JP2006191205A - 通信装置及び通信方法、通信システム - Google Patents

通信装置及び通信方法、通信システム Download PDF

Info

Publication number
JP2006191205A
JP2006191205A JP2004382005A JP2004382005A JP2006191205A JP 2006191205 A JP2006191205 A JP 2006191205A JP 2004382005 A JP2004382005 A JP 2004382005A JP 2004382005 A JP2004382005 A JP 2004382005A JP 2006191205 A JP2006191205 A JP 2006191205A
Authority
JP
Japan
Prior art keywords
communication
communication device
packet
identifier
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004382005A
Other languages
English (en)
Inventor
Tomiichi Imai
富一 今井
Satoshi Ookage
聡 大景
Hiroshi Sakatani
洋志 坂谷
Makoto Wada
真 和田
Osamu Nishimura
治 西村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2004382005A priority Critical patent/JP2006191205A/ja
Publication of JP2006191205A publication Critical patent/JP2006191205A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 自己の識別子を使用せずに、各種設定を変更してデータ通信を実現することができる通信装置及び通信方法を提供する。
【解決手段】 IPアドレスを有しない通信装置1,2に適用され、IPアドレスを有する端末とLAN用の通信インターフェース11を介して接続され、当該端末のIPアドレスと、他の端末のIPアドレスとの組をテーブル記憶部14に記憶させ、IP層処理に従って作成されたパケットを、IPアドレスを有しない他の通信装置2,1との間で送受信して、当該他の通信装置2,1との間で設定情報を送受信して、追加機能制御部15で新たな機能を追加させる。
【選択図】 図2

Description

本発明は、例えばデータ暗号やデータ認証等を使用した秘密通信、グループ化通信、プロトコル変換を行うネットワークシステムに使用され、各種のデータのやりとりや通信設定を変更させるための通信装置及び通信方法、通信システムに関する。
従来より、例えばIP(Internet Protocol)を利用した通信システムにおいて、通信データの盗聴や改ざんを防ぐために、パケットを暗号化すると共に認証データによって送受信間で認証処理を行って、通信データのセキュリティを高めた秘密通信を行うネットワークシステムが知られている。このようなネットワークシステムにおいては、例えば、RFC(Request For Comments)2401〜2410で定義されたプロトコル群であるIPsec(IP security protocol)などが知られている。
このIPsecには、トンネルモードやトランスポートモードによってデータを暗号化及び復号するVPN機能、送信側での暗号化及び受信側での復号を行うときに使用する共通秘密鍵を定期的に変更する鍵管理プロトコル(The Internet Key Exchange:IKE)が含まれている。
また、従来より、LAN等のネットワークにおいて、物理的な接続形態とは独立して、ソフトウェア的な暗号化処理や認証処理の設定によって端末の仮想的なグループを構築する技術が知られている。具体的には、LANスイッチと呼ばれる機器の機能を利用して、端末毎に付与されたMAC(Media Access Control)アドレスやIPアドレス、利用するプロトコルなどに応じてグループ化を行っている。
更に、従来より、複数の端末が接続されたゲートウェイを使用して、当該ゲートウェイ同士で同じ暗号化処理や認証処理の設定とすることによって、インターネット等の汎用通信回線での秘密通信を実現している。このようなネットワークシステムにおいては、各ゲートウェイにIPアドレスを付与し、各ゲートウェイと接続された端末からのパケットをカプセリングするなどの処理を行うことによって、各端末から送信されたデータの秘密通信を行っていた。
ところで、上述の従来のネットワークシステムにおいては、省施工、省設定を図り、既存の通信で使用されているプロトコルで認識できる識別子(IPアドレス)を持たない中継機器を追加することによって、新たな暗号化処理等の機能をネットワークシステムに追加する試みがなされている。ここで、新たな中継機器にIPアドレス等の識別子を付与しないのは、既存の端末に対して、新たな設定変更作業をできる限り省略させるためである。
このように、既存の端末に対しては中継機器に対するプラグアンドプレイによって新たな暗号化処理を追加させてデータを送信させることができる。そして、双方のネットワークシステムに同じ暗号化処理の中継機器を設置することによって、当該中継機器間で共通した暗号化処理の秘密通信を実現することができる。
しかしながら、新たに追加された中継機器には、既存のネットワークシステムにおいて使用している識別子が付与されていないので、インターネットを介した複数のネットワークシステムの中継機器間で通信を行うことができないという不都合がある。したがって、各中継機器に、新たな機能として限定した暗号化(例えばIPsec)の機能を追加させようとしても、予め中継機器に静的に設定された暗号キー等のセキュリティパラメータや、暗号対象情報等のセキュリティポリシーを、中継機器間でネゴシエーションすることで動的に変更することができない。このため、セキュリティパラメータや、セキュリティポリシーは人的に設定しない限り変更することができないので、セキュリティレベルが低いと言わざると得ないのが現状である。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、自己の識別子を使用せずに、各種設定を変更してデータ通信を実現することができる通信装置及び通信方法、通信システムを提供することを目的とする。
本発明は、所定の通信プロトコルに従って処理される識別子を有しない通信装置であって、前記所定の通信プロトコルに従って処理される識別子を有する第1通信機器と接続される接続手段と、当該第1通信機器の前記所定の通信プロトコルに従って処理される識別子と、前記所定の通信プロトコルに従って処理される識別子を有する第2通信機器の識別子との組を用いて、前記所定の通信プロトコルに従って処理されるパケットを作成し、当該パケットを、前記所定の通信プロトコルに従って処理される識別子を有しない前記第2通信機器に接続された第3通信機器又は前記第2通信機器との間で送受信して、当該第3通信機器又は第2通信機器との間で機能の設定情報を送受信して、前記設定情報に基づく機能の追加又は変更を行う設定手段と、前記設定手段で追加又は変更された機能によって前記第1通信機器と前記第2通信機器との間で送受信されるパケットに処理を施す処理手段とを備えることによって、上述の課題を解決する。
本発明によれば、所定の通信プロトコルに従って処理される識別子を有しない場合であっても、接続された通信機器の識別子と他の通信機器の識別子との組を用いたパケットを作成して、所定の通信プロトコルに従って処理される識別子を有しない他の通信機器と通信を行って設定情報を送受信することができるので、自己の識別子を使用しなくとも、他の通信機器との間での各種設定を変更してデータ通信を実現することができる。
以下、本発明の第1実施形態〜第3実施形態について図面を参照して説明する。
[第1実施形態]
本発明は、例えば図1に示すように構成されたネットワークシステムにおいて、ブリッジ、スイッチングハブ、リピータハブとして機能する通信機器1,通信機器2に適用される。なお、この第1実施形態では、先ずネットワークシステムの機能的な構成について説明し、次にネットワークシステムの具体的な構成について説明する。
[ネットワークシステムの機能的な構成]
これら通信機器1,通信機器2は、例えばインターネットプロトコル(所定の通信プロトコル)によってパケットを伝送する広域WAN(Wide Area Network)(インターネット等)の通信網NTを介して接続されている。通信機器1は、複数の端末A,端末B、通信機器2は、端末C,端末Dと接続されて、パケットの中継を行うものである。
なお、以下では、通信機器1,通信機器2が、通信網NTにおける通信プロトコルとは異なる通信プロトコルであって、イーサネット(登録商標)等の通信プロトコルに従ってデータを送受信するLAN回線3,LAN回線4を介して複数の端末A,端末B、複数の端末C,端末Dと接続されている場合について説明するが、通信機器1,2と複数の端末A,端末B、複数の端末C,端末Dとは如何なる通信プロトコルの通信網で接続されていてもよく、通信機器1,2でパケットを通過させることができるのであれば、イーサネットなどに限定するものではない。
このようなネットワークシステムにおいて、例えば端末Aから端末D宛にデータが送信されると、当該データは、LAN回線3を介して通信機器1で受信され、通信機器1から通信網NTを介して通信機器2で受信され、LAN回線4を介して端末Dで受信される。
端末A、端末B、端末C、端末Dは、インターネットプロトコルに従った処理を行うことが可能な端末である。これら端末A、端末B、端末C、端末Dは、他の端末にデータを送信する場合には、インターネットプロトコルに準拠した自己の識別子(IPアドレス情報)を送信元アドレス情報とし、インターネットプロトコルに準拠した宛先の端末の識別子(IPアドレス情報)を受信先アドレス情報としたパケットを作成してLAN回線に送信する。
通信機器1,通信機器2は、省施工、省設定のために通信網NTに通信で使用されているインターネットプロトコルに対応する識別子(IPアドレス情報)が付与されていない。そして、通信網NTを介して通信を行う端末A、端末Bに通信機器1を追加接続させ、端末C、端末Dに通信機器2を追加接続させて、当該通信機器1,通信機器2に暗号化処理等の機能を持たせることにより、通信網NTを介した端末A、端末Bの通信及び端末C、端末Dの通信に新たな機能を追加させる。このように通信機器1,通信機器2が設置され、当該通信機器1に端末A、端末Bが接続され、通信機器2に端末C、端末Dが接続されると、プラグアンドプレイによって通信機器1,2は、各端末で送受信されるデータを暗号化処理することができる。
ここで、通信機器1,通信機器2は、既存のネットワークシステムの端末等に対する設定変更作業をなるべく行わせないようにするために、OSI(Open Systems Interconnection)参照モデルにおける第3層のネットワーク層であるIP層での識別子を持たない。したがって、通信機器1,通信機器2は、自己のアドレス情報を使用してIP層において通信機器間における制御やデータ通信を行うことができない構成となっている。
通信機器1,通信機器2は、図2に示すように、自己のLAN回線3,4と接続されたLAN用通信インターフェース(I/F)11と、通信網NTと接続された通信インターフェース(I/F)12と、統括制御を行う中央処理部13と、後述の送信元識別子と受信先識別子との組を格納したテーブルデータを記憶するテーブル記憶部14と、通信機器1,通信機器2に追加させる機能を制御する追加機能制御部15とを備える。また、通信機器1,通信機器2は、図3に示すように、LAN回線3,4に接続したI/Fと通信網NTに接続したI/Fとを一体化した通信インターフェース21で構成されていても良い。なお、以下の説明では、通信機器1,通信機器2が図2に示す構成である場合について説明する。
中央処理部13は、LAN用通信インターフェース11及び通信インターフェース12によるパケットの転送を制御すると共に、追加機能制御部15とのパケットの授受、テーブル記憶部14に対するテーブルデータの更新を行う。また、中央処理部13は、後述するが、通信網NTを介して通信機器1と通信機器2との間での通信を行わせる。
テーブル記憶部14は、例えばEEPROMからなり、通信機器1,通信機器2で送受信したパケットに含まれる情報のうち、受信先識別子と送信元識別子との組(アドレスペア)を記述したテーブルデータを記憶する。このテーブルデータは、中央処理部13によって更新される。このアドレスペアは、例えば端末を通信機器1,通信機器2に接続して予め静的に登録しても良く、また、図示しないサーバ等からダウンロードして設定しても良い。ここで、中央処理部13は、例えば追加機能制御部15による暗号化・復号処理が正常に行われてパケットが正常に転送したことを条件として、IPパケットに含まれる受信先識別子と送信元識別子とのアドレスペアをテーブル記憶部14に記憶させる。
追加機能制御部15は、ネットワークシステムに追加する機能についての処理を行う。この追加機能制御部15の処理内容は、ネットワークシステムに追加する機能によって異なる。追加機能制御部15が行う処理としては、例えば暗号化・復号処理、グループ化処理、プロトコル変換処理等が挙げられる。
このような通信機器1,通信機器2は、それぞれの追加機能制御部15の処理内容を例えば一般的なIPsecの共通鍵、SAのネゴシエーションフローを行わず固定された暗号化条件を使用するIPsecによる暗号化処理とする場合、LAN用通信インターフェース11で平文のパケットを受信すると、当該パケットのうち、ペイロード部を追加機能制御部15によって暗号化させる。逆に、通信機器1,通信機器2は、通信インターフェース12でペイロード部が暗号化されたパケットを受信すると、当該パケットのペイロード部を追加機能制御部15によって復号させる。ここで、通信機器1,通信機器2のそれぞれの追加機能制御部15による暗号化・復号処理は、予め通信機器1,通信機器2間で合意された暗号キー、暗号化方式等の暗号化情報によって行われる。
例えば、図2に示すように、LAN回線3を介して通信機器1によって端末Aから平文のパケットを受信すると、通信機器1の追加機能制御部15でペイロード部を暗号化して、通信インターフェース12から送信させ、通信網NTを介して通信機器2によってパケットを受信すると、通信機器2の追加機能制御部15でペイロード部を復号して、LAN用通信インターフェース11からLAN回線4を介して端末Dに受信させる。このとき、通信機器1,通信機器2では、それぞれの追加機能制御部15で暗号化処理、復号処理が正常に行えたことに応じて、それぞれのテーブル記憶部14に端末Aの識別子Aと端末Dの識別子Dとのアドレスペアを記憶させる。
このように構成されたネットワークシステムにおいて、通信機器1,通信機器2のそれぞれの追加機能制御部15の処理内容を追加又は変更するために、通信機器1と通信機器2との間で通信網NTを介した通信を行う。
このように通信機器1と通信機器2との間で通信を行う場合には、データリンク層におけるMACアドレス情報や、IP層のIPアドレス情報を使用する必要がある。これに対し、通信機器1,通信機器2は、テーブル記憶部14に記憶されたアドレスペアを利用して、通信機器1と通信機器2との間の通信を実現する。換言すれば、通信機器1,通信機器2は、他の端末のIPアドレスを借り、あたかも当該端末になりすまして通信機器1,通信機器2間の通信を実現する。なお、この例では、IPアドレスのアドレスペアを利用する場合について説明するが、MACアドレスのアドレスペアを利用して通信機器1と通信機器2との間の通信を実現しても良い。
すなわち、図2を用いて説明したように、端末Aから端末Dへのパケットの送信が行われ、図4に示すように、通信機器2のテーブル記憶部14に、端末Aの識別子Aと端末Dの識別子Dとのアドレスペアが記憶されている場合であって、通信機器2から通信機器1にパケットを送信する場合には、通信機器2の中央処理部13は、パケットの受信先識別子格納部101に識別子Aを格納し、送信元識別子格納部102に識別子Dを格納してパケットを作成する。なお、中央処理部13では、本例のインターネットプロトコルに限らず、送信元識別子を必要としない通信プロトコルである場合には、当該送信元識別子を含まずに受信先識別子を含むパケットを作成することになる。
また、通信機器2の中央処理部13は、通信機器1と通信機器2間の通信を行うパケットであることを通信機器1に通知するための情報として、パケットの通信識別タグ格納部103に、LAN回線には送信させないパケットであることを区別させる通信識別タグ(通信制御コード)を格納する。これにより、パケットを受信した通信機器1の中央処理部13は、受信先識別子格納部101,送信元識別子格納部102に続いて通信識別タグ格納部103に格納された通信識別タグを読み出して、通信機器2から自身に送られたパケットであってLAN回線3には送信しないパケットであることを認識できる。
更に、通信機器2の中央処理部13は、パケットのペイロード部104に通信機器1に対する制御コマンドや、当該制御コマンドに従った処理を行った時に使用するデータ等を格納する。ここで、制御コマンドとしては、例えば、通信機器1,2の追加機能が暗号化処理及び復号処理である場合には、暗号キーを交換するネゴシエーションに関するコマンドや、パケットの処理方法を記述したセキュリティポリシー(SP)の設定コマンドであり、追加機能制御部15での機能の設定情報である。
このように通信機器2の中央処理部13では、ペイロード部104に、通信識別タグ格納部103、送信元識別子格納部102及び受信先識別子格納部101を付加したパケットを作成する。このパケットは、例えばパケット中継時に参照するアドレス情報がMACアドレスである場合に、通信識別タグ格納部103及びペイロード部104がデータリンク層での処理で読み出し可能となっている。そして、通信機器2の中央処理部13で作成されたパケットは、通信網NTにおいて、識別子Aの端末Aで受信される経路で中継されて、通信機器1で受信される。
これに対し、通信機器1の中央処理部13は、パケットに通信識別タグ格納部103が含まれているか否かを判定し、通信識別タグ格納部103が含まれていない場合には、IPパケットをそのまま又は所定の処理(例えばペイロード部の復号処理)を施してLAN回線3に送信させる。一方、通信機器1の中央処理部13は、通信識別タグ格納部103が含まれている場合には、通信識別タグを読み出して、通信機器2からのIPパケットであることを認識して、LAN回線3への送信をさせない。
そして、通信機器1の中央処理部13は、パケットのペイロード部104に格納された制御コマンド及びデータをデコードして、当該デコードした制御コマンドに従ってデータ処理を行う。これによって、通信機器2の制御に従って、通信機器1の追加機能の変更、具体的には暗号化処理における暗号キーの変更や、セキュリティポリシーの設定を行わせることができる。
また、このネットワークシステムでは、通信機器1のテーブル記憶部14に識別子Aと識別子Dとのアドレスペアが記憶されている場合には、通信機器1の中央処理部13によって上述の通信機器2の中央処理部13が行う処理と同様の処理を行って、通信識別タグを含むIPパケットを識別子D宛に送信し、通信機器2の中央処理部13によって、上述の通信機器1の中央処理部13が行う処理と同様の処理を行って、制御コマンドに従った追加機能の変更等の処理を行うことができる。
なお、上述の通信機器1,2間のやりとりは、WAN等の通信網NTを介して通信機器1,2間でIPパケットを送信する場合について説明しているが、イーサネットパケットのヘッダ部分に通信識別タグを格納して、通信機器1,2間の通信か、接続された端末に送信させる通信かの識別を行っても良い。
[ネットワークシステムの具体的構成例]
つぎに、ネットワークシステムの具体的構成例について説明する。なお、以下のネットワークシステムの具体的構成例の説明は、先ず具体的なIPsecを利用した技術的事項について説明し、次に、上述の通信機器1,通信機器2の機能を利用したネットワークシステムの具体的構成例について説明する。
ネットワークシステムは、暗号化技術としてIPsecを使用し、当該IPsecに準拠した暗号化処理等を行うことができるIPsec機器に上述の通信機器1,通信機器2の機能を適用した場合について説明する。すなわち、通信機器1,通信機器2のそれぞれに接続されている端末のアドレス情報の組を使用して通信機器1,2がなりすまして通信される設定情報として、IPパケットのペイロード部を暗号化又は復号するための暗号化情報、具体的には、ISAKAMP(Internet Security Association and Key Management protocol)のSA(Security association)パラメータやIPsecのSAパラメータなどの暗号化情報を送受信する。そして、暗号化方式を設定した上で、通信機器1,通信機器2間でIPパケットの一部を暗号化した暗号化通信を行う。
ここで、IPsecとは、OSI参照モデルにおける第3階層であるネットワーク層で暗号化を行う技術であり、IPsec機器としては、例えば図5に示すように、IPsec機能を持たないIP機器(Non secure機器)31と接続されたゲートウェイにIPsecを組み入れたIPsecゲートウェイ32(IPsecGW)や、ホスト機器にIPsecを組み入れたIPsecホスト33(IPsecHost)が挙げられる。そしてネットワークシステムとしては、当該IPsecゲートウェイ32とIPsecホスト33とが通信網NTを介して接続されているシステムが挙げられる。なお、図5に示す例では、IPsecゲートウェイ32とIPsecホスト33とが通信網NTを介して接続されている場合を示しているが、IPsec機能を持たない機器同士の通信であれば、ゲートウェイやホストに限るものではない。
このようなネットワークシステムは、暗号化処理の設定データとして、IPパケットごとに暗号化するか否かを判定するためのフィルター情報等が含まれているセキュリティポリシー(SP情報)や、暗号化処理に使用する暗号キーや当該暗号キーを用いた暗号方式等の情報が含まれているセキュリティアソシエーション(以下SA情報)等がある。そして、IPsecホスト33及びIPsecゲートウェイ32の間で暗号通信で使用するSA情報がネゴシエーションされた後に、当該IPsecホスト33及びIPsecゲートウェイ32の間で同じSA情報を使用する。
このようなネットワークシステムにおいては、IPsec機能を持たないIP機器から、当該IP機器31の識別子(IPadd1)が格納された平文のIPパケットがIPsecゲートウェイ32に送信されると、IPsecゲートウェイ32は、IPsecホスト33との間で合意されているSP情報及びSA情報に従ってIPsecに準拠した暗号化処理等を行う。これにより、例えば暗号化ペイロード205に、ESP(IP Encapsulating Security Payload)ヘッダ204、AH(Authentication Header)203、IPsecゲートウェイ32の識別子(IPadd2)である送信元アドレス情報202、IPsecホスト33の識別子(IPadd3)である受信先アドレス情報201が付加されたIPパケットが作成される。そして、このIPパケットは、通信網NTに送信され、これに対し、IPsecホスト33では、受信したIPパケットに対してSA情報に従った復号処理を行う。
このように、IPsecで暗号化及び復号化を行うためには、予めパケット送信側とパケット受信側との間でSA情報のネゴシエーションを行う必要がある。従って、IPsecゲートウェイ32又はIPsecホスト33には、本来であれば、IKEなどを利用するための自己の識別子としてのIPアドレスが必要となる。
これに対し、IPアドレスを持たない通信装置がIPsec機能の一部を行う方法として、IPsecの機能を限定してSA情報やSP情報を固定化し、当該固定されたSA情報及びSP情報を使用してIPsec機能を有するIPsec機器同士で通信を行わせることによって、IPsecのSA情報を設定するためのネゴシエーションを不要とすることができる。更に、SA情報のネゴシエーションが不要であるために、ネットワーク層よりも下位層のデータリンク層(OSI参照層の第2層:Layer2)での処理でパケットの授受を行うブリッジに組み込んで使用でき、図6に示すように、IPパケットの送受信時に自動的に固定化されたSA情報を使用した暗号化処理等を行うブリッジでIPsec機器41,42を構成することができる。
このようなIPsec機器41,42は、ブリッジであるため、IPアドレスが付与されておらず、また、固定化されたSA情報を記憶している。そして、例えばIPsec機能を持たないIP機器43(Non Secure)から送信されたIPパケットの受信先アドレス情報211は、IPsec機器42のアドレス情報ではなく最終端末のIP機器44(Non Secure)のアドレス情報が指定される。また、このIP機器43からIPsec機器41に送られるIPパケットは、受信先アドレス情報211に加えて、送信元アドレス情報212としてIP機器43自身のアドレス情報が平文のペイロード213に付加されて構成される。
IP機器43から送信されたIPパケットをIPsec機器41で受信すると、IPsec機器41は、登録されているSA情報を使用して、IPヘッダを変更させないで、IPsecにおけるトランスポート方式で、ペイロード部のみを暗号化した暗号化ペイロード205を作成する。そして、ペイロード部が暗号化されたIPパケットは、IP機器44に送信されるが、その前にIPsec機器42で受信される。これに対し、IPsec機器42では、固定化されたSA情報を使用して、IPパケットの暗号化ペイロード205を復号化して、LAN回線に向かってIPパケットを送信させることによって、IP機器43から送信された受信先アドレス情報211,送信元アドレス情報212,ペイロード213からなるIPパケットをIP機器44で受信させる。
このようなネットワークシステムでは、IP機器43,44をIPsec機器41,42に接続させる作業のみでIPsecを利用した通信を実現することができるが、IPsec機器41,42のSA情報及びSP情報が固定化されているために、例えば暗号キー等は不変であり、セキュリティレベルが一般的なIPsecに比べて低くなる。
これに対し、上述の第1実施形態に係る通信機器1,2の機能を使用することによって、SA情報を変更可能とし、通常のIPsecと同等のセキュリティレベルを維持することができる。
すなわち、IPsec機器41,42に、通信機器1,通信機器2のLAN用通信インターフェース11,通信インターフェース12,中央処理部13,テーブル記憶部14,追加機能制御部15を設けることによって、テーブル記憶部14に記憶されているアドレスペアを利用して、IPsec機器41とIPsec機器42との間で通信を行うことができる。
一例として、IPsecにおけるSA情報をネゴシエーションによってIPsec機器41及びIPsec機器42に設定する処理のうち、送信側で暗号化及び受信側で復号を行うときに使用する共通秘密鍵を定期的に変更する鍵管理プロトコル(Internet Key Exchange:IKE)に従った処理について説明する。このIKEには、アプリケーションデータを通信する前に、送信側と受信側との間で行う必要がある暗号アルゴリズム方式やハッシュアルゴリズムのネゴシエーション、鍵交換、相互認証といった機能を備えている。また、このIKEでは、ネゴシエーション、鍵交換、相互認証を行うときに通信するデータも暗号化するという機能を備えている。このIKE処理は、RFC2409で定義されているIPsec機器41,IPsec機器42のそれぞれの暗号キーの生成手順、RFC2408で定義されているISAKMP(internet security association key management)の処理手順等を含む。
このIKE処理では、図7に示すIPsec機器41,IPsec機器42のうちの何れかのIPsec機器が始動側のイニシエータとなり、当該イニシエータの始動に反応して動作する応答側のIPsec機器がレスポンダとなる。また、IKE処理には、第1フェーズと第2フェーズの2つフェーズ、その他の処理があり、通常UDP(User Datagram Protocol)の500番ポートが使用される。
第1フェーズは、IPsec機器41,IPsec機器42間の相手認証、すなわち通信相手の認証と、IKE処理内で使用するセッション鍵(IKE用セッション鍵)の交換を行う。第2フェーズは、実際の暗号化処理で使用するセッション鍵(データ通信用セッション鍵)の交換を行う。また、その他の処理としては、新グループモード、情報提供交換(ISAKMP:Internet Security Association and Key Management Protocol)、トランザクション交換が挙げられる。
また、第1フェーズには、イニシエータ、レスポンダそれぞれのIDを暗号化するメインモードと、IDを暗号化しないためメインモードと比較して手順が簡略化されたアグレッシブモードとの2つのモードがあり、何れか一方を実行する。
そして、IPsec機器41をイニシエータ、IPsec機器42をレスポンダとした場合に、IPsec機器41は、テーブル記憶部14に記憶されたテーブルデータを参照して、受信先アドレス情報201をIPsec機器42に接続されたIP機器44のIPアドレス情報とし、送信元アドレス情報202をIP機器43のアドレス情報とする。また、IPsec機器41は、IKEプロトコルに準拠したコマンド及び通常の暗号用のデータであるIKEプロトコル関連情報222に、上述した通信識別タグに相当するIPsec機器用コントロールコード221を付加し、更に、上述のAH203,ESPヘッダ204に相当するIPsecヘッダを付加したIPパケットを生成する。
これに応じ、IPsec機器42は、IPパケットを受信すると、IPsec機器用コントロールコード221を識別して、IP機器44に送信させないIPパケットであることを認識し、IKEプロトコル関連情報222に含まれる制御コマンドを参照することによってIKE処理に対する応答を行うことができる。このとき、IPsec機器42は、テーブル記憶部14に記憶されたテーブルデータに記述されたアドレスペア又は受信したIPパケットに付加されたアドレス情報を、イニシエータに対して応答するためのIPパケットに格納させることができる。
その後、IPsec機器41とIPsec機器42とは、上記RFCで定義されているIKEプロトコルに準拠した処理手順を行って、それぞれの暗号キーの更新等を行ってSA情報の更新を行うことができ、ネットワークシステムにおけるセキュリティレベルを維持させる。
なお、上述のIKE処理を行う例では、イニシエータ及びレスポンダが共にIPアドレスが付与されていない機器である場合について説明したが、一方にはIPアドレスが付与されていないIPsec機器41であり、他方が既存のIPsecゲートウェイ32又はIPsecホスト33のような一般的なIPsec機器であっても、IPアドレスが付与されていないIPsec機器では、自己に接続されているIP機器のIPアドレスを利用して、IKE処理を行うことができるのは勿論である。
また、上述のIKE処理において設定されたSA情報には、暗号キーを定期的に更新させてセキュリティレベルを維持するために、暗号キーの使用期限を含んでいる。したがって、IPsec機器41及びIPsec機器42の暗号キーを更新しても、暗号キーに対応した使用期限が切れてしまうと、当該暗号キーを使用して暗号化されたデータの復号を行うことができない。このような状況は、例えば、通信網NTやIPsec機器41,IPsec機器42上での物理的な接続変更があった場合や、IPsec機器41,IPsec機器42に接続されているIP機器43,IP機器44のIPアドレスが動的に変更された場合に、IPsec機器41とIPsec機器42とのアドレスペアを使用したIPパケットが送受信できない時に発生する。
これに対し、IPsec機器41,IPsec機器42は、暗号キーの寿命が切れると、同意したSA情報を使用した暗号化処理及び復号処理を行うことができないため、それぞれに初期設定されているSA情報(SA_org)を使用する。すなわち、例えば、IPsec機器42の追加機能制御部15で使用しているSA情報の寿命が切れた場合、追加機能制御部15は、それぞれで同意されている初期設定されたSA情報を使用する。
そしてSA情報(SA_org)により暗号化されたIPパケットをIPsec機器42から送信し、IPsec機器41で受信すると、IPsec機器41に現在登録されているSA情報(SA_pre)では復号できない。これに応じて、IPsec機器41は、初期設定のSA情報(SA_org)を使用して復号を行い、復号ができた場合には、当該復号したIPパケットの送信元アドレス情報を記憶している同種のIPsec機器42が存在するあることを認識して、テーブル記憶部14のアドレスペアを使用して現在のSA情報(SA_pre)を設定させるIPパケットをIPsec機器42に返信する。これにより、IPsec機器41,IPsec機器42間の接続が切れてしまったり、一方のIPsec機器が何らかの原因で初期状態になったとしても、SA情報のネゴシエーションを行って、暗号通信を継続させることができる。
[ネットワークシステムの他の構成例]
つぎに、ネットワークシステムの他の構成例として、テーブル記憶部14に記憶されたアドレスペアを使用して任意の通信機器間で通信を行うことについて説明する。
このネットワークシステムは、図8に示すように、上述の通信機器1,通信機器2、IPsec機器41,IPsec機器42と同様の機能を有するIPsec機器51,52,53が通信網NTを介して接続され、IPsec機器51にIPsec機能を持たないIP機器54,55、IPsec機器52にIPsec機能を持たないIP機器56,57、IPsec機器53にIPsec機能を持たないIP機器58,59が接続されている。また、IP機器54〜59は、それぞれ、IPアドレス情報としての識別子A,B,C,D,E,Fが付与されている。
このようなネットワークシステムにおいて、各IPsec機器51,52,53は、IP機器54〜59間での通信時に使用されたIPアドレス情報をそれぞれのテーブル記憶部14に記憶すると共に、追加機能制御部15によって暗号化処理等を行う。そして、各IPsec機器51,52,53は、他のIPsec機器ごとに2つのアドレスペアをテーブル記憶部14に記憶しておく。そして、各IPsec機器51,52,53は、通信相手となる任意のIPsec機器を選択すると、テーブル記憶部14に記憶されたアドレスペアのうち、通信相手のIPsec機器に接続されたIP機器のアドレス情報を含むアドレスペアを選択する。これにより、それぞれのIPsec機器間で通信を行うことによって、SA情報の更新等を行うことができる。
また、複数のIPsec機器51,52,53を有するネットワークシステムにおいて、特定のIPsec機器との間では暗号化通信を行い、他のIPsec機器との間では暗号化通信を行わせない場合には、グルーピング処理を行う。例えば、IPsec機器51は、IPsec機器52,53と暗号化通信を行い、IPsec機器52は、IPsec機器51のみと暗号化通信を行い、更に、IPsec機器53は、IPsec機器51のみと暗号化通信を行い、IPsec機器52とIPsec機器53の間では暗号化通信は行わない場合について説明する。
IPsec機器51は、IPsec機器52,IPsec機器53との間で暗号化通信を行うために、IPsec機器52との間でIPパケットを送受信するためのアドレスペア及びSA情報と、IPsec機器53との間でIPパケットを送受信するためのアドレスペア及びSA情報とを記憶している。また、IPsec機器52は、IPsec機器51とは暗号化通信を行い、IPsec機器53とは暗号化通信を行わないので、IPsec機器51との間でIPパケットを送受信するためのアドレスペア及びSA情報を記憶している。更に、IPsec機器53は、IPsec機器51とは暗号化通信を行い、IPsec機器52とは暗号化通信を行わないので、IPsec機器51との間でIPパケットを送受信するためのアドレスペア及びSA情報を記憶している。
ここで、各SA情報は、上述したように各アドレスペアを使用したネゴシエーションを行うことによって取得することができるが、IPsec機器51とIPsec機器52とのグループとIPsec機器51とIPsec機器53とのグループとの2つのグループに加わるIPsec機器51については、予め2つのSA情報を静的に記憶させ、IPsec機器52,IPsec機器53については、IPsec機器51との1つのグループに加わるので、予め1つのSA情報を静的に記憶させても良い。
これにより、IPsec機器51は、IPパケットに格納された情報のうち、SA情報の相違に基づく暗号の処理によって作成された情報の相違を検出することによって、当該IPパケットがIPsec機器52から送信されたものか、IPsec機器53から送信されたものかを識別することができる。すなわち、どのグループに加わっているIPsec機器から送信されたIPパケットかを区別することができる。
また、IPsec機器51は、IPsec機器52,IPsec機器53との通信が切断した場合などには、IPsec機器52,IPsec機器53のそれぞれについてネゴシエーションを行うことによってSA情報の更新を行うことができる。
更に、このネットワークシステムにおいて、IPsec機器51,52,53に同じSA情報を記憶させておき、他のIPsec機器とのグループを識別するためのグループ識別子(グループID:GID)を使用することによって、どのグループに加わっているIPsec機器から送信されたIPパケットかを区別しても良い。このグループ識別子は、ネットワークシステムの設定時にIPsec機器51,52,53に静的に入力して登録しても良く、ディップSW等の物理的な設定状況を検知して登録させても良く、通信網NTに接続する物理的なポート単位で登録しても良く、図示しない管理サーバから各IPsec機器51,52,53にそれぞれダウンロードさせて登録しても良い。
そして、IPsec機器51,52,53は、他のIPsec機器と通信を行うに際して、図9に示すように、グループ識別子(GID)231を含むIPパケットを作成して、IKEプロトコル関連情報222等の送信を行ってSA情報のネゴシエーションを行う。これに対し、IPsec機器51,52,53は、他のIPsec機器からのIPパケットを受信すると、通信識別タグに相当するIPsec機器用コントロールコード221を認識して、接続されたIP機器に送信させないことを認識すると共に、グループ識別子231を認識して、自己に登録されているグループの識別子との比較を行う。これにより、IPsec機器51,52,53は、何れのグループに属するIPsec機器から送信されたIPパケットかを認識することができる。
具体的には、IPsec機器51に、IPsec機器51とIPsec機器52とのグループ識別子と、IPsec機器51とIPsec機器53とのグループ識別子とをそれぞれ登録させておき、IPsec機器51は、IPsec機器用コントロールコード221を参照することによってIPsec機器52又はIPsec機器53の何れかから送信されたIPパケットであることを確認し、更にグループ識別子231を参照することによってIPパケットを送信したIPsec機器がIPsec機器52かIPsec機器53かを特定することができる。
また、IPsec機器52に、IPsec機器51とIPsec機器52とのグループ識別子と、IPsec機器53とIPsec機器52とのグループ識別子とをそれぞれ登録させておき、IPsec機器52は、IPsec機器用コントロールコード221を参照することによってIPsec機器51又はIPsec機器53の何れかから送信されたIPパケットであることを確認し、更にグループ識別子231を参照することによってIPパケットを送信したIPsec機器がIPsec機器51かIPsec機器53かを特定することができる。これよって、IPsec機器52は、IPsec機器51との間で暗号化通信を行うと共に、IPsec機器53との間で非暗号化通信を行うことができる。
更に、IPsec機器53に、IPsec機器51とIPsec機器53とのグループ識別子と、IPsec機器52とIPsec機器53とのグループ識別子とをそれぞれ登録させておき、IPsec機器53は、IPsec機器用コントロールコード221を参照することによってIPsec機器52又はIPsec機器53の何れかから送信されたIPパケットであることを確認し、更にグループ識別子231を参照することによってIPパケットを送信したIPsec機器がIPsec機器51かIPsec機器52かを特定することができる。これよって、IPsec機器53は、IPsec機器51との間で暗号化通信を行うと共に、IPsec機器52との間で非暗号化通信を行うことができる。
更にまた、グループ識別子231を使用することによって、IPsec機器からIPパケットが送信された場合に、IPパケットに含まれているグループ識別子231と自己に登録されているグループ識別子とを比較して、グループ識別子が一致しない場合には、自己が属していないグループからのIPパケットを受信したことを判定して当該IPパケットを破棄することができ、グループ識別子が一致している場合には、自己が属しているグループからのIPパケットを受信したと判定して当該IPパケットに対する暗号化通信等を行うことができる。このように、グループ識別子231を利用することによって、処理対象となるIPパケットのフィルタリングを行うことができ、更には、暗号化通信を行うか否かなどのフィルタリングをも行うことができる。
このように、第1実施形態に係るネットワークシステムによれば、省施工及び省設定を目的として、IPsec機器に識別子(IPアドレス)を持たせずに既存のシステムに追加しても、接続されたIP機器のIPアドレスを利用してIPsec機器同士でIP通信を行うことによって、初期設定として固定化されていたSA情報やSP情報などの通信設定を変更することができ、セキュリティレベルを向上させることができる。
[第2実施形態]
つぎに、本発明を適用した第2実施形態について説明する。なお、上述の第1実施形態と同様の部分については、同一符号を付することによってその詳細な説明を省略する。
この第2実施形態に係るネットワークシステムは、上述した第1実施形態における機能的な構成をVLAN(virtual LAN)技術に適用したものであって、複数の端末が接続されるVLAN機器が複数存在する場合に、当該複数のVLAN機器間で一又は複数の端末のグループ化処理を共有して行うものである。すなわち、上述した第1実施形態では、通信機器1,通信機器2の機能をIPsec機器に適用した場合について説明したが、第2実施形態では、第1実施形態におけるアドレスペアの登録及び当該アドレスペアを利用した通信の機能をVLAN装置に適用し、当該VLAN装置間で、それぞれに接続された端末のうち、予め設定された複数の端末を含むグループ間の通信を通信設定の相違によって規制するグループ化情報を設定する。
このVLANは、LAN内の端末が持っているMACアドレス等のアドレス情報や、各端末が利用するプロトコルに応じて、複数の端末をグループ化したネットワークであり、端末の物理的な移動に関係なく、プログラム上の設定を変更することなくネットワークを構成することができるものである。このVLANを構築する方式としては、ポートVLAN方式、タグVLAN方式、マルチプルVLAN方式等に区別される。
先ずポートVLAN方式とは、VLAN機器に設けられているポートに、予め物理的にグルーピング設定を施しておき、端末が接続された場所によってグループ化を認識する。また、グルーピング設定が施されたポートにおいて、任意のポートが複数のグループには所属しない。なお、このポートVLAN方式では、データリンク層までの処理を行えるレイヤ2のVLAN機器同士の通信を行わない使用となっている。また、タグVLAN方式は、IEEE(The Institute of Electrical and Electronics Engineers)802で規定されており、パケット内に4バイトのタグを含めて端末から送信させ、当該タグによってVLAN機器の送信ポートを決定してグルーピングを行う方式である。なお、この方式は、データリンク層までの処理を行えるレイヤ2のVLAN機器同士でも使用することができる。
そして、以下では、上述のポートVLAN方式を採用したネットワークシステムにおいて、端末に付与されたアドレスのアドレスペアをVLAN機器に記憶させることによって、当該アドレスペアを利用してVLAN機器間で通信を実現する手法について説明する。なお、VLAN機器は、本来、上述のIPsec機器と同様にデータリンク層までの処理を行うことが可能な機器であって、自己のIPアドレスが付与されていないものである。これに対し、端末のアドレスペアを利用することによって、各VLAN機器は、LAN内及びインターネット等の通信網NTを越えたグルーピング情報の通信が可能となる。
このようなVLAN機器を備えたネットワークシステムは、図10に示すように、ポートVLAN方式に準拠したレイヤ2機器であるポートVLAN機器61,62が通信網NT又はLAN回線で接続され、ポートVLAN機器61に端末63,64,65,66が接続され、ポートVLAN機器62に端末67が接続されている。また、このネットワークシステムにおいて、端末63〜67には、少なくともMACアドレスが付与されており、ポートVLAN機器61,62を介したデータリンク層での通信が可能となっている。
ポートVLAN機器61は、上述したポートVLAN方式に準拠しており、任意の第1ポートに端末63,64が接続され、任意の第2ポートに端末65,66が接続されている。そして、ポートVLAN機器61は、端末63,64のグループをグループAとしてグルーピングし、端末65,66のグループをグループBとしてグルーピングし、更に、端末67のみをグループCにグルーピングしている。すなわちポートVLAN機器61は、各グループ(ポート)ごとのLANグループ識別子に対応させて、端末のMACアドレスを登録して記憶している。そして、ポートVLAN機器61は、ある端末からのパケットを受信した時に、当該パケットに含まれたLANグループ識別子及び受信先のMACアドレスを読み出し、当該LANグループ識別子に対応して登録されているMACアドレスが宛先となっている場合には、パケットを転送することによって、パケットのフィルタリング等を行っている。これによって、グループ間通信のみを許容し、他のグループ間通信を禁止することができる。
ここで、グループAに含まれる端末64を物理的に移動させるために、ポートVLAN機器61から切り離すと、当該状態の変化をポートVLAN機器61で検知し、グループAのグループ識別子に対応付けられた端末64のMACアドレスを削除する。そして、端末64が物理的にポートVLAN機器62に接続されると、ポートVLAN機器62は、自己に端末64’が接続されたことを認識して、当該端末64’のMACアドレスが登録できる状態となる。
このような状態では、ポートVLAN機器61のグループAに属する物理的なポートに接続されている端末のみがグループAに属することができるので、ポートVLAN機器62に端末64’を接続しても、グループAの端末63との通信を行えないことになる。
これに対し、前述した技術を利用してポートVLAN機器61及びポートVLAN機器62は、各グループごとのポートの共通化を行う。例えば、ポートVLAN機器61の任意のポートに接続された端末と、ポートVLAN機器62の任意のポートに接続された端末とを同じグループとしてVLANを構築する。このとき、ポートVLAN機器61とポートVLAN機器62とは、それぞれに接続された端末を同じグループとして共通化したグループを形成する共通化モードを行わせることができる。
共通化モードは、同じポート番号、物理的に同じポート或いはファイル等で静的に設定されたポート番号とグループ番号の対応関係を他のポートVLAN機器間で統一する処理である。この共通化モードへの遷移は、通常のポートVLAN機器の処理とは異なるために、例えば、図示しないディップSWや静的な操作入力等を検知することによって通常状態から共通化モードに遷移する。
この共通化モードとなる前の通常状態において、ポートVLAN機器61及びポートVLAN機器62は、以前にポートVLAN機器61に接続された端末63〜66とポートVLAN機器62に接続された端末67との通信時において使用されていたアドレス情報(IPアドレス)の組としてアドレスペアを記憶している。
したがって、共通化モードに遷移すると、先ず、端末64が切り離された一方のポートVLAN機器61は、接続されている端末63〜66の何れかのIPアドレスを送信元アドレス情報202とし、ポートVLAN機器62に接続されているであろう端末のIPアドレスを受信先アドレス情報201とし、上述の通信識別タグであって、他方のポートVLAN機器62に共通化モードで生成したIPパケットであることを区別するポートVLAN用コントロールコード241と、以前に端末64が属していたグループ番号を識別するLANグループ識別子242と、以前に端末64が属していたグループに対応したポート番号を示すポート番号情報243とを含むIPパケットを作成する。ここで、ポートVLAN用コントロールコード241,LANグループ識別子242,ポート番号情報243は、ポートVLAN機器におけるデータリンク層での処理で読み取り及び認識可能な情報となっている。
そして、IPパケットを作成したポートVLAN機器61は、記憶されている全部のアドレスペアごとにIPパケットを作成することによってブロードキャストを行う。これに対し、端末64’の移動先のポートVLAN機器62にIPパケットが受信されると、ポートVLAN機器62は、受信したIPパケットに、ポートVLAN用コントロールコード241が含まれているか否かを判定する。そして、ポートVLAN用コントロールコード241が含まれている場合には、端末への転送を行わずに、当該IPパケットのLANグループ識別子242及びポート番号情報243を取得する。
これによって、ポートVLAN機器61とポートVLAN機器62とによって、それぞれ端末64’のMACアドレス、グループAであることを示すLANグループ識別子、グループAに属する端末が接続されているポートVLAN機器61のポート番号を共有化することができる。また、ポートVLAN機器62では、端末64’からパケットを受信した場合に、IPパケットとしてポートVLAN機器61に送信させるためのポートVLAN機器61のIPアドレスを記憶しておく。
そして、端末64’がポートVLAN機器62に接続され、端末64’から、端末63の宛先MACアドレス及び端末64’の送信元MACアドレス及びグループAのLANグループ識別子242を含むパケットが送信されると、ポートVLAN機器62は、共通化モードによって記憶しておいた端末64’のMACアドレスとLANグループ識別子とが一致すると判定できる。そして、ポートVLAN機器62は、受信先アドレス情報201を共通化モードで使用したIPアドレスを受信先IPアドレスとし、端末64’から受信したパケットを含むIPパケットを作成して送信する。
これに対し、ポートVLAN機器61は、IPパケットに含まれる端末64’のMACアドレス及びグループ識別子から、自己の特定のポートに接続されたグループAに属する端末であることを認識して、端末64’が送信したIPパケットを送信することによって、端末63で受信させる。
このように、第2実施形態に係るネットワークシステムによれば、ポートVLAN機器61とポートVLAN機器62との間で以前に通信が行われたときのIPアドレスペアを記憶しておくことにより、ポートVLAN機器61とポートVLAN機器62との間で通信網NTを介したIP通信を行うことができる。これにより、ポートVLAN機器61から端末が切り離されてポートVLAN機器62に接続された場合であっても、ポートVLAN機器61とポートVLAN機器62との間でMACアドレス及びグループ識別子を共有することができる。したがって、このネットワークシステムによれば、通常はデータリンク層での処理しか行わないポートVLAN機器間でIPネットワークを介した端末のグルーピングを実現することができる。
[第3実施形態]
つぎに、本発明を適用した第3実施形態に係るネットワークシステムについて説明する。なお、以下の説明において、上述の実施形態と同様の部分については同一符号を付することにより詳細な説明を省略する。
このネットワークシステムは、図11に示すように、上述したように以前に送受信したパケットに含まれるアドレスペアを利用して、IPアドレスを持たない端末から送信されたパケットをプロトコル変換させるものである。すなわち、第3実施形態では、他の通信装置との間で送受信される設定情報は、それぞれに接続された端末のうち、非IP端末から送信されたMACパケットをIPで処理できるIPパケットに変換させるためのプロトコル変換情報を通信機器1,通信機器2の間で送受信する。
ここで、IPアドレスなどの識別子を持たない端末間の通信においてIPネットワークである通信網NTを介した通信を行うためには、IP通信を行うことができるゲートウェイ等を利用して、IPパケットではないパケットをIPパケットに変換するプロトコル変換を行う必要がある。また、IPアドレスをそのゲートウェイに割付けてNAT(Network Address Translation)に準拠した処理や、ルータ等の様々なシステムの設定を変更する必要がある。
これに対して、通信網NTを介してブリッジ71,72が設けられており、当該各ブリッジ71,72によって、以前に通過させたIPパケットのアドレスペアを記憶させておく。すなわち、ブリッジ71,72は、IP端末73,74とIP端末76との間で送受信されたIPパケットのアドレスペアを記憶しておく。ここで、ブリッジ71,72は、自己のIPアドレスが付与されていないものである。
そして、ブリッジ71,72は、自己にIPアドレスが付与されていない非IP端末75、非IP端末77が接続されており、当該非IP端末75,非IP端末77がLAN内通信を行った時に、当該非IP端末75、非IP端末77のMACアドレス等の非IP端末データを取得しておく。このような非IP端末データを取得した状態で、ブリッジ71,72は、非IP端末75,非IP端末77に通信網NTを介したIP通信を行わせるために、それぞれに接続された非IP端末75,非IP端末77の情報を共有化する。
このとき、ブリッジ71,72は、先ず、アドレスペアとして含まれている自己に接続されていないIP端末を受信先アドレス情報201とし、アドレスペアとして含まれている自己に接続されているIP端末を送信元アドレス情報202とし、自己に接続された端末にパケットを送信させないコントロールコード251、自己に接続された非IP端末に関する情報である非IP端末データ252を含むIPパケットを作成する。
そして、ブリッジ71は、受信先アドレス情報201として通信相手に接続されたIP端末76のIPアドレスを格納させ、送信元アドレス情報202として自己に接続されたIP端末73又は74のIPアドレスを格納させて、当該IPパケットを、通信相手のブリッジ72で受信させる。
これに応じ、ブリッジ72は、IPパケットを受信すると、当該IPパケットにコントロールコード251が含まれていることを認識して、転送はさせない。そして、ブリッジ72は、非IP端末データ252を読み出して、非IP端末データ252を記憶する。これにより、ブリッジ71とブリッジ72とで、ブリッジ71に接続されている非IP端末75のMACアドレスを共有することができる。
一方、ブリッジ72も、ブリッジ71と同様に、非IP端末77の非IP端末データ252を含み、コントロールコード251が含まれていたIPパケットの送信元アドレス情報202又はアドレスペアとして記憶されていたIP端末73又は74のIPアドレスを受信先アドレス情報201とし、コントロールコード251が含まれていたIPパケットの受信先アドレス情報201又はアドレスペアとして記憶されていたIP端末76のIPアドレスを送信元アドレス情報202とし、更に、自己に接続されている非IP端末77のMACアドレス等の非IP端末データ252を含むIPパケットを作成して送信する。これに応じて、ブリッジ71は、ブリッジ72に接続された非IP端末77の非IP端末データ252を取得することができる。
そして、例えば、非IP端末75に、ブリッジ72に接続されたIP端末76のMACアドレスが記憶されている場合に、非IP端末75からIP端末76にデータを送信するMACパケットをブリッジ71で受信した場合には、MACパケットにブリッジ72に接続されたIP端末76のIPアドレスを含むIPヘッダを付加してIPパケットを作成して、通信網NT及びブリッジ72を介してIP端末76にIPパケットを送信することができる。
また、例えば、非IP端末75から非IP端末77にデータを送信するMACパケットをブリッジ71で受信した場合には、アドレスペアを参照してIPパケットを作成してブリッジ72に送信し、ブリッジ72から非IP端末77にMACパケットを送信させることができる。ここで、ブリッジ71は、プロトコル変換を行うことを識別する情報であって、ブリッジ72でIPアドレスを削除するコントロールコード251を含むIPパケットを作成する。
このように、第3実施形態に係るネットワークシステムによれば、以前に通信されたIPパケットのアドレスペアを記憶させておくことによって、IPアドレスが付与されていない非IP端末からのMACパケットをIPパケットにプロトコル変換して、IPネットワークを介した通信を行わせることができる。したがって、このネットワークシステムによれば、IPを実装しているゲートウェイを設けてプロトコル変換を行わせなくても、それぞれにIPアドレスのアドレスペアを記憶させ、ブリッジ同士でそれぞれに接続された非IP端末のMACアドレスを共有することによって、仮想的なプロトコル変換装置を設置することができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用した通信装置を含むネットワークシステムのシステム構成を示すブロック図である。 本発明を適用した通信装置の機能的な構成を示すブロック図である。 本発明を適用した通信装置の機能的な他の構成を示すブロック図である。 本発明を適用した通信装置の機能的な構成における動作を説明するためのブロック図である。 一般的なIPsecを利用したネットワークシステムについて説明するためのブロック図である。 本発明を適用した通信装置としてIPsec機器を使用した場合に、IPsec機器の動作を説明するためのブロック図である。 本発明を適用した通信装置としてIPsec機器を使用した場合に、IPsec機器によるIKE処理の動作を説明するためのブロック図である。 本発明を適用した通信装置としてIPsec機器を使用した場合に、グルーピングを行って通信する動作を説明するためのブロック図である。 グルーピングを行って通信する時のパケットの構成を示す図である。 本発明を適用した通信装置としてVLAN装置を使用した場合の動作を説明するためのブロック図である。 本発明を適用した通信装置としてプロトコル変換を行う機器を使用した場合の動作を説明するためのブロック図である。
符号の説明
1,2 通信機器
3,4 LAN回線
11 LAN用通信インターフェース
12 通信インターフェース
13 IP機器
14 テーブル記憶部
15 追加機能制御部
21 通信インターフェース
41,42,51,52,53 IPsec機器
51,52,53 IPsec機器
61,62 ポートVLAN機器
71,72 ブリッジ
101 受信先識別子格納部
102 送信元識別子格納部
103 通信識別タグ格納部
104 ペイロード部
221 IPsec機器用コントロールコード
222 IKEプロトコル関連情報
231 グループ識別子
241 ポートVLAN用コントロールコード
242 LANグループ識別子
243 ポート番号情報
251 コントロールコード
252 非IP端末データ

Claims (14)

  1. 所定の通信プロトコルに従って処理される識別子を有しない通信装置であって、
    前記所定の通信プロトコルに従って処理される識別子を有する第1通信機器と接続される接続手段と、
    当該第1通信機器の前記所定の通信プロトコルに従って処理される識別子と、前記所定の通信プロトコルに従って処理される識別子を有する第2通信機器の識別子との組を用いて、前記所定の通信プロトコルに従って処理されるパケットを作成し、当該パケットを、前記所定の通信プロトコルに従って処理される識別子を有しない前記第3通信機器に接続された第2通信機器又は前記第3通信機器との間で送受信して、当該第2通信機器又は第3通信機器との間で機能の設定情報を送受信して、前記設定情報に基づく機能の追加又は変更を行う設定手段と、
    前記設定手段で追加又は変更された機能によって前記第1通信機器と前記第2通信機器との間で送受信されるパケットに処理を施す処理手段と
    を備えることを特徴とする通信装置。
  2. 前記設定手段は、前記第3通信機器との間でパケットを送受信するに際して、
    前記所定の通信プロトコルに従って処理されるパケットに、当該パケットを前記第3通信機器に接続された端末に送信させない通信制御コードを含めて前記第3通信機器との間で送受信することを特徴とする請求項1に記載の通信装置。
  3. 前記第1通信機器の識別子と前記第2通信機器の識別子との組を、予め記憶しておく記憶手段を備え、
    前記設定手段は、前記記憶手段に記憶された識別子の組を前記設定情報に付加してパケットを作成すること
    を特徴とする請求項1又は請求項2に記載の通信装置。
  4. 前記第1通信機器で送受信されるパケットであって、前記所定の通信プロトコルに従って処理される送信元識別子及び受信先識別子を含むパケットを転送する転送手段と、
    前記転送手段で転送したパケットから、前記送信元識別子及び受信先識別子を取り出して、当該送信元識別子と受信先識別子とを組にして記憶する記憶手段と
    を備えることを特徴とする請求項1又は請求項2に記載の通信装置。
  5. 前記設定情報は、前記所定の通信プロトコルに従って作成されたパケットのうち、前記所定の通信プロトコルとは異なる通信プロトコルで処理できるペイロード部を暗号化及び復号するための暗号化情報であって、前記設定手段は、前記暗号化情報を送受信することによって前記第2通信機器又は前記第3通信機器との間で合意した暗号化情報を取得し、
    前記処理手段は、前記第1通信機器からのパケットの一部に、前記暗号化情報に基づく暗号化を施すと共に、前記第2通信機器又は前記第3通信機器からのパケットの一部を、前記暗号化情報に基づいて復号すること
    を特徴とする請求項1に記載の通信装置。
  6. 前記設定情報は、予め設定された複数の端末を含むグループ間の通信を通信設定の相違によって規制するためのグループ化情報であり、前記設定手段は、前記グループ化情報を送受信することによって、前記接続手段に接続された端末及び前記第3通信機器に接続された端末のうち同一のグループに属する端末を認識し、
    前記処理手段は、前記所定の通信プロトコルに従って作成されたパケットの一部に、前記グループを識別する情報を付加して前記第2通信機器又は前記第3通信機器にパケットを送信すると共に、前記第2通信機器又は前記第3通信機器からのパケットの一部の前記グループを識別する情報から、当該グループに属する端末にパケットを転送させるグループ化通信を行うこと
    を特徴とする請求項1に記載の通信装置。
  7. 前記設定情報は、前記所定の通信プロトコルに従って処理される識別子を有しない端末から送信されたデータを前記所定の通信プロトコルで処理できるパケットに変換させるためのプロトコル変換情報であり、
    前記処理手段は、前記接続手段に接続された端末から送信されたパケットを前記プロトコル変換情報に基づいてプロトコル変換をして送信させると共に、前記接続手段に接続された端末宛に送信されたパケットを前記プロトコル変換情報に基づいてプロトコル変換を行って当該端末に受信させること
    を特徴とする請求項1に記載の通信装置。
  8. 所定の通信プロトコルに従って処理される識別子を有する第1通信機器と接続され、前記所定の通信プロトコルに従って処理される識別子を有しない通信装置の通信方法であって、
    前記第1通信機器の前記所定の通信プロトコルに従って処理される識別子と、前記所定の通信プロトコルに従って処理される識別子を有する第2通信機器の識別子との組を記憶しておき、
    前記第2通信機器に接続され、前記所定の通信プロトコルに従って処理される識別子を有しない第3通信機器、又は、前記第2通信機器との間で通信を行って、前記通信装置の機能の追加又は変更を行うに際して、
    前記第1通信機器の識別子と、前記第2通信機器の識別子との組とを用いて、前記所定の通信プロトコルに従って処理されるパケットを作成して、前記通信装置の機能の設定情報を送受信することで、前記設定情報に基づく機能の追加又は変更を行うこと
    を特徴とする通信方法。
  9. 前記第3通信機器との間でパケットを送受信するに際して、
    前記所定の通信プロトコルに従って処理されるパケットに、当該パケットを前記第3通信機器に接続された端末に送信させない通信制御コードを含めて前記第3通信機器との間で送受信することを特徴とする請求項8に記載の通信方法。
  10. 前記第1通信機器で送受信されるパケットであって、前記所定の通信プロトコルに従って処理される送信元識別子及び受信先識別子を含むパケットを転送するに際して、
    当該転送するパケットから、前記送信元識別子及び受信先識別子を取り出して、当該送信元識別子と受信先識別子とを組にして記憶しておくこと
    を特徴とする請求項8又は請求項9に記載の通信方法。
  11. 前記設定情報は、前記所定の通信プロトコルに従って作成されたパケットのうち、前記所定の通信プロトコルとは異なる通信プロトコルで処理できるペイロード部を暗号化及び復号するための暗号化情報であって、前記暗号化情報を送受信することによって前記第2通信機器又は前記第3通信機器との間で合意した暗号化情報を取得し、
    前記第1通信機器からのパケットを受信した時には、当該パケットの一部に、前記暗号化情報に基づく暗号化を施し、
    前記第2通信機器又は前記第3通信機器からのパケットを受信した時には、当該パケットの一部を、前記暗号化情報に基づいて復号すること
    を特徴とする請求項8に記載の通信方法。
  12. 前記設定情報は、予め設定された複数の端末を含むグループ間の通信を通信設定の相違によって規制するためのグループ化情報であり、前記グループ化情報を送受信することによって、前記接続手段に接続された端末及び前記第3通信機器に接続された端末のうち同一のグループに属する端末を認識し、
    前記第1通信機器からのパケットを受信した時には、前記所定の通信プロトコルに従って作成されたパケットの一部に、当該第1通信機器が属する前記グループを識別する情報を付加して前記第2通信機器又は前記第3通信機器にパケットを送信し、
    前記第2通信機器又は前記第3通信機器からのパケットを受信した時には、前記第2通信機器又は前記第3通信機器からのパケットの一部の前記グループを識別する情報から、当該グループに属する端末にパケットを転送させるグループ化通信を行うこと
    を特徴とする請求項8に記載の通信方法。
  13. 前記設定情報は、前記所定の通信プロトコルに従って処理される識別子を有しない端末から送信されたデータを前記所定の通信プロトコルで処理できるパケットに変換させるためのプロトコル変換情報であり、
    前記所定の通信プロトコルに従って処理される識別子を有しない端末からのパケットを受信した時には、前記プロトコル変換情報に基づいてプロトコル変換をして送信させ、
    前記端末宛に送信されたパケットを前記プロトコル変換情報に基づいてプロトコル変換を行って当該端末に受信させること
    を特徴とする請求項8に記載の通信方法。
  14. 所定の通信プロトコルに従って処理される識別子を有する第1端末が接続され、前記所定の通信プロトコルに従って処理される識別子を有しない第1通信装置と、
    前記所定の通信プロトコルに従って処理される識別子を有する第2端末が接続されると共に、前記第1通信装置と通信網を介して接続され、前記所定の通信プロトコルに従って処理される識別子を有しない第2通信装置とを備え、
    前記第1通信装置及び前記第2通信装置のそれぞれは、
    前記第1端末の識別子と、前記第2端末の識別子との組を用いて、前記所定の通信プロトコルに従って処理されるパケットを作成し、当該パケットを、前記通信網を介して送受信して、機能の設定情報を送受信して、前記設定情報に基づく機能の追加又は変更を行う設定手段と、
    前記設定手段で追加又は変更された機能によって前記第1端末と前記第2端末との間で送受信されるパケットに処理を施す処理手段と
    を備えることを特徴とする通信システム。
JP2004382005A 2004-12-28 2004-12-28 通信装置及び通信方法、通信システム Pending JP2006191205A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004382005A JP2006191205A (ja) 2004-12-28 2004-12-28 通信装置及び通信方法、通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004382005A JP2006191205A (ja) 2004-12-28 2004-12-28 通信装置及び通信方法、通信システム

Publications (1)

Publication Number Publication Date
JP2006191205A true JP2006191205A (ja) 2006-07-20

Family

ID=36797943

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004382005A Pending JP2006191205A (ja) 2004-12-28 2004-12-28 通信装置及び通信方法、通信システム

Country Status (1)

Country Link
JP (1) JP2006191205A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008301072A (ja) * 2007-05-30 2008-12-11 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
WO2010087326A1 (ja) * 2009-01-28 2010-08-05 株式会社明電舎 Tcp通信方式
JP2012177942A (ja) * 2012-06-07 2012-09-13 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
JP2013102454A (ja) * 2009-01-28 2013-05-23 Meidensha Corp Tcp通信方式
JP2017139604A (ja) * 2016-02-03 2017-08-10 Necプラットフォームズ株式会社 通信装置および通信方法
WO2020003386A1 (ja) * 2018-06-26 2020-01-02 日本電気株式会社 ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
JP2020123785A (ja) * 2019-01-29 2020-08-13 株式会社東芝 通信制御装置

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008301072A (ja) * 2007-05-30 2008-12-11 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
US8578149B2 (en) 2009-01-28 2013-11-05 Meidensha Corporation TCP communication scheme
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
CN102301660A (zh) * 2009-01-28 2011-12-28 株式会社明电舍 Tcp通信方案
JP2013102454A (ja) * 2009-01-28 2013-05-23 Meidensha Corp Tcp通信方式
WO2010087326A1 (ja) * 2009-01-28 2010-08-05 株式会社明電舎 Tcp通信方式
US9769289B2 (en) 2009-01-28 2017-09-19 Meidensha Corporation TCP communication scheme
JP2012177942A (ja) * 2012-06-07 2012-09-13 Ricoh Co Ltd 暗号通信路復帰方法、暗号通信装置及び暗号通信システム
JP2017139604A (ja) * 2016-02-03 2017-08-10 Necプラットフォームズ株式会社 通信装置および通信方法
WO2020003386A1 (ja) * 2018-06-26 2020-01-02 日本電気株式会社 ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
JPWO2020003386A1 (ja) * 2018-06-26 2021-07-15 日本電気株式会社 ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
JP7056740B2 (ja) 2018-06-26 2022-04-19 日本電気株式会社 ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
JP2020123785A (ja) * 2019-01-29 2020-08-13 株式会社東芝 通信制御装置
JP7163206B2 (ja) 2019-01-29 2022-10-31 株式会社東芝 通信制御装置

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
JP4634687B2 (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US8583912B2 (en) Communication system of client terminals and relay server and communication method
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
US9300634B2 (en) Mobile IP over VPN communication protocol
KR101291501B1 (ko) 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체
JP2009111437A (ja) ネットワークシステム
WO2003096612A1 (fr) Dispositif, procede et systeme de cryptage
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
JP2006191205A (ja) 通信装置及び通信方法、通信システム
JP4305087B2 (ja) 通信ネットワークシステム及びそのセキュリティ自動設定方法
JP2006196996A (ja) 通信システム及び通信方法
WO2006128384A1 (fr) Procede de creation d'une combinaison securisee de protocole de securite ip
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
JP2006033350A (ja) 代理セキュアルータ装置及びプログラム