JP2006101037A - 通信装置、通信システム及び通信方法 - Google Patents

通信装置、通信システム及び通信方法 Download PDF

Info

Publication number
JP2006101037A
JP2006101037A JP2004282775A JP2004282775A JP2006101037A JP 2006101037 A JP2006101037 A JP 2006101037A JP 2004282775 A JP2004282775 A JP 2004282775A JP 2004282775 A JP2004282775 A JP 2004282775A JP 2006101037 A JP2006101037 A JP 2006101037A
Authority
JP
Japan
Prior art keywords
network
encryption
standard
communication device
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004282775A
Other languages
English (en)
Other versions
JP4074283B2 (ja
Inventor
Masataka Goto
真孝 後藤
Masahiro Takagi
雅裕 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2004282775A priority Critical patent/JP4074283B2/ja
Priority to US11/236,808 priority patent/US7680110B2/en
Publication of JP2006101037A publication Critical patent/JP2006101037A/ja
Application granted granted Critical
Publication of JP4074283B2 publication Critical patent/JP4074283B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/18Information format or content conversion, e.g. adaptation by the network of the transmitted or received information for the purpose of wireless delivery to users or terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 IEEE802.11i標準に準拠する無線LANでIEEE802.1Q標準のVLANを実現することを課題とする。
【解決手段】 マルチキャスト用の宛先MACアドレスに、VLAN IDの値を付加したプライベートなMACアドレスを宛先MACアドレスとしてIEEE802.11i標準を適用する。
【選択図】 図3

Description

本発明は、IEEE802.11規格に準拠した無線通信システムに関し、特に仮想LANを実現するための無線通信装置、無線通信システム及び無線通信方法に関する。
通信するために使用されるIEEE(Institute of Electronic and Electronics Engineers:米国電気電子技術協会)が制定した、有線LANを通信媒体とするIEEE802.3標準、及び無線を通信媒体とするIEEE802.11標準とが知られている。IEEE802.3規格は、一般にはEthernet(登録商標)と呼ばれ、ケーブルで接続された通信装置間でEtherフレームと呼ばれる60バイト〜1514バイトのパケットをやり取りするものである。一方、IEEE802.11標準は使用する周波数と通信速度の違いによりa/b/gといくつかの種類が存在し、通信媒体に無線を用いて通信装置間で通信する規格となっている。
IEEEが勧告する別の規格としてVLAN(Virtual LAN:仮想LAN)の仕様を定義したIEEE802.1Q標準が存在する。VLANとは、一つのネットワークの中に複数の仮想的なネットワークを構築できる技術である。そしてIEEE802.1Q標準はIEEE802.3標準や無線LANの規格であるIEEE802.11標準と共に使用することができるようになっている。さらにIEEE802.11i標準と呼ばれる規格も勧告されており、この規格はIEEE802.11標準に準拠した通信装置における通信データの暗号化によるセキュリティ機構の仕様を定義したものである。
しかしながら、IEEE802.11i標準の規定ではイーサフレームの宛先MAC(Media Access Control)アドレスをもとにセキュリティ用パラメータを選択するようになっていることから、IEEE802.1Q標準に規定されたVLANにおける仮想的なLAN間のセキュリティが実現できない。たとえばVLANされた一つの仮想LANにマルチキャスト/ブロードキャストが行われると、その宛先MACアドレスを受信できる通信装置は他の仮想LANのパケットも受信可能になる。仮に仮想LANごとにそれぞれに属する通信装置同士が別々の暗号鍵を共有すれば、他の仮想LANに属する通信装置で読めなくなるものの、その通信装置にとっては何らかのエラーなのか第三者からの攻撃なのかが見分けられない。
このような理由から無線LANを通信媒体とするIEEE802.11i標準に準拠する通信装置はIEEE802.1Q標準に規定するVLANを満足することができず、仮に満足しようとすれば既存の通信装置や上記標準の手直しが発生してしまうという問題がある。
特許文献1では、マルチキャストの通信である場合には新たにセッション情報を生成することでマルチキャストグループ間のセキュリティを確保する方法が開示されている。
特開2004−200812公報
本発明は、上記問題に鑑みて成されたものであり、IEEE802.11i標準に準拠する無線LANでIEEE802.1Q標準のVLANを実現することを課題とする。
本発明に係る通信装置とすれば、
1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークから、仮想ネットワークを持たない第2のネットワークへマルチキャストパケットを転送する通信装置であって、前記第1のネットワークから転送すべきマルチキャストパケットを受信する受信手段と、前記受信手段が受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換する変換手段と、前記変換手段により変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施す暗号手段と、前記暗号手段により暗号化したマルチキャストパケットを第2のネットワーク上にマルチキャストする送信手段とを備えたことを特徴とする通信装置が提供される。
また本発明に係る通信システムとすれば、
1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークと、第1のネットワークに接続された第1の通信装置と、仮想ネットワークを持たない第2のネットワークと、第2のネットワークに接続された第2の通信装置と、第1の通信装置から送信されたマルチキャストパケットを第2の通信装置を含む第2のネットワーク上の通信装置に転送する、第1、第2のネットワークに接続された第3の通信装置とを備えた通信システムであって、前記第1の通信装置は、第1のネットワークに構築されたある仮想ネットワークを通じて、該仮想ネットワークの識別情報を含むマルチキャストパケットを送信する送信手段を備え、前記第3の通信装置は、前記第1のネットワークから転送すべきマルチキャストパケットを受信する受信手段と、前記受信手段が受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換する変換手段と、前記変換手段により変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施す暗号手段と、前記暗号手段により暗号化したマルチキャストパケットを、前記第2の通信装置を含む第2のネットワーク上に接続された通信装置に対しマルチキャストする送信手段とを備えたことを特徴とする通信システムが提供される。
さらに本発明に係る通信方法とすれば、
1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークから、仮想ネットワークを持たない第2のネットワークへマルチキャストパケットを転送するための通信方法であって、前記第1のネットワーク上の通信装置から転送すべきマルチキャストパケットを受信し、前記受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換し、前記変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施し、前記暗号化したマルチキャストパケットを第2のネットワーク上にマルチキャストすることを特徴とする通信方法が提供される。
本発明の効果として、IEEE802.11i標準に準拠する無線LANでIEEE802.1Q標準の仮想LAN(VLAN)を実現することができる。
本発明の実施形態の例について図面を示しながら説明する。
図1は本実施形態における仮想LAN通信システムの一例を示す図である。図1ではネットワーク101、ホスト102、ホスト103、PC104、PC105、PC106及びアクセスポイント107が示されている。
ネットワーク101は、有線LANによる構成されたネットワークであり、IEEE802.3標準に準拠したネットワークである。
ホスト102は、IEEE802.1Q標準及びIEEE802.3標準に準拠するネットワーク接続インタフェースを備えるサーバである。ネットワーク101を介してアクセスポイント107及びPC104、PC105と通信することができる。そしてIEEE802.1Q標準に規定されたVLAN機能による1つの仮想LAN(VLAN1)に属している。
ホスト103は、ホスト102と同様の構成を備えたサーバである。ネットワーク101を介してアクセスポイント107及びPC106と通信することができる。そしてホスト101とは異なるもう1つの仮想LAN(VLAN2)に属している。
PC104、PC105は携帯型PCであり、IEEE802.11標準に準拠した無線LAN接続インタフェースを備え、アクセスポイント107を介してネットワーク101に接続されたホスト102と通信することができる。さらにIEEE802.11i標準に準拠しており、通信相手とのセキュアな通信が可能である。属する仮想LANはVLAN1である。
PC106は、PC104やPC105と同様の携帯型PCである。しかしながらPC104、PC105が属する仮想LANとは別のVLAN2に属している。
アクセスポイント107はIEEE802.3標準に準拠するネットワーク接続インタフェースとIEEE802.11標準に準拠する無線LAN接続インタフェースの両方を備え、ネットワーク101上に接続された通信装置と無線LANに参加している通信装置との間の通信を中継する機能を有する。また、IEEE802.3標準の有線LAN側にはIEEE802.1Q標準に準拠したVLAN機能を提供し、ネットワーク101上に設定された仮想LAN(VLAN1、VLAN2)を分けて通信することができる。IEEE802.11標準に準拠する無線LAN側にはIEEE802.11i標準に規定されたセキュリティ機能を提供する。ネットワーク101上でマルチキャスト/ブロードキャストが送信された場合、その通信装置が属する仮想LANに応じて宛先MACアドレスを使い分けるようにする。そしてこの宛先MACアドレスに対応する暗号処理を施して無線LAN側に転送する。
上記のように仮想LANごとに区別したマルチキャスト/ブロードキャストを示すある宛先MACアドレスをマルチキャスト/ブロードキャストと認識させることにより、有線LAN側で運用される仮想LAN別のマルチキャスト/ブロードキャストを、それぞれの仮想LANに属する無線LAN側の通信装置にも同様に伝達することができる。
図2は、IEEE802.3標準に規定されたMACアドレスの構成を示したものである。図2(a)は48ビットで示されるMACアドレスの、それぞれの領域の意味を示している。また図2(b)ではマルチキャストアドレスの場合の一般的な例を示している。
図2(a)のI/G201は、このMACアドレスがIndividual(unicast)かGroup(multicast)のどちらであるかを示すビットである。この値がゼロの場合はIndivisual、つまり個別の宛先を示しているものであり、1の場合はGroup、つまりマルチキャストであることを示している。U/L202は、このMACアドレスがUniversal(Global address)かLocal(Private address)のどちらかであるかを示すビットである。この値がゼロの場合はUniversal、つまりMACアドレス本来の意味と同じ、それぞれの通信インタフェース固有に振られたアドレスであることを示している。1の場合はLocal、つまり固有にはならないローカルで運用する場合に限り使用可能なアドレスであることを示している。OUI203は、Organizationally Unique Identifierと呼ばれる、製造メーカごとに管理された値を記載する領域である。この値はIEEEが製造メーカに対し固有な値を発番し管理しているもので、製造業者ごとに異なる値を振ることでMACアドレスに重複が起きる可能性を防止する意味がある。DEVICE ID204は、OUI203で示される製造メーカが製造する通信インタフェースに、その製造メーカが固有になるように発番する値である。OUI203が製造メーカごとに固有の値を取る限り、その製造メーカがDEVICE ID204に重複を起こさないようにすれば、おのずとMACアドレスは通信インタフェースごとに固有値となる。
図2(b)を見ると、I/G201が1、つまりマルチキャストの宛先MACアドレスであることを示している。そしてU/L202がゼロ、つまり全世界で管理された固有値であることを示している。このときMACアドレスのマルチキャストについて規定したRFC1112(Request for Comment)によれば製造メーカの固有値が入るべきOUI203の領域には0x00005e(固定値)を入れることとなっている。同じくRFC1112ではIPv4の場合のマルチキャストアドレスは23ビットと規定されているため、規定の無いDEVICE ID204の最左端のビットはゼロとなっている。そしてその後のビットからMulticast addressが格納される。このときMulticast Addressの部分が所定の値、たとえばDEVICE ID204がff:ff:ffであったときはブロードキャストアドレスであると解釈するよう取り決めても構わない。このようにマルチキャストの場合の表記は決まっており、各通信装置はそれぞれの領域の値を見ることでどのようなMACアドレスなのかを判断する。なお図2(b)の値はリトルエンディアンビット表記で示した例である。他の表記方法によれば表記方法も変わる。
図3は本実施形態におけるIEEE802.3標準のマルチキャスト時イーサフレームについて宛先MACアドレスの変換例を示したものである。図3には、IEEE802.3標準に準拠したイーサフレーム301、有線LAN側におけるイーサフレーム301の宛先MACアドレス領域302、無線LAN側におけるイーサフレーム301の宛先MACアドレス領域303が示されている。図3では各値の表記が図2とは異なるビッグエンディアンビット表記となっているため見かけ上のビット位置が異なることに留意する。
イーサフレーム301を見ると、宛先MACアドレス(Destination MAC address)、送信元MACアドレス(Source MAC address)、プロトコルタイプ(Protocol Type:VLAN)、仮想LAN識別(VLAN ID)、プロトコルタイプ(Protocol Type:IPv4)などが示されている。宛先MACアドレスはイーサフレーム301の送り先を示すMACアドレスであり、送信元MACアドレスはこれを送信した通信装置のMACアドレスである。次のプロトコルタイプは、イーサフレーム301が仮想LANに所属する通信装置から送信されたマルチキャストであることを示し、所属先の仮想LAN識別はVLAN IDに格納された値である。
宛先MACアドレス領域302を見ると、図2(b)の時と同様に、I/G:1(Group)、U/L:ゼロ(Universal)、OUI:0x00005e及びIPv4 Multicast Addressビット領域は任意の値となっており通常のマルチキャストのMACアドレスを示している。
一方、無線LAN側の宛先MACアドレス領域303を見るとU/L202に当たるビットが1(Local)となっており、さらにOUI203のビット領域にVLAN IDを記載している。U/L202に1を立てることによってローカルのマルチキャストのMACアドレスとして使用できるようになることから、本来OUIを格納すべきOUI203にVLAN IDの情報を含めることができる。このように宛先MACアドレスから仮想LANの区別ができることから、宛先MACアドレスごとにセキュリティを設定するIEEE802.11i標準を用いても、従来の標準を変えることなく無線LAN側でも効果的にVLANごとのセキュリティを実現することができる。
図4は、本実施形態におけるIEEE802.3標準のマルチキャスト時イーサフレームの変換例を示したものである。図4には、有線LAN側を流れるマルチキャストのイーサフレーム(a)と、無線LAN側へ転送する際のイーサフレーム(b)が示されている。
イーサフレーム(a)は、図3に示すイーサフレーム301と同様の領域を持っている。マルチキャストであることを示す宛先MACアドレスと、このイーサフレームがVLANであることを示す予め規定されているプロトコルタイプ(0x8100)、仮想LAN識別(0x0001)などを含んでいる。このイーサフレーム(a)を無線LAN側に転送する際には、図3に示したように宛先MACアドレスと仮想LAN識別とを組み合わせて変換したのちのMACアドレス(03:00:01:00:00:01)を宛先MACアドレスとしている。またIEEE802.1Q標準には現在のところ規格上仮想LANは考慮されていないのでVLANであることを示す、不要なプロトコルタイプ(VLAN)領域と、宛先MACアドレスに統合された仮想LAN識別領域を削除し詰めなおす。無線LAN側の通信装置には、イーサフレーム(a)の替わりにイーサフレーム(b)が転送される。
図5は、本実施形態におけるアクセスポイント107のブロック図の一例を示す図である。図5には有線LAN通信部501、転送部502、無線LAN通信部503、アンテナ504、記憶部505及びアドレス変換部506が示されている。
有線LAN通信部501はネットワーク101を介してホスト102及びホスト103を通信する機能を有する。このとき通信インタフェースはIEEE802.3標準に準拠した通信をするものとする。またIEEE802.1Q標準に規定された仮想LAN(VLAN)機能も備えており、1つのネットワーク内に複数の仮想LANを認識して通信することができる。
転送部502は、ネットワーク101と無線LAN側の通信装置との間でマルチキャスト/ブロードキャストのイーサフレームを転送する機能を有する。このときアドレス変換部506の支援を受け、イーサフレームの宛先MACアドレスを変換したものを有線LAN通信部501や無線LAN通信部503を介して転送する。また必要に応じて図4に示すようなイーサフレームの再構築も行う。
無線LAN通信部503は転送部502からのイーサフレームの転送指示を受けて、無線LAN側の通信装置と通信する機能を有する。IEEE802.11標準に準拠した通信を行い、またIEEE802.11i標準に規定されたセキュリティの仕組みを備えている。暗号通信に用いられる鍵などの情報は、記憶部505から取得する。
アンテナ504は、無線LAN通信部503と接続され周囲に配置された通信装置が発信する無線LANに使用される電波の送受信を行う。
記憶部505は、無線LAN側の通信装置との通信に用いる暗号化のための暗号方式と暗号鍵情報を含む鍵情報テーブル記憶している。記憶するこれらの情報は予め利用者によって入力される。
アドレス変換部506は転送部502がイーサフレームを転送する際の宛先MACアドレスを変換する機能を有する。具体的には、IEEE802.1Q標準に規定された仮想LAN(VLAN)に基づいて設定されたある仮想LANから、ネットワーク101を介してマルチキャスト/ブロードキャストが発信された場合、図3に示すようなイーサフレームの宛先MACアドレス領域の変換をするものである。
図6は、記憶部505に記憶された鍵情報テーブル601の一例を示す図である。鍵情報テーブルには1つのMACアドレス(MAC address)に対応する暗号方式と鍵情報が記憶されている。ここで言うMACアドレスは個別の通信装置が持つ固有のMACアドレスではなく、マルチキャスト/ブロードキャストのMACアドレスである。つまり転送部502からマルチキャスト/ブロードキャストを示すMACアドレス宛にイーサフレームを転送する指示があったときは、無線LAN通信部503は記憶部505に記憶されたMACアドレスの中から合致するMACアドレスを見つけ出し、暗号方式とその暗号化に使われる鍵情報を求め、これらの情報を用いて暗号化したイーサフレームをそのMACアドレス宛に送信する。鍵情報テーブル601のMACアドレスは、図3に示すようなVLAN IDをすでに反映した後のMACアドレスを記憶する。
このように構成すると、有線LAN側で運用する仮想LANごとに異なる無線LAN側のマルチキャスト/ブロードキャストアドレスを、利用者に意識させることなく持つことができ、またその仮想LANごとに異なる暗号方式が設定できる。よってIEEE802.11標準に準拠した有線LAN側でのIEEE802.1Q標準の仮想LANごとのマルチキャスト/ブロードキャスト通信を、IEEE802.11i標準によるセキュリティ機構を用いてシームレスに実現することができる。
(変形例1)
本変形例は、記憶部505に記憶した鍵情報テーブル601の鍵情報をある種の鍵交換プロトコルにより自動的に設定するためのものである。
鍵を交換するための鍵交換プロトコルは、たとえばIEEE802.1X、IEEE802.11i、WPA(Wi-Fi Protected Access)などが知られている。
図7に本変形例におけるIEEE802.1X標準に規定されたKey Descriptorメッセージに鍵交換情報を追加した一例を示す。この例ではマルチキャストのMACアドレス(MAC address)と鍵情報(Key)の二つの領域を追加している。他の鍵交換プロトコルにおいてもこれら領域の追加は同様に行うことができる。
マルチキャストで用いる無線LAN通信部503による鍵の交換タイミングは、たとえば(1)通信装置が接続を求めてきたときの利用者認証の際に通常の鍵交換の一環として行う、あるいは(2)ある通信装置がマルチキャスト宛のイーサフレームを受信したいときにIGMP(Internet Group Management Protocol)の一環として行う場合、とが考えられる。(1)の場合はIEEE802.11iなどの認証及び鍵交換の中でマルチキャスト用の鍵情報を交換する場合が考えられる。(2)の場合はマルチキャスト通信を開始することをさらに上位のプロトコルでマルチキャストグループに参加する手続を行う場合が普通だが、このときにマルチキャスト用の鍵情報も交換することが考えられる。
このように構成すると、IEEE802.11標準に準拠した有線LAN側でのIEEE802.1Q標準の仮想LANごとのマルチキャスト/ブロードキャスト通信を、IEEE802.11i標準によるセキュリティ機構を用いてシームレスかつ自動的に実現することができる。
(変形例2)
本変形例は、記憶部505に記憶した鍵情報テーブル901の鍵情報をMACアドレスとVLAN IDとに分けて記憶するものである。
図8に本変形例におけるアクセスポイント107のブロック図の一例を示す図である。アドレス変換部506から延びるラインが無線LAN通信部503に接続されている以外は図5と同じである。
図9に本変形例における鍵情報テーブル901の一例を示す。アドレス変換部506による宛先MACアドレスの変換前の宛先MACアドレスと、仮想LAN別のVLAN IDとの組み合わせで記憶する。この場合には無線LAN通信部503が転送部502から転送を指示されたイーサフレームの宛先MACアドレスとVLAN IDとから、鍵情報テーブル901に記憶されたMACアドレスとVLAN IDの組み合わせを見つけ出し、暗号化方式とその暗号化に鍵情報を求める。そして見つけたMACアドレスとVLAN IDをアドレス変換部506の支援を受けてアドレス変換し、求めた鍵情報を用いて暗号化したイーサフレームを変換した後のMACアドレス宛に送信する。
図10は図7と同様に、IEEE802.1Xに情報を追加した一例だが、この場合はさらにVLAN ID領域も追加している。鍵交換のタイミング、手順については変形例1と同様である。
このように構成すると、IEEE802.11標準に準拠した有線LAN側でのIEEE802.1Q標準の仮想LANごとのマルチキャスト/ブロードキャスト通信を、IEEE802.11i標準によるセキュリティ機構を用いてシームレスかつ自動的に実現することができる。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
本実施形態における仮想LAN通信システムの一例を示す図である。 IEEE802.3標準に規定されたMACアドレスの構成を示したものである。 本実施形態における宛先MACアドレスの変換例を示したものである。 本実施形態におけるマルチキャスト時イーサフレームの変換例を示したものである。 本実施形態におけるアクセスポイントのブロック図の一例を示す図である。 本実施形態における鍵情報テーブルの一例を示す図である。 変形例1におけるIEEE802.1X標準に規定されたKey Descriptorメッセージに鍵交換情報を追加した一例を示す図である。 変形例2におけるアクセスポイント107のブロック図の一例を示す図である。 変形例2における鍵情報テーブルの一例を示す図である。 変形例2におけるIEEE802.1X標準に規定されたKey Descriptorメッセージに鍵交換情報を追加した一例を示す図である。
符号の説明
101:ネットワーク
102、103:ホスト
104、105、106:PC
501:有線LAN通信部
502:転送部
503:無線LAN通信部
504:アンテナ
505:記憶部
506:アドレス変換部
601、901:鍵情報テーブル

Claims (9)

  1. 1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークから、仮想ネットワークを持たない第2のネットワークへマルチキャストパケットを転送する通信装置であって、
    前記第1のネットワークから転送すべきマルチキャストパケットを受信する受信手段と、
    前記受信手段が受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換する変換手段と、
    前記変換手段により変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施す暗号手段と、
    前記暗号手段により暗号化したマルチキャストパケットを第2のネットワーク上にマルチキャストする送信手段と
    を備えたことを特徴とする通信装置。
  2. 前記変換手段による変換後の宛先アドレスと、前記暗号化の種別と、前記暗号化のための暗号鍵情報とを対応付けて記憶する記憶手段をさらに備え、
    前記暗号手段は、前記変換手段による変換後の宛先アドレスに対応付けて前記記憶手段に記憶された暗号化の種別と暗号鍵情報とに基づいて暗号化を施す
    ことを特徴とする請求項1に記載の通信装置。
  3. 前記受信手段が受信したパケットの宛先アドレスと、該パケットに含まれる仮想ネットワークの識別情報と、前記暗号化の種別と、前記暗号化のための暗号鍵情報とを対応付けて記憶する記憶手段をさらに備え、
    前記暗号手段は、前記受信したパケットの宛先アドレスと該パケットに含まれる仮想ネットワークの識別情報の組に対応付けて前記記憶手段に記憶された暗号化の種別と暗号鍵情報とに基づいて暗号化を施す
    ことを特徴とする請求項1に記載の通信装置。
  4. 前記第2のネットワーク上に存在する通信装置から、該第2のネットワーク上にパケットをマルチキャストする際の宛先範囲に対応するマルチキャストグループのいずれかに参加する旨の要求を受けたときに、該要求を受け付ける参加要求受付手段をさらに備え、
    前記参加要求受付手段は前記要求を受け付けると共に、該マルチキャストグループに対応する宛先アドレスに対応付けて前記記憶手段に記憶された暗号化の種別と暗号鍵情報を交換する
    ことを特徴とする請求項3または4に記載の通信装置。
  5. 前記第1のネットワークはIEEE802.3標準に準拠したネットワークであり、前記仮想ネットワークはIEEE802.1Q標準に規定されたVLANにより実現される仮想ネットワークであり、
    前記第2のネットワークはIEEE802.11標準に準拠したネットワークであり、前記暗号化はIEEE802.11i標準に基づいた暗号化を施すものであり、
    前記宛先アドレスはMACアドレスである
    ことを特徴とする請求項1乃至4のいずれかに記載の通信装置。
  6. 1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークと、
    第1のネットワークに接続された第1の通信装置と、
    仮想ネットワークを持たない第2のネットワークと、
    第2のネットワークに接続された第2の通信装置と、
    第1の通信装置から送信されたマルチキャストパケットを第2の通信装置を含む第2のネットワーク上の通信装置に転送する、第1、第2のネットワークに接続された第3の通信装置と
    を備えた通信システムであって、
    前記第1の通信装置は、第1のネットワークに構築されたある仮想ネットワークを通じて、該仮想ネットワークの識別情報を含むマルチキャストパケットを送信する送信手段を備え、
    前記第3の通信装置は、
    前記第1のネットワークから転送すべきマルチキャストパケットを受信する受信手段と、
    前記受信手段が受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換する変換手段と、
    前記変換手段により変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施す暗号手段と、
    前記暗号手段により暗号化したマルチキャストパケットを、前記第2の通信装置を含む第2のネットワーク上に接続された通信装置に対しマルチキャストする送信手段と
    を備えたことを特徴とする通信システム。
  7. 前記第1のネットワークはIEEE802.3標準に準拠したネットワークであり、前記仮想ネットワークはIEEE802.1Q標準に規定されたVLANにより実現される仮想ネットワークであり、
    前記第2のネットワークはIEEE802.11標準に準拠したネットワークであり、前記暗号化はIEEE802.11i標準に基づいた暗号化を施すものであり、
    前記宛先アドレスはMACアドレスである
    ことを特徴とする請求項6に記載の通信システム。
  8. 1つのネットワークに複数の仮想ネットワークが構築可能な第1のネットワークから、仮想ネットワークを持たない第2のネットワークへマルチキャストパケットを転送するための通信方法であって、
    前記第1のネットワーク上の通信装置から転送すべきマルチキャストパケットを受信し、
    前記受信したパケットの宛先アドレスを、該パケットに含まれる仮想ネットワークの識別情報を用いて、該宛先アドレスとは別の新たな宛先アドレスに変換し、
    前記変換したマルチキャストパケットの内容について、前記仮想ネットワークの識別情報に応じたそれぞれ異なる暗号化を施し、
    前記暗号化したマルチキャストパケットを第2のネットワーク上にマルチキャストする
    ことを特徴とする通信方法。
  9. 前記第1のネットワークはIEEE802.3標準に準拠したネットワークであり、前記仮想ネットワークはIEEE802.1Q標準に規定されたVLANにより実現される仮想ネットワークであり、
    前記第2のネットワークはIEEE802.11標準に準拠したネットワークであり、前記暗号化はIEEE802.11i標準に基づいた暗号化を施すものであり、
    前記宛先アドレスはMACアドレスである
    ことを特徴とする請求項8に記載の通信方法。
JP2004282775A 2004-09-28 2004-09-28 通信装置、通信システム及び通信方法 Expired - Fee Related JP4074283B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004282775A JP4074283B2 (ja) 2004-09-28 2004-09-28 通信装置、通信システム及び通信方法
US11/236,808 US7680110B2 (en) 2004-09-28 2005-09-28 Communication device, communication system, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004282775A JP4074283B2 (ja) 2004-09-28 2004-09-28 通信装置、通信システム及び通信方法

Publications (2)

Publication Number Publication Date
JP2006101037A true JP2006101037A (ja) 2006-04-13
JP4074283B2 JP4074283B2 (ja) 2008-04-09

Family

ID=36125471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004282775A Expired - Fee Related JP4074283B2 (ja) 2004-09-28 2004-09-28 通信装置、通信システム及び通信方法

Country Status (2)

Country Link
US (1) US7680110B2 (ja)
JP (1) JP4074283B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009545244A (ja) * 2006-07-28 2009-12-17 インテル・コーポレーション 単一のワイヤレス通信ネットワークにおいてネットワーク化する複数の共存デバイスを向上させる技術
JP2011045104A (ja) * 2010-09-16 2011-03-03 Buffalo Inc 無線lan用アクセスポイント、プログラムおよび記録媒体

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070204158A1 (en) * 2006-02-28 2007-08-30 Symbol Technologies, Inc. Methods and apparatus for encryption key management
US8161543B2 (en) * 2006-12-22 2012-04-17 Aruba Networks, Inc. VLAN tunneling
US8824678B2 (en) * 2011-04-05 2014-09-02 Broadcom Corporation MAC address anonymizer
US8811361B2 (en) * 2011-08-26 2014-08-19 Motorola Solutions, Inc. Hybrid broadcast packet replication for virtual local area networks
US8649383B1 (en) * 2012-07-31 2014-02-11 Aruba Networks, Inc. Overlaying virtual broadcast domains on an underlying physical network
GB201213622D0 (en) * 2012-07-31 2012-09-12 Sirran Technologies Ltd Improved telecommunication system
US9860117B2 (en) * 2014-02-03 2018-01-02 Sprint Communications Company, L.P. Automatically generated virtual network elements for virtualized packet networks
US9876689B1 (en) * 2014-02-03 2018-01-23 Sprint Communications Company L.P. Automatically generated virtual network elements for virtualized local area networks
US20160112311A1 (en) * 2014-10-20 2016-04-21 Gainspan Corporation Enhanced connectivity to end devices via access points of wireless local area networks (wlan)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09284329A (ja) 1996-04-15 1997-10-31 Hitachi Cable Ltd 複数スイッチ間の仮想lan方式
JP3009876B2 (ja) 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
US7301946B2 (en) * 2000-11-22 2007-11-27 Cisco Technology, Inc. System and method for grouping multiple VLANs into a single 802.11 IP multicast domain
US7130904B2 (en) * 2001-08-16 2006-10-31 Intel Corporation Multiple link layer wireless access point
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
JP3930424B2 (ja) 2002-12-16 2007-06-13 株式会社エヌ・ティ・ティ・ドコモ セッション情報管理装置、セッション情報管理方法及びその方法における処理をコンピュータに行なわせるためのプログラム並びに当該プログラムを記録した記憶媒体、マルチキャストサーバ
JP2004242210A (ja) 2003-02-07 2004-08-26 Ntt Docomo Inc マルチキャスト配信システム及びその方法並びにデータ中継装置、クライアント装置、認証・鍵管理装置
EP1692595A2 (en) * 2003-11-04 2006-08-23 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
JP4000111B2 (ja) * 2003-12-19 2007-10-31 株式会社東芝 通信装置および通信方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009545244A (ja) * 2006-07-28 2009-12-17 インテル・コーポレーション 単一のワイヤレス通信ネットワークにおいてネットワーク化する複数の共存デバイスを向上させる技術
US8332534B2 (en) 2006-07-28 2012-12-11 Intel Corporation Techniques to improve multiple collocated device networking over single wireless communication networks
JP2011045104A (ja) * 2010-09-16 2011-03-03 Buffalo Inc 無線lan用アクセスポイント、プログラムおよび記録媒体

Also Published As

Publication number Publication date
US20060072584A1 (en) 2006-04-06
US7680110B2 (en) 2010-03-16
JP4074283B2 (ja) 2008-04-09

Similar Documents

Publication Publication Date Title
US8934420B2 (en) Multiple wired client support on a wireless workgroup bridge
US7680110B2 (en) Communication device, communication system, and communication method
US7672459B2 (en) Key distribution and caching mechanism to facilitate client handoffs in wireless network systems
JP4682250B2 (ja) マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash)
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7228415B2 (en) Method and apparatus for transferring a communication session
JP4558454B2 (ja) 通信システム
EP3128718B1 (en) Service discovery method and device
US8266428B2 (en) Secure communication system and method of IPv4/IPv6 integrated network system
EP2086179B1 (en) A method, system and device for transmitting media independent handover information
CN102263648A (zh) 用于将多个vlan组合到单个802.11ip多播域中的系统和方法
KR20070083518A (ko) 미지의 무선 단말기를 위한 제한 wlan 액세스
CN111865903A (zh) 报文传输的方法、装置和系统
US11425103B2 (en) Token secured routing
WO2011153830A1 (zh) 安全网络架构建立方法、保密通信方法及系统
JP2008263335A (ja) 無線lanシステム、アクセスポイント装置及び無線lanシステムの制御方法
JP2004312257A (ja) 基地局、中継装置及び通信システム
WO2011064858A1 (ja) 無線認証端末
JP2005051458A (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
US7577837B1 (en) Method and apparatus for encrypted unicast group communication
JP2006196996A (ja) 通信システム及び通信方法
JP2009225258A (ja) ネットワークシステム及び電文の転送方法
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法
JP2007110654A (ja) ブリッジ装置及びブリッジ装置の制御方法
KR100705570B1 (ko) IPv4망과 IPv6망간의 자동 설정터널링 시스템 및 그방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080124

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110201

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120201

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120201

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130201

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140201

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees