JP2008072242A - ネットワーク機器 - Google Patents
ネットワーク機器 Download PDFInfo
- Publication number
- JP2008072242A JP2008072242A JP2006247241A JP2006247241A JP2008072242A JP 2008072242 A JP2008072242 A JP 2008072242A JP 2006247241 A JP2006247241 A JP 2006247241A JP 2006247241 A JP2006247241 A JP 2006247241A JP 2008072242 A JP2008072242 A JP 2008072242A
- Authority
- JP
- Japan
- Prior art keywords
- ipsec
- network device
- primary
- authentication
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】IPsecの制御を、機器のみでなくユーザ等を単位に行えるようにしたネットワーク機器を提供する。
【解決手段】機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備える。また、送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することができる。
【選択図】図2
【解決手段】機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備える。また、送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することができる。
【選択図】図2
Description
本発明は、IPsec(Security Architecture for Internet Protocol)の制御を、機器のみでなくユーザ等を単位に行えるようにしたネットワーク機器に関する。
IPsecにより通信を暗号化することにより、通信経路上の安全を保つことが可能となってきた(例えば、特許文献1、2参照。)。
IPsecの認証とアクセスコントロールについては、IPsecの暗号化共有鍵を生成するための処理であるIKE(Internet Key Exchange)によるPhase1の処理において、規格上はユーザ名やディレクトリサービスの国際標準であるX.500で規定されたものも利用することができる。
しかし、機器に設定して処理されることを前提としているため、データを振り分ける識別子としては、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスが前提とされている。
同様に、IPsecのアクセスデータベースとしてもIPアドレスで振り分けることが規格上指示されている。
特開2006−20266号公報
特開2006−20262号公報
上述したように、従来はIPアドレスもしくはMACアドレスが管理上の識別子として用いられていたため、本人認証として認証されるIKEの部分では、機器が正しいことは確保されているが、それを使うユーザが正しいことは確保できていない。
このため、例えば、一つのMFP(Multi Function Printer)等の機器を複数のユーザが共有する環境において、port9100からのROWデータ印刷、LPR(Line PRinter daemon protocol)等の、プロトコル自体に認証機構を持っていないものを使う場面にあっては、機器で認証がされている限り、機器にログインしているどんなユーザからでも印刷できてしまうという問題があった。印刷以外にも、rsh(remote shell)コマンドの実行や、UDP(User Datagram Protocol)によるDNS(Domain Name System)の名前解決等についても、プロトコル上、認証データを流すことができないため、同様の問題があった。
なお、現在のIPsecでは、1つのIDで記述可能なパケットしか通すことができないという仕様があるため、IPsec SA(Security Association)を細かく設定することによりアクセスコントロールすることしかできず、ユーザを単位としたアクセスコントロールを実現することは困難であった。
一方、SSL(Secure Socket Layer)を用いることによりユーザの認証および暗号化を行うことができるが、SSLはプロトコルに依存するため、アプリケーションに変更が必要となり、既存のシステムに導入することは困難である。
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsecの制御を、機器のみでなくユーザ等を単位に行えるようにしたネットワーク機器を提供することにある。
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備えるネットワーク機器を要旨としている。
また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用するようにすることができる。
また、請求項3に記載されるように、請求項1に記載のネットワーク機器において、ユーザ認証のための識別子および共通鍵をサーバで管理するようにすることができる。
また、請求項4に記載されるように、請求項1に記載のネットワーク機器において、認証サーバによりユーザIDおよびパスワードによる認証を行い、当該認証サーバから取得した識別子および共通鍵を用いて上記2次IPsecを適用するようにすることができる。
また、請求項5に記載されるように、請求項1に記載のネットワーク機器において、1次のIPsecを作成する段階で、2次のIPsecをサポートしている相手かどうかを識別する能力交換手段を備えるようにすることができる。
また、請求項6に記載されるように、請求項5に記載のネットワーク機器において、上記能力交換手段は、Private USEによるパケット交換により問い合わせを行うようにすることができる。
また、請求項7に記載されるように、請求項1に記載のネットワーク機器において、上記ユーザによる認証は、データベースにIDが存在し、かつ、アクセス条件に当てはまる場合に適正であると判断するようにすることができる。
また、請求項8に記載されるように、請求項1に記載のネットワーク機器において、宛先側の機器では、1次のIPsecの暗号解除後に機器のアクセス許可があり、かつ、2次のIPsecの暗号解除後にユーザのアクセス許可がある場合に受信パケットを上位の処理に送るようにすることができる。
また、請求項9、10に記載されるように、アクセス制御方法として構成することができる。
本発明のネットワーク機器にあっては、2重のIPsecを適用することにより、IPsecの制御を、機器のみでなくユーザ等を単位に行うことができ、適切なアクセスコントロールを行うことができる。
以下、本発明の好適な実施形態につき説明する。
<システム構成>
図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。
図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。
図1において、ネットワーク3上にはネットワーク機器1A、1Bと認証サーバ(XAUTHサーバ)2とが接続されている。なお、認証サーバ2は必須ではなく、必要に応じて設けられるものである。また、後述する動作説明ではネットワーク機器1Aとネットワーク機器1Bとの間で通信するものとしているが、同一のネットワーク3上に限らず、ルータ等を介して他のセグメントにあるネットワーク機器と通信することも可能である。
図2はネットワーク機器1(1A、1B)の内部構成例を示す図である。
図2において、ネットワーク機器1は、通信を利用するアプリケーション11と、ネットワーク制御を行うネットワーク処理部12と、ネットワーク処理部12の内部にあって鍵交換処理を行うIKE処理部13と、IPsecの設定を保持するIPsec SAデータベース14と、IPv4(Internet Protocol version 4)およびIPv6(Internet Protocol version 6)のIPレイヤの処理を行うIP処理部15と、IP処理部15の内部にあって1次IPsecおよび2次IPsecの処理を行うIPsec処理部16と、ネットワークとのインタフェースを行うI/F処理部17とを備えている。
<基本的な2重IPsec>
図3はIPsec SAデータベース14の例を示す図であり、(a)は1次IPsec SA、(b)は2次IPsec SAを示している。(a)に示す1次IPsec SAは、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。(b)に示す2次IPsec SAは、ユーザを識別する識別ID(送信側、宛先側で共通の識別子)、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。
図3はIPsec SAデータベース14の例を示す図であり、(a)は1次IPsec SA、(b)は2次IPsec SAを示している。(a)に示す1次IPsec SAは、送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。(b)に示す2次IPsec SAは、ユーザを識別する識別ID(送信側、宛先側で共通の識別子)、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。
図4は2重IPsecのためのネゴシエーションの例を示す図である。
図4において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec SA(図3(a))に基づき、1次IPsec Phase1によるデバイス認証(PreShareKey、デジタル署名、公開鍵認証等)および鍵交換を行い(ステップS101)、続いて1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS102)。これ以降は1次IPsecによる暗号化通信となる。
次いで、2次IPsec SA(図3(b))に基づき、2次IPsec Phase1によるユーザ認証(FQDN(Fully Qualified Domain Name)、X.500等で指定させたユーザIDによる、PreShareKey、デジタル署名、公開鍵認証等)および鍵交換を行い(ステップS103)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS104)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS105)。
図5は2次IPsec Phase1によるユーザ認証の宛先側での処理例を示すフローチャートである。
図5において、処理を開始すると(ステップS111)、送信側のネットワーク機器1Aから送信されたIDでIPsec SAデータベース14を検索し(ステップS112)、IDが存在するか否か判断する(ステップS113)。
IDが存在する場合(ステップS113のYES)、IPsec SAデータベース14をさらに検索し(ステップS114)、アクセス条件に当てはまるか判断し(ステップS115)、アクセス条件に当てはまる場合(ステップS115のYES)は共通鍵を確認し(ステップS116)、処理を終了する(ステップS118)。
一方、IDが存在しない場合(ステップS113のNO)もしくはアクセス条件に当てはまらない場合(ステップS115のNO)は、アクセス破棄のコマンドを送信側に送信し(ステップS117)、処理を終了する(ステップS118)。
図6〜図9は1次IPsecおよび2次IPsecの適用される通信データの構造を示す図であり、図6は2次がAH(Authentication Header)、1次がESP(Encapsulating Security Payload)による場合、図7は2次がESP、1次がESPによる場合、図8は2次がAH、1次がAHによる場合、図9は2次がESP、1次がAHによる場合である。1次IPsecおよび2次IPsecのそれぞれにつき、トランスポートモードの場合とトンネルモードの場合とを併記してある。1次IPsecの適用されるペイロードにはユーザを識別するセレクタとしての識別子データが付加されている。
図10は2重IPsecのデータ復号の処理例を示すフローチャートである。
図10において、処理を開始すると(ステップS121)、1次IPsecの暗号を解除し(ステップS122)、IPsec SAデータベース14を参照してデバイスのアクセス許可があるか否か判断する(ステップS123)。
デバイスのアクセス許可がある場合(ステップS123のYES)、2次IPsecの暗号を解除し(ステップS124)、IPsec SAデータベース14を参照してユーザを示す識別子のアクセス許可があるか否か判断し(ステップS125)、識別子のアクセス許可がある場合(ステップS125のYES)、パケットを上位の処理に送り(ステップS126)、処理を終了する(ステップS128)。
一方、デバイスのアクセス許可がない場合(ステップS123のNO)もしくは識別子のアクセス許可がない場合(ステップS125のNO)は、パケットを破棄し(ステップS127)、処理を終了する(ステップS128)。
なお、上述した方式では、ユーザの認証データを予め共通のデータとしてIPsec SAデータベース14に入れておく必要がある。しかし、これではアクセス制御のために機器ごとに認証データを入れ込む必要があり、認証データを予め入れておくことは漏洩の可能性があるため運用上危険である。この点を改善するため、認証データにデジタル署名を利用することが望ましい。
この場合、共通の識別ID、共通の認証キーを使うのではなく、この部分について外部サーバを利用したデジタル署名認証を実施する。このときの識別IDは、X.500のツリー構造をとり、この識別子をIDとして埋め込んで2次IPsec SAを作成する。この場合の2次IPsec SAの例を図11に示す。1次IPsec SAは図3(a)に示したものと同様である。
<XAUTHによる認証を用いた2重IPsec>
上述した実施例では、ユーザの制御情報を予め共通データとしてIPsec SAデータベース14に入れておく必要がある。このため、機器が多くなると設定が煩雑になる。そこで、XAUTHによるユーザ、パスワード認証と連動させて2次IPsec SAを生成することにより、アクセス制御をサーバで管理することが可能となる。
上述した実施例では、ユーザの制御情報を予め共通データとしてIPsec SAデータベース14に入れておく必要がある。このため、機器が多くなると設定が煩雑になる。そこで、XAUTHによるユーザ、パスワード認証と連動させて2次IPsec SAを生成することにより、アクセス制御をサーバで管理することが可能となる。
図12はXAUTHによる認証を用いた2重IPsecのネゴシエーションの例を示す図である。
図12において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS201)、続いて認証サーバ(XAUTH)2によるユーザ、パスワードの認証を行う(ステップS202)。そして、そのユーザ名をFQDN名として2次IPsec SAのセレクタに設定する。これにより、ユーザ認証されたSAを作成する。
次いで、1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS203)。これ以降は1次IPsecによる暗号化通信となる。
次いで、2次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS204)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS205)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS206)。
なお、XAUTHによるユーザ、パスワードの認証(ステップS202)は、認証データの通信を伴い、最低限の暗号化がされている必要があることから、1次IPsec Phase1(ステップS201)の後である必要があるが、2次IPsec Phase2(ステップS205)の前までであれば、位置を変更することができる。すなわち、上述した1次IPsec Phase1(ステップS201)の直後の他に、1次IPsec Phase2(ステップS203)の直後、もしくは、2次IPsec Phase1(ステップS204)の直後に置くことができる。ただし、Phase1の処理は比較的に重いものであるとともに、認証に失敗してそれまでの処理が無駄になることもあることから、1次IPsec Phase1(ステップS201)の直後が最も好ましい。
<Private USEによる能力交換を用いた2重IPsec>
上述した各実施例では、1次IPsec、2次IPsec両方が生成されないと通信ができない状態である。このため、機器として状態確認するために用いるUDPなどのネットワーク環境を確認するデータや、機器同士が状態を確認するデータ等については、特にユーザ認証を必要としない状況が存在する。そこで、1次IPsecのみで処理するセレクタを設定し、2次IPsecが利用できるかどうかを指定することができる仕組みを提供することにより、ユーザ認証が必要なものと必要でないものの制御を可能としている。これにより、1次IPsecのみのものは重要性の低い情報のみを提供し、2次IPsecを提供するものは重要性の高い情報を提供することができる。
上述した各実施例では、1次IPsec、2次IPsec両方が生成されないと通信ができない状態である。このため、機器として状態確認するために用いるUDPなどのネットワーク環境を確認するデータや、機器同士が状態を確認するデータ等については、特にユーザ認証を必要としない状況が存在する。そこで、1次IPsecのみで処理するセレクタを設定し、2次IPsecが利用できるかどうかを指定することができる仕組みを提供することにより、ユーザ認証が必要なものと必要でないものの制御を可能としている。これにより、1次IPsecのみのものは重要性の低い情報のみを提供し、2次IPsecを提供するものは重要性の高い情報を提供することができる。
図13はIPsec SAデータベース14の例を示す図であり、2次IPsec SAは、送信元識別ID、宛先、送信元ポート、宛先ポート、暗号化方式、認証方式等の情報を保持している。1次IPsec SAは図3(a)に示したものと同様である。
図14はPrivate USEによる能力交換を用いた2重IPsecのネゴシエーションの例を示す図である。
図14において、ネットワーク機器1Aが送信側、ネットワーク機器1Bが宛先側であるものとすると、ネットワーク機器1Aからの要求に応じて、1次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS301)、続いてPrivate USEにより2次IPsecをサポートしているか否かの確認を行う(ステップS302)。図15はPrivate USEによるパケット交換の様子を示す図であり、ISAKMP(Internet Security Association Key Management Protocol)ヘッダにPrivate USEデータを付加してデータ通信することで能力交換を行う。
図14に戻り、続いて、1次IPsec Phase2による1次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS303)。これ以降は1次IPsecによる暗号化通信となる。
その後、Private USEによる能力交換(ステップS302)で2次IPsecをサポートしていない場合は、2次IPsecの処理ができないときの動作を別途規定しておき、その規定に従って処理する。2次IPsecをサポートしていない状況もセレクタとして設定する(図13)。
次いで、2次IPsecをサポートしている場合は、続いて、2次IPsec Phase1によるデバイス認証および鍵交換を行い(ステップS304)、続いて2次IPsec Phase2による2次IPsecの暗号化方式、暗号鍵、SAの決定を行う(ステップS305)。これ以降は1次IPsecおよび2次IPsecが適用された暗号化通信を行う(ステップS306)。
なお、Private USEによる2次IPsecをサポートしているか否かの確認(ステップS302)を1次IPsec Phase1(ステップS301)の直後に行う例につき図示したが、Private USEによる能力交換は平文の状態でも問題ないことから1次IPsec Phase1(ステップS301)の直前でもよく、あるいは、1次IPsec Phase2(ステップS303)の直後でもよい。
図16は2重IPsecのデータ復号の処理例を示すフローチャートである。
図16において、処理を開始すると(ステップS311)、1次IPsecの暗号を解除し(ステップS312)、IPsec SAデータベース14を参照してデバイスのアクセス許可があるか否か判断する(ステップS313)。
デバイスのアクセス許可がある場合(ステップS313のYES)、2次IPsecが適用されているか否か判断する(ステップS314)。
2次IPsecが適用されている場合(ステップS314のYES)、2次IPsecの暗号を解除し(ステップS315)、IPsec SAデータベース14を参照してユーザを示す識別子のアクセス許可があるか否か判断し(ステップS316)、識別子のアクセス許可がある場合(ステップS316のYES)、パケットを上位の処理に送り(ステップS317)、処理を終了する(ステップS320)。
一方、2次IPsecが適用されていない場合(ステップS314のNO)もしくは識別子のアクセス許可がない場合(ステップS316のNO)、アクセス許可されたプロトコルおよびポートであるか否か判断し(ステップS318)、アクセス許可されたプロトコルおよびポートである場合(ステップS318のYES)、パケットを上位の処理に送り(ステップS317)、処理を終了する(ステップS320)。
また、デバイスのアクセス許可がない場合(ステップS313のNO)もしくはアクセス許可されたプロトコルおよびポートでない場合(ステップS318のNO)は、パケットを破棄し(ステップS319)、処理を終了する(ステップS320)。
<総括>
以上のように、本発明にあっては、機器で認証したIPsec SAとさらにユーザで認証したIPsec SAを利用できるようにし、機器を共通で使用する場合に異なるIPsec SAを作成することができるようしているため、機器を複数のユーザが共有で使用していても認証データを変えることによりアクセス制御することが可能となる。
以上のように、本発明にあっては、機器で認証したIPsec SAとさらにユーザで認証したIPsec SAを利用できるようにし、機器を共通で使用する場合に異なるIPsec SAを作成することができるようしているため、機器を複数のユーザが共有で使用していても認証データを変えることによりアクセス制御することが可能となる。
例えば、一つのMFP等の機器を複数のユーザが共有する環境において、port9100からのROWデータ印刷、LPR等の、プロトコル自体に認証機構を持っていないものを使う場面にあっても、IPsecを2重にしてユーザ認証することができるため、印刷を許可された人と許可されない人を分けて利用させることができる。
同様に、rshコマンドの実行やUDPによるDNSの名前解決等においても、許可されたユーザについてのみ処理させることができる。
この場合、SSL等のプロトコル依存の暗号化と比べ、プロトコルによらずにTCP/IPのレイヤで機器の認証、個人の認証を実施できるため、アプリケーションを変更することなく適用することができる。
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
1、1A、1B ネットワーク機器
11 アプリケーション
12 ネットワーク処理部
13 IKE処理部
14 IPsec SAデータベース
15 IP処理部
16 IPsec処理部
17 I/F処理部
2 認証サーバ
3 ネットワーク
11 アプリケーション
12 ネットワーク処理部
13 IKE処理部
14 IPsec SAデータベース
15 IP処理部
16 IPsec処理部
17 I/F処理部
2 認証サーバ
3 ネットワーク
Claims (10)
- 機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec手段と、
1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec手段とを備えたことを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
ユーザ認証のための識別子および共通鍵をサーバで管理することを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
認証サーバによりユーザIDおよびパスワードによる認証を行い、当該認証サーバから取得した識別子および共通鍵を用いて上記2次IPsecを適用することを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
1次のIPsecを作成する段階で、2次のIPsecをサポートしている相手かどうかを識別する能力交換手段を備えたことを特徴とするネットワーク機器。 - 請求項5に記載のネットワーク機器において、
上記能力交換手段は、Private USEによるパケット交換により問い合わせを行うことを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
上記ユーザによる認証は、データベースにIDが存在し、かつ、アクセス条件に当てはまる場合に適正であると判断することを特徴とするネットワーク機器。 - 請求項1に記載のネットワーク機器において、
宛先側の機器では、1次のIPsecの暗号解除後に機器のアクセス許可があり、かつ、2次のIPsecの暗号解除後にユーザのアクセス許可がある場合に受信パケットを上位の処理に送ることを特徴とするネットワーク機器。 - 機器で認証したIPsec SAに基づいて通信データに1次のIPsecを適用する1次IPsec工程と、
1次のIPsecが適用されたペイロードにつき、ユーザで認証したIPsec SAに基づいて2次のIPsecを適用する2次IPsec工程とを備えたことを特徴とするアクセス制御方法。 - 請求項9に記載のアクセス制御方法において、
送信側と宛先側で互いに決めた識別子とその識別子に対する共通鍵とを利用して認証を行い、認証した識別子をペイロードに適用する2次IPsecのセレクタに利用することを特徴とするアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006247241A JP4874037B2 (ja) | 2006-09-12 | 2006-09-12 | ネットワーク機器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006247241A JP4874037B2 (ja) | 2006-09-12 | 2006-09-12 | ネットワーク機器 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008072242A true JP2008072242A (ja) | 2008-03-27 |
| JP2008072242A5 JP2008072242A5 (ja) | 2009-07-23 |
| JP4874037B2 JP4874037B2 (ja) | 2012-02-08 |
Family
ID=39293469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006247241A Expired - Fee Related JP4874037B2 (ja) | 2006-09-12 | 2006-09-12 | ネットワーク機器 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4874037B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251842A (ja) * | 2006-03-17 | 2007-09-27 | Ricoh Co Ltd | ネットワーク機器 |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
| WO2005018165A2 (en) * | 2003-07-22 | 2005-02-24 | Kabushiki Kaisha Toshiba | Secure and seamless roaming between internal and external networks, switching between double and triple tunnel, and protecting communication between home agent and mobile node |
| JP2006101051A (ja) * | 2004-09-29 | 2006-04-13 | Hitachi Communication Technologies Ltd | サーバ、vpnクライアント、vpnシステム、及びソフトウェア |
-
2006
- 2006-09-12 JP JP2006247241A patent/JP4874037B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
| WO2005018165A2 (en) * | 2003-07-22 | 2005-02-24 | Kabushiki Kaisha Toshiba | Secure and seamless roaming between internal and external networks, switching between double and triple tunnel, and protecting communication between home agent and mobile node |
| JP2006101051A (ja) * | 2004-09-29 | 2006-04-13 | Hitachi Communication Technologies Ltd | サーバ、vpnクライアント、vpnシステム、及びソフトウェア |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251842A (ja) * | 2006-03-17 | 2007-09-27 | Ricoh Co Ltd | ネットワーク機器 |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4874037B2 (ja) | 2012-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| Frankel et al. | Ip security (ipsec) and internet key exchange (ike) document roadmap | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
| US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| JP4766574B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| JP2009111437A (ja) | ネットワークシステム | |
| US20090287810A1 (en) | Virtual private network management | |
| JP3831364B2 (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 | |
| JP5078422B2 (ja) | サーバ装置、情報処理装置、プログラムおよび記録媒体 | |
| JP2005503047A (ja) | 安全なネットワークを供給するための装置と方法 | |
| US7757272B1 (en) | Method and apparatus for dynamic mapping | |
| CN1592193A (zh) | 用于安全远程访问的系统和方法 | |
| JP2008052371A (ja) | アウトバンド認証を伴うネットワークシステム | |
| US20020178356A1 (en) | Method for setting up secure connections | |
| CN113347198B (zh) | Arp报文处理方法、装置、网络设备及存储介质 | |
| JP4874037B2 (ja) | ネットワーク機器 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| JP2006109152A (ja) | ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| JP5201982B2 (ja) | 情報処理システム、方法及びプログラム | |
| KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
| KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090610 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090610 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111025 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111122 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141202 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4874037 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |