JP2004104500A - 通信方法、ブリッジ装置及び端末装置 - Google Patents

通信方法、ブリッジ装置及び端末装置 Download PDF

Info

Publication number
JP2004104500A
JP2004104500A JP2002264216A JP2002264216A JP2004104500A JP 2004104500 A JP2004104500 A JP 2004104500A JP 2002264216 A JP2002264216 A JP 2002264216A JP 2002264216 A JP2002264216 A JP 2002264216A JP 2004104500 A JP2004104500 A JP 2004104500A
Authority
JP
Japan
Prior art keywords
frame
encapsulated
data frame
bridge
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002264216A
Other languages
English (en)
Other versions
JP3816850B2 (ja
Inventor
Naohisa Shibuya
渋谷 尚久
Daisuke Taki
滝 大輔
Masataka Goto
後藤 真孝
Masahiro Takagi
高木 雅裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002264216A priority Critical patent/JP3816850B2/ja
Publication of JP2004104500A publication Critical patent/JP2004104500A/ja
Application granted granted Critical
Publication of JP3816850B2 publication Critical patent/JP3816850B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】無線LANに備えられている暗号機能とは別の新規暗号機能のような所定の処理を行うブリッジ装置を介した端末間通信を可能とする。
【解決手段】無線LANに存在する少なくとも一つの端末200,210が無線LAN基地局である第1のMACブリッジ310を介して通信を行うネットワークにおいて、第1のMACブリッジ310の有線LAN側に所定の処理を行う追加された第2のMACブリッジ100を接続し、端末200,210と第2のブリッジ装置100との間でMACフレームを互いを宛先とするヘッダの付加によってカプセル化したフレームをトンネリングさせて互いに送受信する。
【選択図】  図1

Description

【0001】
【発明の属する技術分野】
本発明は、複数のMACブリッジから構成されるLANにおいて、エンド端末が送受信するMACフレームをLAN内の任意の位置に接続された任意の処理(例えば暗号化処理)を行う追加されたMACブリッジを経由して、例えば暗号化通信を実現する通信方法とブリッジ装置及び端末装置に関する。
【0002】
【従来技術】
無線LAN(Local Area Network)、例えば従来のIEEE802.11方式の無線LANでは、有線LANと同等のセキュリティを実現することを目的として、無線LAN上で送受信されるデータフレームを暗号化する機能が備えられている。暗号化の方式としては、IEEE802.11の中でWEP(Wired Equivalent Privacy)が仕様化されている。WEPを用いたLANの具体的な構成は、例えば特許文献1に記載されている。このような無線LANシステムにおける認証技術については例えば特許文献1に記載され、また無線LANにおける暗号鍵の更新の手法については特許文献2に記載されている。最近では、WEPによる暗号化アルゴリズムの脆弱性が問題にされ始めている。
【0003】
この問題の対策として、LAN内に新たな暗号化機能を導入することが考えられる。具体的な方法としては、無線LAN基地局、MAC(Media Acess Control)ブリッジ及びルータといった既設の機器に、新規暗号化機能を追加する形態が考えられる。しかし、これら既設の機器が専用ハードウエアで構成されている場合には、当該機器の開発ベンダー以外の第三者、例えばLANセグメントを運用・管理している管理者が当該機器に新たな機能を追加することは困難である。
【0004】
そこで、無線LAN基地局を包含するLAN内の任意の位置に、新規暗号化機能を持つMACブリッジを設置する方法が考えられる。具体的には、新規暗号化機能を持つMACブリッジを既設の無線LAN基地局とルータとの間の任意の位置に設置する。
【0005】
【特許文献1】
特開2001−111544号公報
【0006】
【特許文献2】
特開2001−111543号公報
【0007】
【発明が解決しようとする課題】
上述したような無線LAN基地局を含めた複数のMACブリッジから構成されるLANにおいて、新規暗号化機能を有するMACブリッジを既設の無線LAN基地局とルータとの間に設置する形態では、以下のような問題が発生する。
【0008】
同一の無線LAN基地局に接続している端末どうしが通信を行う場合には、無線LAN基地局のMACブリッジ機能によって、端末間でやりとりするMACフレームはブリッジ処理により折り返されて転送されてしまう。このため、新規暗号化機能を有するMACブリッジには、端末間でやりとりするMACフレームが届かず、追加されたMACブリッジによる新規暗号化機能を用いた通信を行うことができない。
【0009】
本発明は、無線LANに備えられている暗号機能とは別の新規暗号機能のような所定の処理を行うブリッジ装置を用いた端末間通信を可能とする通信方法とブリッジ装置及び端末装置を提供することを目的とする。
【0010】
【課題を解決するための手段】
上記の課題を解決するため、本発明は無線ネットワーク内に存在する第1端末装置が該無線ネットワークと有線ネットワークとの間に介在された第1のブリッジ装置を介して前記無線ネットワーク内または有線ネットワーク内に存在する前記第2端末装置と通信を行う通信方法において、第1のブリッジ装置の有線ネットワーク側に通信に伴う所定の処理を行う第2のブリッジ装置を接続し、端末装置と第2のブリッジ装置との間で、データフレームを互いの装置を宛先とするヘッダの付加によってカプセル化したカプセル化フレームを第1のブリッジ装置を経由して互いに送受信することを基本とする。
【0011】
すなわち、第1の端末装置は第2の端末装置へ送信すべきデータフレームを有線ネットワーク内に設けられた第2のブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化し、該第1カプセル化フレームを第1のブリッジ装置へ送信する。第1のブリッジ装置は、受信した第1カプセル化フレームをブリッジ処理により第2のブリッジ装置へ転送させて送信する。第2のブリッジ装置は、受信した第1カプセル化フレームからデータフレームを抽出し、該抽出したデータフレームに対して所定の処理を施して第2データフレームを生成し、該第2データフレームを第2の端末装置を宛先とする第2ヘッダの付加によってカプセル化して第2カプセル化フレームを生成し、該第2カプセル化フレームを第2の端末装置へ送信する。第2の端末装置は、受信した第2カプセル化フレームから第2データフレームを抽出する。
【0012】
ここで、第2のブリッジ装置が行う所定の処理は、例えば暗号化/復号化処理圧縮方式の変換処理、フレームサイズの変換処理、バッファリング処理及びブロードキャストデータフレームをユニキャストデータフレームに変換する処理の少なくとも一つを含む。
【0013】
本発明の一つの態様では、無線ネットワークに存在する少なくとも一つの第1及び第2の端末装置を含む複数の端末装置間で、該無線ネットワークと有線ネットワークとの間に介在された第1のブリッジ装置を介して通信を行う際に、第1の端末装置は、第2の端末装置へ送信すべき第1データフレームに対して暗号化処理を施して第2データフレームを生成し、該第2データフレームを有線ネットワーク内に設けられた第2のブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化して第1カプセル化フレームを生成する。第1のブリッジ装置は、受信した第1カプセル化フレームをブリッジ処理により第2のブリッジ装置へ転送させて送信する。第2のブリッジ装置は、受信した第1カプセル化フレームから第2データフレームを抽出し、該抽出した第2データフレームに対して復号化処理を施して第1データフレームを生成し、該第1データフレームに対し暗号化処理を施して第3データフレームを生成し、該第3データフレームを第2の端末装置を宛先とする第2ヘッダの付加によってカプセル化して第2カプセル化フレームを生成し、該第2カプセル化フレームを第2の端末装置へ送信する。第2の端末装置は、受信した第2カプセル化フレームから第3データフレームを抽出し、該抽出した第3データフレームに対して復号化処理を施して第1データフレームを生成する。
【0014】
本発明に係る一つのブリッジ装置は、第1データフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化フレームを受信する手段と、受信された第1カプセル化フレームから第1データフレームを抽出する手段と、抽出された第1データフレームに対して復号化処理を施して第2データフレームを生成する手段と、生成された第2データフレームに暗号化処理を施して第3データフレームを生成する手段と、生成された第3データフレームを外部装置宛の第2ヘッダの付加によってカプセル化して第2カプセル化データを生成する手段と、生成された第2カプセル化データを外部装置へ送信する手段とを具備する。
【0015】
本発明に係る他のブリッジ装置は、第1データフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化フレームを受信する手段と、受信された第1カプセル化フレームから第1データフレームを抽出する手段と、抽出された第1データフレームに対して所定の処理を施して第2データフレームを生成する手段と、生成された第2データフレームを外部装置宛の第2ヘッダの付加によってカプセル化して第2カプセル化データを生成する手段と、生成された第2カプセル化データを外部装置へ送信する手段とを具備する。
【0016】
一方、本発明に係る一つの端末装置は、送信すべき第1データフレームに対して暗号化処理を施して第2データフレームを生成する手段と、生成された第2データフレームを外部ブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化して第1カプセル化フレームを生成する手段と、生成された第1カプセル化フレームを送信する手段と、第3データフレームが自己宛の第2ヘッダの付加によってカプセル化された第2カプセル化フレームを受信する手段と、受信された第2カプセル化フレームから第3データフレームを抽出する手段と、 抽出された第3データフレームに対して復号化処理を施して第4データフレームを生成する手段とを具備する。
【0017】
本発明に係る他の端末装置は、送信すべきデータフレームがブロードキャストフレームである場合に該ブロードキャストフレームを外部ブリッジ装置を宛先とするヘッダの付加によりユニキャストフレームにカプセル化してカプセル化フレームを生成する手段と、生成されたカプセル化フレームを外部ブリッジ装置へ送信する手段とを具備する。
【0018】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を説明する。
(第1の実施形態)
本実施形態は、LAN内のエッジに位置するエンド端末間の通信において、端末から送信するデータまたは端末が受信するデータがLAN内の任意の位置に新たに設置されたMACブリッジとの間で暗号化処理されて送受信され、かつLANを構成するMAC層がIEEE802.11、IEEE802.3、あるいはイーサネット(R)等を含む一般的なLAN構成において適用可能である。
【0019】
図1に、本実施形態に係るネットワークの構成例を示す。本実施形態のネットワークには、暗号化対応MACブリッジ100、複数の端末(STA)200,210、有線間マルチポートMACブリッジ300、有線・無線間MACブリッジ(無線LAN基地局)310,320、アクセスルータ(RT)400、認証サーバ(AS)500、通信相手端末(CN)600及びバックボーンネットワーク(BN)700が含まれる。
【0020】
図1では3つのMACブリッジ300,310,320が示されているが、その他のMACブリッジが同一LAN内に存在してよい。MACブリッジ300,310,320間を接続する構成は、図1に限定されない。認証サーバ500はバックボーンネットワーク700に接続されているが、接続される位置はこれに限定されるものではない。認証サーバ500を独立した装置と存在させず、暗号化対応MACブリッジ100に縮退させた構成も考えられる。
【0021】
端末200,210は、例えばIEEE802.11規格の無線LANを用いてLANに接続される端末であり、無線LAN基地局310,320の間をハンドオフすることも可能である。端末200,210がLANに接続するために使用する通信手段は、IEEE802.11の無線LANに限定されるものではなく、例えばIEEE802.3またはイーサネット(R)といった通信方式で接続していてもよい。通信相手端末600は、端末200,210と通信を行う端末である。通信相手端末600は、図1ではバックボーンネットワーク700の先の存在しているが、同一LAN内の他の端末が端末200,210との通信相手であってもよい。
【0022】
次に、図2〜図4を用いて図1の主要部の詳細な構成を説明する。
(暗号化対応MACブリッジ100について)
暗号化対応MACブリッジ100は、端末200,210との間で暗号化通信を行うMACブリッジであり、図2の下側に示されているように第1及び第2のネットワークインタフェース101,102、鍵管理部103、暗号化/復号化部104、暗号鍵テーブル105、カプセル化部106、ブリッジ処理部107及びブリッジテーブル108を有する。
【0023】
第2のネットワークインタフェース102は、LAN上で当該インタフェース102を一意に識別するためのMACIDであるMACID_MACBR100を持つ。第1のネットワークインタフェース101は、第2のネットワークインタフェースとは別のMACIDを持っていてもよい。図2では2個のネットワークインタフェース101,102のみ示しているが、これ以外のネットワークインタフェースを持っていてもよい。
【0024】
鍵管理部103は、認証サーバ500を用いて端末200,201を認証し、暗号化/復号化部104で使用する端末200,210毎に割り当てた鍵を動的に交換する。暗号化/復号化部104は、端末200,210宛のMACフレームを暗号化し、また端末200,210から受信した暗号化されているMACフレームを復号化する。暗号鍵テーブル105には、暗号化/復号化部104で使用する鍵が格納されている。
【0025】
カプセル化/逆カプセル化部106は、端末200,210から送信されてきたカプセル化されているMACフレームから、カプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行い、また端末200,210に送信すべき暗号化したMACフレームを端末宛200,210のMACフレームとしてカプセル化する。
【0026】
ブリッジ処理部107は、各ネットワークインタフェース間のブリッジ処理(転送処理)を行う。ブリッジ処理部107がどのネットワークインタフェースにデータを転送すべきかの情報は、ブリッジテーブル108に格納されている。
【0027】
(端末200,210について)
端末200は、図3(a)に示されるようにIEE802.11に対応した無線LAN用のネットワークインタフェース201、鍵管理部202、暗号化/復号化部203、暗合鍵テーブル204及びカプセル化/逆カプセル化部205を有する。同様に、もう一つの端末210も図3(b)に示されるようにネットワークインタフェース211、鍵管理部212、暗号化/復号化部213、暗合鍵テーブル214及びカプセル化/逆カプセル化部215を有する。端末200,210は、それぞれのネットワークインタフェース201,211を一意に示すMACID_STA200, MACID_STA210を持っている。
【0028】
鍵管理部202,212は、それぞれ認証サーバ500による端末200,210の認証が成功した場合に、暗号化/復号化部202,212でそれぞれ使用する鍵を動的に交換する。暗号化/復号化部202,212は、MACフレームを暗号化し、また暗号化されているMACフレームを復号化する。暗号鍵テーブル204,214には、暗号化/復号化部203,213で使用する鍵が格納されている。カプセル化/逆カプセル化部205,215は、暗号化したMACフレームを暗号化対応MACブリッジ100宛のMACフレームとしてカプセル化し、また受信したMACフレームからカプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行う。
【0029】
(有線間マルチポートMACブリッジ300について)
有線間マルチポートMACブリッジ(スイッチ)300は、暗号化対応MACブリッジ100とバックボーンネットワーク700との間に挿入され、有線間の転送制御を行うマルチポートのMACブリッジである。図2の上側に示されるように、有線間マルチポートMACブリッジ300は任意の数のネットワークインタフェース301,302,305と、各ネットワークインタフェース301,302,305間のデータ転送を処理するためのブリッジ処理部303、及びネットワークインタフェース301,302,305のいずれにデータを転送すべきかの情報を保持するブリッジテーブル304を有する。
【0030】
(有線・無線間MACブリッジ310について)
有線・無線間MACブリッジ310は、有線側である暗号化対応MACブリッジ100と無線側との間に挿入され、有線・無線間の転送制御を行うMACブリッジ(無線LAN基地局)である。有線・無線間MACブリッジ310は、図4に示すように有線側及び無線側にそれぞれ第1及び第2のネットワークインタフェース311,312を有し、無線側にある第2のネットワークインタフェース312は、IEEE802.11上で自身を一意に表すMACIDであるMACID_MACBR310を持つ。図4中には、有線及び無線用のネットワークインタフェース311,312をそれぞれ一つずつ示しているが、それぞれの数はこれに限定されるものではなく、二つ以上あっても構わない。
【0031】
有線・無線間MACブリッジ310は、さらに有線間マルチポートMACブリッジ300と同様に、各ネットワークインタフェース311,312間のデータ転送を処理するためのブリッジ処理部313、及びネットワークインタフェース311,312のいずれにデータを転送すべきかの情報を保持するブリッジテーブル314を有する。
【0032】
もう一つの有線・無線間MACブリッジ320も、有線・無線間MACブリッジ310と同等の構成及び機能を持つ無線LAN基地局である。図1では、端末200,210が複数の無線LAN基地局間をハンドオフ可能であることを示すために、このように複数の有線・無線間MACブリッジ310,320を図示している。
【0033】
(アクセスルータ400について)
アクセスルータ400は、当該LANとバックボーンネットワークバックボーンネットワーク700との間でルーティングサービスを行う装置であり、内蔵しているLAN側のネットワークインタフェース(図示せず)を一意に表すMACIDとして、MACID_RT400を持つ。
【0034】
(認証サーバ500について)
認証サーバ500は、暗号化対応MACブリッジ100からの認証要求により端末200,210の認証を行い、認証の成功時に必要な鍵を生成し、その鍵を暗号化対応MACブリッジ100及び認証された端末へ配布する。
【0035】
(端末600について)
通信相手端末(CN)600は、端末200,210の通信相手となる端末の一つであり、バックボーンネットワーク700を経由して接続されている。
【0036】
図5には、暗号化対応MACブリッジ100内の暗号鍵テーブル105及び端末200,210内の暗号鍵テーブル204,214の具体例を示す。暗号化対応MACブリッジ100内の暗号鍵テーブル105は、端末200,210のユニキャスト通信用の暗号鍵としてKEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の端末200,210に共通のKEY−BCASTを含む。端末200,210内の暗号鍵テーブル204,214は、それぞれユニキャスト通信用の暗号鍵KEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の各端末共通で使用するKEY−BCASTを含む。
これらの暗号鍵テーブル105,204,214に含まれる暗号鍵は、認証サーバ500での端末200,210認証の成功の結果、認証サーバ500から配布される。これらの暗号鍵は動的に更新されてもよい。
【0037】
図6に示すように、MACブリッジ100,300,310内のブリッジテーブル108,304,314は、それぞれアクセスルータ400のMACIDであるMACID_RT400、端末200,210のMACIDであるMACID_STA200, MACID_STA210を含む。これらのブリッジテーブル108,304,314は、それぞれアクセスルータ400,端末200,210から送信されたMACフレームをMACブリッジ100,300,310が受信することによって自動的に学習される。
【0038】
次に、本実施形態における通信手順について述べる。
まず、図7、図8及び図9を参照して端末200から端末210にデータを送信するユニキャスト送信のシーケンスについて説明する。
最初に、端末200は暗号化対応MACブリッジ100と認証サーバ500との間で、認証及び鍵交換を行う(ステップS100)。この時使用される認証及び鍵交換の方法は、特定の方式に限定されるものではないので、ここでは省略する。ただし、これらのメッセージ交換を通して、端末200と暗号化対応MACブリッジ100はそれぞれ互いのMACIDであるMACID_STA200, MACID_MACBR100を知るものとする。このシーケンスには、認証及び鍵交換のために複数のメッセージ交換を含んでもよい。MACブリッジ300,310でのブリッジ処理、アクセスルータ400によるルーティング処理によって、端末200、暗号化対応MACブリッジ100及び認証サーバ500の間で、一連のメッセージの交換が行われる。
【0039】
ステップS100での認証及び鍵交換が成功した場合、端末200及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル204,105に取得した暗号鍵を設定する(ステップS101,S102)。
同様に、もう一つの端末210は暗号化対応MACブリッジ100及び認証サーバ500との間で認証及び鍵交換を行い(ステップS103)、認証及び鍵交換が成功した場合、端末210及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル214,105に取得した暗号鍵を設定する(ステップS104,S105)。
【0040】
ここまでのシーケンスで、図5に示した暗号鍵テーブル105,204,214が設定される。また、上述した一連のメッセージ交換で発生したMACブリッジ100,300,310でのブリッジ処理により、各MACブリッジ100,300,310内のブリッジテーブル108,304,314が図6で示されるように設定される。この段階では、端末200,210からのデータを含むMACフレームが有線間マルチポートMACブリッジ300に到達することはないので、MACブリッジ300内のブリッジテーブル304には、端末200,210のMACIDのエントリは含まれない。
【0041】
次に、端末200は以下のような端末210宛のユニキャスト送信データ処理を行う(ステップS110)。まず、端末200は端末210宛の図8(a)に示すイーサネット(R)フレーム3000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化されたイーサネット(R)フレームをカプセル化/逆カプセル化部205に渡し、認証及び鍵交換で得られたトンネルすべき相手先である暗号化対応MACブリッジ100宛の図8(b)に示すIEEE802.11フレーム3100としてカプセル化する。図8(b)のIEEE802.11フレーム3100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 は、それぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先が暗号化対応MACブリッジ100となっている。
【0042】
次に、端末200はステップS110で生成された最終宛先を暗号化対応MACブリッジ100とするIEEE802.11フレーム3100を有線・無線間MACブリッジ310へ送信する(ステップS111)。
【0043】
一方、IEEE802.11フレーム3100を受信した有線・無線間MACブリッジ310では、当該フレーム3100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム3100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3100をその内容に応じて図8(c)に示す暗号化対応MACブリッジ100宛のイーサネット(R)フレーム3200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS112)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS113)。
【0044】
自身宛のイーサネット(R)フレーム3200を受信した暗号化対応MACブリッジ100では、受信したイーサネット(R)フレーム3000からカプセル化/逆カプセル化部106によって、暗号化されているイーサネット(R)フレーム3210を抽出する。暗号化対応MACブリッジ100は、受信したイーサネット(R)フレーム3200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって端末200用の暗号鍵がKEY−UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY−UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム3210を復号化する。
【0045】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS114)。すなわち、暗号化対応MACブリッジ100は復号化されたイーサネット(R)フレーム3000の宛先が端末210であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム3000が第2のネットワークインタフェース101に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105を再度検索することによって端末210用の暗号鍵がKEY−UCAST_STA210であることを知ると、この暗号鍵KEY−UCAST_STA210を用いて、復号化されたイーサネット(R)フレーム3000を暗号化/復号化部104によって暗号化する。
【0046】
この後、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部104によって図9(a)に示す端末210宛のイーサネット(R)フレーム3300としてカプセル化し、有線・無線間MACブリッジ310へ送信する(ステップS115)。
【0047】
イーサネット(R)フレーム3300を受信した有線・無線間MACブリッジ310は、当該フレーム3300の最終宛先が端末210であり、またブリッジテーブル314を検索することによって、第2のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3300を図9(b)に示すIEEE802.11フレーム3400に変換し(ステップS116)、第2のネットワークインタフェース312から端末210へ送信する(ステップS117)。
【0048】
自身宛のIEEE802.11フレーム3400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム3410を抽出し、それを暗号化/復号化部213によって暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて復号化する。復号化されたイーサネット(R)フレーム3000は、端末200から自身宛に送信されたイーサネット(R)フレームであることから上位層に渡し、これで受信処理が完了する(ステップS118)。
【0049】
次に、図10及び図11を参照して端末200から通信相手端末600にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のような通信相手端末600宛のユニキャスト送信データ処理を行う(ステップS200)。すなわち、端末200は通信相手端末600にデータの送信を行うためにアクセスルータ400宛の図11(a)に示すイーサネット(R)フレーム4000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。
【0050】
さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、対応MACブリッジ100宛の図11(b)に示すIEEE802.11フレーム4100としてカプセル化する。図11(b)に示すIEEE802.11フレーム4100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先はMACID_RT500で示される有線・無線間MACブリッジ310となっている。
【0051】
次に、端末200はステップS200で生成されたIEEE802.11フレーム4100を有線・無線間MACブリッジ310へ送信する(ステップS201)。
一方、IEEE802.11フレーム4100を受信した有線・無線間MACブリッジ310では、当該フレーム4100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム4100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム4100をその内容に応じて暗号化対応MACブリッジ100宛の図11(c)に示すイーサネット(R)フレーム4200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS202)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS203)。
【0052】
自身宛のイーサネット(R)フレーム4200を受信した暗号化対応MACブリッジ100は、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム4200から図11(c)中に示す暗号化されているイーサネット(R)フレーム4210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム4200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY−UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY−UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム4210を復号化する。
【0053】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS204)。すなわち、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000の宛先がアクセスルータ400であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム4000が第1のネットワークインタフェース101に転送すべきであることを知る。この結果、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェースから有線間マルチポートMACブリッジ300へ送信する(ステップS205)。
【0054】
イーサネット(R)フレーム4000を受信した有線間マルチポートMACブリッジ300は、当該フレームの最終宛先がアクセスルータ400であり、またブリッジテーブル314を検索することによって、受信したイーサネット(R)フレーム4000が第1のネットワークインタフェース301へブリッジすべきであることを知ると、受信したイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェース301からアクセスルータ400へ送信する(ステップS206,S207)。
【0055】
自身宛のイーサネット(R)フレーム4000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、バックボーンネットワーク700へルーティング処理して送信する(ステップS208,S209)。
以降、バックボーンネットワーク700内をルーティングされた上位層のパケットは、最終的に通信相手端末600へ転送され、通信相手端末600で受信処理されて処理が完了する(ステップS210)。
ルーティングを行う上位層のプロトコルには、例えばインタネットで使用されるIP(Internet Protocol)が使用されるが、これに限定されるものではない。
【0056】
次に、図12、図13及び図14を参照して端末200からブロードキャスト宛にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のようなブロードキャスト宛の送信データ処理を行う(ステップS300)。
【0057】
まず、端末200は図13(a)に示すブロードキャスト宛のイーサネット(R)フレーム5000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、暗号化対応MACブリッジ100宛の図13(b)に示すIEEE802.11フレーム5100としてカプセル化する。図13(b)に示すIEEE802.11フレーム5100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先は暗号化対応MACブリッジ100となっている。
次に、端末200はステップS300で生成されたIEEE802.11フレーム5100を有線・無線間MACブリッジ310へ送信する(ステップS301)。
【0058】
一方、IEEE802.11フレーム5100を受信した有線・無線間MACブリッジ310では、当該フレーム5100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム5100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム5100をその内容に応じて暗号化対応MACブリッジ100宛の図13(c)に示すイーサネット(R)フレーム5200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS302)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS303)。
【0059】
一方、自身宛のイーサネット(R)フレーム5200を受信した暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS304)。すなわち、暗号化対応MACブリッジ100では、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム5200から図13(c)中に示す暗号化されているイーサネット(R)フレーム5210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム5200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY−UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵KEY−UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム5210を復号化する。
【0060】
暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム5000の宛先アドレスがブロードキャスト宛であることから、当該フレーム5000が第1及び第2のネットワークインタフェース101,102に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105に含まれるブロードキャスト用の暗号鍵KEY−BCASTを再度用いて、復号化したイーサネット(R)フレーム5000を暗号化/復号化部104によって暗号化する。次に、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部106によってブロードキャスト宛の図14(a)に示すイーサネット(R)フレーム5300にカプセル化する。
【0061】
次に、暗号化対応MACブリッジ100は図14(a)に示すカプセル化されたイーサネット(R)フレーム5300第2のネットワークインタフェース102から送信し(ステップS310)、一方、復号化したイーサネット(R)フレーム5000を第1のネットワークインタフェース102からそのままブロードキャスト宛に送信する(ステップS320)。
【0062】
IEEE802.11の無線LANは無線の性質上、例えばビット誤り等によりMACフレームの送信を失敗することがあるが、ブロードキャストフレームの場合、送信に失敗した場合でもMACフレームの再送は行われない。そこで、暗号化対応MACブリッジ100は転送すべきブロードキャスト宛のMACフレーム5300を図14(c)に示すMACフレーム5500のような各端末宛のユニキャストフレームにカプセル化して送信することによって、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能により、その送信の信頼性を向上させることができる。この場合、暗号化対応MACブリッジ100が暗号鍵を持っている全ての端末宛に、個別にそれぞれの暗号鍵で暗号化したMACフレームをユニキャストで送信する必要がある。
【0063】
イーサネット(R)フレーム5300を受信した有線・無線間MACブリッジ310は、当該フレーム5300の最終宛先がブロードキャストであることから、ブリッジ処理部313により当該フレーム5300を図14(b)に示すIEEE802.11フレーム5400に変換し(ステップS311)、第2のネットワークインタフェース312からブロードキャスト宛に送信する(ステップS312)。
【0064】
一方、図13(a)に示したイーサネット(R)フレーム5000を受信した有線間マルチポートMACブリッジ300は、当該フレーム5000の最終宛先がブロードキャストであることから、第1及び第Nのネットワークインタフェース301,305へ転送すべきフレームであることを知る。この結果、有線間マルチポートMACブリッジ300は、受信したフレーム5000をそのまま第1及び第Nのネットワークインタフェース301,305からブロードキャスト宛に送信する(ステップS321,S322)。
【0065】
ブロードキャスト宛のIEEE802.11形式のMACフレーム5400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム5410を抽出し、それを暗号化/復号化部203によって暗号鍵テーブル204に含まれるブロードキャスト用の暗号鍵で復号化する。復号化したイーサネット(R)フレーム5000は、端末200からブロードキャスト宛に送信されたイーサネット(R)フレームであることから、上位層に渡して受信処理が完了する(ステップS313)。
【0066】
一方、ブロードキャスト宛のイーサネット(R)フレーム5000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、必要な処理を行って受信処理を完了する(ステップS323)。
【0067】
以上の説明では端末200からのデータ送信に関して述べたが、端末210またはアクセスルータ400からのデータの送信も、以上と同様のシーケンスで実行される。
【0068】
このように本実施形態によると、LAN内の通信において、WEP暗号化アルゴリズムとは異なった新規暗号化機能を有する第3のMACブリッジである暗号化対応MACブリッジ100を既設の無線LAN基地局(有線・無線間MACブリッジ310)の有線LAN側に設置することによって、既設の機器を改変することなく、新規のよりセキュリティの高い暗号通信システムを実現することができるようになる。
【0069】
また、暗号化対応MACブリッジ100によってトラフィックを終端できることにより、同一LAN内の無線LAN基地局310に接続している端末200,210間の通信において、有線間マルチポートMACブリッジ300とアクセスルータ400間に無駄なトラフィックを発生させないため、例えばIPSecプロトコルを用いてアクセスルータ400を経由した暗号化通信を行う場合に比べて、LAN内のトラフィックを削減することも可能となる。
【0070】
さらに、本実施形態の暗号通信システムにおいては、端末200,210と暗号化対応MACブリッジ100間で、上りユニキャスト、上りブロードキャスト及び下りユニキャスト用の暗号鍵がそれぞれ異なり、暗号化対応MACブリッジ100からの下り方向のブロードキャスト用の暗号鍵は端末200,210間で共通であるが、上り方向のブロードキャスト用の暗号鍵が異なっている。
【0071】
この場合、本実施形態では例えば端末200が本来ブロードキャストとして送信するMACフレームをユニキャストで有線・無線間MACブリッジ310をブリッジ処理により転送させることによって、端末210をはじめとするエンド端末に暗号化鍵が不適合のために復号化できない不必要なブロードキャストフレームが到達することを抑制することが可能となる。
【0072】
また、このようにブロードキャストフレームを各端末宛のユニキャストフレームにカプセル化して送信することにより、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能によって送信信頼性の向上を期待することができる。
【0073】
次に、図15〜図17を参照して本発明の他の実施形態について説明する。これまでの実施形態では、新規暗号化機能を有する暗号化MACブリッジ100を追加した例について説明したが、追加されたMACブリッジは図15〜図17に示すような構成でもよい。図15〜図17では省略されているが、図2の暗号化対応MACブリッジ100で示したブリッジテーブル108も存在する。
【0074】
図15に示すMACブリッジ110は、図2に示した暗号化/復号化部103に代えて圧縮方式変換部111を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMACフレームの圧縮/伸長機能を有する場合、各端末が互いに異なる圧縮方式のみしかサポートしていない状況があり得る。
【0075】
圧縮方式変換部111は、このような互いに通信を行う端末間の圧縮方式の違いを吸収するため、送信元端末からMACブリッジ110に送られてきた圧縮されているMACレームを宛先端末でサポートしている圧縮方式のMACフレームに変換する機能を有する。
【0076】
図16に示すMACブリッジ120は、図2に示した暗号化/復号化部103に代えてフラグメント部121を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMTU(MaximumTransferUnit)サイズの異なるリンクに接続されている場合、それらの端末間でも通信を行うことができるように、フラグメント部121はMACフレームサイズの変換を行う。
【0077】
より具体的には、フラグメント/リアセンブル部121は、送信元端末からMACブリッジ120に送られてきたMACフレームを宛先端末が接続されているリンクの持つMTUサイズに合致するようにフラグメント(断片化)して送信する。宛先端末では、こうしてフラグメント化されたMACフレームを受信し、リアセンブル(再組立)を行うことになる。
【0078】
図17に示すMACブリッジ130は、図2に示した暗号化/復号化部103に代えてバッファリング部131を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210が異なるリンク速度でネットワークに接続されている場合、リンク速度の低い端末に内蔵されている受信バッファがオーバフローを起こすことがある。
【0079】
バッファリング部131は、このような受信バッファのオーバフローを回避するため、送信元端末のリンク速度より宛先端末のリンク速度の方が遅い場合、送信元端末からMACブリッジ130に送られてきたMACフレームをバッファメモリに一旦バッファリングし、これを宛先端末のリンク速度に適合した速度で読み出して送信させる。
【0080】
このように追加されたMACブリッジは、暗号化/復号化機能を有するもののみでなく、従来のネットワークシステムで備えられていない機能、あるいは、備えられていても不十分な性能を補完したり強化したりする機能を備えていてもよい。すなわち、本発明の主旨の一つは端末間で通信を行う場合に端末間で送信する本来のMACフレームを追加されたMACブリッジを宛先とするMACヘッダを付加することでカプセル化して送信することによって、追加されたブリッジで所定の処理を施してMACフレームを転送することであり、この主旨の範囲で種々変形することが可能である。
【0081】
【発明の効果】
以上説明したように、本発明によれば無線LAN内の端末装置が無線LANと有線LANとの間に介在された第1のブリッジ装置を介して他の端末装置と通信を行うネットワークシステムにおいて、所定の処理機能を有する第2のブリッジ装置を既設の有線LAN内に設置し、端末装置と第2のブリッジ装置との間でトンネリングさせてMACフレームの送受信を行うことによって、例えば無線LAN基地局や有線間MACブリッジ及びルータといった既設の機器を改変することなく、より改良された通信を実現することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るネットワークの構成を示す図
【図2】同実施形態における暗号化対応MACブリッジ及び有線間マルチポートMACブリッジの詳細な構成を示すブロック図
【図3】同実施形態における端末の詳細な構成を示すブロック図
【図4】同実施形態における有線・無線間MACブリッジ(無線LAN基地局)の詳細な構成を示すブロック図
【図5】同実施形態における暗号化対応MACブリッジ及び端末で使用される暗号鍵テーブルの一例を示す図
【図6】同実施形態における暗号化対応MACブリッジ、有線・無線間MACブリッジ及び有線間マルチポートMACブリッジで使用されるブリッジテーブルの一例を示す図
【図7】同実施形態における同一LAN内の端末間通信のシーケンスの一例を示す図
【図8】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(端末200→暗号化対応MACブリッジ100)の一例を示す図
【図9】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(暗号化対応MACブリッジ100→端末210)の一例を示す図
【図10】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信のシーケンスの一例を示す図
【図11】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信時に送受信されるMACフレームの一例を示す図
【図12】同実施形態における同一LAN内のブロードキャスト宛の通信のシーケンスの一例を示す図
【図13】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(端末200→ブロードキャスト)の一例を示す図
【図14】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(暗号化対応MACブリッジ100→ブロードキャスト)の一例を示す図
【図15】本発明の他の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図16】本発明の別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図17】本発明のさらに別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【符号の説明】
100…暗号化対応MACブリッジ
200,210…端末
300…有線間マルチポートMACブリッジ
310…有線・無線間MACブリッジ(無線LAN基地局)
400…アクセスルータ
500…認証サーバ
600…通信相手端末
700…バックボーンネットワーク

Claims (12)

  1. 無線ネットワーク内に存在する第1端末装置が該無線ネットワークと有線ネットワークとの間に介在された第1のブリッジ装置を介して前記無線ネットワーク内または有線ネットワーク内に存在する前記第2端末装置と通信を行う通信方法であって、
    前記第1の端末装置は、前記第2の端末装置へ送信すべきデータフレームを前記有線ネットワーク内に設けられた第2のブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化し、該第1カプセル化フレームを前記第1のブリッジ装置へ送信し、
    前記第1のブリッジ装置は、受信した前記第1カプセル化フレームを前記第2のブリッジ装置へ転送させて送信し、
    前記第2のブリッジ装置は、受信した前記第1カプセル化フレームから前記データフレームを抽出し、該抽出したデータフレームに対して所定の処理を施して第2データフレームを生成し、該第2データフレームを前記第2の端末装置を宛先とする第2ヘッダの付加によってカプセル化して第2カプセル化フレームを生成し、該第2カプセル化フレームを前記第2の端末装置へ送信し、
    前記第2の端末装置は、受信した前記第2カプセル化フレームから前記第2データフレームを抽出する通信方法。
  2. 無線ネットワークに存在する少なくとも一つの第1及び第2の端末装置を含む複数の端末装置間で、該無線ネットワークと有線ネットワークとの間に介在された第1のブリッジ装置を介して通信を行う通信方法であって、
    前記第1の端末装置は、前記第2の端末装置へ送信すべき第1データフレームに対して暗号化処理を施して第2データフレームを生成し、該第2データフレームを前記有線ネットワーク内に設けられた第2のブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化して第1カプセル化フレームを生成し、
    前記第1のブリッジ装置は、受信した前記第1カプセル化フレームを前記第2のブリッジ装置へ転送させて送信し、
    前記第2のブリッジ装置は、受信した前記第1カプセル化フレームから前記第2データフレームを抽出し、該抽出した第2データフレームに対して復号化処理を施して前記第1データフレームを生成し、該第1データフレームに対し暗号化処理を施して第3データフレームを生成し、該第3データフレームを前記第2の端末装置を宛先とする第2ヘッダの付加によってカプセル化して第2カプセル化フレームを生成し、該第2カプセル化フレームを前記第2の端末装置へ送信し、前記第2の端末装置は、受信した前記第2カプセル化フレームから前記第3データフレームを抽出し、該抽出した第3データフレームに対して復号化処理を施して前記第1データフレームを生成する通信方法。
  3. 前記所定の処理は、圧縮方式の変換処理を含む請求項1記載の通信方法。
  4. 前記所定の処理は、フレームサイズの変換処理を含む請求項1記載の通信方法。
  5. 前記所定の処理は、バッファリング処理を含む請求項1記載の通信方法。
  6. 前記所定の処理は、ブロードキャストデータフレームをユニキャストデータフレームに変換する処理を含む請求項1記載の通信方法。
  7. 第1データフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化フレームを受信する手段と、
    受信された前記第1カプセル化フレームから前記第1データフレームを抽出する手段と、
    抽出された前記第1データフレームに対して復号化処理を施して第2データフレームを生成する手段と、
    生成された前記第2データフレームに暗号化処理を施して第3データフレームを生成する手段と、
    生成された前記第3データフレームを外部装置宛の第2ヘッダの付加によってカプセル化して第2カプセル化データを生成する手段と、
    生成された前記第2カプセル化データを前記外部装置へ送信する手段と
    を具備するブリッジ装置。
  8. 第1データフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化フレームを受信する手段と、
    受信された前記第1カプセル化フレームから前記第1データフレームを抽出する手段と、
    抽出された前記第1データフレームに対して所定の処理を施して第2データフレームを生成する手段と、
    生成された前記第2データフレームを外部装置宛の第2ヘッダの付加によってカプセル化して第2カプセル化データを生成する手段と、
    生成された前記第2カプセル化データを前記外部装置へ送信する手段と
    を具備するブリッジ装置。
  9. 前記所定の処理は、圧縮方式の変換処理、フレームサイズの変換処理及びバッファリング処理の少なくとも一つを含む請求項8記載のブリッジ装置。
  10. 第1データフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化フレームを受信する手段と、
    受信された前記第1カプセル化フレームから前記第1データフレームを抽出する手段と、
    抽出された前記第1データフレームがブロードキャストフレームである場合に、該第1データフレームを複数の外部装置宛の第2ヘッダの付加によってカプセル化してユニキャストフレームである複数の第2カプセル化データを生成する手段と、
    生成された前記複数の第2カプセル化データを前記複数の外部装置へ送信する手段と
    を具備するブリッジ装置。
  11. 送信すべき第1データフレームに対して暗号化処理を施して第2データフレームを生成する手段と、
    生成された前記第2データフレームを外部ブリッジ装置を宛先とする第1ヘッダの付加によってカプセル化して第1カプセル化フレームを生成する手段と、
    生成された前記第1カプセル化フレームを送信する手段と、
    第3データフレームが自己宛の第2ヘッダの付加によってカプセル化された第2カプセル化フレームを受信する手段と、
    受信された前記第2カプセル化フレームから前記第3データフレームを抽出する手段と、
    抽出された前記第3データフレームに対して復号化処理を施して第4データフレームを生成する手段と
    を具備する端末装置。
  12. 送信すべきデータフレームがブロードキャストフレームである場合に該ブロードキャストフレームを外部ブリッジ装置を宛先とするヘッダの付加によりユニキャストフレームにカプセル化してカプセル化フレームを生成する手段と、
    生成された前記カプセル化フレームを前記外部ブリッジ装置へ送信する手段とを具備する端末装置。
JP2002264216A 2002-09-10 2002-09-10 Macブリッジ装置及び端末装置 Expired - Fee Related JP3816850B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002264216A JP3816850B2 (ja) 2002-09-10 2002-09-10 Macブリッジ装置及び端末装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002264216A JP3816850B2 (ja) 2002-09-10 2002-09-10 Macブリッジ装置及び端末装置

Publications (2)

Publication Number Publication Date
JP2004104500A true JP2004104500A (ja) 2004-04-02
JP3816850B2 JP3816850B2 (ja) 2006-08-30

Family

ID=32263717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002264216A Expired - Fee Related JP3816850B2 (ja) 2002-09-10 2002-09-10 Macブリッジ装置及び端末装置

Country Status (1)

Country Link
JP (1) JP3816850B2 (ja)

Also Published As

Publication number Publication date
JP3816850B2 (ja) 2006-08-30

Similar Documents

Publication Publication Date Title
US7768941B1 (en) Method and system for initiating a virtual private network over a shared network on behalf of a wireless terminal
JP4823359B2 (ja) マルチホップメッシュネットワークを介する管理トラフィックの送信
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
EP1378093B1 (en) Authentication and encryption method and apparatus for a wireless local access network
US8179890B2 (en) Mobile IP over VPN communication protocol
US7483409B2 (en) Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
JP4447463B2 (ja) ブリッジ暗号vlan
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US20120166804A1 (en) VLAN Tunneling
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
US8687613B2 (en) Method and system for peer to peer wide area network communication
US20080069024A1 (en) Communication System, Wireless Lan Base Station Controller, and Wireless Lan Base Station Device
US20070105549A1 (en) Mobile communication system using private network, relay node, and radio network controller
US9602470B2 (en) Network device, IPsec system and method for establishing IPsec tunnel using the same
KR101485279B1 (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
US7680110B2 (en) Communication device, communication system, and communication method
US20070206796A1 (en) Communication System, Key Distribution Control Device, and Radio Lan Base Station Device
JPH07107082A (ja) 暗号ゲートウェイ装置
JPH06318939A (ja) 暗号通信システム
WO2020228130A1 (zh) 通信设备的网管服务器与网元的通信方法及系统
JP2004312257A (ja) 基地局、中継装置及び通信システム
US20130191635A1 (en) Wireless authentication terminal
JP3816850B2 (ja) Macブリッジ装置及び端末装置
JPH11239184A (ja) スイッチングハブ

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051004

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060608

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090616

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110616

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120616

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120616

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130616

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees