JP2007174209A - セキュリティ通信システム - Google Patents

セキュリティ通信システム Download PDF

Info

Publication number
JP2007174209A
JP2007174209A JP2005368200A JP2005368200A JP2007174209A JP 2007174209 A JP2007174209 A JP 2007174209A JP 2005368200 A JP2005368200 A JP 2005368200A JP 2005368200 A JP2005368200 A JP 2005368200A JP 2007174209 A JP2007174209 A JP 2007174209A
Authority
JP
Japan
Prior art keywords
security
devices
link layer
data link
concentrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005368200A
Other languages
English (en)
Other versions
JP4779639B2 (ja
Inventor
Hisahiro Fukuda
尚弘 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005368200A priority Critical patent/JP4779639B2/ja
Publication of JP2007174209A publication Critical patent/JP2007174209A/ja
Application granted granted Critical
Publication of JP4779639B2 publication Critical patent/JP4779639B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】セキュアな通信を行う機器同士を確実に識別してデータリンク層におけるセキュリティ設定を行うセキュリティ通信システムを提供する。
【解決手段】セキュリティ通信システムは、通信を行う機器D1,機器D2間においてデータリンク層のセキュリティ設定を行うRADIUSサーバ3と、通信を行う機器D1,機器D2間においてデータリンク層よりも上位のネットワーク層のセキュリティ設定を行うVPNサーバ2とを有し、RADIUSサーバ3は、VPNサーバ2でセキュリティ設定が行われた複数の機器D1,機器D2を識別した場合に、当該機器D1,機器D2間でデータリンク層のセキュリティ設定を行うために、集線装置1のアドレステーブル1aを書き換える。
【選択図】図1

Description

本発明は、機器間でセキュアな通信を行うために、相互の機器間にデータリンク層のセキュリティ設定を行うセキュリティ通信システムに関する。
従来より、ハブ等の集線装置によってポートVLAN(virtual LAN)を実現する技術としては、下記の特許文献1に記載された技術などが知られている。
この技術は、機器A,B間でVLANを構築する場合に、LANスイッチに機器の情報を登録する。機器Aから、LANスイッチを介して機器Bに通信を行う場合、先ず、機器Aは、自身のMACアドレスMAC−A及びIPアドレスIP−A、相手の機器BのMACアドレスMAC−B及びIPアドレスIP−Bをイーサーフレームに入れて、送信フレームFR−Aを生成し、送信を行う。
そして、LANスイッチは、ポートからの入力フレームFR−Aから、送信元のMACアドレスMAC−Aを読み取り、装置内に確保されたMACアドレステーブルに登録する。このMACアドレステーブルは、ポート番号(例えばポート「1」)とMACアドレスMAC−Aの対応関係を保持している。
このLANスイッチは、当該MACアドレステーブルに、機器BのMACアドレスを待たないので、該入力パケットを関連する全ポートにブロードキャストをして、ブロードキャストされたフレームFR−Aを受信した機器Bは、受信したフレームFR−Aの宛先MACが、自身のMACアドレスMAC−Bに一致するので、自身のMACアドレスMAC−B及びIPアドレスIP−B、相手先のMACアドレスMAC−A及びIPアドレスIP−Aを入れて、イーサーフレームFR−Bの返信を行う。
例えば機器BがLANスイッチのポート「5」に接続されている場合、LANスイッチは、イーサーフレームFR−Bをポート「5」を介して受信することになる。そこで、LANスイッチは、送信元のMACアドレスMAC−Bを読み取り、MACアドレステーブルに登録する。これによって、LANスイッチによって、MACアドレステーブルに、ポートとMACアドレスMAC−Bとの対応関係を保持する。
その後、機器Aと機器B間の通信は、LANスイッチのMACアドレステーブルに、両方の端末機器のアドレスが登録されたので1対1の通信が行ってポートVLANを実現する。そして、一連の通信が終了し、所定時間(例えば5分)が過ぎると、LANスイッチ内のMACアドレステーブルに登録されたポートと送信元MACアドレスとの対応関係は削除される。
また、VPN(Virtual Private Network)においては、下記の特許文献2のSSL(Secure Sockets Layer)またはRFC(Request For Comments)2401−2409、他に代表されるIPsec、MIT(マサチューセッツ工科大学)のKerberos、IBM(登録商標)のKryptoKnightなどの技術が知られており、これら暗号プロトコルでは、各暗号通信において通信セッションの状態を通信アドレスまたは通信のソケットの単位で管理している。暗号通信を確立するには、暗号通信主体は事前に暗号化する通信セッションの暗号化のネゴシエーション(調停)を行い、暗号通信化が可能であれば暗号通信を確立する。
特開2005−73230号公報 米国特許第5657390号明細書
しかしながら、上述の従来の技術は、通信アドレスを偽造するDoS攻撃に対しては脆弱であった。たとえばVPNによる暗号セッションを確立してもアドレスを偽造することで暗号セッションへのDoS攻撃が可能である。VPNによってはDoS攻撃を受けても耐性を持たせて耐えることも可能であるが、その攻撃量が多ければ問題となる。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、セキュアな通信を行う機器同士を確実に識別してデータリンク層におけるセキュリティ設定を行うセキュリティ通信システムを提供することを目的とする。
本発明に係るセキュリティ通信システムは、通信を行う機器間においてデータリンク層のセキュリティ設定を行う第1のセキュリティ手段と、通信を行う機器間において前記データリンク層よりも上位のプロトコル階層のセキュリティ設定を行う第2のセキュリティ手段とを有し、上述の課題を解決するために、第1のセキュリティ手段は、第2のセキュリティ手段でセキュリティ設定が行われた複数の機器を識別した場合に、当該複数の機器間で前記データリンク層のセキュリティ設定を行う。
本発明に係るセキュリティ通信システムによれば、第2のセキュリティ手段によってセキュリティ設定がなされた場合に第1のセキュリティ手段によってデータリンク層におけるセキュリティ設定を行うので、第2のセキュリティ手段によって機器が識別された上でデータリンク層におけるセキュリティ設定を行うことができ、セキュアな通信を行う機器同士を確実に識別してデータリンク層におけるセキュリティ設定を行うことができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、図1に示すように、集線装置1に、VPN(Virtual Private Network)サーバ2、RADIUS(Remote Authentication Dial-In-User-Service)サーバ3、セキュアな通信を行う機器D1,機器D2が接続されたセキュリティ通信システムに適用される。このセキュリティ通信システムは、機器D1,D2間で通信を行うに際して、集線装置1に接続されて、機器D1,D2間でOSI(Open Systems Interconnection)参照モデルにおけるデータリンク層(Layer2,L2)でセキュアな通信を実現するために、機器D1,D2間でポートVLAN(virtual LAN)を構築するものである。このポートVLANを構築するために、セキュリティ通信システムは、データリンク層よりも上位の階層におけるネットワーク層(Layer3,L3)における処理を利用してセキュアな通信を行う機器D1,D2間を識別して、ポートVLANを設定することを特徴とするものである。
集線装置1は、例えばIEEE(The Institute of Electrical and Electronics Engineers)802.1X、RADIUSに対応した有線LAN(Local Area Network)スイッチであり、RADIUSサーバ3に対するRADIUSクライアントとして機能する。ここでは有線LANによる例を挙げるが、無線LANの環境の場合は図2に示す構成となる。この場合、無線LANのアクセスポイントAP1,AP2はそれぞれ集線装置1の各ポートP1,P2に接続され、機器D1,D2では無線LANのインターフェースを装着するものとする。ここでは機器D1,D2と集線装置1との間の通信が無線メディアになるか有線メディアになるかの違いであり、無線LAN環境においても同様に動作する。
この集線装置1は、データリンク層における機器D1,D2の識別子であるMACアドレスを参照して、パス制御を行う。この集線装置1には、後述の処理によって、機器D1,D2が接続されているポート番号と、機器D1,D2のMACアドレスと、セキュアな通信を行う機器群を識別するグループIDとを対応付けたアドレステーブル1aが記憶されている。集線装置1は、機器D1,D2からフレームデータを受信した場合、当該フレームデータを受信したポートの番号と、フレームデータ送信元のMACアドレスと、フレームデータ送信先のMACアドレスと、グループIDとを参照して、フレームデータの転送を行う。
VPNサーバ2は、データリンク層よりも上位の階層であるネットワーク層におけるセキュリティ設定処理として、KryptoKnightに準拠した機器認証処理及び暗号キーの設定処理を行う。VPNサーバ2は、機器D1,D2からのVPN設定要求を受けると、機器D1,D2の機器認証処理、機器D1,D2に対して暗号キーの設定処理を行う。VPNサーバ2は、機器D1,D2の機器認証が完了した場合に、機器D1,D2で使用する暗号キーを設定するネゴシエーションを行って、機器D1,D2に暗号キーを付与する。
ここではKryptoKnightの例を示したが、IPsec、SSL、Kerberosなどの暗号プロトコルを用いても暗号化セッションの管理部分において同様に扱える。
また、VPNサーバ2は、機器D1,D2間における機器認証処理及び暗号キーの設定処理が完了すると、当該セキュリティ通信を行う機器D1,D2のMACアドレスをRADIUSサーバ3に供給する。
このVPNサーバ2は、どの機器同士からネットワーク層におけるセキュリティ設定の要求がなされているかを管理するためのL3用管理データベース4が接続されている。このL3用管理データベース4は、VPNサーバ2によって書き換えられる。
RADIUSサーバ3は、機器D1,D2からRADIUS認証処理の要求を受けると、当該要求に含まれるユーザID、パスワードを判断して、相互のユーザ認証を行う。また、RADIUSサーバ3は、VPNサーバ2から送信された機器D1,D2のMACアドレスから、機器D1,D2がネットワーク層におけるセキュリティ設定処理がなされたことを認識する。RADIUSサーバ3は、機器D1,D2のユーザ認証が完了すると、VPNサーバ2から受信した機器D1,D2のMACアドレスから、セキュアな通信を行う機器群を識別する。そして、RADIUSサーバ3は、集線装置1のアドレステーブル1aを更新させる。
このRADIUSサーバ3は、集線装置1を介して通信を行う機器についてユーザ認証を行うためのデータベース、どの機器同士からデータリンク層におけるセキュリティ設定の要求がなされているかを管理するためのテーブル等を記憶するL2用管理データベース5が接続されている。このL2用管理データベース5は、VPNサーバ2からRADIUSサーバ3にネットワーク層におけるセキュリティ設定がなされたことを示す暗号通信情報が供給された場合に、RADIUSサーバ3によって書き換えられる。
尚、ここでは機器D1,D2のユーザ認証を含めての例を示したが、機器D1,D2の管理によってはユーザの認証が必要ない場合がある。たとえば、機器D1,D2の管理が機器のIDまたはグループごとに行われる場合である。この場合はユーザ認証の認証子(ユーザのID、パスワードなど)を利用せず、機器D1,D2のIDとして機器D1,D2のMACアドレスまたは機器D1,D2のMACアドレスの上位、下位数ビットをグループとして認証して実施することも可能である。尚、機器D1,D2のIDはRadiusによる認証技術で一般的に用いられるMACアドレスを挙げたが、Radius側での認証子の設定を変更することで機器D1,D2のIDとしてはEMITのOID(Object Identification)を利用することもできる。
このようなセキュリティ通信システムは、例えば、所謂EMIT(Embedded Micro Internetworking Technology)と称されるネットワーク技術を利用して、機器D1,D2を制御・監視するものである。このEMIT技術は、機器D1,D2、集線装置1といったネットワーク機器にEMITミドルウェアを組み込み、当該EMITミドルウェア同士の通信によって通信接続を実現するものである。
なお、詳細は後述するが、集線装置1には、EMITミドルウェア間におけるルーティング処理、機器D1,D2の認識処理等を行うOAS(Object Access Server)機能部が実装され、機器D1,D2には、EMITミドルウェア間で各種機器D1,D2の制御信号や機器D1,D2の状態信号等を送受するMOS(Micro Object Server)機能部が実装され、機器D1,D2の動作を遠隔で制御・監視するパーソナルコンピュータには、制御対象の機器D1,D2への制御・監視リクエストを出力すると共に機器D1,D2の状態表示等を行うOAL(Object Access Library)機能部(図示せず)が実装されている。
このような機器D1,D2及び集線装置1は、図3に示すように構成される。
機器D1,D2は、MOS機能部11に、アプリケーション処理部12、インターフェースモジュール13が接続されている。
アプリケーション処理部12は、例えば照明として機能する場合に、例えば照度値を調整するアプリケーションコードが記憶されており、照度値を保持してMOS機能部11に受け渡す。
インターフェースモジュール13は、OSI参照モデルにおけるデータリンク層、ネットワーク層、トランスポート層の処理を行う。例えばデータリンク層においてイーサネット(登録商標)に従った処理を行い、ネットワーク層においてIP(Internet Protocol)に従った処理を行い、トランスポート層においてTCP(Transmission Control Protocol)に従った処理を行う。このインターフェースモジュール13は、RADIUSサーバ3にRADIUS認証処理の要求を送信すると共に、VPNサーバ2にVPN設定要求を送信する機能を有する。
インターフェースモジュール13の通信プロトコルバージョン、通信速度といった能力は、能力テーブル14に格納されて、集線装置1のOAS機能部21によって取得可能となっている。
MOS機能部11は、アプリケーション処理部12によるアプリケーション層とインターフェースモジュール13によるトランスポート層との間のEMITミドルウェアとして機能する。このMOS機能部11には、集線装置1のOAS機能部21によって、機器D1,D2がEMITにおけるオブジェクトであることを識別するために、オブジェクトID11dが与えられている。このオブジェクトID11dは、OAS機能部21と通信するに際して、集線装置1に送信するフレームデータに格納される。
MOS機能部11は、機能(function、関数)11a、イベント(event)11b、変数(variable)11cで定義された動作を行う。このMOS機能部11の動作は、サービステーブル11eして定義されており、集線装置1のOAS機能部21によって取得可能となっている。
機器D1,D2が照明である場合、機能11aは、オンオフ値の出力機能となり、イベント11bは、例えば照度値が所定値以下となったらオンを出力するイベントとなり、変数11cは、現状のオンオフ値そのものとなる。
また、機器D1,D2は、MOS機能部11によって、オブジェクトID11d、機器属性情報(class)、機能情報、変数情報、イベント情報等を送信させても良く、集線装置1からの要求に応じてオブジェクトID11d等を送信しても良い。
集線装置1は、機器D1,D2を制御・監視するものであって、セキュリティ通信システムにおいてはアドレステーブル1aを参照したパス制御を行うパス制御部22を備えている。この集線装置1は、OAS機能部21に、パス制御部22、通信モジュール23が接続されている。
パス制御部22は、アドレステーブル1aを有し、RADIUSサーバ3によってアドレステーブル1aが書き換えられる。パス制御部22は、通信モジュール23を介してフレームデータ及び当該フレームデータを受信したポート番号を入力した場合に、当該フレームデータの送信先MACアドレスに対応したポート番号をアドレステーブル1aから取得して、当該ポート番号からフレームデータを送信させる。
また、パス制御部22は、入力したフレームデータにグループIDが含まれている場合、同じグループIDと対応付けられてアドレステーブル1aに登録された機器が送信先MACアドレスとなっている場合のみにフレームデータを転送する。これによって、パス制御部22は、ポートVLANを実現する。
通信モジュール23は、機器D1,D2のインターフェースモジュール13との間で通信を行うと共に、VPNサーバ2,RADIUSサーバ3との間で通信を行う。この通信モジュール23は、OSI参照モデルにおけるデータリンク層、ネットワーク層、トランスポート層の処理を行う。例えばデータリンク層においてイーサネット(登録商標)に従った処理を行い、ネットワーク層においてIPに従った処理を行い、トランスポート層においてTCPに従った処理を行う。個々の機器D1,D2が様々なインターフェースモジュール13で構成されている場合、通信モジュール23は、デバイスアクセスコントローラ21cの制御に従って、機器D1,D2ごとの通信プロトコルバージョン、通信速度といった機器D1,D2の能力に応じた通信処理を行う。
この通信モジュール23は、集線装置1に設けられた物理的なポートを有する。通信モジュール23は、機器D1,D2からフレームデータを受信した場合、当該フレームデータにポート番号を付加してパス制御部22に供給する。また、通信モジュール23は、RADIUSサーバ3からのアドレステーブル1aの書き換え命令を受信した場合には、当該命令をパス制御部22に出力する。
OAS機能部21は、パス制御部22の処理と通信モジュール23によるトランスポート層処理との間のEMITミドルウェアとして機能する。このOAS機能部21は、デバイスアクセスサーバ21a、所定のメモリに格納されたサービス情報21b、デバイスアクセスコントローラ21cを備えて構成されている。
デバイスアクセスサーバ21aは、集線装置1に接続された機器の情報を取得して、機器D1,D2ごとに、オブジェクトID11d、機能11a、イベント11b、変数11cを管理している。例えば、集線装置1に接続された機器に対してクライアント(OAL)からリクエストが発生した場合には、制御先のオブジェクトIDとサービス情報とを参照して制御対象の機器を判定する。そして、デバイスアクセスサーバ21aは、MOS機能部11に対してリクエストに応じた動作をするように制御信号をデバイスアクセスコントローラ21cから送信させる。
つぎに、このように構成されたセキュリティ通信システムにおいて、機器D1,D2からの要求に応じて、機器D1,D2間でポートVLANを構築する手順について図4のフローチャート及び図5乃至図7のテーブルを参照して説明する。
先ず、ステップS1で集線装置1に機器D1,D2が接続されると、ステップS2において、集線装置1は、MACアドレス(1)の機器D1がポート番号(P1)のポートに接続され、MACアドレス(2)の機器D2がポート番号(P2)のポートに接続されていることを認識する。これにより、集線装置1は、ポート番号(P1)とMACアドレス(1)とを対応付け、且つ、ポート番号(P2)とMACアドレス(2)とを対応付けるようにアドレステーブル1aを更新する。
次に機器D1と機器D2とがポートVLANを構築するために、機器D1、機器D2は、ステップS3において、集線装置1を介して、RADIUS認証処理の要求をRADIUSサーバ3に送信する。ここで、集線装置1は、RADIUSサーバ3が接続されたポートを開放(OPEN)状態にしているので、当該ポートからRADIUS認証処理の要求を転送できる。また、機器D1から送信されたRADIUS認証処理の要求には、機器D1のユーザID、パスワードが含まれており、機器D2から送信されたRADIUS認証処理の要求には、機器D2のユーザID、パスワードが含まれている。集線装置1は、機器D1からのRADIUS認証処理の要求に、機器D1が接続されているポート番号(P1)を付加して転送し、機器D2からのRADIUS認証処理の要求に、機器D2が接続されているポート番号(P2)を付加して転送する。
RADIUSサーバ3は、RADIUS認証処理の要求をそれぞれ受信すると、当該RADIUS認証処理の要求に含まれるMACアドレス(1)、MACアドレス(2)をそれぞれ取り出す。そして、RADIUSサーバ3は、図5に示すように、機器D1,機器D2ごとに、ユーザID、パスワード、ポート番号、MACアドレスが対応付けられたRADIUS認証用のテーブルを作成して、L2用管理データベース5に格納させる。
次に、機器D1、機器D2は、ステップS4において、ネットワーク層におけるセキュリティ設定を行うために、集線装置1を介してVPNサーバ2にVPN設定要求を送信する。ここで、集線装置1は、VPNサーバ2が接続されたポートを開放(OPEN)状態にしているので、当該ポートからVPN設定要求を転送できる。
VPNサーバ2は、VPN設定要求をそれぞれ受信すると、当該VPN設定要求に含まれるMACアドレス(1)、MACアドレス(2)をそれぞれ取り出す。そして、VPNサーバ2は、図6に示すように、機器D1,機器D2ごとに、VPN番号、MACアドレスが対応付けられたVPN設定用のテーブルを作成して、L3用管理データベース4に格納させる。このVPN番号は、機器D1、機器D2とが相互にVPN通信をするので、同一の値(200)が機器D1,機器D2それぞれのMACアドレスに対応して格納される。
そして、VPNサーバ2は、機器D1と機器D2との間でVPN接続することを検知したことに応じて、MACアドレス(1)の機器D1とMACアドレス(2)の機器D2とがVPN通信を行うことを示すVPN通信情報をRADIUSサーバ3に送信する。
次に、RADIUSサーバ3は、ステップS5において、VPN通信情報を受信したことに応じてMACアドレス(1)の機器D1とMACアドレス(2)の機器D2とがVPN通信を行うことを認識し、当該機器D1と機器D2間でポートVLANを構築するために、グループIDを生成する。このグループIDは、図7に示すように、RADIUSサーバ3によって、集線装置1におけるポートVLANを管理するテーブルに格納される。図7に示すように、RADIUSサーバ3は、集線装置1のID(1)と、グループID(100)と、集線装置1のポート番号(P1)が接続状態であることを示す値(1)、集線装置1のポート番号(P2)が接続状態であることを示す値(1)とを対応付けたテーブルを作成する。
次にRADIUSサーバ3は、ステップS6において、ポート番号(P1)とポート番号(P2)との間でポートVLANを構築する命令を集線装置1に送信する。この命令には、図7におけるグループIDを含む。これにより、集線装置1は、ステップS2で作成したアドレステーブル1aを、ポート番号(P1)に機器D1のMACアドレス(1)とグループID(100)とを対応付け、ポート番号(P2)に機器D2のMACアドレス(2)とグループID(100)とを対応付けたアドレステーブル1aに更新する。
その後、集線装置1は、ポート番号(P1)からフレームデータを入力した場合には、アドレステーブル1aを参照して同じグループIDの機器D2が接続されているポート番号(P2)からのみフレームデータを転送し、逆に、ポート番号(P2)からフレームデータを入力した場合には、アドレステーブル1aを参照して同じグループIDの機器D1が接続されているポート番号(P1)からのみフレームデータを転送する。
以上のように、本発明を適用したセキュリティ通信システムは、ポートVLANを構築するために、RADIUSサーバ3によって、VPNサーバ2によるVPN設定がなされたことを検知した場合に、機器D1,機器D2間でデータリンク層のセキュリティ設定を行うので、機器D1、機器D2が相互にネットワーク層におけるセキュリティを保持したい場合のみにポートVLANを設定でき、セキュアな通信を行う機器同士を確実に識別してポートVLANを構築できる。
また、このセキュリティ通信システムによれば、RADIUSサーバ3によって、VPNサーバ2によってVPN設定がなされ、且つ集線装置1のポートに接続された機器D1,機器D2を識別して、集線装置1のアドレステーブル1aを書き換えてパス制御をさせるので、VPN設定の設定結果をアドレステーブル1aに反映させてパス制御を行わせることができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用したセキュリティ通信システムの構成を示すシステム図である。 本発明を適用したセキュリティ通信システムの他の構成を示すシステム図である。 集線装置及び機器の構成を示すブロック図である。 機器間でポートVLANを構築するときの処理手順を示すフローチャートである。 RADIUSサーバに記憶される、ユーザID、パスワード、ポート番号、MACアドレスを対応付けたテーブルを示す図である。 VPNサーバに記憶される、VPN番号、MACアドレスを対応付けたテーブルを示す図である。 RADIUSサーバに記憶される、集線装置のID、グループID、ポートの接続状態を対応付けたテーブルを示す図である。
符号の説明
1 集線装置
1a アドレステーブル
2 VPNサーバ
2 RADIUSサーバ
3 RADIUSサーバ
4 L3用管理データベース
5 L2用管理データベース
11 MOS機能部
11a 機能
11b イベント
11c 変数
11d オブジェクトID
11e サービステーブル
12 アプリケーション処理部
13 インターフェースモジュール
14 能力テーブル
21 OAS機能部
21a デバイスアクセスサーバ
21b サービス情報
21c デバイスアクセスコントローラ
22 パス制御部
23 通信モジュール

Claims (4)

  1. 通信を行う機器間においてデータリンク層のセキュリティ設定を行う第1のセキュリティ手段と、
    通信を行う機器間において前記データリンク層よりも上位のプロトコル階層のセキュリティ設定を行う第2のセキュリティ手段とを有し、
    前記第1のセキュリティ手段は、前記第2のセキュリティ手段でセキュリティ設定が行われた複数の機器を識別した場合に、当該複数の機器間で前記データリンク層のセキュリティ設定を行うことを特徴とするセキュリティ通信システム。
  2. 前記データリンク層のアドレスを参照してデータの転送をする集線装置を備え、
    前記第2のセキュリティ手段は、前記集線装置に接続された複数の機器間においてセキュリティ設定を行い、前記第1のセキュリティ手段は、当該第2のセキュリティ手段によってセキュリティ設定が行われた複数の機器が接続されたポートを識別し、当該ポートのパス制御を前記集線装置に行わせることを特徴とする請求項1に記載のセキュリティ通信システム。
  3. 前記データリンク層のアドレスを参照してデータの転送をする集線装置を備え、
    前記第2のセキュリティ手段は、複数の機器の機器認証処理を管理する機器認証サーバであって、機器認証がされた複数の機器のデータリンク層のアドレスを前記第1のセキュリティ手段に送信し、
    前記第1のセキュリティ手段は、機器認証がされた複数の機器のデータリンク層のアドレスに基づいて、当該複数の機器間におけるパス制御を前記集線装置に行わせることを特徴とする請求項1又は請求項2に記載のセキュリティ通信システム。
  4. パス制御の対象となる複数のポート番号とを対応付けたアドレステーブルを参照して、前記データリンク層のアドレスを参照してデータの転送をする集線装置を備え、
    前記第1のセキュリティ手段は、前記機器認証サーバからの機器認証がされた複数の機器のデータリンク層のアドレスに対してグループ識別子を生成し、前記集線装置に記憶されている前記アドレステーブルに、パス制御の対象となる機器が接続されている複数のポートに対応付けてグループ識別子を設定させることを特徴とする請求項1又は請求項2に記載のセキュリティ通信システム。
JP2005368200A 2005-12-21 2005-12-21 セキュリティ通信システム Expired - Fee Related JP4779639B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005368200A JP4779639B2 (ja) 2005-12-21 2005-12-21 セキュリティ通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005368200A JP4779639B2 (ja) 2005-12-21 2005-12-21 セキュリティ通信システム

Publications (2)

Publication Number Publication Date
JP2007174209A true JP2007174209A (ja) 2007-07-05
JP4779639B2 JP4779639B2 (ja) 2011-09-28

Family

ID=38300196

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005368200A Expired - Fee Related JP4779639B2 (ja) 2005-12-21 2005-12-21 セキュリティ通信システム

Country Status (1)

Country Link
JP (1) JP4779639B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159750B (zh) * 2007-11-20 2011-12-07 杭州华三通信技术有限公司 一种身份认证方法和装置
JP2013192532A (ja) * 2012-03-22 2013-09-30 Earth Conscious Kk 灌水監視装置及び灌水監視システム
CN103379009A (zh) * 2012-04-20 2013-10-30 南京易安联网络技术有限公司 基于数据链路层的ssl vpn通信方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314573A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム
JP2004304574A (ja) * 2003-03-31 2004-10-28 Fujitsu Ltd 通信装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314573A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム
JP2004304574A (ja) * 2003-03-31 2004-10-28 Fujitsu Ltd 通信装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159750B (zh) * 2007-11-20 2011-12-07 杭州华三通信技术有限公司 一种身份认证方法和装置
JP2013192532A (ja) * 2012-03-22 2013-09-30 Earth Conscious Kk 灌水監視装置及び灌水監視システム
CN103379009A (zh) * 2012-04-20 2013-10-30 南京易安联网络技术有限公司 基于数据链路层的ssl vpn通信方法

Also Published As

Publication number Publication date
JP4779639B2 (ja) 2011-09-28

Similar Documents

Publication Publication Date Title
US7849495B1 (en) Method and apparatus for passing security configuration information between a client and a security policy server
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US6931016B1 (en) Virtual private network management system
US20080189393A1 (en) Remote Access to Secure Network Devices
WO2012141086A1 (ja) コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法
CN101420455A (zh) 反向http网关数据传输系统和/或方法及其网络
CN109005179B (zh) 基于端口控制的网络安全隧道建立方法
JPWO2003096612A1 (ja) 暗号装置および方法、暗号システム
Chadalapaka et al. Internet small computer system interface (iSCSI) protocol (consolidated)
CN110752921A (zh) 一种通信链路安全加固方法
WO2009062504A1 (en) Secure communication between a client and devices on different private local networks using the same subnet addresses
JP3996922B2 (ja) 異なる通信プロトコルが併存するネットワークにおけるネットワーク接続手段の一元管理システム及び方法
JP4594081B2 (ja) 暗号化の一元集中管理システム
JP4779639B2 (ja) セキュリティ通信システム
JP2003051825A (ja) ネットワーク間接続装置及びネットワーク接続制御方法
JP5713244B2 (ja) ネットワークシステム
US11652729B1 (en) Enabling efficient communications in a mesh network
US20030018703A1 (en) Smart appliance network system and communication protocol
JP2006196996A (ja) 通信システム及び通信方法
Cisco Interfaces
JP2006191205A (ja) 通信装置及び通信方法、通信システム
JP2005012485A (ja) インタネットvpn構築システム、制御サーバ及びそれらに用いるvpn構築方法
US11757709B1 (en) Communication functions in a mesh network
US11799830B2 (en) Access control in a mesh network
JP2005079921A (ja) 通信装置、アドレス生成方法、プログラム、及び記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110607

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110620

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees