱と判断する。すなわち、一定時間メッセージD31が受信できなかったので、通信端末装置10は、アクセスポイントのサービスエリア圏外(サポートエリアから離脱)であると判断する。あるいは、通信端末装置10とアクセスポイントとの間の回線は、切断されたと判断する。この結果、受信データ処理部17は、通信端末装置10がネットワークの離脱と判断されたので、ネットワークが切り離され使用不能となったことをTCP/IP層を利用しているアプリケーションソフトウェア等に通知する。
【0048】
そして、受信データ処理部17は、通信デバイスのネットワーク接続可否の確認も行う。まず、通信デバイス選択部12にて新たに通信デバイスが選択された場合、受信データ処理部17は、この通信デバイスにおいて、ゲートウェイコンピュータ30からのメッセージD31の受信を一定時間待ち合わせる。次に、待ち合わせた結果をもとに、受信データ処理部17は、メッセージD31が受信できたかどうかを判定する。ここでメッセージD31が受信できれば、当該通信デバイスが使用可能であること、及びそれ以外の通信デバイスが使用不能であることを、TCP/IP層やセキュアプロトコル層を使用する通信経路自動確立部13、データ送信部14、あるいは他のアプリケーションソフトウェアへ通知する。一方、ここでメッセージD31が受信できなければ、当該通信デバイスが使用できないと判断し、通信デバイス選択部12に制御を移行する。
【0049】
通信経路手動確立部18は、サービス選択部11とデータ送信部14に接続されており、データ通信を行うための通信経路を手動により確立する。ここで、通信経路手動確立部18は、サービス選択部11により通信経路手動確立処理が選択されると、ユーザからの操作入力に応答して通信経路の確立を行い、データ送信部14へ通信経路手動確立処理であることを通知する。
【0050】
クライアント側管理テーブルM10は、セキュアな通信経路自動確立部13と受信データ処理部17に接続されており、ゲートウェイコンピュータ30のアドレス等の情報を格納する。ここで、クライアント側管理テーブルM10には、受信データ処理部17により受信したメッセージD31、暗号データD32を復号したデータ、あるいは通常データD33が格納される。また、クライアント側管理テーブルM10からは、セキュアな通信経路自動確立部13や受信データ処理部17によりゲートウェイコンピュータ30のアドレスが取得される。なお、クライアント側管理テーブルM10の詳細については、図9及び図10にて後述する。
【0051】
このような構成によると、サービス選択部11により、セキュアな通信経路自動確立あるいは通信経路手動確立の選択が行われる。この選択でセキュアな通信経路自動確立処理が指定されると、通信デバイス選択部12により、通信デバイスの優先順位による自動選択が行われる。通信デバイスが自動選択されると、セキュアな通信経路自動確立部13により、データ通信を行うための通信経路の自動確立が行われる。通信経路が確立すると、データ送信部14は、所定のデータを送信する。また、この所定のデータは、暗号化通信部15により、他のコンピュータとの間で暗号データとして送受信される。
【0052】
一方、受信側では、データ受信部16により、メッセージD31と通常データD33と復号されたデータとが受信される。この受信されたデータをもとに、受信データ処理部17により、受信したデータの種別に対応した処理が行われる。
【0053】
また、サービス選択部11で通信経路手動確立処理が指定されると、通信経路手動確立部18により、データ通信を行うための通信経路が手動により確立される。
【0054】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態におけるゲートウェイコンピュータ30の機能構成について、図4を参照して具体的に説明する。
【0055】
図4は、本発明の実施の形態におけるゲートウェイコンピュータの機能ブロック図である。
図4によると、ゲートウェイコンピュータ30は、一定時間間隔でメッセージD31を送信する接続確認部31、データ通信を行うためのセキュアな通信経路の自動確立を行うセキュアな通信経路自動確立部32、データを送信するデータ送信部33、他のコンピュータとの間で暗号データの送受信を行う暗号化通信部34、メッセージD11と通常データD13と復号されたデータとを受信するデータ受信部35、受信したデータの種別に対応した処理を行う受信データ処理部36、通信端末装置10のアドレス等の情報を格納するゲートウェイコンピュータ側管理テーブルM30、および、現在時刻を計時するタイマT30から構成されている。
【0056】
接続確認部31は、タイマT30に接続されており、一定時間間隔でメッセージD31をネットワーク内へ送信する。ここで、例えばゲートウェイコンピュータ30に電源投入等がされると、接続確認部31は、サブネット全体に対し、一定時間間隔でメッセージD31をIPブロードキャストで送信する。
【0057】
セキュアな通信経路自動確立部32は、受信データ処理部36とゲートウェイコンピュータ側管理テーブルM30に接続されており、データ通信を行うためのセキュアな通信経路の自動確立を行う。ここで、セキュアな通信経路自動確立部32は、ゲートウェイコンピュータ側管理テーブルM30の通信端末装置10のアドレスを取得して、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。そして、セキュアな通信経路の確立後に、セキュアな通信経路自動確立部32は、データ送信部33へ制御を移行するとともにセキュアな通信経路が確立したことを知らせる。
【0058】
データ送信部33は、暗号化通信部34と受信データ処理部36に接続されており、所定のデータを送信する。ここで、データ送信部33は、TCP/IP層において、受信データ処理部36から渡されたデータを対向するコンピュータに対して中継するため、そのデータを暗号化通信部34へ渡す。一方、暗号化する必要がない場合には、そのデータを通常データD33として、ネットワーク上に送信する。
【0059】
暗号化通信部34は、データ送信部33とデータ受信部35に接続されており、他のコンピュータとの間で暗号データの送受信を行う。ここで、暗号化通信部34は、セキュアプロトコル層において、通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。また、暗号化通信部34は、セキュアプロトコル層において、データ送信部33により渡されたデータを、暗号化して暗号データD32として対向するコンピュータへ送信する。
【0060】
データ受信部35は、受信データ処理部36に接続されており、メッセージD11と通常データD13と復号されたデータとを受信する。ここで、データ受信部35は、暗号化通信部34から渡されたデータを受信データ処理部36へ渡す。また、通信端末装置10からのメッセージD11又は通常データD13を受信し、受信データ処理部36へ渡す。
【0061】
受信データ処理部36は、セキュアな通信経路自動確立部32、データ送信部33、データ受信部35、およびゲートウェイコンピュータ側管理テーブルM30に接続されており、受信したデータの種別に対応した処理を行う。ここで、受信データ処理部36では、データ受信部35から渡されたデータを他のコンピュータへ中継するためにデータ送信部33へ渡す。また、受信データ処理部36は、通信端末装置10からセキュアな通信を行うためのメッセージD11を受信すると、メッセージD11に含まれるアドレスと認証・暗号化情報とをゲートウェイコンピュータ側管理テーブルM30に格納する。その際、受信データ処理部36は、セキュアな通信経路自動確立部32へ制御を移行するとともに、メッセージD11を正常に受信処理したことを知らせる。
【0062】
ゲートウェイコンピュータ側管理テーブルM30は、セキュアな通信経路自動確立部32と受信データ処理部36に接続されており、通信端末装置10のアドレス等の情報を格納する。ここで、ゲートウェイコンピュータ側管理テーブルM30には、受信されたメッセージD11もしくは通常データD13、あるいは暗号化通信部34で復号されたデータが、受信データ処理部36により格納される。また、ゲートウェイコンピュータ側管理テーブルM30からは、セキュアな通信経路自動確立部32により通信端末装置10のアドレスが取得される。なお、ゲートウェイコンピュータ側管理テーブルM30の詳細については、図11にて後述する。
【0063】
このような構成によると、接続確認部31により、一定時間間隔でメッセージD31がネットワーク内へ送信される。対向する通信端末装置10から通信経路の確立要求があると、セキュアな通信経路自動確立部32により、データ通信を行うための通信経路の自動確立が行われる。受信データ処理部36からデータが渡されると、データ送信部33により、所定のデータが中継送信される。そして、暗号化の必要があれば、暗号化通信部34により、他のコンピュータとの間で暗号データの送受信が行われる。
【0064】
一方、受信側では、データ受信部35により、メッセージD11と通常データD13と復号されたデータとが受信される。この受信されたデータが渡されると、受信データ処理部36では、受信したデータの種別に対応した処理が行われる。
【0065】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態における通信端末装置10とゲートウェイコンピュータ30のハードウェア構成例について、図5を参照して具体的に説明する。なお、通信端末装置10とゲートウェイコンピュータ30は、同様のハードウェア構成により実現可能であり、この図5では、通信端末装置10とゲートウェイコンピュータ30を単にコンピュータ100として表現する。
【0066】
図5は、本発明の実施の形態における通信端末装置及びゲートウェイコンピュータのハードウェア構成例を示す図である。コンピュータ100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive、以下、HDDと称する)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
【0067】
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラム、あるいは各種データが格納される。
【0068】
グラフィック処理装置104には、モニタP111が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタP111の画面に表示させる。入力インタフェース105には、キーボードP112とマウスP113とが接続されている。入力インタフェース105は、キーボードP112やマウスP113から送られてくる信号を、バス107を介してCPU101に送信する。
【0069】
通信インタフェース106は、ネットワーク90に接続されている。ネットワーク90は、例えば、図2で前述したLAN90a、WAN90b、無線LAN90c、あるいは、インターネットのような広域ネットワークである。この通信インタフェース106は、ネットワーク90を介して、他のコンピュータとの間でデータの送受信を行う。
【0070】
以上のようなハードウェア構成によって、通信端末装置10とゲートウェイコンピュータ30における本実施の形態の処理機能を実現することができる。たとえば、図3に示したコンピュータの電源が投入されると、HDD103に格納されたOSのプログラムの一部が、RAM102に読み込まれる。そして、CPU101によりOSのプログラムが実行される。これにより、CPU101上でOSの動作が開始する。そして、そのOSによって、本発明の実施の形態における各機能を実現するプログラムが実行管理される。
【0071】
次に、本発明の実施の形態におけるプロトコルスタックの階層構造について、図6を参照して具体的に説明する。
図6は、本発明の実施の形態におけるプロトコルスタックを示す図である。
【0072】
図6によると、まず、通信端末装置10のプロトコルスタックは、下から最下位層にネットワークアダプタP11、セキュアプロトコル層P12、TCP/IP層P13、通信端末装置10上のアプリケーションソフトウェアP14の4階層構造となっている。また、ゲートウェイコンピュータ30のプロトコルスタックは、下から最下位層にネットワークアダプタP31a,P31b、セキュアプロトコル層P32、TCP/IP層P33の3階層構造となっている。なお、セキュアプロトコル層以下の層においては、暗号化されたデータの受け渡しが行われる。
【0073】
次に、通信端末装置10において優先順位選択される通信デバイスについて、図7及び図8を参照して具体的に説明する。
図7は、通信端末装置における通信デバイスの実装例を示す図である。
【0074】
図7によると、通信端末装置10には、通信デバイスMU11a(有線LANカード)、通信デバイスMU11b(無線LANカード)、および通信デバイスMU11c(モデム)が装着されており、それらが通信デバイス選択装置MU12に接続されている。また、この通信デバイス選択装置MU12には、TCP/IP層においてデータの通信制御を行う部位であるTCP/IP管理部(MU13)が接続されている。さらに、このTCP/IP管理部(MU13)には、本発明の通信制御プログラムを利用するアプリケーションソフトウェアMU14が接続される。
【0075】
一方、通信デバイスMU11a(有線LANカード)には、HUB20cが接続されている。また、通信デバイスMU11b(無線LANカード)には、無線LANアクセスポイント20bが接続されている。さらに、通信デバイスMU11c(モデム)には、ルータ20aが接続されている。そして、これら無線LANアクセスポイント20b、ルータ20a、およびHUB20cには、ゲートウェイコンピュータ30が接続されている。
【0076】
ここで、通信端末装置10の通信デバイス選択装置MU12は、選択する通信デバイスの優先順位テーブルを予め設定保持しており、この優先順位により各通信デバイスを自動的に選択決定する。なお、通信デバイス選択装置MU12は、前述した通信デバイス選択部12により処理される。また、優先順位テーブルの詳細については、図8にて後述する。さらに、通信デバイス選択処理については、図19にて後述する。
【0077】
このような通信デバイスの実装構成により、通信デバイス選択装置MU12が各通信デバイスを優先順位により自動的に選択することができ、所望の通信方式におけるデータ通信を、他のコンピュータやサーバコンピュータとの間で行うことが可能となる。
【0078】
図8は、通信端末装置における通信デバイスの優先順位を示すテーブル構成例である。
図8によると、優先順位テーブルY10には、優先順位、通信デバイス、およびセキュリティの項目がある。これらの各項目には、例えば、優先順位“1”として通信デバイス“有線LAN”、セキュリティ“無”が設定されている。以下同じように、優先順位“2”として通信デバイス“無線LAN”、セキュリティ“有”が設定され、優先順位“3”として通信デバイス“モデム”、セキュリティ“有”が設定されている。
【0079】
このような優先順位により、例えば、図8における全ての通信デバイスがネットワーク接続可能な状態で接続されている場合、通信デバイス選択装置MU12は、優先順位“1”であるので、通信デバイス “有線LAN”を選択する。そして、通信端末装置10は、セキュリティが“無”であるので本実施の形態におけるセキュアな通信経路の確立を行わずに、通常の通信経路の確立を行うことになる。
【0080】
次に、本発明の実施の形態におけるデータ構造について説明する。なお、図9と図10は、前述したクライアント側管理テーブルM10のデータ構造図であり、ここでは便宜上、クライアント側管理テーブルM10aとクライアント側管理テーブルM10bの2つに分けて、それぞれ図9と図10にて説明する。
【0081】
図9は、通信端末装置内に格納されるデータ構造図である。
図9によると、クライアント側管理テーブルM10aは、接続するゲートウェイコンピュータ30におけるセキュアな通信経路を確立するための情報が格納されている。このクライアント側管理テーブルM10aには、接続するゲートウェイコンピュータ30の“アドレス”、通信相手を認証するための“認証アルゴリズム”、データを暗号化する“暗号化アルゴリズム”、データの暗号化に使用する“鍵”、および、鍵を定期的に更新するための“鍵の更新時間”などの項目がある。これらの各項目には、例えば、アドレスとして“w.x.y.z1”、認証アルゴリズムとして“SHA−1(Secure Hashing Algorithm 1)”、暗号化アルゴリズムとして“3DES(triple DES)”、鍵として“xxxxxxxxxx”、および、鍵の更新時間として“180秒”が設定されている。
【0082】
このような情報により、例えば、アドレス“w.x.y.z1”に指定されたゲートウェイコンピュータ30との間において、認証アルゴリズム“SHA−1”、暗号化アルゴリズム“3DES”に基づいたセキュアな通信経路の確立とデータ通信が行われる。なお、このセキュアな通信経路の確立とデータ通信には、鍵“xxxxxxxxxx”が使用され、データの秘匿性が保たれる。また、鍵の更新時間“180秒”として定期的に更新することにより暗号データの強度が保たれる。
【0083】
図10は、タイマのカウント時において、接続する通信端末装置内に格納されるデータ構造図である。
図10によると、クライアント側管理テーブルM10bは、接続するゲートウェイコンピュータ30における接続状態を監視するための情報が格納されている。このクライアント側管理テーブルM10bには、接続するゲートウェイコンピュータ30の“アドレス”、メッセージの受信時刻を示す“受信時刻”、および、受信時刻からの経過時間を示す“タイマカウンタ”の項目がある。これらの各項目には、例えば、アドレスとして“w.x.y.z1”、受信時刻として“12:25:45”、および、タイマカウンタとして“180”が設定されている。
【0084】
このようなクライアント側管理テーブルM10bにより、アドレスに指定されたゲートウェイコンピュータ30との間において、通信端末装置10がゲートウェイコンピュータ30からメッセージを受信した際に、通信端末装置10とゲートウェイコンピュータ30とが接続されていることを監視することができる。ここで、このクライアント側管理テーブルM10bには、通信端末装置10が受信のタイミングにより受信時刻を設定し、タイマカウンタをリセット(規定値にセット)する。また、このクライアント側管理テーブルM10bには、通信端末装置10によりタイマカウンタのカウントダウンが常に続けられて、メッセージ受信によるリセットのタイミングでタイマカウンタに規定値(図10の例では180)がセットされる。そして、このクライアント側管理テーブルM10bのタイマカウンタは、通信端末装置10によりリセット後に再びカウントダウンが続けられて、タイマカウンタが“0”に達したときにタイムアウトと判断される。
【0085】
図11は、接続するゲートウェイコンピュータ内に格納されるデータ構造図である。
図11によると、ゲートウェイコンピュータ側管理テーブルM30は、接続する通信端末装置10におけるセキュアな通信経路を確立するための情報が格納されている。このゲートウェイコンピュータ側管理テーブルM30には、接続する通信端末装置10の“アドレス”、通信相手を認証するための“認証アルゴリズム”、データを暗号化する“暗号化アルゴリズム”、データの暗号化に使用する“鍵”、および、鍵を定期的に更新するための“鍵の更新時間”などの項目がある。これらの各項目には、例えば、アドレスとして“a.b.c.d1”、認証アルゴリズムとして“SHA−1(Secure Hashing Algorithm 1)”、暗号化アルゴリズムとして“3DES(triple DES)”、鍵として“xxxxxxxxxx”、および、鍵の更新時間として“180秒”が設定されている。なお、接続する通信端末装置10は複数設定登録することができ、以下、図11のように設定されている。
【0086】
このような情報により、例えば、アドレス“a.b.c.d1”に指定された通信端末装置10“通信端末装置(1)”との間において、認証アルゴリズム“SHA−1”、暗号化アルゴリズム“3DES”に基づいたセキュアな通信経路の確立とデータ通信が行われる。なお、このセキュアな通信経路の確立とデータ通信には、鍵“xxxxxxxxxx”が使用され、データの秘匿性が保たれる。また、鍵の更新時間“180秒”として定期的に更新することにより暗号データの強度が保たれる。
【0087】
次に、本発明の実施の形態の基本動作について、図12〜図19を参照して具体的に説明する。なお、図12〜図19で送受信されるメッセージは、図3にて前述したメッセージD11を、IPブロードキャストの場合にメッセージA1とし、セキュアな通信経路を確立する場合にメッセージB1,B2に置き換えて説明する。
【0088】
図12は、本発明の実施の形態における通信制御プログラムの全体動作を示すフローチャートである。この処理は、通信端末装置10とゲートウェイコンピュータ30に対して、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作し、CPU101において実行させる処理である。以下、図12の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4をもとに説明する。
【0089】
[ステップS101] まず、ゲートウェイコンピュータ30の接続確認部31は、サブネットA全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0090】
[ステップS102] 通信端末装置10のデータ受信部16では、メッセージA1を受信する。また、受信データ処理部17は、メッセージの送信元IPアドレスがゲートウェイコンピュータ30であると判断し、クライアント側管理テーブルM10に送信元IPアドレスを格納する。以後、通信端末装置10からの通信は、そのゲートウェイコンピュータ30を介して行なう。
【0091】
[ステップS103] 通信端末装置10のセキュアな通信経路自動確立部13は、接続するゲートウェイコンピュータ30のIPアドレスを取得すると、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0092】
[ステップS104] ゲートウェイコンピュータ30のセキュアな通信経路自動確立部32は、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0093】
ここで、ステップS103とステップS104により、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、この認証方式に従い通信端末装置10とゲートウェイコンピュータ30との間で互いが認証されることになる。
【0094】
[ステップS105] 通信端末装置10のデータ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、暗号化通信部15へ渡す。
【0095】
[ステップS106] 通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ステップS105にてデータ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。
【0096】
[ステップS107] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS106にて通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。
【0097】
[ステップS108] ゲートウェイコンピュータ30のデータ受信部35は、暗号化通信部34から渡されたデータを受信データ処理部36へ渡す。このデータを渡された受信データ処理部36では、データを他のコンピュータへ中継するためにデータ送信部33へ渡す。そして、データ送信部33では、対向するコンピュータに対して渡されたデータを送信するため、このデータを暗号化通信部34へ渡す。
【0098】
[ステップS109] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS108にてデータ送信部33により渡されたデータを暗号化して、暗号データD32として対向するコンピュータへ送信する。なお、図12に示す例では、対向するコンピュータは説明の便宜上のため、通信端末装置10としている。
【0099】
[ステップS110] 一方、通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0100】
[ステップS111] 通信端末装置10のデータ受信部16は、TCP/IP層において、ステップS110にて渡されたデータを受信して、受信データ処理部17へ渡す。そして、受信データ処理部17では、渡されたデータをアプリケーションソフトウェア等に渡す。
【0101】
図13は、図12の通信制御プログラムの全体動作において、ゲートウェイコンピュータがデフォルトゲートウェイである場合の例を示すフローチャートである。この処理は、通信端末装置10とゲートウェイコンピュータ30に対して、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作し、CPU101において実行させる処理である。以下、図13の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4をもとに説明する。また、図13には、DHCPサーバ40を図示している。ゲートウェイコンピュータ30がデフォルトゲートウェイである場合には、一般的にこのDHCPサーバ40を設置することによって、DHCPサーバ40を介してゲートウェイコンピュータ30のIPアドレスが取得できる。なお、この例では、DHCPサーバ40を使用して、ゲートウェイコンピュータ30のIPアドレスを取得しているが、他の取得手段でもよい。
【0102】
[ステップS201] まず、通信端末装置10は、DHCPサーバ40に対してゲートウェイコンピュータ30のIPアドレスを要求する。通信端末装置10のデータ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。また、受信データ処理部17は、渡されたゲートウェイコンピュータ30のIPアドレスをクライアント側管理テーブルM10に格納する。以後、通信端末装置10からの通信は、そのゲートウェイコンピュータ30を介して行なう。
【0103】
[ステップS202] 通信端末装置10の通信経路自動確立部13は、接続するゲートウェイコンピュータ30のIPアドレスを取得すると、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0104】
[ステップS203] ゲートウェイコンピュータ30の通信経路自動確立部32は、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0105】
ここで、ステップS202とステップS203により、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、この認証方式に従い通信端末装置10とゲートウェイコンピュータ30との間で互いが認証されることになる。
【0106】
[ステップS204] 通信端末装置10のデータ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、暗号化通信部15へ渡す。
【0107】
[ステップS205] 通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ステップS204にてデータ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。
【0108】
[ステップS206] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS205にて通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。
【0109】
[ステップS207] ゲートウェイコンピュータ30のデータ受信部35は、データ受信部35から渡されたデータを受信データ処理部36へ渡す。このデータを渡された受信データ処理部36では、データを他のコンピュータへ中継するためにデータ送信部33へ渡す。そして、データ送信部33では、対向するコンピュータに対して渡されたデータを送信するため、このデータを暗号化通信部34へ渡す。
【0110】
[ステップS208] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS207にてデータ送信部33により渡されたデータを暗号化して、暗号データD32として対向するコンピュータへ送信する。なお、図13に示す例では、対向するコンピュータは説明の便宜上のため、通信端末装置10としている。
【0111】
[ステップS209] 一方、通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0112】
[ステップS210] 通信端末装置10のデータ受信部16は、TCP/IP層において、ステップS209にて渡されたデータを受信して、受信データ処理部17へ渡す。そして、受信データ処理部17では、渡されたデータをアプリケーションソフトウェア等に渡す。
【0113】
ここで、通信端末装置10があるサブネットから別のサブネットへ移動した場合について、図14〜図16を参照して具体的に説明する。
図14は、本実施の形態を適用したLANシステムにおいて、通信端末装置10が別のサブネットへ移動した場合の例を示す図である。
【0114】
図14によると、サブネットB内には、ゲートウェイコンピュータ30b、アクセスポイント20c、通信端末装置10g,10h(点線)がある。また、サブネットC内には、ゲートウェイコンピュータ30c、アクセスポイント20d、通信端末装置10iがある。
【0115】
このような初期状態において、今、通信端末装置10h(点線)がアクセスポイント20cを経由してゲートウェイコンピュータ30bに接続された状態から、通信端末装置10h(実線)の位置に移動したとする。
【0116】
このとき、図15及び図16のようなフローチャートにより処理が行われる。
図15は、本発明の実施の形態における通信端末装置が移動した場合の全体動作を示すフローチャートである。この処理は、通信端末装置10hがゲートウェイコンピュータ30bの管理するサブネットBを離脱し、ゲートウェイコンピュータ30cの管理する他のサブネットCへ参加したのを契機に動作し、CPU101において実行させる処理である。以下、図15の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図14をもとに説明する。
【0117】
[ステップS301] まず、ゲートウェイコンピュータ30cの接続確認部31は、サブネットC全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0118】
[ステップS302] 移動した通信端末装置10hのデータ受信部16では、TCP/IP層において、ゲートウェイコンピュータ30cからのメッセージA1を受信する。そして、データ受信部16は、受信したメッセージA1を受信データ処理部17へ渡す。
【0119】
[ステップS303] 通信端末装置10hの受信データ処理部17は、以前に受信した、送信元がゲートウェイコンピュータ30bであるメッセージと、新たに受信したメッセージA1とを比較して、送信元が異なることを検出する。また、受信データ処理部17は、ステップS302にて送信元が異なることが検出されたので、以前とは異なるサブネットに接続したと判断する。
【0120】
[ステップS304] 通信端末装置10hは、自身のIPアドレスをDHCPプロトコルによりDHCPサーバ40から再取得した後、以後、使用するゲートウェイコンピュータとしてゲートウェイコンピュータ30cを使用するよう認識する。
【0121】
[ステップS305] 通信端末装置10hは、ステップS304にてゲートウェイコンピュータ30cを使用するよう認識されたので、セキュアな通信経路の確立、およびデータ通信をゲートウェイコンピュータ30cとの間で行う。なお、セキュアな通信経路の確立、およびデータ通信は、図12のステップS103以降の処理と同様であるので、詳細については省略する。
【0122】
図16は、本発明の実施の形態における通信端末装置が移動した場合、且つゲートウェイコンピュータがデフォルトゲートウェイである場合の全体動作を示すフローチャートである。この処理は、通信端末装置10hがゲートウェイコンピュータ30bの管理するサブネットBを離脱し、ゲートウェイコンピュータ30cの管理する他のサブネットCへ参加したのを契機に動作し、CPU101において実行させる処理である。以下、図15の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図14をもとに説明する。
【0123】
[ステップS401] まず、サブネットCに参加してきた通信端末装置10hは、DHCPサーバ40に対してゲートウェイコンピュータ30cのIPアドレスを要求する。通信端末装置10hのデータ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。また、受信データ処理部17は、渡されたゲートウェイコンピュータ30cのIPアドレスをクライアント側管理テーブルM10に格納する。以後、通信端末装置10hからの通信は、そのゲートウェイコンピュータ30cを介して行なう。なお、通信端末装置10hは、上述のゲートウェイコンピュータ30cのIPアドレスを要求する際に、自身のIPアドレスもDHCPプロトコルによりDHCPサーバ40から再取得することが可能である。この図16の例では、自身のIPアドレスは予め再取得されたものと仮定している。
【0124】
[ステップS402] 通信端末装置10hの受信データ処理部17は、以前に受信したゲートウェイコンピュータ30bのアドレスと、新たに受信したゲートウェイコンピュータ30cのアドレスとを比較して、ゲートウェイコンピュータが異なることを検出し、以前とは異なるサブネットに接続したと判断する。以後、使用するゲートウェイコンピュータとしてゲートウェイコンピュータ30cを使用するよう認識する。
【0125】
[ステップS403] 通信端末装置10hは、ステップS402にてゲートウェイコンピュータ30cを使用するよう認識されたので、セキュアな通信経路の確立、およびデータ通信をゲートウェイコンピュータ30cとの間で行う。なお、セキュアな通信経路の確立、およびデータ通信は、図12のステップS103以降の処理と同様であるので、詳細については省略する。
【0126】
このような通信制御手順により、従来技術では、異なるネットワークに接続し直した場合、セキュリティプロトコル(セキュアな通信経路)の再確立のためにOSの再起動などの何らかの手動操作が必要であった。しかし、本発明の実施の形態では、通信端末装置10hにて、ゲートウェイコンピュータ30cからのメッセージを調べることにより、異なるネットワークに接続されたことを自動的に早く検出できるようになった。
【0127】
またここで、通信端末装置10hがアクセスポイント20cを使用できなくなった場合であって、例えばアクセスポイント20cのサービスエリア圏外へ移動した場合等について、図17〜図18を参照して具体的に説明する。
【0128】
図17は、本実施の形態を適用したLANシステムにおいて、通信端末装置がサービスエリア圏外へ移動した場合の例を示す図である。
図17によると、サブネットB内には、ゲートウェイコンピュータ30b、アクセスポイント20c、通信端末装置10g,10h(点線)がある。
【0129】
このような初期状態において、今、通信端末装置10h(点線)がアクセスポイント20c(ここでは、例として無線LAN等)を経由してゲートウェイコンピュータ30bに接続された状態(サポートエリア)から、離脱するなどの原因により、ネットワーク(サブネットB)から切り離されたとする。例えば、図17において、通信端末装置10h(点線)がアクセスポイント20cのサービスエリア圏外である通信端末装置10h(実線)の位置に移動したとする。
【0130】
このとき、図18のようなフローチャートにより処理が行われる。
図18は、本発明の実施の形態における通信端末装置が、サービスエリア圏外に移動した場合の全体動作を示すフローチャートである。この処理は、ゲートウェイコンピュータ30bが管理するサブネットBにおいて、通信端末装置10hがアクセスポイント20cのサービスエリア圏外へ移動したのを契機に動作し、CPU101において実行させる処理である。以下、図18の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図17をもとに説明する。
【0131】
[ステップS501] まず、ゲートウェイコンピュータ30bの接続確認部31は、サブネットB全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0132】
[ステップS502] 移動した通信端末装置10hのデータ受信部16では、TCP/IP層において、ゲートウェイコンピュータ30bからのメッセージA1を受信する。また、データ受信部16は、受信したメッセージA1を受信データ処理部17へ渡す。受信データ処理部17では、メッセージA1を受け取ると同時にタイマT10から現在時刻を取得する。また、受信データ処理部17では、取得した現在時刻をクライアント側管理テーブルM10へ格納する。さらに、受信データ処理部17は、現在時刻を格納すると同時にタイマカウンタをリセット(規定値をセット)する。以後、タイマT10からの現在時刻をもとにタイマカウンタをカウントダウンしていく。つまり、通信端末装置10hは、一定時間毎に中継送信されるアクセスポイント20cからのメッセージを監視している。
【0133】
[ここで、通信端末装置10hがアクセスポイント20cのサービスエリア圏外へ移動する。]
[ステップS503] 再びゲートウェイコンピュータ30bの接続確認部31は、サブネットB全体に対し、メッセージA1をIPブロードキャストで送信する。なお、図18の例では、既に通信端末装置10hがネットワークから離脱しているので、メッセージA1が届かない。
【0134】
[ステップS504] 通信端末装置10hの受信データ処理部17は、ステップS502にてカウントダウンしたタイマカウンタが、一定時間経過して“0”となったので、ネットワークの離脱を判断する。つまり、一定時間メッセージA1が受信できなかったので、通信端末装置10hの移動場所は、アクセスポイント20cのサービスエリア圏外(サポートエリアから離脱)であると判断する。あるいは、通信端末装置10hとアクセスポイント20cとの間の回線は、切断されたと判断する。
【0135】
[ステップS505] 通信端末装置10hの受信データ処理部17は、ステップS503にてネットワークの離脱と判断されたので、ネットワークが切り離され使用不能となったことをTCP/IP層を利用しているデバイスドライバやAPI等に通知する。
【0136】
[ステップS506] TCP/IP層を利用しているデバイスドライバやAPI等はネットワークが切り離され使用不能になったことを受信する。
これにより通信端末装置10hは、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに対して、通信エラーを認識させることができる。そして、これ以降は、通信端末装置10hからの通信は不能となる。
【0137】
従来技術では、通信端末装置10hとゲートウェイコンピュータ30bとの間の接続が絶たれたことを検出する手段がなかったため、通信端末装置10hにおいてリカバリ処理などの動作に移るために通信端末装置10h上で手動操作を行なう必要があった。しかし、本発明の実施の形態では、自動的にゲートウェイコンピュータ30bとの接続の切断を検出できるため、ユーザはリカバリ処理に要する時間を短縮することが可能となる。
【0138】
次に、図7の通信デバイス選択装置MU12、および図3の通信デバイス選択部12における通信デバイス選択処理について、図19を参照して具体的に説明する。
【0139】
図19は、本発明の実施の形態における通信デバイス選択処理の基本動作を示すフローチャートである。この処理は、通信端末装置10にて、通信デバイス選択部12に制御が移行、すなわちサービス選択部11にて通信経路自動確立処理が選択されたのを契機に動作し、CPU101において実行させる処理である。以下、図19の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図3をもとに説明する。
【0140】
[ステップS601] 通信端末装置10の通信デバイス選択部12は、通信デバイスの優先順位テーブルY10のうちで、最も優先順位が高いものを検索する。
【0141】
[ステップS602] 通信デバイス選択部12は、ステップS601にて検索した結果、通信デバイスが見つかったかどうかを判定する。ここで、通信デバイスが見つかった場合には、ステップS603へ進む。また、通信デバイスが見つからない場合には、ステップS604へ進む。
【0142】
[ステップS603] ステップS602にて通信デバイスが見つかったので、通信端末装置10の受信データ処理部17は、この通信デバイスにおいて、ゲートウェイコンピュータ30からのメッセージD31の受信を一定時間待ち合わせる。
【0143】
[ステップS604] ステップS602にて通信デバイスが見つからなかったので、全ての通信デバイスが使用不能であることをTCP/IP層へ通知する。これにより、通信端末装置10は、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに通信エラーを認識させることができる。
【0144】
[ステップS605] 受信データ処理部17は、ステップS603にて待ち合わせた結果、メッセージD31が受信できたかどうかを判定する。ここで、メッセージD31が受信できた場合には、ステップS606へ進む。また、メッセージD31が受信できない場合には、ステップS607へ進む。
【0145】
[ステップS606] ステップS604にてメッセージD31が受信できたので、当該通信デバイスが使用可能であること、及びそれ以外の通信デバイスが使用不能であることをTCP/IP層及びセキュアプロトコル層を使用する通信経路自動確立部13、データ送信部14へ通知する。
【0146】
[ステップS607] ステップS604にてメッセージD31が受信できなかったので、当該通信デバイスが使用できないと判断し、次に優先順位の高い通信デバイスを検索する。
【0147】
[ステップS608] 当該通信デバイスが使用可能であるので、セキュアな通信経路自動確立部13は、セキュアな通信経路の確立を行う。
このような通信制御手順により、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0148】
以上説明した処理は、コンピュータプログラムに記述し、コンピュータで実行することにより、本発明の機能を実現することができる。また、コンピュータで実行する際には、コンピュータ内のハードディスク等にコンピュータプログラムを予め格納しておき、メインメモリにロードして実行する。なお、コンピュータプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録媒体、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録媒体には、ハードディスク、フレキシブルディスク(FD)、ZIP(Zip:磁気ディスクの一種)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(DVD Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(CD Recordable)、CD−RW(CD Rewritable)などがある。光磁気記録媒体には、MO(Magneto Optical Disk)などがある。半導体メモリには、フラッシュ・メモリ(Flash Memory)などがある。
【0149】
また、コンピュータプログラムを流通させる場合には、例えば各コンピュータプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、コンピュータプログラムをサーバの記憶装置に格納しておき、ネットワークを介して、サーバからクライアントへコンピュータプログラムを転送することもできる。
[本実施の形態の効果]
以上説明した本実施の形態の効果について、以下に述べる。
【0150】
(1) 通信開始時(PCのブート時など)に本発明の実施の形態が提供するサービスの開始をユーザに選択させることにより、セキュアな通信経路を介しての通信と、(本発明の実施の形態を使わない)従来環境での通信の双方とを使い分けることが可能となる。
【0151】
(2)通信開始時や、通信端末装置がサブネットを跨いで移動した際、ゲートウェイコンピュータのアドレスの設定/変更やセキュアな通信経路の確立を自動化することにより、環境設定の負担を解消することが可能となる。
【0152】
(3)通信端末装置がゲートウェイコンピュータのサービスエリアから離れたことを迅速に検出することにより、ユーザはリカバリ処理に要する時間を短縮することが可能となる。
【0153】
(4)複数の通信インタフェースを実装している通信端末装置において、装置内で定義した優先順位に従い通信インタフェースを自動で選択することにより、通信インタフェースの変更に伴う通信環境の変更や、セキュアな通信経路の確立を自動化し、ユーザから不可視化することにより、ユーザによる環境設定の負担を解消することが可能となる。
【0154】
(付記1) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側の通信制御プログラム。
【0155】
(付記2) 前記認証方式と前記暗号化規則と復号規則の決定の際には、前記認証方式と前記暗号化規則と復号規則の決定時に受信されるメッセージ内に含まれる前記通信端末装置のアドレスを、装置内部の記憶媒体に格納することを特徴とする付記1記載のゲートウェイ側の通信制御プログラム。
【0156】
(付記3) 前記認証方式と前記暗号化規則と復号規則の決定の際には、前記記憶媒体に格納された前記通信端末装置の前記アドレスをもとに行うことを特徴とする付記2記載のゲートウェイ側の通信制御プログラム。
【0157】
(付記4) 無線ネットワークを経由して通信を行うための通信端末装置側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側の通信制御プログラム。
【0158】
(付記5) 前記メッセージの受信の際には、前記メッセージ内にある前記ゲートウェイの前記アドレスを取得すると共に、前記アドレスを装置内部の記憶媒体に格納することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0159】
(付記6) 前記認証方式と前記暗号化規則と復号規則の決定は、前記記憶媒体に格納された前記ゲートウェイの前記アドレスをもとにして行うことを特徴とする付記5記載の通信端末装置側の通信制御プログラム。
【0160】
(付記7) 前記ゲートウェイのアドレスを取得する際には、前記無線ネットワークに対して前記ゲートウェイがブロードキャストで定期的に送信しているメッセージから、前記アドレスを取得することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0161】
(付記8) 前記ゲートウェイのアドレスを取得する際には、他のサーバから前記ゲートウェイのアドレスを取得することにより、前記通信端末装置と前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に決定することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0162】
(付記9) 前記暗号化規則と復号規則の決定は、前記アドレスの取得時において前記ゲートウェイのアドレス変更を検出した場合、前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に再決定することを特徴とする付記8記載の通信端末装置側の通信制御プログラム。
【0163】
(付記10) 前記通信端末装置が複数の通信手段を有する場合、
予めどの通信手段が使用可能であるかを調べ、使用できる通信手段が複数あるときに、その優先順位を前記通信端末装置内に定義し、
前記通信端末装置にて、前記優先順位に従って通信手段を自動選択し、使用する通信手段以外を無効にして、使用する通信手段で前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを決定することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0164】
(付記11) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御方法において、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
ことを特徴とするゲートウェイ側の通信制御方法。
【0165】
(付記12) 無線ネットワークを経由して通信を行うための通信端末装置側の通信制御方法において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
ことを特徴とする通信端末装置側の通信制御方法。
【0166】
(付記13) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイにおいて、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信する接続確認部と、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する通信経路自動確立部と、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とするゲートウェイ。
【0167】
(付記14) 無線ネットワークを経由して通信を行うための通信端末装置において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する受信データ処理部と、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する通信経路自動確立部と、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とする通信端末装置。
【0168】
(付記15) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側のプログラムを記録したコンピュータ読み取り可能な記録媒体において、
前記コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【0169】
(付記16) 無線ネットワークを経由して通信を行うための通信端末装置側のプログラムを記録したコンピュータ読み取り可能な記録媒体において、
前記コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【0170】
【発明の効果】
以上説明したように本発明では、対向する通信端末装置に対して、ゲートウェイコンピュータから定期的にアドレスを送信し、通信端末装置とゲートウェイコンピュータとの間で認証方式と暗号化規則と復号規則を決定するようにしたので、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することできる。このため、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明の実施の形態を適用したシステム構成図である。
【図3】本発明の実施の形態における通信端末装置の機能ブロック図である。
【図4】本発明の実施の形態におけるゲートウェイコンピュータの機能ブロック図である。
【図5】本発明の実施の形態における通信端末装置及びゲートウェイコンピュータのハードウェア構成例を示す図である。
【図6】本発明の実施の形態におけるプロトコルスタックを示す図である。
【図7】通信端末装置における通信デバイスの実装例を示す図である。
【図8】通信端末装置における通信デバイスの優先順位を示すテーブル構成例である。
【図9】通信端末装置内に格納されるデータ構造図である。
【図10】タイマのカウント時において、接続する通信端末装置内に格納されるデータ構造図である。
【図11】接続するゲートウェイコンピュータ内に格納されるデータ構造図である。
【図12】本発明の実施の形態における通信制御プログラムの全体動作を示すフローチャートである。
【図13】図12の通信制御プログラムの全体動作において、ゲートウェイコンピュータがデフォルトゲートウェイである場合の例を示すフローチャートである。
【図14】本実施の形態を適用したLANシステムにおいて、通信端末装置10が別のサブネットへ移動した場合の例を示す図である。
【図15】本発明の実施の形態における通信端末装置が移動した場合の全体動作を示すフローチャートである。
【図16】本発明の実施の形態における通信端末装置が移動した場合、且つゲートウェイコンピュータがデフォルトゲートウェイである場合の全体動作を示すフローチャートである。
【図17】本実施の形態を適用したLANシステムにおいて、通信端末装置がサービスエリア圏外へ移動した場合の例を示す図である。
【図18】本発明の実施の形態における通信端末装置が、サービスエリア圏外に移動した場合の全体動作を示すフローチャートである。
【図19】本発明の実施の形態における通信デバイス選択処理の基本動作を示すフローチャートである。
【符号の説明】
10 通信端末装置
30 ゲートウェイコンピュータ
M10 クライアント側管理テーブル
M30 ゲートウェイコンピュータ側管理テーブ
【特許請求の範囲】
【請求項1】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側の通信制御プログラム。
【請求項2】無線ネットワークを経由して通信を行うための通信端末装置側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側の通信制御プログラム。
【請求項3】前記ゲートウェイのアドレスを取得する際には、前記無線ネットワークに対して前記ゲートウェイがブロードキャストで定期的に送信しているメッセージから、前記アドレスを取得することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項4】前記ゲートウェイのアドレスを取得する際には、他のサーバから前記ゲートウェイのアドレスを取得することにより、前記通信端末装置と前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に決定することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項5】前記認証方式と前記暗号化規則と復号規則の決定は、前記アドレスの取得時において前記ゲートウェイのアドレス変更を検出した場合、前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に再決定することを特徴とする請求項4記載の通信端末装置側の通信制御プログラム。
【請求項6】前記通信端末装置が複数の通信手段を有する場合、
予めどの通信手段が使用可能であるかを調べ、使用できる通信手段が複数あるときに、その優先順位を前記通信端末装置内に定義し、
前記通信端末装置にて、前記優先順位に従って通信手段を自動選択し、使用する通信手段以外を無効にして、使用する通信手段で前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを決定することを特徴とする請求項2記載の通信端末装置側の通信制御プログラム。
【請求項7】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御方法において、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
ことを特徴とするゲートウェイ側の通信制御方法。
【請求項8】無線ネットワークを経由して通信を行うための通信端末装置側の通信制御方法において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
ことを特徴とする通信端末装置側の通信制御方法。
【請求項9】無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイにおいて、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信する接続確認部と、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する通信経路自動確立部と、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とするゲートウェイ。
【請求項10】無線ネットワークを経由して通信を行うための通信端末装置において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する受信データ処理部と、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する通信経路自動確立部と、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とする通信端末装置。
【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は無線を使用して通信制御を行うゲートウェイ、通信端末装置、および通信制御プログラムに関し、特にデータを送受信する移動可能な通信端末装置と、セキュリティ機能を持つゲートウェイとの間で通信制御を行うゲートウェイ、通信端末装置、および通信制御プログラムに関する。
【0002】
【従来の技術】
近年ハードウェアベンダでは、無線LAN(Wireless Local Area Network)を始めとする無線通信インタフェースを内蔵した、移動する通信端末装置(ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)など)を次々と出荷している。また、従来仕様を高速化したIEEE802.11aやIEEE802.11g(共に、無線LANの標準プロトコル)などをサポートした製品(アクセスポイントやPCカードなど)も登場し、無線通信技術は企業ネットワークのインフラとしての位置を獲得しつつある。
【0003】
このような状況の中で、無線通信技術を企業ネットワークに導入することを考えた場合、セキュリティの確保が不可欠となる。例えば、無線LAN通信のセキュア化技術の主流であるWEP(Wired Equivalent Privacy)は、その脆弱さを露呈してきており,新たなソリューションの開発が望まれている。更に、無線通信を既存の有線による通信と比較した場合の特徴として、無線通信インタフェースを実装した通信端末装置は移動するということが挙げられる。
【0004】
このため、無線通信技術を企業に導入する際のセキュリティを保つ手段として、従来は、無線ネットワークと既存の有線ネットワークとの間にセキュリティを確保するためのゲートウェイコンピュータを設置することが考えられる。また、通信端末装置が移動するということは、インターネットを介してのファイアウォール間、あるいは、クライアントとファイアウォール間におけるVPN(Virtual Private Network)通信と異なり、通信端末装置がセキュアな通信経路を確立する必要があるゲートウェイコンピュータが変化するということを意味する。
【0005】
【発明が解決しようとする課題】
しかしながら、従来のような技術では、通信端末装置の移動に際し、ゲートウェイコンピュータが変化する度に通信環境の設定やシステムのリブートをユーザが手動操作で設定しなければならなかった。そのため、このような設定をユーザに強いるようでは通信端末装置本来の価値を失ってしまう。以下、このような点を具体的に示す。
【0006】
(1)通信端末装置のサブネットを跨いだ移動に伴い、ゲートウェイコンピュータのアドレスは変化する。この場合、通信端末装置がゲートウェイコンピュータのアドレスを更新し、セキュア(安全)な通信経路を確立するためには、OSのリブートや手動による通信環境の再設定が必要となる。
【0007】
(2)通信端末装置がゲートウェイコンピュータのサービスエリアから離れた場合、サービスエリアから離れたことを迅速に検出する手段がないため、ユーザはリカバリ処理に時間を要する。
【0008】
(3)複数の通信インタフェースを実装している通信端末装置において、有効/無効にするインタフェースを決定する手段が無いため、ユーザは状況に適したインタフェースの選択ができない。また、通信にオーバヘッドが生じる。さらに、有効なインタフェースの選択や、セキュアな通信経路の確立には、ユーザは手動による通信環境の設定が必要となる。
【0009】
本発明はこのような点に鑑みてなされたものであり、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができる通信制御方法、ゲートウェイ、通信端末装置、および通信制御プログラムの提供を目的とする。
【0010】
【課題を解決するための手段】
本発明では上記課題を解決するために、図1に示すようなゲートウェイ側の通信制御プログラムが提供される。本発明のゲートウェイ側の通信制御プログラムは、無線ネットワークと他のネットワークとの間で送受信されるデータを中継する場合に適用される。
【0011】
本発明では、前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、ブロードキャストで定期的に送信する(ステップS1)。また、前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する(ステップS3)。そして、前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する(ステップS4)。すなわち、ゲートウェイコンピュータ30は、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、通信端末装置10に対してブロードキャストで一定時間間隔に送信する。また、ゲートウェイコンピュータ30は、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、この認証方式に従い互いを認証することでセキュアな通信経路を確立する。そして、ゲートウェイコンピュータ30は、通信端末装置10宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由で通信端末装置10に対して送信する。逆に、ゲートウェイコンピュータ30は、無線ネットワーク経由で通信端末装置10から受信した別の暗号データを、復号規則で復号することでデータ通信を行う。
【0012】
このようなゲートウェイ側の通信制御プログラムによれば、ゲートウェイコンピュータ30により、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10に対してブロードキャストで一定時間間隔に送信される。また、ゲートウェイコンピュータ30により、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信が行われ、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、互いを認証することでセキュアな通信経路が確立される。そして、ゲートウェイコンピュータ30により、通信端末装置10宛のデータが暗号化規則に従って暗号化されて無線ネットワーク経由で通信端末装置10へ送信される。逆に、ゲートウェイコンピュータ30により、無線ネットワーク経由で通信端末装置10から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0013】
また、上記課題を解決するために、図1に示すような通信端末装置側の通信制御プログラムが提供される。本発明の通信端末装置側の通信制御プログラムは、無線ネットワークを経由してデータ通信を行う場合に適用される。
【0014】
本発明では、前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する(ステップS2)。また、取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する(ステップS3)。そして、他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する(ステップS4)。すなわち、通信端末装置10は、無線ネットワークによる通信可能範囲に入ると、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスを取得する。また、通信端末装置10は、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、この認証方式に従い互いを認証することでセキュアな通信経路を確立する。そして、通信端末装置10は、他のコンピュータ宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由でゲートウェイコンピュータ30へ送信する。逆に、通信端末装置10は、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データを、復号規則で復号することでデータ通信を行う。
【0015】
このような通信端末装置側の通信制御プログラムによれば、通信端末装置10が無線ネットワークによる通信可能範囲に入ると、通信端末装置10により、無線ネットワーク経由でセキュリティ機能を有するゲートウェイコンピュータ30のアドレスが取得される。また、通信端末装置10により、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信が行われ、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、互いを認証する。そして、通信端末装置10により、他のコンピュータ宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由でゲートウェイコンピュータ30へ送信される。逆に、通信端末装置10により、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0016】
その結果、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0017】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
図1は、本発明の原理構成図である。本発明に係わるゲートウェイ側の通信制御プログラムは、無線ネットワークと他のネットワークとの間で送受信されるデータを中継する場合に適用される。また、本発明の通信端末装置側の通信制御プログラムは、無線ネットワークを経由してデータ通信を行う場合に適用される。以下、これらの2つのプログラムの手順をステップ番号に沿って、組み合わせて説明する。
【0018】
図1によると、本発明では、無線ネットワークを経由してデータ通信を行う通信端末装置10と、無線ネットワークと他のネットワークとの間で送受信されるデータを中継するゲートウェイ(以下、ゲートウェイコンピュータと称する)30との間においてデータ通信を行う手順を示している。
【0019】
まず、ゲートウェイコンピュータ30は、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージを、通信端末装置10に対してブロードキャストで一定時間間隔に送信する(ステップS1)。
【0020】
次に、通信端末装置10は、無線ネットワークによる通信可能範囲に入ると、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスを取得する(ステップS2)。また、通信端末装置10は、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定する(以下、暗号化規則と復号規則の決定、あるいは相互認証等のセキュア化技術を総じて、セキュアな通信経路の確立と定義する)。一方、ゲートウェイコンピュータ30は、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信を行い、互いに通信するデータのセキュアな通信経路を確立する(ステップS3)。
【0021】
そして、ゲートウェイコンピュータ30は、通信端末装置10宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由で通信端末装置10に対して送信する。また、ゲートウェイコンピュータ30は、無線ネットワーク経由で通信端末装置10から受信した別の暗号データを復号規則で復号することでデータ通信を行う。一方、通信端末装置10は、他のコンピュータ宛のデータを暗号化規則に従って暗号化して無線ネットワーク経由でゲートウェイコンピュータ30へ送信する。また、通信端末装置10は、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データを、復号規則で復号することでデータ通信を行う(ステップS4)。
【0022】
このように本発明では、ゲートウェイコンピュータ30により、無線ネットワーク上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10に対してブロードキャストで一定時間間隔に送信される。
【0023】
また、通信端末装置10が無線ネットワークによる通信可能範囲に入ると、この通信端末装置10により、無線ネットワーク経由で、セキュリティ機能を有するゲートウェイコンピュータ30のアドレスが取得される。また、通信端末装置10により、取得したアドレスに基づきゲートウェイコンピュータ30との間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。一方、ゲートウェイコンピュータ30により、メッセージを受信した通信端末装置10からの要求に応じて通信端末装置10との間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。
【0024】
そして、ゲートウェイコンピュータ30により、通信端末装置10宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由で通信端末装置10に対して送信される。また、ゲートウェイコンピュータ30により、無線ネットワーク経由で通信端末装置10から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。一方、通信端末装置10により、他のコンピュータ宛のデータが暗号化規則に従って暗号化されて、無線ネットワーク経由でゲートウェイコンピュータ30へ送信される。また、通信端末装置10により、無線ネットワーク経由でゲートウェイコンピュータ30から受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0025】
これにより、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0026】
以下に、本発明の実施の形態について具体的に説明する。
まず、本発明の実施の形態を適用したシステムについて、図2を参照して説明する。
【0027】
図2は、本発明の実施の形態を適用したシステム構成図である。なお、以下の実施の形態は、IP(Internet Protocol)による通信システムに本発明を適用したものである。
【0028】
本発明の実施の形態は、無線通信インタフェースを有する通信端末装置10a〜10f、無線通信インタフェースを有する複数のLANノード(中継装置20a,アクセスポイント20b)、セキュリティ機能を実装したゲートウェイコンピュータ30a、および、各装置のIPアドレスを動的に割り当てるDHCPサーバ40から構成されるLANシステムにおいて適用される。このLANシステムは、ゲートウェイコンピュータ30aにより全体のネットワークが論理的に分断され、サブネットAが構成されている。このサブネットAは、ゲートウェイコンピュータ30aの管理配下のネットワークである。また、サブネットBは、他のゲートウェイコンピュータの管理配下のネットワークである。なお、通信端末装置10のIPアドレスは、固定ではなくDHCP(Dynamic Host Configuration Protocol)サーバにより動的に割り当てられる。また、通信端末装置10のIPアドレスは、PPP(Point-to-Point Protocol)プロトコルのIPCP(Internet Protocol Control Protocol)機能をもったリモート・アクセス・サーバ(Remote Access Server)などにより自動的に割り当てられる。ここで、サブネットA内には、中継装置20a、アクセスポイント20b、通信端末装置10e、および通信端末装置10fが存在し、それらがLAN90aを介してゲートウェイコンピュータ30aに接続され、且つサブネット固有のセキュアな通信経路が確立されている。なお、LAN(Local Area Network)90aは、複数のコンピュータが互いに通信可能な有線通信手段であればどのようなものでもよい。
【0029】
通信端末装置10a及び通信端末装置10bは、WAN90bに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10a及び通信端末装置10bは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、WAN(Wide Area Network)90bは、中継装置20aが遠隔地のコンピュータとの間においてデータ通信が可能であればどのようなものでもよい。また、通信端末装置10a及び通信端末装置10bの詳細については、図3にて後述する。
【0030】
通信端末装置10c及び通信端末装置10dは、無線LAN90cに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10c及び通信端末装置10dは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、無線LAN90cは、アクセスポイント20bが無線により接続されたコンピュータとの間においてデータ通信が可能であればどのようなものでもよい。また、通信端末装置10c及び通信端末装置10dの詳細については、図3にて後述する。
【0031】
通信端末装置10e及び通信端末装置10fは、LAN90aに接続されており、サブネットAあるいは他のサブネット内にあるコンピュータとデータ通信を行う。また、データ通信を行うための通信経路確立の際、通信端末装置10e及び通信端末装置10fは、ゲートウェイコンピュータ30aから一定時間間隔に通知されるセキュアな通信を行うためのメッセージを受信して、セキュアな通信経路確立を動的に行う。なお、通信端末装置10e及び通信端末装置10fの詳細については、図3にて後述する。
【0032】
中継装置20aは、ゲートウェイコンピュータ30aとWAN90bに接続されており、通信端末装置10a又は通信端末装置10bとゲートウェイコンピュータ30aとのデータ通信を中継する。なお、中継装置20aは、2つのネットワークを接続するブリッジやスイッチとして機能すればどのようなものでもよく、例えばルータ(router)やリモート・アクセス・サーバなどである。
【0033】
アクセスポイント20bは、ゲートウェイコンピュータ30aと無線LAN90cに接続されており、通信端末装置10c又は通信端末装置10dとゲートウェイコンピュータ30aとのデータ通信を中継する。なお、中継装置20aは、2つのネットワークを接続するブリッジとして機能すればどのようなものでもよい。
【0034】
ゲートウェイコンピュータ30aは、中継装置20a、アクセスポイント20b、通信端末装置10e、および通信端末装置10fにLAN90aを介して接続されており、サブネットA内のコンピュータ同士、ならびに、サブネットA内のコンピュータと他のサブネット内のコンピュータとのデータ通信を中継する。また、ゲートウェイコンピュータ30aは、セキュアな通信経路確立のためのメッセージをサブネットA内のコンピュータへ一定時間間隔で通知する。なお、ゲートウェイコンピュータ30aの詳細については、図4にて後述する。
【0035】
DHCPサーバ40は、サブネットA内の各装置に接続されており、各装置のIPアドレスを動的に割り当てる。
このような構成によると、例えば、ゲートウェイコンピュータ30aにより、無線LAN90c上に、セキュリティ機能を有することを示すメッセージが、通信端末装置10cに対してブロードキャストで一定時間間隔に送信される。また、ゲートウェイコンピュータ30aにより、メッセージを受信した通信端末装置10cからの要求に応じて通信端末装置10cとの間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。そして、ゲートウェイコンピュータ30aにより、通信端末装置10c宛のデータが暗号化規則に従って暗号化されて無線LAN90c経由で通信端末装置10cへ送信される。逆に、ゲートウェイコンピュータ30aにより、無線LAN90c経由で通信端末装置10cから受信した別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0036】
一方、通信端末装置10cにより、無線LAN90c経由でセキュリティ機能を有するゲートウェイコンピュータ30aのアドレスが取得される。また、通信端末装置10cにより、取得したアドレスに基づきゲートウェイコンピュータ30aとの間で相互通信が行われ、互いに通信するデータのセキュアな通信経路が確立される。そして、通信端末装置10cにより、他のコンピュータ(例えばサーバコンピュータ)宛のデータが、暗号化規則に従って暗号化されて無線LAN90c経由でゲートウェイコンピュータ30aへ送信される。逆に、通信端末装置10cにより、無線LAN90c経由でゲートウェイコンピュータ30aから受信した他のコンピュータ(例えばサーバコンピュータ)からの別の暗号データが、復号規則で復号されることでデータ通信が行われる。
【0037】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態における通信端末装置10の機能構成について、図3を参照して具体的に説明する。
【0038】
図3は、本発明の実施の形態における通信端末装置の機能ブロック図である。
図3によると、通信端末装置10は、セキュアな通信経路自動確立あるいは通信経路手動確立の選択を行うサービス選択部11、通信デバイスの優先順位による自動選択を行う通信デバイス選択部12、データ通信を行うためのセキュアな通信経路の自動確立を行うセキュアな通信経路自動確立部13、データを送信するデータ送信部14、他のコンピュータとの間で暗号データの送受信を行う暗号化通信部15、メッセージD31と通常データD33と復号されたデータとを受信するデータ受信部16、受信したデータの種別に対応した処理を行う受信データ処理部17、データ通信を行うための通信経路を手動により確立する通信経路手動確立部18、ゲートウェイコンピュータ30のアドレス等の情報を格納するクライアント側管理テーブルM10、および、現在時刻を計時するタイマT10から構成されている。
【0039】
サービス選択部11は、通信デバイス選択部12と通信経路手動確立部18に接続されており、セキュアな通信経路自動確立あるいは通信経路手動確立の選択を行う。ここで、サービス選択部11は、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作する。このサービス選択部11は、例えば電源投入等が行われると、サービス(セキュアな通信経路自動確立)の開始を選択するようにユーザへ促す。そして、ユーザがサービス(セキュアな通信経路自動確立)の開始を選択した場合、通信デバイス選択部12へ制御を移行する。一方、ユーザがサービス(通信経路手動確立)を選択した場合、通信経路手動確立部18へ制御を移行する。
【0040】
通信デバイス選択部12は、サービス選択部11とセキュアな通信経路自動確立部13に接続されており、通信デバイスの優先順位による自動選択を行う。ここで、通信デバイス選択部12は、優先順位テーブル(後述)において、最も高い優先順位が設定された通信デバイスを検索する。さらに、通信デバイス選択部12は、検索した結果、通信デバイスが見つかったかどうかを判定する。そして、通信可能な通信デバイスが存在した場合、セキュアな通信経路自動確立部13へ制御を移行する。一方、通信可能な通信デバイスが存在しない場合、全ての通信デバイスが使用不能であることをTCP/IP層の管理機能へ通知する。この通知により、通信端末装置10は、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに通信エラーを認識させることができる。なお、通信デバイス選択部12の詳細は後述する。
【0041】
セキュアな通信経路自動確立部13は、通信デバイス選択部12、データ送信部14、受信データ処理部17、およびクライアント側管理テーブルM10に接続されており、データ通信を行うための通信経路の自動確立を行う。ここで、セキュアな通信経路自動確立部13は、クライアント側管理テーブルM10のゲートウェイコンピュータ30のアドレスを取得して、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。そして、セキュアな通信経路の確立後に、セキュアな通信経路自動確立部13は、データ送信部14へ制御を移行するとともにセキュアな通信経路が確立したことを知らせる。
【0042】
データ送信部14は、セキュアな通信経路自動確立部13、暗号化通信部15、および通信経路手動確立部18に接続されており、所定のデータを送信する。ここで、データ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、このデータを暗号化通信部15へ渡す。一方、暗号化する必要がない場合には、そのデータを通常データD13として、ネットワーク上に送信する。
【0043】
暗号化通信部15は、データ送信部14とデータ受信部16に接続されており、他のコンピュータとの間で暗号データの送受信を行う。ここで、暗号化通信部15は、セキュアプロトコル層において、データ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。一方、暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0044】
データ受信部16は、暗号化通信部15と受信データ処理部17に接続されており、メッセージD31と通常データD33と復号されたデータとを受信する。ここで、データ受信部16は、TCP/IP層において、暗号化通信部15から渡されたデータを受信して、受信データ処理部17へ渡す。また、データ受信部16は、TCP/IP層において、ゲートウェイコンピュータ30からのメッセージD31を受信する。そして、データ受信部16は、受信したメッセージD31を受信データ処理部17へ渡す。なお、通信端末装置10は、ゲートウェイコンピュータ30のIPアドレスを要求する際に、自身のIPアドレスもDHCPプロトコルによりDHCPサーバ40から再取得することが可能である。この場合、通信端末装置10がDHCPサーバ40に対してゲートウェイコンピュータ30のIPアドレスを要求した後、データ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。
【0045】
受信データ処理部17は、通信経路自動確立部13、データ受信部16、クライアント側管理テーブルM10、およびタイマT10に接続されており、受信したデータの種別に対応した処理を行う。ここで、受信データ処理部17は、ゲートウェイコンピュータ30からセキュアな通信を行うためのメッセージD31を受信すると、メッセージD31に含まれるアドレスを、通信端末装置10との間でセキュリティ通信を行う対向ノードと見なしクライアント側管理テーブルM10に格納(設定)する。その際、受信データ処理部17は、セキュアな通信経路自動確立部13へ制御を移行するとともにメッセージD31を正常に受信処理したことを知らせる。
【0046】
また、受信データ処理部17は、新旧メッセージ(IPアドレス)の比較も行う。この受信データ処理部17は、ゲートウェイコンピュータ30からのメッセージD31を新たに受信すると、以前に受信した、送信元が旧ゲートウェイコンピュータであるメッセージ(IPアドレス)を、クライアント側管理テーブルM10から取得する。さらに、通信端末装置10が別のサブネットへ移動した場合、受信データ処理部17は、取得した、送信元が旧ゲートウェイコンピュータであるメッセージ(IPアドレス)と、新たに受信した新ゲートウェイコンピュータのメッセージD31(IPアドレス)とを比較して、送信元が異なることを検出する。そして、受信データ処理部17は、送信元が異なることが検出されたので、以前とは異なるサブネットに接続したと判断し、クライアント側管理テーブルM10に送信元IPアドレスを格納する。以後、通信端末装置10からの通信は、その新ゲートウェイコンピュータを介して行なう。
【0047】
さらに、受信データ処理部17は接続状態も監視する。この受信データ処理部17は、メッセージD31を受け取ると同時にタイマT10から現在時刻を取得する。また、受信データ処理部17は、取得した現在時刻をクライアント側管理テーブルM10へ格納する。さらに、受信データ処理部17は、現在時刻を格納すると同時にタイマカウンタをリセット(規定値をセット)する。以後、タイマT10からの現在時刻をもとにタイマカウンタをカウントダウンしていく。つまり、受信データ処理部17は、一定時間毎に受信されるゲートウェイコンピュータ30からのメッセージを監視している。そして、受信データ処理部17は、カウントダウンしたタイマカウンタが、一定時間経過して“0”となった場合、ゲートウェイコンピュータ30管理配下のネットワーク離脱と判断する。すなわち、一定時間メッセージD31が受信できなかったので、通信端末装置10は、アクセスポイントのサービスエリア圏外(サポートエリアから離脱)であると判断する。あるいは、通信端末装置10とアクセスポイントとの間の回線は、切断されたと判断する。この結果、受信データ処理部17は、通信端末装置10がネットワークの離脱と判断されたので、ネットワークが切り離され使用不能となったことをTCP/IP層を利用しているアプリケーションソフトウェア等に通知する。
【0048】
そして、受信データ処理部17は、通信デバイスのネットワーク接続可否の確認も行う。まず、通信デバイス選択部12にて新たに通信デバイスが選択された場合、受信データ処理部17は、この通信デバイスにおいて、ゲートウェイコンピュータ30からのメッセージD31の受信を一定時間待ち合わせる。次に、待ち合わせた結果をもとに、受信データ処理部17は、メッセージD31が受信できたかどうかを判定する。ここでメッセージD31が受信できれば、当該通信デバイスが使用可能であること、及びそれ以外の通信デバイスが使用不能であることを、TCP/IP層やセキュアプロトコル層を使用する通信経路自動確立部13、データ送信部14、あるいは他のアプリケーションソフトウェアへ通知する。一方、ここでメッセージD31が受信できなければ、当該通信デバイスが使用できないと判断し、通信デバイス選択部12に制御を移行する。
【0049】
通信経路手動確立部18は、サービス選択部11とデータ送信部14に接続されており、データ通信を行うための通信経路を手動により確立する。ここで、通信経路手動確立部18は、サービス選択部11により通信経路手動確立処理が選択されると、ユーザからの操作入力に応答して通信経路の確立を行い、データ送信部14へ通信経路手動確立処理であることを通知する。
【0050】
クライアント側管理テーブルM10は、セキュアな通信経路自動確立部13と受信データ処理部17に接続されており、ゲートウェイコンピュータ30のアドレス等の情報を格納する。ここで、クライアント側管理テーブルM10には、受信データ処理部17により受信したメッセージD31、暗号データD32を復号したデータ、あるいは通常データD33が格納される。また、クライアント側管理テーブルM10からは、セキュアな通信経路自動確立部13や受信データ処理部17によりゲートウェイコンピュータ30のアドレスが取得される。なお、クライアント側管理テーブルM10の詳細については、図9及び図10にて後述する。
【0051】
このような構成によると、サービス選択部11により、セキュアな通信経路自動確立あるいは通信経路手動確立の選択が行われる。この選択でセキュアな通信経路自動確立処理が指定されると、通信デバイス選択部12により、通信デバイスの優先順位による自動選択が行われる。通信デバイスが自動選択されると、セキュアな通信経路自動確立部13により、データ通信を行うための通信経路の自動確立が行われる。通信経路が確立すると、データ送信部14は、所定のデータを送信する。また、この所定のデータは、暗号化通信部15により、他のコンピュータとの間で暗号データとして送受信される。
【0052】
一方、受信側では、データ受信部16により、メッセージD31と通常データD33と復号されたデータとが受信される。この受信されたデータをもとに、受信データ処理部17により、受信したデータの種別に対応した処理が行われる。
【0053】
また、サービス選択部11で通信経路手動確立処理が指定されると、通信経路手動確立部18により、データ通信を行うための通信経路が手動により確立される。
【0054】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態におけるゲートウェイコンピュータ30の機能構成について、図4を参照して具体的に説明する。
【0055】
図4は、本発明の実施の形態におけるゲートウェイコンピュータの機能ブロック図である。
図4によると、ゲートウェイコンピュータ30は、一定時間間隔でメッセージD31を送信する接続確認部31、データ通信を行うためのセキュアな通信経路の自動確立を行うセキュアな通信経路自動確立部32、データを送信するデータ送信部33、他のコンピュータとの間で暗号データの送受信を行う暗号化通信部34、メッセージD11と通常データD13と復号されたデータとを受信するデータ受信部35、受信したデータの種別に対応した処理を行う受信データ処理部36、通信端末装置10のアドレス等の情報を格納するゲートウェイコンピュータ側管理テーブルM30、および、現在時刻を計時するタイマT30から構成されている。
【0056】
接続確認部31は、タイマT30に接続されており、一定時間間隔でメッセージD31をネットワーク内へ送信する。ここで、例えばゲートウェイコンピュータ30に電源投入等がされると、接続確認部31は、サブネット全体に対し、一定時間間隔でメッセージD31をIPブロードキャストで送信する。
【0057】
セキュアな通信経路自動確立部32は、受信データ処理部36とゲートウェイコンピュータ側管理テーブルM30に接続されており、データ通信を行うためのセキュアな通信経路の自動確立を行う。ここで、セキュアな通信経路自動確立部32は、ゲートウェイコンピュータ側管理テーブルM30の通信端末装置10のアドレスを取得して、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。そして、セキュアな通信経路の確立後に、セキュアな通信経路自動確立部32は、データ送信部33へ制御を移行するとともにセキュアな通信経路が確立したことを知らせる。
【0058】
データ送信部33は、暗号化通信部34と受信データ処理部36に接続されており、所定のデータを送信する。ここで、データ送信部33は、TCP/IP層において、受信データ処理部36から渡されたデータを対向するコンピュータに対して中継するため、そのデータを暗号化通信部34へ渡す。一方、暗号化する必要がない場合には、そのデータを通常データD33として、ネットワーク上に送信する。
【0059】
暗号化通信部34は、データ送信部33とデータ受信部35に接続されており、他のコンピュータとの間で暗号データの送受信を行う。ここで、暗号化通信部34は、セキュアプロトコル層において、通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。また、暗号化通信部34は、セキュアプロトコル層において、データ送信部33により渡されたデータを、暗号化して暗号データD32として対向するコンピュータへ送信する。
【0060】
データ受信部35は、受信データ処理部36に接続されており、メッセージD11と通常データD13と復号されたデータとを受信する。ここで、データ受信部35は、暗号化通信部34から渡されたデータを受信データ処理部36へ渡す。また、通信端末装置10からのメッセージD11又は通常データD13を受信し、受信データ処理部36へ渡す。
【0061】
受信データ処理部36は、セキュアな通信経路自動確立部32、データ送信部33、データ受信部35、およびゲートウェイコンピュータ側管理テーブルM30に接続されており、受信したデータの種別に対応した処理を行う。ここで、受信データ処理部36では、データ受信部35から渡されたデータを他のコンピュータへ中継するためにデータ送信部33へ渡す。また、受信データ処理部36は、通信端末装置10からセキュアな通信を行うためのメッセージD11を受信すると、メッセージD11に含まれるアドレスと認証・暗号化情報とをゲートウェイコンピュータ側管理テーブルM30に格納する。その際、受信データ処理部36は、セキュアな通信経路自動確立部32へ制御を移行するとともに、メッセージD11を正常に受信処理したことを知らせる。
【0062】
ゲートウェイコンピュータ側管理テーブルM30は、セキュアな通信経路自動確立部32と受信データ処理部36に接続されており、通信端末装置10のアドレス等の情報を格納する。ここで、ゲートウェイコンピュータ側管理テーブルM30には、受信されたメッセージD11もしくは通常データD13、あるいは暗号化通信部34で復号されたデータが、受信データ処理部36により格納される。また、ゲートウェイコンピュータ側管理テーブルM30からは、セキュアな通信経路自動確立部32により通信端末装置10のアドレスが取得される。なお、ゲートウェイコンピュータ側管理テーブルM30の詳細については、図11にて後述する。
【0063】
このような構成によると、接続確認部31により、一定時間間隔でメッセージD31がネットワーク内へ送信される。対向する通信端末装置10から通信経路の確立要求があると、セキュアな通信経路自動確立部32により、データ通信を行うための通信経路の自動確立が行われる。受信データ処理部36からデータが渡されると、データ送信部33により、所定のデータが中継送信される。そして、暗号化の必要があれば、暗号化通信部34により、他のコンピュータとの間で暗号データの送受信が行われる。
【0064】
一方、受信側では、データ受信部35により、メッセージD11と通常データD13と復号されたデータとが受信される。この受信されたデータが渡されると、受信データ処理部36では、受信したデータの種別に対応した処理が行われる。
【0065】
これにより、セキュリティを保ちつつ、セキュアな通信経路の確保などを自動化することができる。
次に、本発明の実施の形態における通信端末装置10とゲートウェイコンピュータ30のハードウェア構成例について、図5を参照して具体的に説明する。なお、通信端末装置10とゲートウェイコンピュータ30は、同様のハードウェア構成により実現可能であり、この図5では、通信端末装置10とゲートウェイコンピュータ30を単にコンピュータ100として表現する。
【0066】
図5は、本発明の実施の形態における通信端末装置及びゲートウェイコンピュータのハードウェア構成例を示す図である。コンピュータ100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive、以下、HDDと称する)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
【0067】
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラム、あるいは各種データが格納される。
【0068】
グラフィック処理装置104には、モニタP111が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタP111の画面に表示させる。入力インタフェース105には、キーボードP112とマウスP113とが接続されている。入力インタフェース105は、キーボードP112やマウスP113から送られてくる信号を、バス107を介してCPU101に送信する。
【0069】
通信インタフェース106は、ネットワーク90に接続されている。ネットワーク90は、例えば、図2で前述したLAN90a、WAN90b、無線LAN90c、あるいは、インターネットのような広域ネットワークである。この通信インタフェース106は、ネットワーク90を介して、他のコンピュータとの間でデータの送受信を行う。
【0070】
以上のようなハードウェア構成によって、通信端末装置10とゲートウェイコンピュータ30における本実施の形態の処理機能を実現することができる。たとえば、図3に示したコンピュータの電源が投入されると、HDD103に格納されたOSのプログラムの一部が、RAM102に読み込まれる。そして、CPU101によりOSのプログラムが実行される。これにより、CPU101上でOSの動作が開始する。そして、そのOSによって、本発明の実施の形態における各機能を実現するプログラムが実行管理される。
【0071】
次に、本発明の実施の形態におけるプロトコルスタックの階層構造について、図6を参照して具体的に説明する。
図6は、本発明の実施の形態におけるプロトコルスタックを示す図である。
【0072】
図6によると、まず、通信端末装置10のプロトコルスタックは、下から最下位層にネットワークアダプタP11、セキュアプロトコル層P12、TCP/IP層P13、通信端末装置10上のアプリケーションソフトウェアP14の4階層構造となっている。また、ゲートウェイコンピュータ30のプロトコルスタックは、下から最下位層にネットワークアダプタP31a,P31b、セキュアプロトコル層P32、TCP/IP層P33の3階層構造となっている。なお、セキュアプロトコル層以下の層においては、暗号化されたデータの受け渡しが行われる。
【0073】
次に、通信端末装置10において優先順位選択される通信デバイスについて、図7及び図8を参照して具体的に説明する。
図7は、通信端末装置における通信デバイスの実装例を示す図である。
【0074】
図7によると、通信端末装置10には、通信デバイスMU11a(有線LANカード)、通信デバイスMU11b(無線LANカード)、および通信デバイスMU11c(モデム)が装着されており、それらが通信デバイス選択装置MU12に接続されている。また、この通信デバイス選択装置MU12には、TCP/IP層においてデータの通信制御を行う部位であるTCP/IP管理部(MU13)が接続されている。さらに、このTCP/IP管理部(MU13)には、本発明の通信制御プログラムを利用するアプリケーションソフトウェアMU14が接続される。
【0075】
一方、通信デバイスMU11a(有線LANカード)には、HUB20cが接続されている。また、通信デバイスMU11b(無線LANカード)には、無線LANアクセスポイント20bが接続されている。さらに、通信デバイスMU11c(モデム)には、ルータ20aが接続されている。そして、これら無線LANアクセスポイント20b、ルータ20a、およびHUB20cには、ゲートウェイコンピュータ30が接続されている。
【0076】
ここで、通信端末装置10の通信デバイス選択装置MU12は、選択する通信デバイスの優先順位テーブルを予め設定保持しており、この優先順位により各通信デバイスを自動的に選択決定する。なお、通信デバイス選択装置MU12は、前述した通信デバイス選択部12により処理される。また、優先順位テーブルの詳細については、図8にて後述する。さらに、通信デバイス選択処理については、図19にて後述する。
【0077】
このような通信デバイスの実装構成により、通信デバイス選択装置MU12が各通信デバイスを優先順位により自動的に選択することができ、所望の通信方式におけるデータ通信を、他のコンピュータやサーバコンピュータとの間で行うことが可能となる。
【0078】
図8は、通信端末装置における通信デバイスの優先順位を示すテーブル構成例である。
図8によると、優先順位テーブルY10には、優先順位、通信デバイス、およびセキュリティの項目がある。これらの各項目には、例えば、優先順位“1”として通信デバイス“有線LAN”、セキュリティ“無”が設定されている。以下同じように、優先順位“2”として通信デバイス“無線LAN”、セキュリティ“有”が設定され、優先順位“3”として通信デバイス“モデム”、セキュリティ“有”が設定されている。
【0079】
このような優先順位により、例えば、図8における全ての通信デバイスがネットワーク接続可能な状態で接続されている場合、通信デバイス選択装置MU12は、優先順位“1”であるので、通信デバイス “有線LAN”を選択する。そして、通信端末装置10は、セキュリティが“無”であるので本実施の形態におけるセキュアな通信経路の確立を行わずに、通常の通信経路の確立を行うことになる。
【0080】
次に、本発明の実施の形態におけるデータ構造について説明する。なお、図9と図10は、前述したクライアント側管理テーブルM10のデータ構造図であり、ここでは便宜上、クライアント側管理テーブルM10aとクライアント側管理テーブルM10bの2つに分けて、それぞれ図9と図10にて説明する。
【0081】
図9は、通信端末装置内に格納されるデータ構造図である。
図9によると、クライアント側管理テーブルM10aは、接続するゲートウェイコンピュータ30におけるセキュアな通信経路を確立するための情報が格納されている。このクライアント側管理テーブルM10aには、接続するゲートウェイコンピュータ30の“アドレス”、通信相手を認証するための“認証アルゴリズム”、データを暗号化する“暗号化アルゴリズム”、データの暗号化に使用する“鍵”、および、鍵を定期的に更新するための“鍵の更新時間”などの項目がある。これらの各項目には、例えば、アドレスとして“w.x.y.z1”、認証アルゴリズムとして“SHA−1(Secure Hashing Algorithm 1)”、暗号化アルゴリズムとして“3DES(triple DES)”、鍵として“xxxxxxxxxx”、および、鍵の更新時間として“180秒”が設定されている。
【0082】
このような情報により、例えば、アドレス“w.x.y.z1”に指定されたゲートウェイコンピュータ30との間において、認証アルゴリズム“SHA−1”、暗号化アルゴリズム“3DES”に基づいたセキュアな通信経路の確立とデータ通信が行われる。なお、このセキュアな通信経路の確立とデータ通信には、鍵“xxxxxxxxxx”が使用され、データの秘匿性が保たれる。また、鍵の更新時間“180秒”として定期的に更新することにより暗号データの強度が保たれる。
【0083】
図10は、タイマのカウント時において、接続する通信端末装置内に格納されるデータ構造図である。
図10によると、クライアント側管理テーブルM10bは、接続するゲートウェイコンピュータ30における接続状態を監視するための情報が格納されている。このクライアント側管理テーブルM10bには、接続するゲートウェイコンピュータ30の“アドレス”、メッセージの受信時刻を示す“受信時刻”、および、受信時刻からの経過時間を示す“タイマカウンタ”の項目がある。これらの各項目には、例えば、アドレスとして“w.x.y.z1”、受信時刻として“12:25:45”、および、タイマカウンタとして“180”が設定されている。
【0084】
このようなクライアント側管理テーブルM10bにより、アドレスに指定されたゲートウェイコンピュータ30との間において、通信端末装置10がゲートウェイコンピュータ30からメッセージを受信した際に、通信端末装置10とゲートウェイコンピュータ30とが接続されていることを監視することができる。ここで、このクライアント側管理テーブルM10bには、通信端末装置10が受信のタイミングにより受信時刻を設定し、タイマカウンタをリセット(規定値にセット)する。また、このクライアント側管理テーブルM10bには、通信端末装置10によりタイマカウンタのカウントダウンが常に続けられて、メッセージ受信によるリセットのタイミングでタイマカウンタに規定値(図10の例では180)がセットされる。そして、このクライアント側管理テーブルM10bのタイマカウンタは、通信端末装置10によりリセット後に再びカウントダウンが続けられて、タイマカウンタが“0”に達したときにタイムアウトと判断される。
【0085】
図11は、接続するゲートウェイコンピュータ内に格納されるデータ構造図である。
図11によると、ゲートウェイコンピュータ側管理テーブルM30は、接続する通信端末装置10におけるセキュアな通信経路を確立するための情報が格納されている。このゲートウェイコンピュータ側管理テーブルM30には、接続する通信端末装置10の“アドレス”、通信相手を認証するための“認証アルゴリズム”、データを暗号化する“暗号化アルゴリズム”、データの暗号化に使用する“鍵”、および、鍵を定期的に更新するための“鍵の更新時間”などの項目がある。これらの各項目には、例えば、アドレスとして“a.b.c.d1”、認証アルゴリズムとして“SHA−1(Secure Hashing Algorithm 1)”、暗号化アルゴリズムとして“3DES(triple DES)”、鍵として“xxxxxxxxxx”、および、鍵の更新時間として“180秒”が設定されている。なお、接続する通信端末装置10は複数設定登録することができ、以下、図11のように設定されている。
【0086】
このような情報により、例えば、アドレス“a.b.c.d1”に指定された通信端末装置10“通信端末装置(1)”との間において、認証アルゴリズム“SHA−1”、暗号化アルゴリズム“3DES”に基づいたセキュアな通信経路の確立とデータ通信が行われる。なお、このセキュアな通信経路の確立とデータ通信には、鍵“xxxxxxxxxx”が使用され、データの秘匿性が保たれる。また、鍵の更新時間“180秒”として定期的に更新することにより暗号データの強度が保たれる。
【0087】
次に、本発明の実施の形態の基本動作について、図12〜図19を参照して具体的に説明する。なお、図12〜図19で送受信されるメッセージは、図3にて前述したメッセージD11を、IPブロードキャストの場合にメッセージA1とし、セキュアな通信経路を確立する場合にメッセージB1,B2に置き換えて説明する。
【0088】
図12は、本発明の実施の形態における通信制御プログラムの全体動作を示すフローチャートである。この処理は、通信端末装置10とゲートウェイコンピュータ30に対して、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作し、CPU101において実行させる処理である。以下、図12の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4をもとに説明する。
【0089】
[ステップS101] まず、ゲートウェイコンピュータ30の接続確認部31は、サブネットA全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0090】
[ステップS102] 通信端末装置10のデータ受信部16では、メッセージA1を受信する。また、受信データ処理部17は、メッセージの送信元IPアドレスがゲートウェイコンピュータ30であると判断し、クライアント側管理テーブルM10に送信元IPアドレスを格納する。以後、通信端末装置10からの通信は、そのゲートウェイコンピュータ30を介して行なう。
【0091】
[ステップS103] 通信端末装置10のセキュアな通信経路自動確立部13は、接続するゲートウェイコンピュータ30のIPアドレスを取得すると、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0092】
[ステップS104] ゲートウェイコンピュータ30のセキュアな通信経路自動確立部32は、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0093】
ここで、ステップS103とステップS104により、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、この認証方式に従い通信端末装置10とゲートウェイコンピュータ30との間で互いが認証されることになる。
【0094】
[ステップS105] 通信端末装置10のデータ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、暗号化通信部15へ渡す。
【0095】
[ステップS106] 通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ステップS105にてデータ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。
【0096】
[ステップS107] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS106にて通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。
【0097】
[ステップS108] ゲートウェイコンピュータ30のデータ受信部35は、暗号化通信部34から渡されたデータを受信データ処理部36へ渡す。このデータを渡された受信データ処理部36では、データを他のコンピュータへ中継するためにデータ送信部33へ渡す。そして、データ送信部33では、対向するコンピュータに対して渡されたデータを送信するため、このデータを暗号化通信部34へ渡す。
【0098】
[ステップS109] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS108にてデータ送信部33により渡されたデータを暗号化して、暗号データD32として対向するコンピュータへ送信する。なお、図12に示す例では、対向するコンピュータは説明の便宜上のため、通信端末装置10としている。
【0099】
[ステップS110] 一方、通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0100】
[ステップS111] 通信端末装置10のデータ受信部16は、TCP/IP層において、ステップS110にて渡されたデータを受信して、受信データ処理部17へ渡す。そして、受信データ処理部17では、渡されたデータをアプリケーションソフトウェア等に渡す。
【0101】
図13は、図12の通信制御プログラムの全体動作において、ゲートウェイコンピュータがデフォルトゲートウェイである場合の例を示すフローチャートである。この処理は、通信端末装置10とゲートウェイコンピュータ30に対して、電源投入、サービスエリアからの離脱、通信断、あるいは予め決められた任意のタイミングを契機に動作し、CPU101において実行させる処理である。以下、図13の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4をもとに説明する。また、図13には、DHCPサーバ40を図示している。ゲートウェイコンピュータ30がデフォルトゲートウェイである場合には、一般的にこのDHCPサーバ40を設置することによって、DHCPサーバ40を介してゲートウェイコンピュータ30のIPアドレスが取得できる。なお、この例では、DHCPサーバ40を使用して、ゲートウェイコンピュータ30のIPアドレスを取得しているが、他の取得手段でもよい。
【0102】
[ステップS201] まず、通信端末装置10は、DHCPサーバ40に対してゲートウェイコンピュータ30のIPアドレスを要求する。通信端末装置10のデータ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。また、受信データ処理部17は、渡されたゲートウェイコンピュータ30のIPアドレスをクライアント側管理テーブルM10に格納する。以後、通信端末装置10からの通信は、そのゲートウェイコンピュータ30を介して行なう。
【0103】
[ステップS202] 通信端末装置10の通信経路自動確立部13は、接続するゲートウェイコンピュータ30のIPアドレスを取得すると、セキュアプロトコル層において、ゲートウェイコンピュータとの間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0104】
[ステップS203] ゲートウェイコンピュータ30の通信経路自動確立部32は、セキュアプロトコル層において、通信端末装置10との間にセキュリティプロトコル(セキュアな通信経路)の確立シーケンスを実行する。
【0105】
ここで、ステップS202とステップS203により、認証方式と互いに通信するデータの暗号化規則と復号規則とが決定され、この認証方式に従い通信端末装置10とゲートウェイコンピュータ30との間で互いが認証されることになる。
【0106】
[ステップS204] 通信端末装置10のデータ送信部14は、TCP/IP層において、ユーザから指定されたデータを送信するため、暗号化通信部15へ渡す。
【0107】
[ステップS205] 通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ステップS204にてデータ送信部14から渡されたデータを暗号化して、暗号データD12をゲートウェイコンピュータ30に対して送信する。
【0108】
[ステップS206] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS205にて通信端末装置10から送信された暗号データD12を受信して復号し、この復号したデータをデータ受信部35へ渡す。
【0109】
[ステップS207] ゲートウェイコンピュータ30のデータ受信部35は、データ受信部35から渡されたデータを受信データ処理部36へ渡す。このデータを渡された受信データ処理部36では、データを他のコンピュータへ中継するためにデータ送信部33へ渡す。そして、データ送信部33では、対向するコンピュータに対して渡されたデータを送信するため、このデータを暗号化通信部34へ渡す。
【0110】
[ステップS208] ゲートウェイコンピュータ30の暗号化通信部34は、セキュアプロトコル層において、ステップS207にてデータ送信部33により渡されたデータを暗号化して、暗号データD32として対向するコンピュータへ送信する。なお、図13に示す例では、対向するコンピュータは説明の便宜上のため、通信端末装置10としている。
【0111】
[ステップS209] 一方、通信端末装置10の暗号化通信部15は、セキュアプロトコル層において、ゲートウェイコンピュータ30から送信された暗号データD32を受信すると、暗号データD32を復号して、そのデータをデータ受信部16へ渡す。
【0112】
[ステップS210] 通信端末装置10のデータ受信部16は、TCP/IP層において、ステップS209にて渡されたデータを受信して、受信データ処理部17へ渡す。そして、受信データ処理部17では、渡されたデータをアプリケーションソフトウェア等に渡す。
【0113】
ここで、通信端末装置10があるサブネットから別のサブネットへ移動した場合について、図14〜図16を参照して具体的に説明する。
図14は、本実施の形態を適用したLANシステムにおいて、通信端末装置10が別のサブネットへ移動した場合の例を示す図である。
【0114】
図14によると、サブネットB内には、ゲートウェイコンピュータ30b、アクセスポイント20c、通信端末装置10g,10h(点線)がある。また、サブネットC内には、ゲートウェイコンピュータ30c、アクセスポイント20d、通信端末装置10iがある。
【0115】
このような初期状態において、今、通信端末装置10h(点線)がアクセスポイント20cを経由してゲートウェイコンピュータ30bに接続された状態から、通信端末装置10h(実線)の位置に移動したとする。
【0116】
このとき、図15及び図16のようなフローチャートにより処理が行われる。
図15は、本発明の実施の形態における通信端末装置が移動した場合の全体動作を示すフローチャートである。この処理は、通信端末装置10hがゲートウェイコンピュータ30bの管理するサブネットBを離脱し、ゲートウェイコンピュータ30cの管理する他のサブネットCへ参加したのを契機に動作し、CPU101において実行させる処理である。以下、図15の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図14をもとに説明する。
【0117】
[ステップS301] まず、ゲートウェイコンピュータ30cの接続確認部31は、サブネットC全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0118】
[ステップS302] 移動した通信端末装置10hのデータ受信部16では、TCP/IP層において、ゲートウェイコンピュータ30cからのメッセージA1を受信する。そして、データ受信部16は、受信したメッセージA1を受信データ処理部17へ渡す。
【0119】
[ステップS303] 通信端末装置10hの受信データ処理部17は、以前に受信した、送信元がゲートウェイコンピュータ30bであるメッセージと、新たに受信したメッセージA1とを比較して、送信元が異なることを検出する。また、受信データ処理部17は、ステップS302にて送信元が異なることが検出されたので、以前とは異なるサブネットに接続したと判断する。
【0120】
[ステップS304] 通信端末装置10hは、自身のIPアドレスをDHCPプロトコルによりDHCPサーバ40から再取得した後、以後、使用するゲートウェイコンピュータとしてゲートウェイコンピュータ30cを使用するよう認識する。
【0121】
[ステップS305] 通信端末装置10hは、ステップS304にてゲートウェイコンピュータ30cを使用するよう認識されたので、セキュアな通信経路の確立、およびデータ通信をゲートウェイコンピュータ30cとの間で行う。なお、セキュアな通信経路の確立、およびデータ通信は、図12のステップS103以降の処理と同様であるので、詳細については省略する。
【0122】
図16は、本発明の実施の形態における通信端末装置が移動した場合、且つゲートウェイコンピュータがデフォルトゲートウェイである場合の全体動作を示すフローチャートである。この処理は、通信端末装置10hがゲートウェイコンピュータ30bの管理するサブネットBを離脱し、ゲートウェイコンピュータ30cの管理する他のサブネットCへ参加したのを契機に動作し、CPU101において実行させる処理である。以下、図15の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図14をもとに説明する。
【0123】
[ステップS401] まず、サブネットCに参加してきた通信端末装置10hは、DHCPサーバ40に対してゲートウェイコンピュータ30cのIPアドレスを要求する。通信端末装置10hのデータ受信部16では、DHCPサーバ40からのIPアドレスを受信し、受信データ処理部17へ渡す。また、受信データ処理部17は、渡されたゲートウェイコンピュータ30cのIPアドレスをクライアント側管理テーブルM10に格納する。以後、通信端末装置10hからの通信は、そのゲートウェイコンピュータ30cを介して行なう。なお、通信端末装置10hは、上述のゲートウェイコンピュータ30cのIPアドレスを要求する際に、自身のIPアドレスもDHCPプロトコルによりDHCPサーバ40から再取得することが可能である。この図16の例では、自身のIPアドレスは予め再取得されたものと仮定している。
【0124】
[ステップS402] 通信端末装置10hの受信データ処理部17は、以前に受信したゲートウェイコンピュータ30bのアドレスと、新たに受信したゲートウェイコンピュータ30cのアドレスとを比較して、ゲートウェイコンピュータが異なることを検出し、以前とは異なるサブネットに接続したと判断する。以後、使用するゲートウェイコンピュータとしてゲートウェイコンピュータ30cを使用するよう認識する。
【0125】
[ステップS403] 通信端末装置10hは、ステップS402にてゲートウェイコンピュータ30cを使用するよう認識されたので、セキュアな通信経路の確立、およびデータ通信をゲートウェイコンピュータ30cとの間で行う。なお、セキュアな通信経路の確立、およびデータ通信は、図12のステップS103以降の処理と同様であるので、詳細については省略する。
【0126】
このような通信制御手順により、従来技術では、異なるネットワークに接続し直した場合、セキュリティプロトコル(セキュアな通信経路)の再確立のためにOSの再起動などの何らかの手動操作が必要であった。しかし、本発明の実施の形態では、通信端末装置10hにて、ゲートウェイコンピュータ30cからのメッセージを調べることにより、異なるネットワークに接続されたことを自動的に早く検出できるようになった。
【0127】
またここで、通信端末装置10hがアクセスポイント20cを使用できなくなった場合であって、例えばアクセスポイント20cのサービスエリア圏外へ移動した場合等について、図17〜図18を参照して具体的に説明する。
【0128】
図17は、本実施の形態を適用したLANシステムにおいて、通信端末装置がサービスエリア圏外へ移動した場合の例を示す図である。
図17によると、サブネットB内には、ゲートウェイコンピュータ30b、アクセスポイント20c、通信端末装置10g,10h(点線)がある。
【0129】
このような初期状態において、今、通信端末装置10h(点線)がアクセスポイント20c(ここでは、例として無線LAN等)を経由してゲートウェイコンピュータ30bに接続された状態(サポートエリア)から、離脱するなどの原因により、ネットワーク(サブネットB)から切り離されたとする。例えば、図17において、通信端末装置10h(点線)がアクセスポイント20cのサービスエリア圏外である通信端末装置10h(実線)の位置に移動したとする。
【0130】
このとき、図18のようなフローチャートにより処理が行われる。
図18は、本発明の実施の形態における通信端末装置が、サービスエリア圏外に移動した場合の全体動作を示すフローチャートである。この処理は、ゲートウェイコンピュータ30bが管理するサブネットBにおいて、通信端末装置10hがアクセスポイント20cのサービスエリア圏外へ移動したのを契機に動作し、CPU101において実行させる処理である。以下、図18の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図2〜図4、および図17をもとに説明する。
【0131】
[ステップS501] まず、ゲートウェイコンピュータ30bの接続確認部31は、サブネットB全体に対し、一定時間間隔でメッセージA1をIPブロードキャストで送信する。
【0132】
[ステップS502] 移動した通信端末装置10hのデータ受信部16では、TCP/IP層において、ゲートウェイコンピュータ30bからのメッセージA1を受信する。また、データ受信部16は、受信したメッセージA1を受信データ処理部17へ渡す。受信データ処理部17では、メッセージA1を受け取ると同時にタイマT10から現在時刻を取得する。また、受信データ処理部17では、取得した現在時刻をクライアント側管理テーブルM10へ格納する。さらに、受信データ処理部17は、現在時刻を格納すると同時にタイマカウンタをリセット(規定値をセット)する。以後、タイマT10からの現在時刻をもとにタイマカウンタをカウントダウンしていく。つまり、通信端末装置10hは、一定時間毎に中継送信されるアクセスポイント20cからのメッセージを監視している。
【0133】
[ここで、通信端末装置10hがアクセスポイント20cのサービスエリア圏外へ移動する。]
[ステップS503] 再びゲートウェイコンピュータ30bの接続確認部31は、サブネットB全体に対し、メッセージA1をIPブロードキャストで送信する。なお、図18の例では、既に通信端末装置10hがネットワークから離脱しているので、メッセージA1が届かない。
【0134】
[ステップS504] 通信端末装置10hの受信データ処理部17は、ステップS502にてカウントダウンしたタイマカウンタが、一定時間経過して“0”となったので、ネットワークの離脱を判断する。つまり、一定時間メッセージA1が受信できなかったので、通信端末装置10hの移動場所は、アクセスポイント20cのサービスエリア圏外(サポートエリアから離脱)であると判断する。あるいは、通信端末装置10hとアクセスポイント20cとの間の回線は、切断されたと判断する。
【0135】
[ステップS505] 通信端末装置10hの受信データ処理部17は、ステップS503にてネットワークの離脱と判断されたので、ネットワークが切り離され使用不能となったことをTCP/IP層を利用しているデバイスドライバやAPI等に通知する。
【0136】
[ステップS506] TCP/IP層を利用しているデバイスドライバやAPI等はネットワークが切り離され使用不能になったことを受信する。
これにより通信端末装置10hは、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに対して、通信エラーを認識させることができる。そして、これ以降は、通信端末装置10hからの通信は不能となる。
【0137】
従来技術では、通信端末装置10hとゲートウェイコンピュータ30bとの間の接続が絶たれたことを検出する手段がなかったため、通信端末装置10hにおいてリカバリ処理などの動作に移るために通信端末装置10h上で手動操作を行なう必要があった。しかし、本発明の実施の形態では、自動的にゲートウェイコンピュータ30bとの接続の切断を検出できるため、ユーザはリカバリ処理に要する時間を短縮することが可能となる。
【0138】
次に、図7の通信デバイス選択装置MU12、および図3の通信デバイス選択部12における通信デバイス選択処理について、図19を参照して具体的に説明する。
【0139】
図19は、本発明の実施の形態における通信デバイス選択処理の基本動作を示すフローチャートである。この処理は、通信端末装置10にて、通信デバイス選択部12に制御が移行、すなわちサービス選択部11にて通信経路自動確立処理が選択されたのを契機に動作し、CPU101において実行させる処理である。以下、図19の処理をステップ番号に沿って説明する。なお、本フローチャートにおける各機能の名称については、図3をもとに説明する。
【0140】
[ステップS601] 通信端末装置10の通信デバイス選択部12は、通信デバイスの優先順位テーブルY10のうちで、最も優先順位が高いものを検索する。
【0141】
[ステップS602] 通信デバイス選択部12は、ステップS601にて検索した結果、通信デバイスが見つかったかどうかを判定する。ここで、通信デバイスが見つかった場合には、ステップS603へ進む。また、通信デバイスが見つからない場合には、ステップS604へ進む。
【0142】
[ステップS603] ステップS602にて通信デバイスが見つかったので、通信端末装置10の受信データ処理部17は、この通信デバイスにおいて、ゲートウェイコンピュータ30からのメッセージD31の受信を一定時間待ち合わせる。
【0143】
[ステップS604] ステップS602にて通信デバイスが見つからなかったので、全ての通信デバイスが使用不能であることをTCP/IP層へ通知する。これにより、通信端末装置10は、TCP/IPプロトコルを使用しているアプリケーションソフトウェアに通信エラーを認識させることができる。
【0144】
[ステップS605] 受信データ処理部17は、ステップS603にて待ち合わせた結果、メッセージD31が受信できたかどうかを判定する。ここで、メッセージD31が受信できた場合には、ステップS606へ進む。また、メッセージD31が受信できない場合には、ステップS607へ進む。
【0145】
[ステップS606] ステップS604にてメッセージD31が受信できたので、当該通信デバイスが使用可能であること、及びそれ以外の通信デバイスが使用不能であることをTCP/IP層及びセキュアプロトコル層を使用する通信経路自動確立部13、データ送信部14へ通知する。
【0146】
[ステップS607] ステップS604にてメッセージD31が受信できなかったので、当該通信デバイスが使用できないと判断し、次に優先順位の高い通信デバイスを検索する。
【0147】
[ステップS608] 当該通信デバイスが使用可能であるので、セキュアな通信経路自動確立部13は、セキュアな通信経路の確立を行う。
このような通信制御手順により、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することができ、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【0148】
以上説明した処理は、コンピュータプログラムに記述し、コンピュータで実行することにより、本発明の機能を実現することができる。また、コンピュータで実行する際には、コンピュータ内のハードディスク等にコンピュータプログラムを予め格納しておき、メインメモリにロードして実行する。なお、コンピュータプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録媒体、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録媒体には、ハードディスク、フレキシブルディスク(FD)、ZIP(Zip:磁気ディスクの一種)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(DVD Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(CD Recordable)、CD−RW(CD Rewritable)などがある。光磁気記録媒体には、MO(Magneto Optical Disk)などがある。半導体メモリには、フラッシュ・メモリ(Flash Memory)などがある。
【0149】
また、コンピュータプログラムを流通させる場合には、例えば各コンピュータプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、コンピュータプログラムをサーバの記憶装置に格納しておき、ネットワークを介して、サーバからクライアントへコンピュータプログラムを転送することもできる。
[本実施の形態の効果]
以上説明した本実施の形態の効果について、以下に述べる。
【0150】
(1) 通信開始時(PCのブート時など)に本発明の実施の形態が提供するサービスの開始をユーザに選択させることにより、セキュアな通信経路を介しての通信と、(本発明の実施の形態を使わない)従来環境での通信の双方とを使い分けることが可能となる。
【0151】
(2)通信開始時や、通信端末装置がサブネットを跨いで移動した際、ゲートウェイコンピュータのアドレスの設定/変更やセキュアな通信経路の確立を自動化することにより、環境設定の負担を解消することが可能となる。
【0152】
(3)通信端末装置がゲートウェイコンピュータのサービスエリアから離れたことを迅速に検出することにより、ユーザはリカバリ処理に要する時間を短縮することが可能となる。
【0153】
(4)複数の通信インタフェースを実装している通信端末装置において、装置内で定義した優先順位に従い通信インタフェースを自動で選択することにより、通信インタフェースの変更に伴う通信環境の変更や、セキュアな通信経路の確立を自動化し、ユーザから不可視化することにより、ユーザによる環境設定の負担を解消することが可能となる。
【0154】
(付記1) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側の通信制御プログラム。
【0155】
(付記2) 前記認証方式と前記暗号化規則と復号規則の決定の際には、前記認証方式と前記暗号化規則と復号規則の決定時に受信されるメッセージ内に含まれる前記通信端末装置のアドレスを、装置内部の記憶媒体に格納することを特徴とする付記1記載のゲートウェイ側の通信制御プログラム。
【0156】
(付記3) 前記認証方式と前記暗号化規則と復号規則の決定の際には、前記記憶媒体に格納された前記通信端末装置の前記アドレスをもとに行うことを特徴とする付記2記載のゲートウェイ側の通信制御プログラム。
【0157】
(付記4) 無線ネットワークを経由して通信を行うための通信端末装置側の通信制御プログラムにおいて、
コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側の通信制御プログラム。
【0158】
(付記5) 前記メッセージの受信の際には、前記メッセージ内にある前記ゲートウェイの前記アドレスを取得すると共に、前記アドレスを装置内部の記憶媒体に格納することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0159】
(付記6) 前記認証方式と前記暗号化規則と復号規則の決定は、前記記憶媒体に格納された前記ゲートウェイの前記アドレスをもとにして行うことを特徴とする付記5記載の通信端末装置側の通信制御プログラム。
【0160】
(付記7) 前記ゲートウェイのアドレスを取得する際には、前記無線ネットワークに対して前記ゲートウェイがブロードキャストで定期的に送信しているメッセージから、前記アドレスを取得することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0161】
(付記8) 前記ゲートウェイのアドレスを取得する際には、他のサーバから前記ゲートウェイのアドレスを取得することにより、前記通信端末装置と前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に決定することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0162】
(付記9) 前記暗号化規則と復号規則の決定は、前記アドレスの取得時において前記ゲートウェイのアドレス変更を検出した場合、前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを自動的に再決定することを特徴とする付記8記載の通信端末装置側の通信制御プログラム。
【0163】
(付記10) 前記通信端末装置が複数の通信手段を有する場合、
予めどの通信手段が使用可能であるかを調べ、使用できる通信手段が複数あるときに、その優先順位を前記通信端末装置内に定義し、
前記通信端末装置にて、前記優先順位に従って通信手段を自動選択し、使用する通信手段以外を無効にして、使用する通信手段で前記ゲートウェイとの間において相互通信を行い、前記認証方式と前記暗号化規則と復号規則とを決定することを特徴とする付記4記載の通信端末装置側の通信制御プログラム。
【0164】
(付記11) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側の通信制御方法において、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
ことを特徴とするゲートウェイ側の通信制御方法。
【0165】
(付記12) 無線ネットワークを経由して通信を行うための通信端末装置側の通信制御方法において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
ことを特徴とする通信端末装置側の通信制御方法。
【0166】
(付記13) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイにおいて、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信する接続確認部と、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証する通信経路自動確立部と、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とするゲートウェイ。
【0167】
(付記14) 無線ネットワークを経由して通信を行うための通信端末装置において、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得する受信データ処理部と、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証する通信経路自動確立部と、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する暗号化通信部と、
を有することを特徴とする通信端末装置。
【0168】
(付記15) 無線ネットワークと他のネットワークとの間で送受信されるデータを中継するためのゲートウェイ側のプログラムを記録したコンピュータ読み取り可能な記録媒体において、
前記コンピュータに、
前記無線ネットワーク上に、セキュリティ機能を有することを示すメッセージをブロードキャストで定期的に送信し、
前記メッセージを受信した通信端末装置からの要求に応じて前記通信端末装置との間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記通信端末装置との間で互いを認証し、
前記通信端末装置宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で送信し、前記無線ネットワーク経由で前記通信端末装置から受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とするゲートウェイ側のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【0169】
(付記16) 無線ネットワークを経由して通信を行うための通信端末装置側のプログラムを記録したコンピュータ読み取り可能な記録媒体において、
前記コンピュータに、
前記無線ネットワークによる通信可能範囲に入ると、前記無線ネットワーク経由で、セキュリティ機能を有するゲートウェイのアドレスを取得し、
取得した前記アドレスに基づき前記ゲートウェイとの間で相互通信を行い、認証方式と互いに通信するデータの暗号化規則と復号規則とを決定し、前記認証方式に従い前記ゲートウェイとの間で互いを認証し、
他のコンピュータ宛のデータを前記暗号化規則に従って暗号化して前記無線ネットワーク経由で前記ゲートウェイへ送信し、前記無線ネットワーク経由で前記ゲートウェイから受信した暗号データを前記復号規則で復号する、
処理を実行させることを特徴とする通信端末装置側のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【0170】
【発明の効果】
以上説明したように本発明では、対向する通信端末装置に対して、ゲートウェイコンピュータから定期的にアドレスを送信し、通信端末装置とゲートウェイコンピュータとの間で認証方式と暗号化規則と復号規則を決定するようにしたので、セキュリティを保ちつつ、ゲートウェイコンピュータ毎の通信設定やセキュアな通信経路の確保などを自動化することできる。このため、ゲートウェイコンピュータの変化にともなうユーザ設定項目を減らし、ユーザの負担を軽減することが可能となる。
【図面の簡単な説明】
【図1】本発明の原理構成図である。
【図2】本発明の実施の形態を適用したシステム構成図である。
【図3】本発明の実施の形態における通信端末装置の機能ブロック図である。
【図4】本発明の実施の形態におけるゲートウェイコンピュータの機能ブロック図である。
【図5】本発明の実施の形態における通信端末装置及びゲートウェイコンピュータのハードウェア構成例を示す図である。
【図6】本発明の実施の形態におけるプロトコルスタックを示す図である。
【図7】通信端末装置における通信デバイスの実装例を示す図である。
【図8】通信端末装置における通信デバイスの優先順位を示すテーブル構成例である。
【図9】通信端末装置内に格納されるデータ構造図である。
【図10】タイマのカウント時において、接続する通信端末装置内に格納されるデータ構造図である。
【図11】接続するゲートウェイコンピュータ内に格納されるデータ構造図である。
【図12】本発明の実施の形態における通信制御プログラムの全体動作を示すフローチャートである。
【図13】図12の通信制御プログラムの全体動作において、ゲートウェイコンピュータがデフォルトゲートウェイである場合の例を示すフローチャートである。
【図14】本実施の形態を適用したLANシステムにおいて、通信端末装置10が別のサブネットへ移動した場合の例を示す図である。
【図15】本発明の実施の形態における通信端末装置が移動した場合の全体動作を示すフローチャートである。
【図16】本発明の実施の形態における通信端末装置が移動した場合、且つゲートウェイコンピュータがデフォルトゲートウェイである場合の全体動作を示すフローチャートである。
【図17】本実施の形態を適用したLANシステムにおいて、通信端末装置がサービスエリア圏外へ移動した場合の例を示す図である。
【図18】本発明の実施の形態における通信端末装置が、サービスエリア圏外に移動した場合の全体動作を示すフローチャートである。
【図19】本発明の実施の形態における通信デバイス選択処理の基本動作を示すフローチャートである。
【符号の説明】
10 通信端末装置
30 ゲートウェイコンピュータ
M10 クライアント側管理テーブル
M30 ゲートウェイコンピュータ側管理テーブ
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002125261A JP3764125B2 (ja) | 2002-04-26 | 2002-04-26 | ゲートウェイ、通信端末装置、および通信制御プログラム |
| US10/413,212 US20030217262A1 (en) | 2002-04-26 | 2003-04-15 | Gateway, communication terminal equipment, and communication control program |
| KR10-2003-0024602A KR20030084613A (ko) | 2002-04-26 | 2003-04-18 | 게이트웨이, 통신 단말 장치 및 통신 제어 프로그램 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002125261A JP3764125B2 (ja) | 2002-04-26 | 2002-04-26 | ゲートウェイ、通信端末装置、および通信制御プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2003318992A JP2003318992A (ja) | 2003-11-07 |
| JP2003318992A5 true JP2003318992A5 (ja) | 2004-10-14 |
| JP3764125B2 JP3764125B2 (ja) | 2006-04-05 |
Family
ID=29416597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002125261A Expired - Fee Related JP3764125B2 (ja) | 2002-04-26 | 2002-04-26 | ゲートウェイ、通信端末装置、および通信制御プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20030217262A1 (ja) |
| JP (1) | JP3764125B2 (ja) |
| KR (1) | KR20030084613A (ja) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4069388B2 (ja) * | 2003-09-16 | 2008-04-02 | ソニー株式会社 | サーバ装置およびコンテンツサーバ装置 |
| US20050105481A1 (en) * | 2003-11-05 | 2005-05-19 | Interdigital Technology Corporation | Network adapter interface between terminal equipment and mobile equipment |
| KR100617671B1 (ko) | 2003-12-22 | 2006-08-28 | 삼성전자주식회사 | 고속 무선 랜 시스템 |
| US20050250492A1 (en) * | 2004-05-10 | 2005-11-10 | Chang Han K | Method for suspending roaming |
| US7263079B2 (en) * | 2004-07-30 | 2007-08-28 | Microsoft Corporation | System and methods for joining the correct wireless network |
| EP1643689A1 (fr) * | 2004-10-01 | 2006-04-05 | France Telecom | Procede de selection automatique d'une configuration de securite pour les terminaux d'utilisateur nomades |
| KR100759489B1 (ko) * | 2004-11-18 | 2007-09-18 | 삼성전자주식회사 | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 |
| KR100616574B1 (ko) * | 2004-11-18 | 2006-08-29 | 엘지노텔 주식회사 | 액세스 게이트웨이에서의 데이터 경로 자동 설정 장치 및그 방법 |
| JP2008547328A (ja) * | 2005-06-23 | 2008-12-25 | エックスディエス・インコーポレイテッド | モバイル機器に対するネットワークアドレス変更のための方法及び装置 |
| KR100725449B1 (ko) * | 2005-07-20 | 2007-06-07 | 삼성전자주식회사 | 개선한 서버연결 장치를 가지는 휴대용 단말기 및 이의서버연결 방법 |
| KR100772877B1 (ko) * | 2006-04-25 | 2007-11-02 | 삼성전자주식회사 | 디바이스 상호간 계층적 연결 장치 및 방법 |
| HUE030535T2 (en) * | 2006-06-27 | 2017-05-29 | Waterfall Security Solutions Ltd | One-way security connections from a security operating unit to a security operating unit |
| IL177756A (en) * | 2006-08-29 | 2014-11-30 | Lior Frenkel | Encryption-based protection against attacks |
| IL180020A (en) * | 2006-12-12 | 2013-03-24 | Waterfall Security Solutions Ltd | Encryption -and decryption-enabled interfaces |
| IL180748A (en) | 2007-01-16 | 2013-03-24 | Waterfall Security Solutions Ltd | Secure archive |
| US8223205B2 (en) * | 2007-10-24 | 2012-07-17 | Waterfall Solutions Ltd. | Secure implementation of network-based sensors |
| US9355267B2 (en) * | 2009-03-26 | 2016-05-31 | The University Of Houston System | Integrated file level cryptographical access control |
| US9503970B2 (en) * | 2009-12-04 | 2016-11-22 | Qualcomm Incorporated | Managing a data network connection for mobile communications based on user location |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
| JP4832604B1 (ja) * | 2011-03-28 | 2011-12-07 | 株式会社野村総合研究所 | 使用管理システムおよび使用管理方法 |
| JP4882030B1 (ja) * | 2011-03-28 | 2012-02-22 | 株式会社野村総合研究所 | 接続先制限システム、接続先制限方法 |
| WO2012132697A1 (ja) * | 2011-03-28 | 2012-10-04 | 株式会社野村総合研究所 | 接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラム |
| US9635037B2 (en) | 2012-09-06 | 2017-04-25 | Waterfall Security Solutions Ltd. | Remote control of secure installations |
| US10187445B2 (en) * | 2012-12-17 | 2019-01-22 | Beijing Qihoo Technology Company Limited | System, method and browser client for enabling browser data synchronization |
| US9419975B2 (en) | 2013-04-22 | 2016-08-16 | Waterfall Security Solutions Ltd. | Bi-directional communication over a one-way link |
| JP6192495B2 (ja) * | 2013-11-07 | 2017-09-06 | 株式会社日立製作所 | 半導体素子、情報端末および半導体素子の制御方法、情報端末の制御方法 |
| EP2991278B1 (en) | 2014-08-28 | 2019-07-31 | Alcatel Lucent | Method and system for managing network traffic |
| IL235175A (en) | 2014-10-19 | 2017-08-31 | Frenkel Lior | Secure desktop remote control |
| IL250010B (en) | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
| JP6676587B2 (ja) * | 2017-06-16 | 2020-04-08 | キヤノン株式会社 | 印刷制御装置、制御方法、プログラム |
| JP6804026B2 (ja) * | 2017-09-22 | 2020-12-23 | mtes Neural Networks株式会社 | 暗号化通信システム |
| CN112351418B (zh) * | 2019-08-09 | 2021-12-03 | 华为技术有限公司 | 能力信息的上报方法及终端 |
| JP2023169452A (ja) * | 2020-10-22 | 2023-11-30 | シャープ株式会社 | 通信端末、認証装置、及び基地局装置 |
| CN112398851B (zh) * | 2020-11-13 | 2023-01-10 | Oppo广东移动通信有限公司 | 数据处理方法、装置、存储介质及电子设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6067620A (en) * | 1996-07-30 | 2000-05-23 | Holden; James M. | Stand alone security device for computer networks |
| US6263437B1 (en) * | 1998-02-19 | 2001-07-17 | Openware Systems Inc | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks |
| JP3816689B2 (ja) * | 1999-03-31 | 2006-08-30 | 株式会社東芝 | 情報配信装置、情報受信装置及び通信方法 |
| JP2000358022A (ja) * | 1999-06-15 | 2000-12-26 | Mitsubishi Electric Corp | 暗号通信システム、暗号鍵決定方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| KR200193502Y1 (ko) * | 2000-03-14 | 2000-08-16 | 주식회사한영테크놀로지 | 통신보안시스템 |
| JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
| JP2001313672A (ja) * | 2000-04-28 | 2001-11-09 | Toshiba Corp | ネットワークシステム、パケット中継装置、無線端末及びパケット処理方法 |
| JP2002044069A (ja) * | 2000-07-31 | 2002-02-08 | Nec Eng Ltd | 秘匿通信システム |
| US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
| US20040025018A1 (en) * | 2002-01-23 | 2004-02-05 | Haas Zygmunt J. | Secure end-to-end communication in mobile ad hoc networks |
| US20030233328A1 (en) * | 2002-04-23 | 2003-12-18 | Scott David A. | Method and system for securely communicating data in a communications network |
| US20040088539A1 (en) * | 2002-11-01 | 2004-05-06 | Infante Steven D. | System and method for securing digital messages |
-
2002
- 2002-04-26 JP JP2002125261A patent/JP3764125B2/ja not_active Expired - Fee Related
-
2003
- 2003-04-15 US US10/413,212 patent/US20030217262A1/en not_active Abandoned
- 2003-04-18 KR KR10-2003-0024602A patent/KR20030084613A/ko active IP Right Grant
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3764125B2 (ja) | ゲートウェイ、通信端末装置、および通信制御プログラム | |
| JP2003318992A5 (ja) | ||
| US7437145B2 (en) | Wireless control apparatus, system, control method, and program | |
| EP1569411B1 (en) | Methods, apparatuses and program products for initializing a security association based on physical proximity in a wireless ad-hoc network | |
| JP4977229B2 (ja) | 通信を中継するための装置、方法、およびプログラム | |
| US8848915B2 (en) | Method for automatic WLAN connection between digital devices and digital device therefor | |
| KR101291501B1 (ko) | 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 | |
| JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
| US7269653B2 (en) | Wireless network communications methods, communications device operational methods, wireless networks, configuration devices, communications systems, and articles of manufacture | |
| US20080098088A1 (en) | Communication System, Terminal Device And Communication Device | |
| JP2002359623A (ja) | 無線通信設定方法、通信端末、アクセスポイント端末、記録媒体およびプログラム | |
| JP4902878B2 (ja) | リンク管理システム | |
| JP2009111859A (ja) | 利用者のアドレス情報を登録する装置、方法およびプログラム | |
| US8019879B2 (en) | Wireless communications systems and wireless communications methods | |
| WO2015183429A1 (en) | Dynamic account updating | |
| EP1947818B1 (en) | A communication system and a communication method | |
| JP2007306312A (ja) | 無線通信接続システム | |
| JP2003087289A (ja) | 無線データ通信の中継機能を有する電子機器 | |
| US11750501B1 (en) | Upgrading meshnet connections in a mesh network | |
| JP2005020112A (ja) | ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法 | |
| JP2005286783A (ja) | 無線lan接続方法および無線lanクライアントソフトウェア | |
| JP2005117458A (ja) | 無線接続システム、無線接続制御方法、アクセスポイント機器、および通信機器 | |
| JP4495049B2 (ja) | パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置 | |
| JP2005150794A (ja) | コンピュータ装置及びコンピュータプログラム | |
| JP4047203B2 (ja) | ネットワークシステム、無線通信端末と無線通信するアクセスポイント及び無線通信端末が接続するアクセスポイントの指定方法 |