JP2006333128A - Packet-transmitting device, packet receiving device, packet-transmitting method, and packet-receiving method - Google Patents
Packet-transmitting device, packet receiving device, packet-transmitting method, and packet-receiving method Download PDFInfo
- Publication number
- JP2006333128A JP2006333128A JP2005154426A JP2005154426A JP2006333128A JP 2006333128 A JP2006333128 A JP 2006333128A JP 2005154426 A JP2005154426 A JP 2005154426A JP 2005154426 A JP2005154426 A JP 2005154426A JP 2006333128 A JP2006333128 A JP 2006333128A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- identifier
- destination
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000005540 biological transmission Effects 0.000 claims abstract description 246
- 238000004891 communication Methods 0.000 claims description 44
- 238000010348 incorporation Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 26
- 238000012806 monitoring device Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 21
- 238000012986 modification Methods 0.000 description 13
- 230000004048 modification Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 8
- 238000013519 translation Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003936 working memory Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Abstract
Description
本発明は、パケット送信装置、パケット受信装置、パケット送信方法およびパケット受信方法に係わり、特にネットワーク上で傍受されてもその送信元あるいは宛先を知られにくくしたパケットを送出するパケット送信装置、送信先でこのようなパケットを受信するパケット受信装置、送信元あるいは宛先を知られにくくしたパケットを送出するパケット送信方法および送信先でこのようなパケットを受信するパケット受信方法に関する。 The present invention relates to a packet transmission device, a packet reception device, a packet transmission method, and a packet reception method, and in particular, a packet transmission device that transmits a packet whose transmission source or destination is difficult to be known even when intercepted on a network. The present invention relates to a packet receiving apparatus for receiving such a packet, a packet transmission method for transmitting a packet whose transmission source or destination is difficult to be known, and a packet reception method for receiving such a packet at the transmission destination.
様々な分野でIT(Information Technology)化が進み、各種情報がコンピュータで扱われるのに伴って、コンピュータのセキュリティに対する要請が高まっている。そこで、コンピュータに対する不正アクセスの追跡や証拠保全を行う、コンピュータ・フォレンジック(computer forensic)を実現するために、例えば、ネットワーク監視機器が使用されている。このネットワーク監視機器は、LAN(Local Area Network)等のネットワークに接続され、このネットワークに属する通信端末間で行われる通信を監視するとともに、これらの通信端末がこのネットワークの外部の通信端末と行う通信についても監視を行っている。 As information technology (IT) progresses in various fields and various types of information are handled by computers, there is an increasing demand for computer security. Therefore, for example, network monitoring devices are used in order to realize computer forensic for tracking unauthorized access to computers and preserving evidence. The network monitoring device is connected to a network such as a LAN (Local Area Network) and monitors communication performed between communication terminals belonging to the network, and communication performed by these communication terminals with a communication terminal outside the network. Is also monitored.
このようなネットワーク監視機器によるネットワークの監視は、ネットワーク上で他の通信端末から気づかれないようにして行われるのが望ましい。これは、ネットワーク監視機器自体が不正アクセスによる攻撃を受けてしまうと、ネットワークの監視を行うという本来の機能が果たせなくなる恐れがあるためである。したがって、例えば、自分のIP(internet protocol)アドレスが確認されてしまう「ping」等のコマンドを他の通信端末から受け取っても、これに対して応答しない等の設定が行われている。なお、ネットワーク監視機器として使用されているものの中には、ネットエージェント社のパケットブラックホール(登録商標)と呼ばれる機器も存在する。しかしながらその監視の技術的な原理は公開されておらず、その構成等の詳細は不明である。 Such network monitoring by the network monitoring device is preferably performed without being noticed by other communication terminals on the network. This is because if the network monitoring device itself is attacked by unauthorized access, the original function of monitoring the network may not be performed. Therefore, for example, even if a command such as “ping” that confirms the IP (internet protocol) address is received from another communication terminal, a setting is made such that no response is made. Among devices used as network monitoring devices, there is a device called a packet black hole (registered trademark) of Net Agent. However, the technical principle of the monitoring is not disclosed, and details such as the configuration are unknown.
ところで、大規模な社内LANのようにルータで接続された複数のサブネットにより構成されるネットワークでは、これらのサブネットごとにネットワーク監視機器が設置され、分散的な監視体制を採るようになっている。この場合、各ネットワーク監視機器の設定を変更したり、監視した内容を確認したりするたびに、作業員がこれらのネットワーク監視機器の設置された場所まで足を運んで作業するのでは手間と時間が掛かってしまう。したがって、これらのネットワーク監視機器とネットワークを介して通信する管理装置を設け、この管理装置により遠隔からそれぞれのネットワーク監視機器の設定変更や監視内容の確認等の管理作業を行うのが一般的である。 By the way, in a network composed of a plurality of subnets connected by routers such as a large-scale in-house LAN, a network monitoring device is installed for each of these subnets to adopt a distributed monitoring system. In this case, every time the settings of each network monitoring device are changed or the monitored content is checked, it takes time and labor for the worker to go to the place where these network monitoring devices are installed. Will be applied. Therefore, it is common to provide a management device that communicates with these network monitoring devices via the network, and to perform management work such as setting change of each network monitoring device and confirmation of monitoring contents from this remote management device. .
しかしこの場合、管理装置がそれぞれのネットワーク監視機器と通信する際に使用されるパケットが他の通信端末に傍受される危険がある。パケットヘッダに格納された宛先あるいは送信元のIPアドレス等のアドレス情報からネットワーク監視機器の存在が明らかにされると、この結果として、ネットワーク監視機器に不正アクセスによる攻撃を仕掛けられる可能性がある。 However, in this case, there is a risk that a packet used when the management apparatus communicates with each network monitoring device is intercepted by another communication terminal. If the presence of the network monitoring device is clarified from the address information such as the destination or transmission source IP address stored in the packet header, there is a possibility that the network monitoring device may be attacked by unauthorized access.
そこで、パケットのIPアドレスを変換するアドレス変換装置を用いたパケットの通信手法が提案されている(例えば特許文献1参照)。この提案では、パケットの送信元のネットワーク監視機器がそのパケットを宛先である管理装置に送信せず、代わりにアドレス変換装置に送信するようになっている。アドレス変換装置はそのパケットを受け取ると、送信元のIPアドレスをネットワーク監視機器の本来のIPアドレスからアドレス変換装置が所持している代替用のIPアドレス(代替アドレス)の中から1つのアドレスを選んで1対1に対応付ける形でそのIPアドレスに変換する。そして、この変換後のIPアドレスが送信元アドレスに設定された状態でそのパケットを宛先の管理装置に送信するようになっている。したがって、このパケットの通信手法ではネットワーク監視機器が自身のIPアドレスを秘匿にして管理装置にパケットを送信することができる。これによりパケットが傍受されても、送信元アドレスがネットワーク監視機器のIPアドレスを表わしていないので、第三者にこのネットワーク監視機器の特定を困難にさせ、不正アクセスによる攻撃の可能性を低減させることができる。
ところで、この提案によるパケットの通信手法では、アドレス変換装置に不正アクセスによる攻撃が仕掛けられると、アドレス変換装置はパケットの宛先のIPアドレスをネットワーク監視機器の本来のIPアドレスに変更して送出するようになっているため、ネットワーク監視機器の攻撃に繋がってしまう。したがって、この手法では、結局はネットワーク監視機器への攻撃を防ぐことができず、さほど強力な防御にはならない。 By the way, in the packet communication method according to this proposal, when an attack by unauthorized access is set on the address translation device, the address translation device changes the IP address of the packet destination to the original IP address of the network monitoring device and sends it out. Therefore, it leads to an attack of network monitoring equipment. Therefore, this method cannot prevent an attack on the network monitoring device after all, and does not provide a very strong defense.
以上、ネットワーク監視機器と管理装置の間で行われるパケットの送受信を例にして説明を行ったが、これに限るものではない。これ以外の機器あるいは装置の間でパケットを通信する場合でも第三者に対して送信元を知られないようにする要請は高い。例えば、ネットワークの通信品質を監視する通信品質監視装置もその一例である。通信品質監視装置はネットワーク障害への迅速な対応や適切な負荷の分散等を目的とし、通信パケットを監視している。したがって、この通信品質監視装置が攻撃されると監視した通信内容が漏洩する危険性がある。IPアドレス等のアドレス情報を付けることのできる機器をノードと呼ぶことにし、他のノードから自身の機器の存在を隠すべきノードを本明細書では秘匿ノードと呼ぶものとする。秘匿ノードと言えども、通常の場合には通信によって何らかの通信トラフィックを発生させる。遠隔からこの秘匿ノードを管理しようとすると、管理を行う管理ノードと秘匿ノードの間で通信を行う必要があるからである。分散的な監視を行うために、複数の秘匿ノードの間で通信を行う場合もある。秘匿ノードが発生するトラフィックを網内の他のノードに検出されて、その通信方法を把握されてしまうと、前記したように秘匿ノード自体が監視されたり攻撃を受けることになって、網の監視等の秘匿ノード本来の機能を果たすことができなくなる。 The description has been given above of the packet transmission / reception performed between the network monitoring device and the management apparatus as an example, but the present invention is not limited to this. Even when packets are communicated between other devices or devices, there is a high demand for a third party not to know the transmission source. For example, a communication quality monitoring apparatus that monitors network communication quality is an example. The communication quality monitoring device monitors communication packets for the purpose of promptly responding to a network failure or distributing an appropriate load. Therefore, when this communication quality monitoring apparatus is attacked, there is a risk that the monitored communication content will leak. A device to which address information such as an IP address can be attached is called a node, and a node that should hide its own device from other nodes is called a secret node in this specification. Even in a secret node, some communication traffic is generated by communication in a normal case. This is because if it is attempted to manage this secret node from a remote location, it is necessary to perform communication between the management node that performs management and the secret node. In order to perform distributed monitoring, communication may be performed between a plurality of secret nodes. When the traffic generated by the secret node is detected by other nodes in the network and the communication method is grasped, the secret node itself is monitored or attacked as described above. Thus, the original function of the secret node cannot be performed.
もちろん、秘匿ノードを遠隔で監視せずに作業者が直接管理を行ったり、秘匿ノード間の分散処理を一切行わないようにすれば秘匿ノードのトラフィックは発生しない。しかしながら、管理工数が大幅に増大するだけでなく、分散処理を行えないようにすれば秘匿ノードの機能が限定されることになる。したがって、極めて高いセキュリティの要請があるという特殊な環境でなければ、このような手法を採用することができない。 Of course, if the worker directly manages the secret node without remotely monitoring the secret node or does not perform any distributed processing between the secret nodes, the secret node traffic does not occur. However, not only does the management man-hour increase significantly, but the function of the secret node is limited if the distributed processing cannot be performed. Therefore, such a method cannot be adopted unless it is a special environment in which there is a request for extremely high security.
そこで本発明の目的は、複数のノードの間で行われるパケットの送受信を、パケットの傍受が行われても検出が困難で、しかも送受信を行うノード間に特別の装置の介在を必要としないパケット送信装置、パケット受信装置、パケット送信方法およびパケット受信方法を提供することにある。 Therefore, an object of the present invention is to provide packet transmission / reception performed between a plurality of nodes, which is difficult to detect even if the packet is intercepted, and which does not require any special apparatus between the nodes performing transmission / reception. It is an object to provide a transmission device, a packet reception device, a packet transmission method, and a packet reception method.
本発明では、(イ)送信先が予め定めた特定の宛先であるとき、その宛先に送信するパケットの送信元アドレスとして自装置以外のアドレスを設定する送信元アドレス設定手段と、(ロ)パケットの送信元アドレスの記される箇所以外の特定の箇所に、送信元アドレス設定手段によって設定された自装置以外のアドレスが送信元のアドレスではないことを示す、前記した特定の宛先との間で事前に取り決めた識別子を組み込む識別子組込手段と、(ハ)送信元アドレス設定手段で送信元アドレスを設定し識別子組込手段で識別子を組み込んだパケットを前記した特定の宛先に送信するパケット送信手段とをパケット送信装置に具備させる。 In the present invention, (b) when the transmission destination is a predetermined specific destination, transmission source address setting means for setting an address other than the own device as the transmission source address of the packet transmitted to the destination; Between the specific destination described above, which indicates that the address other than the own device set by the source address setting means is not the source address in a specific location other than the location where the source address is written Identifier incorporating means for incorporating an identifier decided in advance, and (c) a packet transmitting means for setting a transmission source address by the transmission source address setting means and transmitting a packet in which the identifier is incorporated by the identifier incorporation means to the specific destination. Are provided in the packet transmission device.
すなわち本発明では、パケットを送信するパケット送信装置とそのパケットの特定の宛先との間でパケットに組み込む識別子を事前に取り決めておき、その識別子が組み込まれたパケットをパケット送信装置が自装置以外のアドレスを送信元のアドレスとして送信するようにしている。受信側の前記した特定の宛先では、受信したパケットに組み込まれている識別子の存在によって送信元のアドレスが本来のアドレスを示しているか、特定のパケット送信装置がアドレスを代用して送信したものであるかを判別することができる。識別子がそれ自体ユニークなものであれば、送信元のアドレスとして代用されているアドレスは何であってもよいことになる。 That is, according to the present invention, an identifier to be incorporated into a packet is determined in advance between a packet transmission device that transmits the packet and a specific destination of the packet, and the packet transmission device is a packet transmission device other than its own device. The address is transmitted as the source address. In the above-mentioned specific destination on the receiving side, the transmission source address indicates the original address due to the presence of an identifier embedded in the received packet, or a specific packet transmission device transmits the address instead. It can be determined whether there is. If the identifier is unique in itself, any address substituted as the source address can be used.
また、本発明では、(イ)送信先が予め定めた特定の宛先であるとき、その宛先に送信するパケットの送信元アドレスとして自装置以外のアドレスで、前記した特定の宛先との間でその送信元アドレスが本来の送信元を示すアドレスとして使用されることのないアドレスであることを事前に取り決めたアドレスを設定する送信元アドレス設定手段と、(ロ)送信元アドレス設定手段で送信元アドレスを設定したパケットを前記した特定の宛先に送信するパケット送信手段とをパケット送信装置に具備させる。 In the present invention, (a) when the transmission destination is a predetermined specific destination, the transmission source address of a packet to be transmitted to the destination is an address other than the own device, and it is between the specific destination described above. A source address setting means for setting an address determined in advance that the source address is an address that is not used as an address indicating the original source, and (b) the source address by the source address setting means The packet transmission device is provided with a packet transmission means for transmitting the packet in which the packet is set to the specific destination.
すなわち本発明では、本来の送信元を示すアドレスとして使用されることのないアドレスであることを事前に取り決めたアドレスを送信元アドレスとしてパケット送信装置が特定の宛先にパケットを送信するようにしている。この送信元アドレスは本来の送信元を示すアドレスとして使用されることのないアドレスなので、本来の送信元が特定の宛先にパケットを送信することはなく、問題が生じることはない。しかもその送信元アドレスはパケット送信装置自体のアドレスではないので、パケット送信装置の存在が第三者に知られることはない。 In other words, in the present invention, the packet transmission apparatus transmits a packet to a specific destination using an address determined in advance as an address that is not used as an address indicating the original transmission source. . Since this transmission source address is an address that is not used as an address indicating the original transmission source, the original transmission source does not transmit a packet to a specific destination, and no problem occurs. Moreover, since the source address is not the address of the packet transmission device itself, the existence of the packet transmission device is not known to a third party.
また、本発明では、(イ)送信先アドレスが自装置のアドレスと一致するパケットを受信するパケット受信手段と、(ロ)このパケット受信手段で受信したパケットにおける送信元アドレスを読み出す送信元アドレス読出手段と、(ハ)パケット受信手段で受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出手段と、(ニ)この特定情報読出手段で読み出した特定情報が送信元アドレス読出手段の読み出した送信元アドレスに対応する前記した特定の送信元と予め取り決めた識別子と一致するかを検出する一致検出手段と、(ホ)この一致検出手段が一致を検出したとき送信元アドレス読出手段の読み出した送信元アドレスが前記した特定の送信元を示すアドレスであると判別し、それ以外の場合には送信元アドレス読出手段の読み出した送信元アドレスを送信元を示すアドレスであると判別する送信元アドレス判別手段とをパケット受信装置に具備させる。 In the present invention, (a) a packet receiving means for receiving a packet whose destination address matches the address of its own device, and (b) a source address reading for reading the source address in the packet received by the packet receiving means. And (c) specific information reading means for reading out specific information determined in advance with a specific source from a specific location other than the location where the source address is described in the packet received by the packet receiving unit, and (d) A coincidence detecting means for detecting whether the specific information read by the specific information reading means matches the identifier determined in advance with the specific transmission source corresponding to the transmission source address read by the transmission source address reading means; When this match detection means detects a match, the source address read by the source address reading means is the specific source described above. Determines that the address indicated, causes a transmitting source address determining means for determining that the address indicating the transmission source the source address of the read source address reading means to the packet reception device otherwise.
すなわち本発明では、送信元アドレスが本来の送信元を示すものではないパケットを受信するパケット受信装置を扱っている。パケット受信装置は受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出し、この特定情報が予め取り決めた識別子と一致する場合には、送信元アドレス読出手段の読み出した送信元アドレスが前記した特定の送信元を示すアドレスであると判別し、それ以外の場合には送信元アドレス読出手段の読み出した送信元アドレスを送信元を示すアドレスであると判別することにしている。これにより、予め取り決めた識別子がパケットの特定部位に組み込まれている場合には、パケットに表わされた送信元のアドレスはその表わされた送信元を示すものではなく、特定の送信元であるとされる。それ以外の場合には、その特定情報は識別子を表わしているものではないので、送信元のアドレスは文字通りその表わされた送信元を示すことになる。 That is, the present invention deals with a packet receiving apparatus that receives a packet whose source address does not indicate the original source. When the packet receiving device reads specific information determined in advance with a specific transmission source from a specific location other than the location where the transmission source address in the received packet is recorded, and this specific information matches the identifier determined in advance, It is determined that the transmission source address read by the transmission source address reading means is an address indicating the above-described specific transmission source, and in other cases, the transmission source address read by the transmission source address reading means is an address indicating the transmission source. It is decided that it is. As a result, when an identifier decided in advance is incorporated in a specific part of a packet, the address of the transmission source represented in the packet does not indicate the transmission source represented by the specific transmission source. It is supposed to be. In other cases, since the specific information does not represent an identifier, the address of the transmission source literally indicates the transmission source represented.
また、本発明では、(イ)送信先が予め定めた特定の宛先であるとき、その宛先に送信するパケットの宛先アドレスとしてこの特定の宛先以外のアドレスを設定する宛先アドレス設定手段と、(ロ)パケットの宛先アドレスの記される箇所以外の特定の箇所に、宛先アドレス設定手段によって設定された特定の宛先以外のアドレスが宛先のアドレスではないことを示す、前記した特定の宛先との間で事前に取り決めた識別子を組み込む識別子組込手段と、(ハ)宛先アドレス設定手段で宛先アドレスを設定し識別子組込手段で識別子を組み込んだパケットを送信するパケット送信手段とをパケット送信装置に具備させる。 In the present invention, (a) when the transmission destination is a predetermined specific destination, destination address setting means for setting an address other than the specific destination as a destination address of a packet transmitted to the destination; ) Between the above-mentioned specific destination indicating that the address other than the specific destination set by the destination address setting means is not the destination address in a specific location other than the location where the destination address of the packet is written The packet transmission apparatus includes an identifier incorporation unit that incorporates an identifier decided in advance and (c) a packet transmission unit that transmits a packet in which a destination address is set by the destination address setting unit and the identifier is incorporated by the identifier incorporation unit. .
すなわち本発明では、パケットを送信するパケット送信装置とそのパケットの特定の宛先との間でパケットに組み込む識別子を事前に取り決めておき、その識別子が組み込まれたパケットをパケット送信装置が前記した特定の宛先以外のアドレスを宛先のアドレスとして送信するようにしている。受信側の前記した特定の宛先では、受信したパケットに組み込まれている識別子の存在によって宛先のアドレスが本来のアドレスを示しているか、自装置のために代用されたアドレスでパケットが自装置宛てであるかを判別することができる。識別子がそれ自体ユニークなものであれば、宛先のアドレスとして代用されているアドレスは何であってもよいことになる。 That is, according to the present invention, an identifier to be incorporated into a packet is determined in advance between a packet transmission device that transmits the packet and a specific destination of the packet, and the packet transmission device identifies the packet in which the identifier is incorporated as described above. An address other than the destination is transmitted as the destination address. At the above-mentioned specific destination on the receiving side, the destination address indicates the original address due to the presence of an identifier embedded in the received packet, or the packet is addressed to the own device with an address substituted for the own device. It can be determined whether there is. If the identifier is unique in itself, any address substituted as the destination address can be used.
また、本発明では、(イ)送信先が予め定めた特定の宛先であるとき、その宛先に送信するパケットの宛先アドレスとしてこの特定の宛先以外のアドレスで、前記した特定の宛先との間でその宛先アドレスが本来の宛先を示すアドレスとして使用されることのないアドレスであることを事前に取り決めたアドレスを設定する宛先アドレス設定手段と、(ロ)宛先アドレス設定手段で宛先アドレスを設定したパケットを送信するパケット送信手段とをパケット送信装置に具備させる。 In the present invention, (a) when the transmission destination is a predetermined specific destination, the destination address of a packet transmitted to the destination is an address other than the specific destination, and between the specific destination described above. Destination address setting means for setting an address determined in advance that the destination address is not used as an address indicating the original destination, and (b) a packet in which the destination address is set by the destination address setting means The packet transmission device is provided with packet transmission means for transmitting.
すなわち本発明では、本来の宛先を示すアドレスとして使用されることのないアドレスであることを事前に取り決めたアドレスを宛先アドレスとしてパケット送信装置が特定の宛先にパケットを送信するようにしている。この宛先アドレスは本来の宛先を示すアドレスとして使用されることのないアドレスなので、前記した特定の宛先は宛先のアドレスが本来の宛先を示すようなパケットを受信することはなく、問題が生じることはない。しかもその宛先アドレスは前記した特定の宛先自体のアドレスではないので、この特定の宛先の存在が第三者に知られることはない。 In other words, in the present invention, the packet transmitting apparatus transmits a packet to a specific destination by using an address determined in advance as an address that is not used as an address indicating an original destination. Since this destination address is an address that is not used as an address indicating the original destination, the specific destination described above does not receive a packet in which the destination address indicates the original destination. Absent. In addition, since the destination address is not the address of the specific destination itself, the existence of the specific destination is not known to a third party.
また、本発明では、(イ)宛先アドレスが予め定めた特定のアドレスと一致するパケットを受信するパケット受信手段と、(ロ)このパケット受信手段で受信したパケットにおける宛先アドレスを読み出す宛先アドレス読出手段と、(ハ)パケット受信手段で受信したパケットにおける宛先アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出手段と、(ニ)この特定情報読出手段で読み出した特定情報が宛先アドレス読出手段の読み出した宛先アドレスに対応する前記した特定の送信元と予め取り決めた識別子と一致するかを検出する一致検出手段と、(ホ)この一致検出手段が一致を検出したとき宛先アドレス読出手段の読み出した宛先アドレスが自装置を示すアドレスであると判別し、それ以外の場合には宛先アドレス読出手段の読み出した宛先アドレスを宛先を示すアドレスであると判別する宛先アドレス判別手段とをパケット受信装置に具備させる。 In the present invention, (a) a packet receiving means for receiving a packet whose destination address matches a predetermined specific address, and (b) a destination address reading means for reading the destination address in the packet received by the packet receiving means. (C) specific information reading means for reading specific information determined in advance with a specific transmission source from a specific location other than the location where the destination address is described in the packet received by the packet receiving means; and (d) this specific information Coincidence detecting means for detecting whether the specific information read by the reading means matches the identifier determined in advance with the specific transmission source corresponding to the destination address read by the destination address reading means; The destination address read by the destination address reading means is an address indicating the own device when a match is detected And another, causes and a destination address determining means for determining that the address indicating the destination of the destination address read destination address reading means to the packet reception device otherwise.
すなわち本発明では、宛先アドレスが本来の宛先を示すものではないパケットを受信するパケット受信装置を扱っている。パケット受信装置は受信したパケットにおける宛先アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出し、この特定情報が予め取り決めた識別子と一致する場合には、宛先アドレス読出手段の読み出した宛先アドレスが自装置のために代用されたアドレスであると判別し、それ以外の場合には宛先アドレス読出手段の読み出した宛先アドレスを本来の宛先を示すアドレスであると判別することにしている。これにより、予め取り決めた識別子がパケットの特定部位に組み込まれている場合には、パケットに表わされた宛先のアドレスはその表わされた宛先を示すものではなく、パケットが自装置宛であると判別される。それ以外の場合には、その特定情報は識別子を表わしているものではないので、宛先のアドレスは文字通りその表わされた宛先を示し、パケットが自装置宛でないと判別される。 That is, the present invention deals with a packet receiving apparatus that receives a packet whose destination address does not indicate the original destination. The packet receiving device reads specific information determined in advance with a specific transmission source from a specific location other than the location where the destination address is written in the received packet, and if this specific information matches the identifier determined in advance, the destination It is determined that the destination address read by the address reading means is an address substituted for the own apparatus, and otherwise, the destination address read by the destination address reading means is determined to be an address indicating the original destination. I am going to do it. Thereby, when the identifier decided beforehand is incorporated in the specific part of the packet, the address of the destination indicated in the packet does not indicate the indicated destination, and the packet is addressed to the own device. Is determined. In other cases, since the specific information does not represent an identifier, the address of the destination literally indicates the represented destination, and it is determined that the packet is not addressed to the own apparatus.
また、本発明では、(イ)パケットの送信先が事前に取り決めた特定の宛先であるかを判別する宛先判別ステップと、(ロ)この宛先判別ステップによって前記した特定の宛先であると判別されたときその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定する送信元アドレス設定ステップと、(ハ)この送信元アドレス設定ステップで送信元アドレスを設定したパケットを前記した特定の宛先に送信するパケット送信ステップとをパケット送信方法に具備させる。 In the present invention, (a) a destination determination step for determining whether the transmission destination of the packet is a specific destination decided in advance, and (b) the destination determination step determines that it is the specific destination described above. A source address setting step for setting, as a source address of the packet, a source address that is a source address determined with the specific destination and that represents a source other than the own device; (c) this source The packet transmission method includes a packet transmission step of transmitting the packet in which the source address is set in the address setting step to the specific destination.
すなわち本発明では、パケットを送信するパケット送信方法を扱っている。このパケット送信方法では、パケットの送信先が事前に取り決めた特定の宛先である場合にその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定して送信することにしている。この特定の宛先は自装置以外の送信元を表わすそのアドレスが自装置を表わすことを判別できることを前提としているからである。これにより、自装置のアドレス情報を使用することなく、特定の宛先にパケットを送信することができる。 That is, the present invention deals with a packet transmission method for transmitting a packet. In this packet transmission method, when the transmission destination of a packet is a specific destination decided in advance, a transmission source address defined with the specific destination and an address representing a transmission source other than the own device is set to the packet The source address is set to be transmitted. This is because the specific destination is premised on that it can be determined that the address representing the transmission source other than the own device represents the own device. Thereby, a packet can be transmitted to a specific destination without using the address information of the own device.
また、本発明では、(イ)パケットの送信先が事前に取り決めた特定の宛先であるかを判別する宛先判別ステップと、(ロ)この宛先判別ステップによって前記した特定の宛先であると判別されたときその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定する送信元アドレス設定ステップと、(ハ)この送信元アドレス設定ステップで送信元アドレスを設定したパケットの送信元アドレスを格納した以外の領域であって前記した特定の宛先との間で定めた領域にその送信元アドレスが本来の送信元を表わしていないことを示す識別子を設定する識別子設定ステップと、(ニ)これら送信元アドレス設定ステップおよび識別子設定ステップでそれぞれ送信元アドレスおよび識別子を設定したパケットを前記した特定の宛先に送信するパケット送信ステップとをパケット送信方法に具備させる。 In the present invention, (a) a destination determination step for determining whether the transmission destination of the packet is a specific destination decided in advance, and (b) the destination determination step determines that it is the specific destination described above. A source address setting step for setting, as a source address of the packet, a source address that is a source address determined with the specific destination and that represents a source other than the own device; (c) this source The source address does not represent the original source in an area other than storing the source address of the packet for which the source address has been set in the address setting step, and the area defined with the specific destination described above An identifier setting step for setting an identifier indicating that, and (d) a transmission source address in each of the transmission source address setting step and the identifier setting step. A packet transmission step is provided to a packet transmission method for transmitting setting the less and an identifier packet to a particular destination as described above.
すなわち本発明では、パケットを送信するパケット送信方法を扱っている。このパケット送信方法では、パケットの送信先が事前に取り決めた特定の宛先である場合にその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定して送信することにしている。また、そのパケットには送信元アドレスを設定したパケットの送信元アドレスを格納した以外の領域であって前記した特定の宛先との間で定めた領域にその送信元アドレスが本来の送信元を表わしていないことを示す識別子を設定するようにしている。パケットを受け取る前記した特定の宛先は、識別子の有無によって送信元を表わすアドレスを本来の送信元を示すものか事前に取り決めた送信元であるかを判別することができる。これにより、自装置のアドレス情報を使用することなく、特定の宛先にパケットを送信することができる。 That is, the present invention deals with a packet transmission method for transmitting a packet. In this packet transmission method, when the transmission destination of a packet is a specific destination decided in advance, a transmission source address defined with the specific destination and an address representing a transmission source other than the own device is set to the packet The source address is set to be transmitted. In addition, in the packet, the source address represents the original source in an area other than the source address of the packet in which the source address is set and stored in the area defined with the specific destination. An identifier indicating that it has not been set is set. The specific destination receiving the packet can determine whether the address indicating the transmission source indicates the original transmission source or the transmission source determined in advance depending on the presence or absence of the identifier. Thereby, a packet can be transmitted to a specific destination without using the address information of the own device.
また、本発明では、(イ)自装置宛のパケットを受信するパケット受信ステップと、(ロ)このパケット受信ステップで受信したパケットにおける送信元アドレスを読み出す送信元アドレス読出ステップと、(ハ)パケット受信ステップで受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出ステップと、(ニ)この特定情報読出ステップで読み出した特定情報が送信元アドレス読出ステップで読み出した送信元アドレスに対応する前記した特定の送信元と予め取り決めた識別子と一致するかを判別する一致判別ステップと、(ホ)この一致判別ステップで一致を判別したとき送信元アドレス読出ステップで読み出した送信元アドレスが前記した特定の送信元を示すアドレスであると判別し、それ以外の場合には送信元アドレス読出ステップで読み出した送信元アドレスを送信元を示すアドレスであると判別する送信元アドレス判別ステップとをパケット受信方法に具備させる。 In the present invention, (a) a packet receiving step for receiving a packet addressed to the own device, (b) a source address reading step for reading a source address in the packet received in the packet receiving step, and (c) a packet A specific information reading step for reading specific information determined in advance with a specific transmission source from a specific location other than the location where the transmission source address is recorded in the packet received in the reception step; and (d) reading in the specific information reading step. A match determining step for determining whether the specific information matches the identifier determined in advance with the specific source corresponding to the source address read in the source address reading step; and (e) matching in the match determining step. When determined, the source address read in the source address reading step is the above-mentioned specific The packet reception method includes a source address determination step that determines that the address indicates a transmission source, and otherwise determines that the transmission source address read in the transmission source address reading step is an address indicating the transmission source. Provide.
すなわち本発明では、パケットを受信するパケット受信方法を扱っている。このパケット受信方法では、受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出し、これがその送信元と予め取り決めた識別子と一致するか否かを判別するようにしている。その送信元と予め取り決めた識別子と一致すれば、そのパケットはその送信元が送ってきたものとなる。それ以外の場合には、読み出した送信元アドレスを送信元を示すアドレスであると判別することになる。これにより、特定の送信元は自分のアドレス情報を使用せずに特定の宛先にパケットを送信することができる。 That is, the present invention deals with a packet receiving method for receiving a packet. In this packet reception method, the specific information determined in advance with a specific transmission source is read from a specific location other than the location where the transmission source address is recorded in the received packet, and whether this matches the transmission source and the predetermined identifier. Whether or not is determined. If the transmission source matches a predetermined identifier, the packet is sent by the transmission source. In other cases, it is determined that the read source address is an address indicating the source. Thereby, a specific transmission source can transmit a packet to a specific destination without using its own address information.
以上説明したように本発明では、あるノードが送出するパケットの送信元を表わすアドレス情報あるいはそのノードを宛先とするパケットの宛先を示すアドレス情報を他のアドレス情報で代用して特定の相手先との通信を行うようにしたので、第三者に対してそのノードの存在を気付かせないようにすることができる。しかも、あるノードと特定の相手先との間で通信するパケットに、代用したアドレス情報が代用されていることを示す識別子を組み込んでおくようにすれば、代用されたアドレス情報を本来のアドレス情報として所持する通信手段が存在するような場合でも、その者の取り扱うパケットとアドレス情報を代用したノードの取り扱うパケットを区別して取り扱うことができる。 As described above, in the present invention, address information indicating the transmission source of a packet transmitted from a certain node or address information indicating the destination of a packet destined for that node is substituted with other address information to specify a specific destination. Therefore, it is possible to prevent the third party from noticing the existence of the node. Moreover, if an identifier indicating that the substitute address information is substituted is incorporated in a packet communicated between a certain node and a specific destination, the substitute address information is converted into the original address information. Even if there is a communication means possessed as, the packet handled by the person and the packet handled by the node substituting the address information can be distinguished and handled.
以下実施例につき本発明を詳細に説明する。 Hereinafter, the present invention will be described in detail with reference to examples.
図1は、本発明の一実施例におけるパケットの送受信を行う通信システムの要部を表わしたものである。この通信システム100は、インターネットに代表されるIP(Internet Protocol)網101を用いてパケット通信を行うようになっている。IP網101には、自装置のIPアドレスを秘匿にする秘匿ノード102と、この秘匿ノード102の管理のためにこれと通信を行う管理ノード103が接続されている。また、パケットの傍受を行う端末として代表的に示した傍受端末104もこのIP網101に接続されている。秘匿ノード102は、スイッチ105を介して第1〜第3の端末1061〜1063と接続されている。
FIG. 1 shows a main part of a communication system for transmitting and receiving packets in an embodiment of the present invention. The
この通信システム100で第1の端末1061のIPアドレスをA1、第2の端末1062のIPアドレスをA2、第3の端末1063のIPアドレスをA3とする。また、管理ノード103のIPアドレスをK、秘匿ノード102のIPアドレスをHとする。本実施例では、秘匿ノード102と管理ノード103が秘匿ノード102の管理を行うための各種データをパケット通信するものとし、傍受端末104がIP網101を通信するパケットのアドレス情報を解析して秘匿ノード102に対して不正なアクセスを行う可能性があるものとする。本実施例で第1〜第3の端末1061〜1063は、独自のIPアドレスA1〜A3を有しており、スイッチ105の切替操作によってIP網101を介して図示しない任意の端末装置とパケット通信を行うことができる。第1〜第3の端末1061〜1063は、これらのIPアドレスA1〜A3を秘匿ノード102が使用することを承諾している。ただし、秘匿ノード102と管理ノード103の間でやり取りされるパケットが、第1〜第3の端末1061〜1063に渡らなければ、これらの承諾がなくてもよい。この結果、秘匿ノード102は本来のIPアドレスHの代わりにIPアドレスA1〜A3を使用してパケット通信を行うことができる。本明細書では、このように自装置以外のアドレス情報を組み込んだパケットを秘匿パケットと称することにする。
In this
秘匿ノード102がたとえば送信元として第1の端末1061のIPアドレスA1を使用して秘匿パケットを管理ノード103に送信するものとすると、そのパケットを傍受した傍受端末104は秘匿ノード102のアドレス情報を知ることができない。したがって、秘匿ノード102に対して不正アクセスを行うといった危険は生じない。しかしながら、管理ノード103自体も秘匿ノード102のIPアドレスHを知ることができず、このままではそのパケットの送信元が第1の端末1061であると誤認識してしまうことになる。
Assuming that the
そこで本実施例では、後に説明するようにパケットの特定の領域に秘匿パケットであることを知らせるための識別子を組み込んでいる場合には送信元を示すIPアドレスを本来の送信元を示すIPアドレスとして扱わないようにしている。これとは反対に秘匿パケットであることを知らせるための識別子がパケットの特定の領域に組み込まれていない場合、管理ノード103は送信元を示すIPアドレスを本来の送信元を示すIPアドレスとして扱うことになる。ただし、第1〜第3の端末1061〜1063がこれらのIPアドレスA1〜A3を全く使用する可能性がない場合、あるいは第1〜第3の端末1061〜1063が独自に管理ノード103と通信しない場合は例外である。この場合には、IPアドレスA1〜A3が送信元のアドレスとして使用されたとき、これらは秘匿ノード102が「借用」したものであるという情報を秘匿ノード102と管理ノード103の間でのみ知りうる情報として取得しているのであれば、識別子の使用は必要とされない。
Therefore, in this embodiment, as described later, when an identifier for notifying that a packet is a secret packet is incorporated in a specific area of the packet, the IP address indicating the transmission source is set as the IP address indicating the original transmission source. I do not handle it. On the other hand, when the identifier for notifying that the packet is a secret packet is not incorporated in a specific area of the packet, the
本実施例では、秘匿ノード102が第1〜第3の端末1061〜1063のIPアドレスA1〜A3を適宜切り替えて使用することにしている。これは、管理ノード103とこれら「借用」したIPアドレスA1〜A3の関係を傍受端末104が把握できないようにするための工夫である。第1〜第3の端末1061〜1063のIPアドレスA1〜A3の切り替えのタイミングや切替先の指定等の切り替えに関する具体的な事項は、秘匿ノード102と管理ノード103の間の取り決めで自由に行うことができる。以下に通信システム100の具体的な構成を説明し、続いてこの通信システム100におけるパケットの送信および受信の実際を説明する。
In the present embodiment, the
図2は、秘匿ノードの構成の概要を表わしたものである。秘匿ノード102は、図1に示したIP網101あるいはスイッチ105を介してパケットを受信する入力インターフェイス151と、この入力インターフェイス151が受信したパケットを一時的に格納する受信バッファ152と、この受信バッファ152に格納されているパケットの中から自装置宛のものを検出する自装置宛パケット検出部153と、この自装置宛パケット検出部153で自装置宛と検出されたパケットを受け取りその内容に従った処理を行うパケット処理部154を備えている。自装置宛パケット検出部153は、代替アドレス管理部155と接続されている。代替アドレス管理部155は、秘匿ノード102が本来のIPアドレスの代わりに他の装置のIPアドレスを代替アドレスとして使用するのを管理するための装置であり、代替アドレステーブル156を備えている。代替アドレステーブル156は、秘匿パケットの送信元あるいは宛先アドレスとして代替アドレスを使用するとき、これを管理するためのテーブルである。ここで代替アドレスとは、秘匿ノード102がそれ自身の本来のIPアドレスHの代わりに使用するIPアドレスである。本実施例では、図1に示した第1〜第3の端末1061〜1063についてのIPアドレスA1〜A3が該当する。
FIG. 2 shows an outline of the configuration of the secret node. The
代替アドレス管理部155は送出するパケットを生成するためのパケット生成部157を接続している。パケット生成部157は生成したパケットにおける送信元アドレスとして第1〜第3の端末1061〜1063のIPアドレスA1〜A3のいずれかを組み込むことになる。このようにして生成されたパケットあるいは自装置宛パケット検出部153で自装置宛パケットではないと判別され転送すべきものとされたパケットは、送信バッファ160に一時的に蓄えられる。そして、出力インターフェイス161を介して図1に示した管理ノード103、スイッチ105あるいは図示しない端末に送られることになる。
The alternative
図2では秘匿ノード102を機能ブロックで示したが、このような装置はたとえば通信機能を備えたパーソナルコンピュータで構成することができる。すなわち、秘匿ノード102は、CPU(中央処理装置)と、CPUが実行する制御プログラムを格納したハードディスク等の記憶媒体および作業用メモリとして使用するRAM(ランダム・アクセス・メモリ)ならびに通信回路等のハードウェアで構成することができる。この場合に、代替アドレステーブル156、受信バッファ152および送信バッファ160は、RAMあるいはハードディスク等の記憶媒体を割り当てることができる。
Although the
図3は代替アドレステーブルの要部を表わしたものである。代替アドレステーブル156は、連番で管理しているテーブル番号181の欄と、代替アドレスの使用開始を示す開始時刻182の欄と、図1に示した秘匿ノード102が使用する代替アドレスを表わした代替アドレス183の欄と、代替アドレスが使用されていることを表わす秘匿ノード識別子を示した秘匿ノード識別子184の欄から構成されている。たとえばテーブル番号181が“1”について説明すると、2005年5月19日の13時が使用開始時刻であり、使用が終了するのはテーブル番号181が“2”における開始時刻182の欄に記入された時刻との関係で2005年5月19日の14時直前までであることが分かる。代替アドレスは、第1の端末1061についてのIPアドレスA1である。秘匿ノード識別子は“0x4b6a”である。
FIG. 3 shows a main part of the alternative address table. The alternative address table 156 represents the column of the
図4は、パケット生成部が生成する秘匿パケットの一例を示したものである。ここでは図3で説明したテーブル番号181が“1”の場合の秘匿ノード102が送信するパケットのフォーマットを表わしている。秘匿パケット201は、ヘッダ202とペイロード203で構成されている。ヘッダ202は、IPヘッダあるいはUDP(User datagram protocol)ヘッダによって構成されている。このヘッダ202の送信元アドレスの格納領域204にこの例では代替アドレスとして第1の端末1061についてのIPアドレスA1が格納される。本実施例ではペイロード203の先頭領域が秘匿ノード識別子格納領域205となっており、秘匿ノード102が送信するパケットの場合には、ここにIPアドレスA1に対応した秘匿ノード識別子“0x4b6a”が格納されている。
FIG. 4 shows an example of a secret packet generated by the packet generator. Here, the format of a packet transmitted by the
図5は、パケット生成部が生成する秘匿パケット以外のパケットの一例を示したものである。ここでは、図1に示す第1の端末1061が送出するパケットを図4に対応する形で示している。秘匿パケット以外のパケットを通常パケットと称することにする。通常パケット211は、ヘッダ202の送信元アドレスの格納領域204に送信元の本来のアドレス情報が格納される。この例では第1の端末1061のIPアドレスA1が格納されているので、図4の秘匿パケット201と偶然に一致する。ただし、通常パケット211の場合にはペイロード203には本来の伝送データが格納されており、その先端部分に秘匿ノード識別子は格納されていない。
FIG. 5 shows an example of packets other than the secret packet generated by the packet generator. Here, the packet transmitted by the
以上の図4および図5から分かるように、ペイロード203の先端に秘匿ノード識別子格納領域205が設けられ、予め定められた秘匿ノード識別子184が格納されている場合、そのパケットは秘匿パケット201(図4)である。この場合、送信元アドレスの格納領域204には本来の送信元のアドレスではない代替アドレス183が格納されることになる。通常パケット211(図5)の場合には、送信元アドレスの格納領域204に本来の送信元のアドレスが格納される。このとき、ペイロード203の先頭等の予め定めた箇所には秘匿ノード識別子184が格納されることはない。
As can be seen from FIGS. 4 and 5 above, when the secret node identifier storage area 205 is provided at the tip of the
図6は、管理ノードの構成を表わしたものである。管理ノード103は、図1に示したIP網101を介してパケットを受信する入力インターフェイス221と、この入力インターフェイス221が受信したパケットを一時的に格納する受信バッファ222と、この受信バッファ222に格納されているパケットの中から自装置宛のものを検出して処理するパケット処理部223を備えている。パケット処理部223は、代替アドレス管理部225と接続されている。代替アドレス管理部225は、各秘匿ノードにそれぞれ対応して秘匿パケットの送信元や代替アドレスを格納した代替アドレステーブル226を備えている。ここで各秘匿ノードとは、図1に示した秘匿ノード102と同様にIP網101に接続された図示しないそれぞれの秘匿ノードをいう。
FIG. 6 shows the configuration of the management node. The
代替アドレス管理部225および管理データ作成部227は、送出するパケットを生成するためのパケット生成部228と接続されている。管理データ作成部227は、図1に示した秘匿ノード102等の秘匿ノードの管理データを作成するようになっている。パケット生成部228は、秘匿ノード102を宛先とする場合、生成したパケットにおける送信元アドレスとして第1〜第3の端末1061〜1063のIPアドレスA1〜A3のいずれかを組み込むことになる。このようにして生成されたパケットは、送信バッファ229に一時的に蓄えられる。そして、出力インターフェイス230を介して図1に示した秘匿ノード102等の宛先に送られることになる。
The alternative
なお、代替アドレステーブル226は、図3に示した代替アドレステーブル156が管理ノード103の管理対象となる各秘匿ノードごとに用意されたものである。このため、その図示は省略する。代替アドレステーブル156は、秘匿ノード102等の秘匿ノードが代替アドレスとして選択できる端末の構成に変更が生じたような場合に、システムの管理者の指示等によって管理データ作成部227が該当する秘匿ノードに代替アドレステーブル156の新たな作成と作成されたそれぞれの代替アドレステーブル156に関するデータの送付を依頼する。管理ノード103は、それぞれの秘匿ノードから代替アドレステーブル156に関するデータが送られてくるたびに代替アドレステーブル226の該当する箇所の内容をそのデータを基に書き換えてテーブル内容を更新する。
The alternative address table 226 is prepared by using the alternative address table 156 shown in FIG. 3 for each secret node to be managed by the
図6に示した管理ノード103も、図2に示した秘匿ノード102と同様に通信機能を備えたパーソナルコンピュータで構成することができる。すなわち、管理ノード103は、CPUと、CPUが実行する制御プログラムを格納したハードディスク等の記憶媒体および作業用メモリとして使用するRAMならびに通信回路等のハードウェアで構成することができる。これについての詳細な説明は省略する。また、図1に示した第1〜第3の端末1061〜1063および傍受端末104については、一般的なパーソナルコンピュータあるいはワークステーションからなる通信端末と同様のものであってよい。そこで、これらの構成についての具体的な説明は称略する。
The
次に、以上のような構成の通信システム100における各部の動作を説明する。
Next, the operation of each unit in the
図7は、秘匿ノードが図3に示した代替アドレステーブルを作成する処理の様子を表わしたものである。秘匿ノード102の前記したCPUは、前記したシステムの管理者の指示等による初期設定時に(ステップS301:Y)、代替アドレステーブル156の設定が指定されているときには(ステップS302:Y)、代替アドレスについて手動設定モードあるいは自動設定モードのいずれに設定されているかをチェックする。手動設定モードに設定されている場合には(ステップS303:Y)、秘匿ノード102の管理者の入力した代替アドレスの一覧の読み込みを行う(ステップS304)。すなわち、この時点で秘匿ノード102の管理者に代替アドレスとして使用可能なIPアドレスを入力させてもよいし、管理者がすでに入力していた代替アドレスとして使用可能なIPアドレスの一覧を読み込むようにしてもよい。図1に示したように秘匿ノード102はIP網101側およびスイッチ105側に2つのポートを持っているが、代替アドレスは後者のポートに接続する第1〜第3の端末1061〜1063の中から選ばれるとより都合がいい。これら第1〜第3の端末1061〜1063は、IP網101に接続する傍受端末104から見たときに秘匿ノード102の配下に存在している。このため、図1に示した傍受端末104は、これらの代替アドレスが送信元に存在するパケットを第1〜第3の端末1061〜1063が送信したものと判断してしまう可能性が高く、秘匿ノード102の存在が気づかれにくくなる。ただし、このような配下の端末であっても、それ自体が秘匿ノード102と同様にアドレス情報を秘匿とするべき端末およびその配下の端末は除外される。これは、他の秘匿ノードが代替アドレスの対象となると、アドレスが公開されることになり好ましくないからである。また、秘匿ノード同士が同一の端末を代替アドレスの対象として選択すると、それらの秘匿ノード識別子が一致する事態が発生する可能性がある。これを避けるには、各秘匿ノードがそれぞれ異なる代替アドレステーブルを持ち、2つ以上の秘匿ノードが同じタイミングで同一の端末を代替アドレスの対象として選択しないようにする。もしくは、2つ以上の秘匿ノードが同じタイミングで同一の秘匿識別子を選択しないようにすればよい。
FIG. 7 shows how the secret node creates the alternative address table shown in FIG. The above-described CPU of the
一方、代替アドレステーブル156の設定について自動設定モードが選択されていた場合(ステップS303:N)、秘匿ノード102の前記したCPUは、配下の端末から送られてくるパケットおよびIP網101を介して図示しない端末から配下の端末に向けて送られてくるパケットを傍受してそれらのアドレス情報の収集を行う(ステップS305)。
On the other hand, when the automatic setting mode is selected for the setting of the alternative address table 156 (step S303: N), the above-described CPU of the
ステップS304またはステップS305で代替アドレスが得られたら、秘匿ノード102の専用の代替アドレステーブル156が新規に作成され、あるいは代替アドレステーブル156の内容が更新される(ステップS306)。パケット生成部157はこの代替アドレステーブル156の内容を組み込んだパケットを生成して、その宛先を管理ノード103のアドレス情報を暗号化して組み込み、更に、ペイロードに秘匿ノード102自体の識別情報を組み込んで、そのパケットは代替アドレス更新用パケットとして管理ノード103に送信される(ステップS307)。このとき、そのパケットの送信元アドレスは代替アドレステーブル156における該当する代替アドレスとなる。
If an alternative address is obtained in step S304 or step S305, a dedicated alternative address table 156 dedicated to the
なお、代替アドレステーブル156の設定について自動設定モードが選択されて、実際にネットワークを流れるパケットのアドレス情報から代替アドレスを収集した場合には、その時点でネットワーク上で実在することが確認されたアドレスにより、代替アドレステーブル156の内容を更新することができる。したがって、例えば端末が故障等の理由で使用されなくなり、ネットワーク上に実在しなくなったアドレスを使用し続けて、図1に示した傍受端末104に秘匿ノード102の存在を検出される恐れがなくなる。
When the automatic setting mode is selected for the setting of the alternative address table 156 and the alternative address is collected from the address information of the packet that actually flows through the network, the address that has been confirmed to exist on the network at that time Thus, the contents of the alternative address table 156 can be updated. Therefore, for example, the terminal is not used due to a failure or the like, and there is no possibility that the
図8は、代替アドレステーブルの内容を組み込んだパケットを受信する際の管理ノードの処理の流れを表わしたものである。管理ノード103の前記したCPUは、代替アドレステーブル156の内容を組み込んだ代替アドレス更新用パケットを受信すると(ステップS321:Y)、そのペイロードを解析して送信元の秘匿ノード102の識別子を判読する(ステップS322)。ここで秘匿ノード102の識別子は、秘匿ノード102と管理ノード103の間で予め定めた識別子である。したがって、仮に図1に示す傍受端末104がこの代替アドレス更新用パケットを傍受したとしても、これを察知されることはない。
FIG. 8 shows the processing flow of the management node when receiving a packet incorporating the contents of the alternative address table. When the CPU of the
管理ノード103のCPUは、続いて同じく代替アドレス更新用パケットのペイロードから代替アドレステーブル156の内容を復号して解読する(ステップS323)。そして、図6に示した代替アドレステーブル226における判読した識別子の秘匿ノードに関する代替アドレステーブルの部分を上書きする。送られてきた代替アドレステーブルが新たな秘匿ノードからのものであれば、代替アドレステーブル226にその秘匿ノードに関する領域を新設して、そこに送られてきた代替アドレステーブルの部分をその秘匿ノードと対応付けて書き込むことになる(ステップS324)。このようにして、それぞれの秘匿ノードの代替アドレステーブル156と管理ノード103の代替アドレステーブル226の内容が常に同一内容となる処理が行われる。
Similarly, the CPU of the
図9は、秘匿ノードがパケットを受信した際の処理の流れを表わしたものである。秘匿ノード102は、図2に示した入力インターフェイス151からパケットを受信すると(ステップS341:Y)、自ノード宛のパケットであるかどうかを自装置宛パケット検出部153で判別して(ステップS342)、そうでなければ(N)、そのパケットを送信バッファ160に格納して、次のノードに送信する(ステップS343)。
FIG. 9 shows the flow of processing when the secret node receives a packet. When receiving the packet from the
これに対して、受信したパケットが自ノード宛であれば(ステップS342:Y)、そのパケットがパケット処理部154に渡されて、そのパケットの内容に従った処理が行われる(ステップS344)。たとえば、管理ノード103から秘匿ノード102の管理のための情報が送られてきた場合には、その情報に従って秘匿ノード102の管理が実行されることになる。
On the other hand, if the received packet is addressed to the own node (step S342: Y), the packet is transferred to the
図10は、ステップS342における秘匿ノードが管理ノードから送られてきた自ノード宛のパケットの判別処理を具体的に表わしたものである。秘匿ノード102の前記したCPUは管理ノード103から送られてきたパケットを受信したら、まず現在時刻を取得する(ステップS361)。そして、図3に示した代替アドレステーブル156からその現在時刻に対応する代替アドレスを取得する(ステップS362)。たとえば、現在時刻が2005年5月19日の13時30分であれば代替アドレスは「A1」となる。
FIG. 10 specifically shows the determination processing of the packet addressed to the own node sent from the management node by the secret node in step S342. When the CPU of the
ここで、現在時刻が2005年5月19日の14時0分の場合のように管理ノード103から送られてきたパケットに伝送遅延が生じたときに代替アドレスが切り替わる可能性がある時刻の場合の代替アドレスの判別が問題となる。パケットに元々送信元の送信時刻を表わしたデータが格納されている場合には、それに従えば問題ない。このようなデータがパケットに格納されていない場合、伝送遅延の誤差分が生じる可能性のある時間帯では、可能性のある代替アドレスを並存させる形で代替アドレスを取得するようにすればよい。この例の場合には、たとえば2005年5月19日の14時0分から14時5分までの間は代替アドレスは「A1」と「A2」が並存することになる。
Here, when the current time is a time at which an alternative address may be switched when a transmission delay occurs in a packet sent from the
代替アドレスを取得したら、これと受信したパケットの宛先が一致するかどうかの判別が行われる(ステップS363)。一致しなければ(N)、そのパケットは他のノード宛と判別される(ステップS364)。これに対して、代替アドレスと受信したパケットの宛先が一致した場合には(ステップS363:Y)、図3に示した代替アドレステーブル156からそれに対応する秘匿ノード識別子を取得する(ステップS365)。たとえば、代替アドレス「A1」が一致した場合には秘匿ノード識別子として「0x4b6a」が取得される。代替アドレス「A1」と「A2」が並存していた状態で、このうちの代替アドレス「A2」が一致した場合には、秘匿ノード識別子として「0xac9b」が取得されることになる。 When the alternative address is acquired, it is determined whether or not the destination of the received packet matches (step S363). If they do not match (N), it is determined that the packet is addressed to another node (step S364). On the other hand, when the alternative address matches the destination of the received packet (step S363: Y), the corresponding secret node identifier is acquired from the alternative address table 156 shown in FIG. 3 (step S365). For example, when the alternative address “A 1 ” matches, “0x4b6a” is acquired as the secret node identifier. When the alternative addresses “A 1 ” and “A 2 ” coexist and the alternative addresses “A 2 ” match, “0xac9b” is acquired as the secret node identifier.
次に、CPUは受信したパケットにおける図4に示す秘匿ノード識別子格納領域205に対応する領域のデータを読み出す(ステップS366)。そして、ステップS365で取得した秘匿ノード識別子184とその読み出したデータとが一致するかどうかを判別する(ステップS367)。一致すれば(Y)、管理ノード103から秘匿ノード102宛に送られてきたパケットであること、すなわち自ノード宛のパケットであると判別する(ステップS368)。一致しなかった場合には(ステップS367:N)、他ノード宛のパケットであると判別することになる(ステップS364)。
Next, the CPU reads data in an area corresponding to the secret node identifier storage area 205 shown in FIG. 4 in the received packet (step S366). Then, it is determined whether or not the
図11は、秘匿ノードから管理ノードにパケットを送信する場合の処理を表わしたものである。図2に示した秘匿ノード102のパケット生成部157は送信のための現在時刻を取得する(ステップS381)。そして、図3に示した代替アドレステーブル156からその現在時刻に対応する代替アドレスを取得する(ステップS382)。ここで、取得した時刻は管理ノード103で受信された時刻と実質的に相違ないことを前提としている。したがって、取得した現在時刻がたとえば2005年5月19日の13時59分のように14時に極めて近い時刻であって秘匿ノード102内の内部処理および伝送路における伝送遅延によって管理ノード103で受信される時刻が2005年5月19日の14時0分以降になることが確実な場合には、2005年5月19日の14時0分から切り替わる代替アドレスの方を取得するような修正が行われてもよい。ステップS382で取得された代替アドレスは、管理ノード103に送信するパケットの送信元アドレスの格納領域204(図4)に組み込まれる(ステップS383)。
FIG. 11 shows processing when a packet is transmitted from the secret node to the management node. The
次に、パケット生成部157は、代替アドレステーブル156からその代替アドレスに対応する秘匿ノード識別子を取得する(ステップS384)。そして、これを管理ノード103に送信するパケットのペイロードの先頭に配置された秘匿ノード識別子格納領域205(図4)に組み込む(ステップS385)。そして、送信バッファ160に格納された後、出力インターフェイス161によってパケットは次のノードに向けて送信されることになる(ステップS386)。
Next, the
図12は、管理ノードにおけるパケット受信処理を表わしたものである。図6と共に説明を行う。管理ノード103では、入力インターフェイス221がパケットを受信すると(ステップS401:Y)、現在時刻を取得して、これと共にその受信したパケットを受信バッファ222に格納する(ステップS402)。パケット処理部223はパケットと受信した際の時刻を読み出して(ステップS403)、代替アドレステーブル226からその時刻に該当する代替アドレスが代替アドレスの欄に記載された秘匿ノードを表わした識別情報を取得する(ステップS404)。これは、本実施例では管理ノード103が図2に示した秘匿ノード102を初めとして複数の秘匿ノードの管理を行っているので、どの秘匿ノードからパケットが送られてきたかを判別する必要があるからである。
FIG. 12 shows packet reception processing in the management node. A description will be given with FIG. In the
もちろん、管理ノード103は送信元アドレスを宛先にして、かつ送信されてきた秘匿ノード識別子をコピーして使用することでその秘匿ノードに返信を行うことも可能であるが、本実施例のように時間帯によって秘匿ノードの代替アドレスおよび秘匿ノード識別子を使い分ける場合には、返信を行う時刻が代替アドレスの切替後の時刻になる場合があり得る。そこで、どの秘匿ノードからパケットが送られてきたかを判別する処理が必要となる。なお、ステップS402で行う現在時刻の取得の処理については、受信したパケットに送信時の時刻が書き込まれている場合には、これを読み込む処理が代わって実行される。
Of course, the
図2に示した秘匿ノード102からパケットが送られてきたことが判別されたとすると、パケット処理部223はそのパケットの内容を解析してそれに従った処理を行う(ステップS405)。この結果、秘匿ノード102に対して返信が必要とされた場合には(ステップS406:Y)、その返信パケットの内容の組み立てが行われる時点でパケット生成部228が現在時刻を取得する(ステップS407)。そして、パケット生成部228は代替アドレステーブル226における該当する秘匿ノード102の部分における該当する時刻の代替アドレスと秘匿ノード識別子を取得する(ステップS408)。そして、代替アドレスを宛先とし、秘匿ノード識別子をペイロードの先端に組み込んでそのパケットを出力インターフェイス230から送信することになる(ステップS409)。なお、ステップS407で取得した現在時刻は、送信するパケットの所定位置に組み込んで送信を行ってもよいことは当然である。
If it is determined that a packet has been sent from the
図13は、本実施例で使用した秘匿ノード識別子の生成処理の様子を表わしたものである。まず、予め手動等で設定した初期設定値Sを読み込み(ステップS421)、テーブル番号のパラメータnを“1”に初期化しておいて(ステップS422)、1番目の秘匿ノード識別子としてその値Sを代替アドレステーブル156の該当する秘匿ノード識別子184として格納する(ステップS423)。続いて、パラメータnを“1”だけ加算して(ステップS424)、そのパラメータnが代替アドレステーブル156に用意されるテーブル番号の最大値nmaxを超えるものでなければ(ステップS425:N)、値Sに所定の定数Cだけ加算して(ステップS426)、これを2番目の秘匿ノード識別子としてその値を、代替アドレステーブル156の該当する秘匿ノード識別子184として格納する(ステップS423)。以下同様にして、順次、値Sに所定の定数Cだけ加算しながら、3番目以降のテーブル番号181の秘匿ノード識別子184を設定していくことになる。
FIG. 13 shows the state of the secret node identifier generation process used in this embodiment. First, an initial setting value S set manually in advance is read (step S421), a parameter n of the table number is initialized to "1" (step S422), and the value S is used as the first secret node identifier. Stored as the corresponding
以上の処理では、予め定めた初期設定値Sに定数Cずつ加算することにしたが、減算処理を行ってもよい。このような処理によって秘匿ノード識別子の解読が困難となるが、更に強固なセキュリティを必要とする場合には、一度、秘匿ノード識別子が判読できた場合でも次の秘匿ノード識別子が何となるかが傍受端末104から推測不可能なものとなるようにすることが必要である。このためには、たとえばIETF(The Internet Engineering Task Force:インターネット特別技術調査会)のREC(Request For Comments).1760で提案された、ワンタイムパスワード(one-time password)を用いてもよい。これは、一度しか使えない使い捨てパスワードであるため、万が一第三者に知られても、同じパスワードは二度と使用しないため高い安全性を保つことができる。このようなワンタイムパスワードを生成するには、一方向関数としてのセキュアハッシュ関数(Secure Hash Function)が利用される。これによれば、まず秘匿ノード識別子として「N」番目に設定する値を決め、その値を引数としてセキュアハッシュ関数により求めた結果を「N−1」番目の値とする。これを繰り返せば「1」〜「N」番目の値を生成することができるようになっている。仮にある瞬間の秘匿装置識別子184の値が検出されても、この関数の、結果から引数を求めることが難しいという性質から、次に使用される値を予測するのは不可能に近くなる。
In the above processing, the constant C is added to the predetermined initial setting value S. However, subtraction processing may be performed. Such processing makes it difficult to decipher the secret node identifier. However, if even stronger security is required, even if the secret node identifier can be read once, it will be intercepted what the next secret node identifier will be. It is necessary to make it impossible to guess from the terminal 104. For this purpose, for example, REC (Request For Comments) of IETF (The Internet Engineering Task Force). A one-time password proposed in 1760 may be used. This is a disposable password that can be used only once, so even if it is known to a third party, the same password is never used again, so it is possible to maintain high security. In order to generate such a one-time password, a secure hash function (Secure Hash Function) as a one-way function is used. According to this, first, the value to be set to the “N” th as the secret node identifier is determined, and the result obtained by the secure hash function using the value as an argument is set as the “N−1” th value. By repeating this, the “1” to “N” -th values can be generated. Even if the value of the
以上説明した実施例では、秘匿ノード102と管理ノード103がこれらの間で通信するパケットにおけるペイロードに秘匿ノード識別子を組み込むことで、秘匿ノードを示すアドレス情報として代替アドレスが使用されたことが分かるようにした。この結果、図1に示す傍受端末104はこれら秘匿ノード102と管理ノード103の間で通信されるパケットを傍受しても、秘匿ノード102自体のアドレス情報を取得することはできない。しかも、傍受端末104は秘匿ノード102のアドレスに対応する代替アドレスとして、実施例では第1〜第3の端末1061〜1063のアドレス「A1」〜「A3」を時間を異にして設定するので、秘匿ノード102の存在自体を解明することが困難である。
In the embodiment described above, it can be seen that the alternative address is used as the address information indicating the secret node by incorporating the secret node identifier into the payload in the packet communicated between the
しかも、秘匿ノード102が使用した代替アドレス「A1」〜「A3」は、実際に存在する第1〜第3の端末1061〜1063のアドレス「A1」〜「A3」そのものである。したがって、傍受端末104等の他の端末がネットワーク上でこれらの存在を検知することができ、この結果として秘匿ノード102の存在に気づきにくくなるという利点がある。
Moreover, alternative addresses
また、仮に傍受端末104がアドレス「A1」を使用したノードが管理ノード103と通信を行っていることを検出したとする。この場合に、傍受端末104がアドレス「A1」が送信元アドレスとなったパケットをすべて抽出するフィルタリング処理を行ったとしても、このパケットには秘匿ノード102が使用したものと、第1端末1061が使用したものとが混在している。これらのパケットを本来の送信元で分けるには秘匿ノード識別子の有無を判別するために秘匿ノード識別子の特定という処理が必要となるが、パケットにおける秘匿ノード識別子の位置および内容は傍受端末104側で推察するのが極めて困難である。
Further, it is assumed that the intercepting
加えて、本実施例では秘匿ノード識別子自体が代替アドレス「A1」〜「A3」に対応させて複数種類存在し、しかも仮に代替アドレスが同一のものであっても、時刻によって秘匿ノード識別子が変動するようにしている。したがって、仮にある時点で1つの代替アドレスとこれに対応する秘匿ノード識別子が判読できたとしても、限られた時間だけパケットの判読が可能であり、代替アドレスや時間帯が異なってくればそのパケットは再び送信元が不明なパケットに変化してしまう。 In addition, in this embodiment, there are a plurality of types of secret node identifiers corresponding to the alternative addresses “A 1 ” to “A 3 ”, and even if the alternative addresses are the same, the secret node identifiers are changed according to the time. Have to fluctuate. Therefore, even if one alternative address and the corresponding secret node identifier can be read at a certain point in time, the packet can be read for a limited time, and if the alternative address or time zone is different, the packet can be read. Again changes to a packet whose source is unknown.
以上のような理由から、本実施例の場合、秘匿ノード102を傍受端末104が察知して、これに対してハッキング等の攻撃を仕掛けることは事実上不可能となる。
For the reasons described above, in the case of the present embodiment, it is virtually impossible for the intercepting
なお、本実施例では、秘匿ノード102のIPアドレスをHとしたが、秘匿ノード102は他の端末のアドレスを使用して通信を行うことができるため、特にこのような独自のアドレスを割り当てなくてもよい。割当て可能なアドレス数が限られたネットワークにおいては、導入できる装置の数に制限があり、空きアドレスがなければ新たに装置を設置することができない。また、大規模ネットワークの構築においては、計画的なアドレス割り当てを行われているので、ネットワーク構築後に新たに装置の追加する場合、空きアドレスがあったとしても、予定外の割り当て方を認めるかどうかを慎重に検討する必要があり、臨機応変の対応が困難なこともある。しかし、本実施例の手法によれば、これらの問題を回避して、ネットワーク監視機器のような装置を容易に設置することが可能となる。
In this embodiment, the IP address of the
<発明の第1の変形例> <First Modification of Invention>
図14は、本発明の第1の変形例の秘匿ノードにおける代替アドレステーブルの構成を表わしたものである。この変形例の代替アドレステーブル156Aは、図3で示した実施例の開始時刻182の欄の代わりに、利用可能回数182Aの欄が設けられている。これ以外のテーブル番号181、代替アドレス183、秘匿ノード識別子184の各欄の構成は実施例の代替アドレステーブル156と変わらない。利用可能回数182Aの欄には、それぞれの代替アドレス183および秘匿ノード識別子184の組を連続使用することのできる回数の上限値としての利用可能回数が設定されている。たとえば、テーブル番号“1”の場合には利用可能回数が24回である。したがって、たとえば秘匿ノード102から管理ノード103に宛てて送信されるパケットの送信回数が第1回目から第24回目までは代替アドレスがアドレス「A1」であり、秘匿ノード識別子が「0x4b6a」となるが、第25回目からはテーブル番号“2”が適用される。すなわち、第25回目から合計8回分の第32回目までは、代替アドレスがアドレス「A2」であり、秘匿ノード識別子が「0xac9b」となる。以下同様にして利用回数に応じて代替アドレスと秘匿ノード識別子が順次切り替えられることになる。
FIG. 14 shows a configuration of an alternative address table in the secret node according to the first modification of the present invention. The alternative address table 156A of this modification is provided with a column for the number of
したがって、この変形例の代替アドレステーブル156Aによれば、代替アドレスと秘匿ノード識別子の対の内容が常に固定されたものであれば、有限のテーブル番号181をサイクリックに巡回していくことで、代替アドレステーブル156Aの更新を行うことなく、これを永続的に使用することができる。もちろん、それぞれの代替アドレスに対応する秘匿ノード識別子をランダムに変更し、その内容を秘匿ノード102と管理ノード103の間で通知しあうことでセキュリティを更に高めることができる。もちろん、それぞれの代替アドレスに対応する秘匿ノード識別子の変更および利用可能回数182Aの変更について予め両者の間で演算式をシステムの運用開始時に通知しあっておくことで、その後のテーブルの更新作業を省略することができる。
Therefore, according to the alternative address table 156A of this modification, if the contents of the alternative address and secret node identifier pair are always fixed, the
なお、何らかの理由で利用可能回数の計数に誤差が発生すると、この変形例の場合には秘匿ノード102と管理ノード103の間で代替アドレステーブル156Aの更新処理が行われるまでパケットの送受信ができなくなる。このような欠点を解消するためには、それぞれのパケットの送信時に現在の代替アドレス183および秘匿ノード識別子184の組についての利用回数を示す数値をペイロードの特定の領域に格納するようにしてもよい。また、秘匿ノード102あるいは管理ノード103がパケットを相手側に送る際に必ず返答のパケットを要求し、これが送信側に所定時間内に送られてこない場合には両者の間で代替アドレステーブル156Aの初期化を行う処理を行ったり、このような異常時にのみ両者の間で通信を可能とする特別の代替アドレス183および秘匿ノード識別子184の組でとりあえずの通信を可能にするようにしてもよい。
If an error occurs in the count of the number of usable times for some reason, in the case of this modification, packets cannot be transmitted / received until the update process of the alternative address table 156A is performed between the
図15は、図10に対応するもので、この第1の変形例における秘匿ノードが受信したパケットについての自ノード宛判別処理の様子を表わしたものである。秘匿ノード102は、図示しない不揮発性メモリ領域に前回使用した代替アドレステーブル156Aのテーブル番号181と利用回数を記憶するようになっている。図2に示した自装置宛パケット検出部153はこの不揮発性メモリ領域からテーブル番号と現時点での利用回数を取得する(ステップS501)。そして、代替アドレステーブル156Aから該当するテーブル番号の利用可能回数を取得する(ステップS502)。自装置宛パケット検出部153は、これを基にして次式(1)で示す値Fを算出する(ステップS503)。
F=(利用回数+1)−利用可能回数 ……(1)
FIG. 15 corresponds to FIG. 10 and shows a state of the own node address discrimination process for the packet received by the secret node in the first modification. The
F = (number of times used + 1) −number of times available for use …… (1)
たとえば、ステップS501で読み出したテーブル番号が“1”で読み出した現在の利用回数が“24”であったとする。すると、値Fは“1”となり、正の数値となる。このように値Fが正の値を採った場合には(ステップS504:Y)、今回参照すべき代替アドレスと秘匿ノード識別子は次のテーブル番号のものということになる。この例では具体的にはテーブル番号181が“2”の代替アドレスと秘匿ノード識別子が参照されるべきものとなる。そこでこの場合には、不揮発性メモリ領域のテーブル番号を次の番号に変更し、利用回数を“1”に初期化する(ステップS505)。ただし、このとき不揮発性メモリ領域に格納されていた直前の値はたとえばRAM(ランダム・アクセス・メモリ)等の他の領域に一時的に保持しておく。これは、秘匿ノード102が管理ノード103以外のパケットを受け取った場合には、この自ノード判別処理の終了後に不揮発性メモリ領域の値を元に戻す必要があるからである。
For example, assume that the table number read in step S501 is “1” and the current number of uses read is “24”. Then, the value F becomes “1”, which is a positive numerical value. Thus, when the value F takes a positive value (step S504: Y), the alternative address and the secret node identifier to be referred to this time are those of the next table number. In this example, specifically, an alternative address whose
ステップS505の処理が終了したら、自装置宛パケット検出部153は変更したテーブル番号の代替アドレスと秘匿ノード識別子を代替アドレステーブル156Aから取得する(ステップS506)。そして、現在受信したパケットの代替アドレスと秘匿ノード識別子と比較する。比較の結果、両者が完全に一致した場合には(ステップS507)、受信したパケットは自ノード宛と判別する(ステップS508)。
When the process of step S505 is completed, the self-device-destined
これに対して、現在受信したパケットの代替アドレスと秘匿ノード識別子の双方はあるいは一部がステップS426で取得した代替アドレスおよび秘匿ノード識別子と一致しなかったときには(ステップS507:N)、不揮発性メモリ領域のテーブル番号と利用回数を元に戻す(ステップS509)。そして、受信したパケットは他ノード宛のものであると判別することになる(ステップS510)。 On the other hand, when both the alternative address and the secret node identifier of the currently received packet or a part thereof do not match the alternative address and the secret node identifier acquired in step S426 (step S507: N), the nonvolatile memory The table number of the area and the number of times of use are restored (step S509). Then, it is determined that the received packet is destined for another node (step S510).
次に、ステップS504で値Fが0もしくは負の場合を説明する。たとえば、ステップS501で読み出したテーブル番号が“1”で読み出した現在の利用回数が“15”であったとする。すると、値Fは“−8”となり、負の数値となる。このように値Fが負の値を採った場合には(ステップS504:N)、代替アドレステーブル156Aの前回使用した代替アドレスと秘匿ノード識別子を今回も使用できることになる。そこで同一テーブル番号の代替アドレスと秘匿ノード識別子を代替アドレステーブル156Aから取得する(ステップS511)。そして、これらと現在受信したパケットの代替アドレスと秘匿ノード識別子を比較する。両者が一致した場合には(ステップS512:Y)、不揮発性メモリ領域に記憶された利用回数を“1”だけ加算する(ステップS513)。そして、ステップS508に進んでそのパケットを自ノード宛と判別することになる。 Next, the case where the value F is 0 or negative in step S504 will be described. For example, assume that the table number read in step S501 is “1” and the current number of uses read is “15”. Then, the value F becomes “−8”, which is a negative numerical value. In this way, when the value F takes a negative value (step S504: N), the previously used alternative address and secret node identifier in the alternative address table 156A can be used this time. Therefore, an alternative address and a secret node identifier with the same table number are acquired from the alternative address table 156A (step S511). These are compared with the alternative address of the currently received packet and the secret node identifier. If they match (step S512: Y), the number of uses stored in the non-volatile memory area is incremented by “1” (step S513). Then, the process proceeds to step S508 to determine that the packet is addressed to the own node.
これに対して、現在受信したパケットの代替アドレスと秘匿ノード識別子の双方はあるいは一部がステップS511で取得した代替アドレスおよび秘匿ノード識別子と一致しなかったときには(ステップS512:N)、そのパケットを他ノードに宛てたものと判別することになる(ステップS510)。 On the other hand, when both the alternative address and the secret node identifier of the currently received packet or a part thereof do not match the alternative address and the secret node identifier acquired in step S511 (step S512: N), the packet is changed. It is determined that the address is for another node (step S510).
なお、図14で示した処理では不揮発性メモリ領域に直前に使用した代替アドレステーブル156Aのテーブル番号と利用回数を記憶するようにしたが、今回利用するとした場合のテーブル番号と利用回数を記憶しておくようにしてもよい。この場合には、この記憶の前処理として代替アドレステーブル156Aに記された利用可能回数182Aとの比較処理が必要となるが、受信したパケットについて自ノード宛であるかどうかを判別するたびに今回参照の対象となる代替アドレスと秘匿ノード識別子を代替アドレステーブル156Aから読み出す処理およびステップS503の演算処理を繰り返す必要がなくなる。
In the processing shown in FIG. 14, the table number and the number of times of use of the alternative address table 156A used immediately before are stored in the nonvolatile memory area, but the table number and the number of times of use when this time used are stored. You may make it leave. In this case, a comparison process with the available number of
なお、この第1の変形例の応用として、パケットの送信が行われるたびに代替アドレスを変更していくことも可能である。もちろん、そのたびに、秘匿ノード識別子を変更するようにしてもよい。 As an application of the first modification, it is also possible to change the alternative address each time a packet is transmitted. Of course, the secret node identifier may be changed each time.
<発明の第2の変形例> <Second Modification of Invention>
図16は、本発明の第2の変形例の秘匿ノードにおける代替アドレステーブルの構成を表わしたものである。この第2の変形例の代替アドレステーブル156Bは、図3に示した実施例の代替アドレステーブル156と比較すると、識別子フラグ185の欄が追加されている。ここで識別子フラグ185の欄は、たとえばペイロードにおける秘匿ノード識別子のすぐ後の1ビットで構成される欄であり、秘匿ノード識別子184の要否を表わしている。識別子フラグ185が“1”の場合には、秘匿ノード識別子184が必要であり、秘匿ノード識別子184の欄に存在するデータは秘匿ノード識別子184そのものを表わしている。識別子フラグ185が“0”の場合には、秘匿ノード識別子184が不要であり、秘匿ノード識別子184の欄に存在するデータは秘匿ノード識別子ではない他のデータあるいはその一部である。この部分に秘匿ノード識別子と見せかけるためのダミーのビット列を配置することも可能である。
FIG. 16 shows a configuration of an alternative address table in the secret node according to the second modified example of the present invention. Compared with the alternative address table 156 of the embodiment shown in FIG. 3, the alternative address table 156B of the second modified example has an
図16で示した例では代替アドレス183が「A1」の第1の端末1061は独自に管理ノード103と通信を行う可能性が存在するので、識別子フラグ185が“1”となっている。管理ノード103は、識別子フラグ185が“1”であることを確認したら、秘匿ノード識別子184を読み出して、これが代替アドレステーブル156Bに示す内容のものであれば、秘匿ノード102から送られてきたパケットであると判別する。
In the example shown in FIG. 16, since the
一方、この変形例で代替アドレス183が「A2」の第2の端末1062は独自に管理ノード103と通信を行う可能性が存在しない。そこで、識別子フラグ185が“0”となっている。管理ノード103は、識別子フラグ185が“0”であることを確認したら、秘匿ノード識別子184を読み出すことなく、秘匿ノード102から送られてきたパケットであると判別する。代替アドレス183が「A3」の第3の端末1063についても同様である。
On the other hand, there is no possibility that the
なお、実施例および変形例では秘匿ノード識別子をペイロードの先端に配置したが、ヘッダあるいはペイロードの他の場所に配置してもよいことは当然である。また、識別子フラグの配置場所も本発明の変形例に限定されるものではない。また、本発明はネットワークの監視を行う機器同士でのみ適用するものではなく、アドレス情報を拡張的に使用する場合にも本発明を広く適用することができることは当然である。更に実施例ではIP網101をパケットの通信される網としたが、アドレス情報を使用した通信する網であれば、どのような網に対しても本発明を適用することができる。
In the embodiment and the modification, the secret node identifier is arranged at the leading end of the payload. However, it is natural that the secret node identifier may be arranged at another place in the header or the payload. Further, the location of the identifier flag is not limited to the modified example of the present invention. In addition, the present invention is not applied only to devices that monitor a network, and it is natural that the present invention can be widely applied even when address information is used in an expanded manner. Further, in the embodiment, the
100 通信システム
101 IP網
102 秘匿ノード
103 管理ノード
104 傍受端末
106 端末
153 自装置宛パケット検出部
154、223 パケット処理部
156、156A、156B、226 代替アドレステーブル
157、228 パケット生成部
183 代替アドレス
184 秘匿ノード識別子
185 識別子フラグ
201 秘匿パケット
204 送信元アドレスの格納領域
205 秘匿ノード識別子格納領域
DESCRIPTION OF
Claims (26)
前記パケットの送信元アドレスの記される箇所以外の特定の箇所に、前記送信元アドレス設定手段によって設定された自装置以外のアドレスが送信元のアドレスではないことを示す、前記特定の宛先との間で事前に取り決めた識別子を組み込む識別子組込手段と、
前記送信元アドレス設定手段で送信元アドレスを設定し前記識別子組込手段で識別子を組み込んだパケットを前記特定の宛先に送信するパケット送信手段
とを具備することを特徴とするパケット送信装置。 A source address setting means for setting an address other than the own device as a source address of a packet to be transmitted to the destination when the destination is a predetermined destination;
The specific destination other than the location where the source address of the packet is written indicates that the address other than the own device set by the source address setting means is not the address of the source. Identifier incorporating means for incorporating identifiers agreed in advance between,
A packet transmission apparatus comprising: a packet transmission unit configured to transmit a packet in which a transmission source address is set by the transmission source address setting unit and an identifier is embedded by the identifier incorporation unit to the specific destination.
前記送信元アドレス設定手段で送信元アドレスを設定したパケットを前記特定の宛先に送信するパケット送信手段
とを具備することを特徴とするパケット送信装置。 When the transmission destination is a predetermined specific destination, the transmission source address of the packet transmitted to the destination is an address other than the own device, and the transmission source address indicates the original transmission source with the specific destination A source address setting means for setting an address that is determined in advance as an address that is not used as an address;
A packet transmission apparatus comprising: a packet transmission unit configured to transmit a packet in which a transmission source address is set by the transmission source address setting unit to the specific destination.
このパケット受信手段で受信したパケットにおける送信元アドレスを読み出す送信元アドレス読出手段と、
前記パケット受信手段で受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出手段と、
この特定情報読出手段で読み出した特定情報が前記送信元アドレス読出手段の読み出した送信元アドレスに対応する前記特定の送信元と予め取り決めた識別子と一致するかを検出する一致検出手段と、
この一致検出手段が一致を検出したとき前記送信元アドレス読出手段の読み出した送信元アドレスが前記特定の送信元を示すアドレスであると判別し、それ以外の場合には前記送信元アドレス読出手段の読み出した送信元アドレスを送信元を示すアドレスであると判別する送信元アドレス判別手段
とを具備することを特徴とするパケット受信装置。 A packet receiving means for receiving a packet whose destination address matches the address of its own device;
Source address reading means for reading the source address in the packet received by the packet receiving means;
Specific information reading means for reading specific information determined in advance with a specific transmission source from a specific location other than the location where the transmission source address is recorded in the packet received by the packet reception means;
Coincidence detecting means for detecting whether the specific information read by the specific information reading means matches the identifier determined in advance with the specific transmission source corresponding to the transmission source address read by the transmission source address reading means;
When the coincidence detecting unit detects a coincidence, it is determined that the transmission source address read by the transmission source address reading unit is an address indicating the specific transmission source. Otherwise, the transmission source address reading unit A packet receiving apparatus comprising: a source address discriminating unit for discriminating that the read source address is an address indicating the source.
前記パケットの宛先アドレスの記される箇所以外の特定の箇所に、前記宛先アドレス設定手段によって設定された前記特定の宛先以外のアドレスが宛先のアドレスではないことを示す、前記特定の宛先との間で事前に取り決めた識別子を組み込む識別子組込手段と、
前記宛先アドレス設定手段で宛先アドレスを設定し前記識別子組込手段で識別子を組み込んだパケットを送信するパケット送信手段
とを具備することを特徴とするパケット送信装置。 A destination address setting means for setting an address other than the specific destination as a destination address of a packet to be transmitted to the destination when the destination is a predetermined destination;
Between the specific destination indicating that an address other than the specific destination set by the destination address setting means is not a destination address at a specific location other than the location where the destination address of the packet is written An identifier incorporating means for incorporating an identifier decided in advance in
A packet transmission apparatus comprising: a packet transmission unit configured to transmit a packet in which a destination address is set by the destination address setting unit and an identifier is embedded by the identifier incorporation unit.
前記宛先アドレス設定手段で宛先アドレスを設定したパケットを送信するパケット送信手段
とを具備することを特徴とするパケット送信装置。 When the transmission destination is a predetermined specific destination, an address other than the specific destination is used as a destination address of a packet to be transmitted to the destination, and the destination address indicates the original destination with the specific destination A destination address setting means for setting an address that is determined in advance to be an address that will not be used as
A packet transmitting apparatus comprising: a packet transmitting unit configured to transmit a packet in which a destination address is set by the destination address setting unit.
このパケット受信手段で受信したパケットにおける宛先アドレスを読み出す宛先アドレス読出手段と、
前記パケット受信手段で受信したパケットにおける宛先アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出手段と、
この特定情報読出手段で読み出した特定情報が前記宛先アドレス読出手段の読み出した宛先アドレスに対応する前記特定の送信元と予め取り決めた識別子と一致するかを検出する一致検出手段と、
この一致検出手段が一致を検出したとき前記宛先アドレス読出手段の読み出した宛先アドレスが自装置を示すアドレスであると判別し、それ以外の場合には前記宛先アドレス読出手段の読み出した宛先アドレスを宛先を示すアドレスであると判別する宛先アドレス判別手段
とを具備することを特徴とするパケット受信装置。 A packet receiving means for receiving a packet whose destination address matches a predetermined specific address;
Destination address reading means for reading the destination address in the packet received by the packet receiving means;
Specific information reading means for reading specific information determined in advance with a specific transmission source from a specific location other than the location where the destination address is written in the packet received by the packet receiving means;
Coincidence detecting means for detecting whether the specific information read by the specific information reading means matches the identifier determined in advance with the specific transmission source corresponding to the destination address read by the destination address reading means;
When the coincidence detecting unit detects a coincidence, it is determined that the destination address read by the destination address reading unit is an address indicating its own apparatus. In other cases, the destination address read by the destination address reading unit is set as the destination. And a destination address discriminating means for discriminating that the address is an address indicating the packet.
前記パケット送信手段がパケットを前記予め定めた特定の宛先に送信するときの時計情報を取得する時計情報取得手段と、
この時計情報取得手段によって取得した時計情報から前記送信元アドレス識別子対応テーブルを検索して対応する送信元アドレスと識別子の対を取得する送信元アドレス・識別子取得手段とを備え、
前記送信元アドレス設定手段は送信元アドレス・識別子取得手段によって取得された送信元アドレスを前記予め定めた特定の宛先に送信するパケットの送信元アドレスとして設定し、前記識別子組込手段は前記送信元アドレス・識別子取得手段によって取得された識別子を識別子として組み込むことを特徴とする請求項1記載のパケット送信装置。 A transmission source address identifier correspondence table storing a plurality of types of the transmission source address and the identifier in association with clock information when the packet transmission unit transmits a packet;
Clock information acquisition means for acquiring clock information when the packet transmission means transmits a packet to the predetermined specific destination;
A source address / identifier acquisition unit for searching the source address identifier correspondence table from the clock information acquired by the clock information acquisition unit and acquiring a corresponding source address and identifier pair;
The transmission source address setting means sets the transmission source address acquired by the transmission source address / identifier acquisition means as a transmission source address of a packet to be transmitted to the predetermined specific destination, and the identifier incorporation means is the transmission source address 2. The packet transmitting apparatus according to claim 1, wherein the identifier acquired by the address / identifier acquiring means is incorporated as an identifier.
前記パケット送信手段がパケットを前記予め定めた特定の宛先に送信するときの時計情報を取得する時計情報取得手段と、
この時計情報取得手段によって取得した時計情報から前記送信元アドレス対応テーブルを検索して対応する送信元アドレスを取得する送信元アドレス取得手段とを備え、
前記送信元アドレス設定手段は送信元アドレス取得手段によって取得された送信元アドレスを前記予め定めた特定の宛先に送信するパケットの送信元アドレスとして設定することを特徴とする請求項2記載のパケット送信装置。 A transmission source address correspondence table storing a plurality of types of the transmission source addresses in association with clock information when the packet transmission means transmits a packet;
Clock information acquisition means for acquiring clock information when the packet transmission means transmits a packet to the predetermined specific destination;
A transmission source address acquisition unit that searches the transmission source address correspondence table from the clock information acquired by the clock information acquisition unit and acquires a corresponding transmission source address;
3. The packet transmission according to claim 2, wherein the transmission source address setting unit sets the transmission source address acquired by the transmission source address acquisition unit as a transmission source address of a packet to be transmitted to the predetermined specific destination. apparatus.
前記パケット送信手段がパケットを前記予め定めた特定の宛先に送信するときの送信回数を取得する送信回数取得手段と、
この送信回数取得手段によって取得した送信回数から前記送信元アドレス識別子対応テーブルを検索して対応する送信元アドレスと識別子の対を取得する送信元アドレス・識別子取得手段とを備え、
前記送信元アドレス設定手段は送信元アドレス・識別子取得手段によって取得された送信元アドレスを前記予め定めた特定の宛先に送信するパケットの送信元アドレスとして設定し、前記識別子組込手段は前記送信元アドレス・識別子取得手段によって取得された識別子を識別子として組み込むことを特徴とする請求項1記載のパケット送信装置。 A source address identifier correspondence table that stores a plurality of types of the source address and the identifier in association with the number of transmissions when the packet transmitting means transmits a packet;
A transmission count acquisition means for acquiring the number of transmissions when the packet transmission means transmits a packet to the predetermined specific destination;
A transmission source address / identifier acquisition means for searching the transmission source address identifier correspondence table from the transmission frequency acquired by the transmission frequency acquisition means and acquiring a corresponding transmission source address and identifier pair;
The transmission source address setting means sets the transmission source address acquired by the transmission source address / identifier acquisition means as a transmission source address of a packet to be transmitted to the predetermined specific destination, and the identifier incorporation means is the transmission source address 2. The packet transmitting apparatus according to claim 1, wherein the identifier acquired by the address / identifier acquiring means is incorporated as an identifier.
前記パケット送信手段がパケットを前記予め定めた特定の宛先に送信するときの送信回数を取得する送信回数取得手段と、
この送信回数取得手段によって取得した送信回数から前記送信元アドレス対応テーブルを検索して対応する送信元アドレスを取得する送信元アドレス取得手段とを備え、
前記送信元アドレス設定手段は送信元アドレス取得手段によって取得された送信元アドレスを前記予め定めた特定の宛先に送信するパケットの送信元アドレスとして設定することを特徴とする請求項2記載のパケット送信装置。 A transmission source address correspondence table storing a plurality of types of transmission source addresses in association with the number of transmissions when the packet transmission unit transmits a packet;
A transmission count acquisition means for acquiring the number of transmissions when the packet transmission means transmits a packet to the predetermined specific destination;
A transmission source address acquisition unit that searches the transmission source address correspondence table from the transmission number acquired by the transmission number acquisition unit and acquires a corresponding transmission source address;
3. The packet transmission according to claim 2, wherein the transmission source address setting unit sets the transmission source address acquired by the transmission source address acquisition unit as a transmission source address of a packet to be transmitted to the predetermined specific destination. apparatus.
この識別子群格納手段に格納されたそれぞれの識別子をパケットの送信の際に順次選択する識別子選択手段とを備え、
前記識別子組込手段は前記識別子選択手段の選択した識別子を前記パケット送信手段が送信するパケットに組み込むことを特徴とする請求項1または請求項4に記載のパケット送信装置。 Identifier group storage means for storing an identifier group generated in advance by a one-way function;
Identifier selection means for sequentially selecting each identifier stored in the identifier group storage means at the time of packet transmission,
5. The packet transmission apparatus according to claim 1, wherein the identifier incorporation means incorporates the identifier selected by the identifier selection means into a packet transmitted by the packet transmission means.
この識別子群格納手段に格納されたそれぞれの識別子をパケットの受信の際に順次選択する識別子選択手段とを備え、
前記送信元アドレス判別手段は前記識別子選択手段の選択した識別子と同一のアドレスが前記特定情報読出手段から検出されたか否かにより送信元アドレスが前記特定の送信元を示すアドレスであるか、あるいは前記送信元アドレス読出手段の読み出した送信元アドレスであるかを判別する
ことを特徴とする請求項3記載のパケット受信装置。 Identifier group storage means for storing an identifier group generated in advance by a one-way function;
Identifier selection means for sequentially selecting each identifier stored in the identifier group storage means when receiving a packet;
The source address discriminating means is an address indicating the specific source depending on whether the same address as the identifier selected by the identifier selecting means is detected from the specific information reading means, or 4. The packet receiving apparatus according to claim 3, wherein it is determined whether the source address is read by the source address reading means.
この宛先判別ステップによって前記特定の宛先であると判別されたときその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定する送信元アドレス設定ステップと、
この送信元アドレス設定ステップで送信元アドレスを設定した前記パケットを前記特定の宛先に送信するパケット送信ステップ
とを具備することを特徴とするパケット送信方法。 A destination determination step for determining whether the destination of the packet is a specific destination determined in advance;
When it is determined that the specific destination is determined by the destination determination step, a source address determined with the specific destination and indicating a source other than the own device is set as the source address of the packet. A source address setting step to perform,
A packet transmission method comprising: a packet transmission step of transmitting the packet in which the transmission source address is set in the transmission source address setting step to the specific destination.
この宛先判別ステップによって前記特定の宛先であると判別されたときその特定の宛先との間で定めた送信元アドレスであって自装置以外の送信元を表わすアドレスをそのパケットの送信元アドレスとして設定する送信元アドレス設定ステップと、
この送信元アドレス設定ステップで送信元アドレスを設定した前記パケットの前記送信元アドレスを格納した以外の領域であって前記特定の宛先との間で定めた領域にその送信元アドレスが本来の送信元を表わしていないことを示す識別子を設定する識別子設定ステップと、
これら送信元アドレス設定ステップおよび識別子設定ステップでそれぞれ送信元アドレスおよび識別子を設定したパケットを前記特定の宛先に送信するパケット送信ステップ
とを具備することを特徴とするパケット送信方法。 A destination determination step for determining whether the destination of the packet is a specific destination determined in advance;
When it is determined that the specific destination is determined by the destination determination step, a source address determined with the specific destination and indicating a source other than the own device is set as the source address of the packet. A source address setting step to perform,
The source address is set to the original source in an area other than the source address of the packet in which the source address is set in the source address setting step and stored with the specific destination. An identifier setting step for setting an identifier indicating that it does not represent
A packet transmission method comprising: a packet transmission step of transmitting a packet in which a transmission source address and an identifier are respectively set in the transmission source address setting step and the identifier setting step to the specific destination.
このパケット受信ステップで受信したパケットにおける送信元アドレスを読み出す送信元アドレス読出ステップと、
前記パケット受信ステップで受信したパケットにおける送信元アドレスの記される箇所以外の特定の箇所から特定の送信元と予め取り決めた特定情報を読み出す特定情報読出ステップと、
この特定情報読出ステップで読み出した特定情報が前記送信元アドレス読出ステップで読み出した送信元アドレスに対応する前記特定の送信元と予め取り決めた識別子と一致するかを判別する一致判別ステップと、
この一致判別ステップで一致を判別したとき前記送信元アドレス読出ステップで読み出した送信元アドレスが前記特定の送信元を示すアドレスであると判別し、それ以外の場合には前記送信元アドレス読出ステップで読み出した送信元アドレスを送信元を示すアドレスであると判別する送信元アドレス判別ステップ
とを具備することを特徴とするパケット受信方法。 A packet receiving step for receiving a packet addressed to the device;
A source address reading step for reading the source address in the packet received in this packet receiving step;
A specific information reading step of reading specific information determined in advance with a specific transmission source from a specific location other than the location where the transmission source address is recorded in the packet received in the packet reception step;
A matching determination step for determining whether the specific information read in the specific information reading step matches the identifier determined in advance with the specific transmission source corresponding to the transmission source address read in the transmission source address reading step;
When a match is determined in this match determination step, it is determined that the source address read in the source address read step is an address indicating the specific source, and in other cases, in the source address read step A packet receiving method comprising: a source address determining step of determining that the read source address is an address indicating the source.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005154426A JP4674494B2 (en) | 2005-05-26 | 2005-05-26 | Packet receiver |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005154426A JP4674494B2 (en) | 2005-05-26 | 2005-05-26 | Packet receiver |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006333128A true JP2006333128A (en) | 2006-12-07 |
JP4674494B2 JP4674494B2 (en) | 2011-04-20 |
Family
ID=37554333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005154426A Expired - Fee Related JP4674494B2 (en) | 2005-05-26 | 2005-05-26 | Packet receiver |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4674494B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011527850A (en) * | 2008-07-08 | 2011-11-04 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Method and system for obscuring network topology |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003008651A (en) * | 2001-06-21 | 2003-01-10 | Mitsubishi Electric Corp | Packet communication method and packet communication system |
JP2003338884A (en) * | 2002-05-20 | 2003-11-28 | Hitachi Ltd | Method for connecting telephone line |
JP2004200822A (en) * | 2002-12-17 | 2004-07-15 | Hitachi Ltd | Communication method and information processing apparatus |
JP2004228829A (en) * | 2003-01-22 | 2004-08-12 | Hitachi Ltd | Message conversion instrument and ip telephone device |
JP2005079921A (en) * | 2003-08-29 | 2005-03-24 | Canon Inc | Communication equipment, address creating method, program and storage medium |
-
2005
- 2005-05-26 JP JP2005154426A patent/JP4674494B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003008651A (en) * | 2001-06-21 | 2003-01-10 | Mitsubishi Electric Corp | Packet communication method and packet communication system |
JP2003338884A (en) * | 2002-05-20 | 2003-11-28 | Hitachi Ltd | Method for connecting telephone line |
JP2004200822A (en) * | 2002-12-17 | 2004-07-15 | Hitachi Ltd | Communication method and information processing apparatus |
JP2004228829A (en) * | 2003-01-22 | 2004-08-12 | Hitachi Ltd | Message conversion instrument and ip telephone device |
JP2005079921A (en) * | 2003-08-29 | 2005-03-24 | Canon Inc | Communication equipment, address creating method, program and storage medium |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011527850A (en) * | 2008-07-08 | 2011-11-04 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Method and system for obscuring network topology |
Also Published As
Publication number | Publication date |
---|---|
JP4674494B2 (en) | 2011-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180324274A1 (en) | Information system, control apparatus, method of providing virtual network, and program | |
JP4557803B2 (en) | Network system and communication method | |
US20160173452A1 (en) | Multi-connection system and method for service using internet protocol | |
TWI464618B (en) | Router for communicating data in a dynamic computer network | |
JP2016063233A (en) | Communication control device | |
CN104662848A (en) | Methods and systems for dynamic domain name system (ddns) | |
JP4245486B2 (en) | Network unauthorized connection prevention method and apparatus | |
KR101601586B1 (en) | Switch for communicating data in a dynamic computer network | |
JP6407598B2 (en) | Relay device, relay method, and relay program | |
EP2690832A1 (en) | Communication device, communication system, and communication method | |
KR100889753B1 (en) | Method of protection switching for link aggregation group and Apparatus thereof | |
WO2011010735A1 (en) | Relay device | |
JP4674494B2 (en) | Packet receiver | |
JP6537115B2 (en) | Network device, configuration exchange method, maintenance exchange method, configuration exchange program, and maintenance exchange program | |
TWI496445B (en) | Mission management for dynamic computer networks | |
JP6418232B2 (en) | Network management device, network system, network management method and program | |
US8737413B2 (en) | Relay server and relay communication system | |
JP6470640B2 (en) | COMMUNICATION DEVICE, ITS CONTROL METHOD, COMPUTER PROGRAM | |
TWI479357B (en) | Bridge for communicating with a dynamic computer network | |
JP2007166234A (en) | Ip address management method and remote monitoring device using it | |
JP2021093595A (en) | Malware inspection support program, malware inspection support method and communication device | |
JP6564673B2 (en) | Information processing apparatus and program | |
JP7376288B2 (en) | Specific device and method | |
JP7000863B2 (en) | Malware inspection support program, malware inspection support method and communication device | |
JP2024030246A (en) | Communication device and method of controlling the communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100615 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101228 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110110 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140204 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4674494 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |