JP2008079059A - IPsecの複数セッションを処理する通信装置及びその処理方法 - Google Patents

IPsecの複数セッションを処理する通信装置及びその処理方法 Download PDF

Info

Publication number
JP2008079059A
JP2008079059A JP2006256595A JP2006256595A JP2008079059A JP 2008079059 A JP2008079059 A JP 2008079059A JP 2006256595 A JP2006256595 A JP 2006256595A JP 2006256595 A JP2006256595 A JP 2006256595A JP 2008079059 A JP2008079059 A JP 2008079059A
Authority
JP
Japan
Prior art keywords
address
ipsec
communication
global
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006256595A
Other languages
English (en)
Inventor
Motoyuki Takizawa
基行 滝澤
Toru Minato
透 湊
Takahiro Furukawa
隆弘 古川
Koichi Seki
孝一 関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Telecom Networks Ltd
Original Assignee
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Telecom Networks Ltd filed Critical Fujitsu Telecom Networks Ltd
Priority to JP2006256595A priority Critical patent/JP2008079059A/ja
Publication of JP2008079059A publication Critical patent/JP2008079059A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】IPsecの複数セッションを処理する通信装置及びその処理方法に関し、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、同一のIPsecゲートウェイ装置に対して同時にIPsecセッションを確立することができるようにする。
【解決手段】端末装置108,109からIPsecの鍵交換処理を含むISAKMPの最初のパケットを受信し、IPsec通信の開始を検出部102で検出すると、アドレス取得部104によりアドレス割り当てサーバ110からグローバルIPアドレス106,107を新たに取得し、各IPsec通信に該グローバルIPアドレス106,107をそれぞれ割り当て、ネットワークアドレス変換処理部103でアドレス変換処理を行って各IPsecセッションの通信を通過させ、各IPsecセッションの通信の終了時に、アドレス変換管理テーブル105から各グローバルIPアドレスを解放する。
【選択図】図1

Description

本発明は、IP(Internet Protocol)技術をベースにしたルーティング機能及びネットワークアドレス変換(NAT:Network Address Translation,RFC3022)機能を有する一般的なルータ、ブロードバンドルータ又はゲートウェイ等の通信装置であって、インターネットで暗号通信を行うための規格であるIPsec(Security Architecture for Internet Protocol)の複数のセッションを処理する通信装置及びその処理方法に関する。
一般的な家庭等の宅内の通信装置によるインターネットアクセスでは、1つのグローバルアドレスで宅内の複数の端末装置をインターネットに接続し、更に宅内ネットワークのセキュリティを高めるために、ネットワークアドレス変換(NAT)機能、パケットフィルタリング機能、ファイアウォール機能等を備えたブロードバンドルータを設置する場合が多い。
この場合、ネットワークアドレス変換(NAT)機能によって、宅内ネットワーク内の各端末装置のプライベートアドレスを、ブロードバンドルータの外部側に割り当てられたグローバルアドレスに変換することにより、宅内の複数の端末装置のインターネット接続を可能にしている。
また、複数の端末装置を同時に接続する場合は、宅内端末装置のネットワークアドレス(IPアドレス等)に加えて、TCP/UDPプロトコルのポート番号を変換するNAPT(Network Address Port Translation,同RFC3022)機能によって、複数の端末装置に対する同時アドレス変換を実現している。
コンピュータなどの宅内端末装置から、インターネット通信網を利用する仮想専用線網(VPN:Virtual Private Network)によって、企業内ネットワークにリモートアクセスを行う場合、一般的に、IPsecプロトコル(RFC2401等)による暗号化通信が使用されるが、宅内ネットワークにNAPT機能を有するルータが設置されている場合、宅内端末装置から該仮想専用線網(VPN)接続を正常に行うためには、NAPT機能を有するルータにおいて、IPsecセッションの通信を正常に通過(パススルー)させる機能が必要になる。
通常、IPsecプロトコルの通信を行うためには、鍵交換等を行う鍵管理プロトコルのISAKMP(Internet Security Association and Key Management Protocol,RFC2408)セッションと、実際の暗号化通信を行うIPsecセッションの2つのセッションによる通信が順番に行われるが、それぞれのセッションでは通信フォーマットが異なり、更にIPsecセッションでは、TCP/UDPプロトコルが使われないため、一般的なNAPT機能を備えたブロードバンドルータ等は、これの通信を正常に通過させることができない。
NAPT機能を有するルータでIPsecセッションの通信を正常に通過させるには、最初の鍵管理プロトコル(ISAKMP)のセッションの通信の開始によりIPsec通信を認識し、ルータで特殊な処理を行うことでNAT機能を透過させている。鍵管理プロトコル(ISAKMP)には、送信元/宛先に500番のポート番号を割り当てたUDPが使用され、該ポート番号により鍵管理プロトコル(ISAKMP)の通信を認識することができる。
但し、複数の鍵管理プロトコル(ISAKMP)のセッションを処理するには、500番以外のポート番号を使用しなければならない。しかし、企業側に設置されるいくつかのIPsecゲートウェイ装置は、送信元ポート番号が500以外の鍵管理プロトコル(ISAKMP)の通信を受け付けない場合がある。
また、鍵管理プロトコル(ISAKMP)セッション後のIPsecセッション通信時に至っては、TCP/UDPプロトコル自体が使用されず、ポート番号の変換による通常のNAPT処理を実施することができない。そのため、IPアドレスのみを変換してIPsecセッションの通信を透過(パススルー)させる方式が一般的である。
図4〜図6は宅内の端末装置から複数のIPsecセッションを確立する接続構成例を示している。図4は、第1の端末装置42が、NAT機能透過(パススルー)通信装置41を経由して、第1のIPsecゲートウェイ装置44とIPsec通信を行い、第2の端末装置43が、同様にNAT機能透過(パススルー)通信装置41を経由して、第2のIPsecゲートウェイ装置45とIPsec通信を行う接続構成例を示している。
この場合、第1及び第2のIPsecゲートウェイ装置44及び45のグローバルIPアドレスが異なるため、NATパススルー通信装置41は、各IPsecゲートウェイ装置44及び45のそれぞれの異なるIPアドレスを用いて、2つのIPsecセッションを識別し、2つのIPsecセッションを同時に扱うことができる。
図5は、端末装置52が、NATパススルー通信装置51を経由して、第1のIPsecゲートウェイ装置53及び第2のIPsecゲートウェイ装置54のそれぞれに対して、IPsec通信を行う接続構成例を示している。この構成例の場合も、第1及び第2のIPsecゲートウェイ装置53及び54のグローバルIPアドレスがそれぞれ異なるため、NATパススルー装置51は、2つのIPsecセッションを識別して同時に扱うことができる。
図6は、第1の端末装置62が、NATパススルー通信装置61を経由して、IPsecゲートウェイ装置64とIPsec通信を行い、また、第2の端末装置63も同様にIPsecゲートウェイ装置64とIPsec通信を行おうとする例を示している。
この場合、IPsecゲートウェイ装置64からNATパススルー装置通信61へ向かって転送されるパケットは、同一宅内の第1の端末装置62又は第2の端末装置63の何れかのIPsecセッションのパケットであるとしても、グローバルIPアドレスとしては、1組の送信元IPアドレスと宛先IPアドレスしか使用することができないため、それらのIPアドレスで2つのIPsecセッションを識別することができず、NATパススルー通信装置61では、IPsecの複数セッションをパススルーすることができない。
本発明に関連する先行技術文献として下記の特許文献1には、宅内通信網内のダイアルアップ環境下にある端末と、認証サーバ通信網内にあり情報提供源となる情報サーバとが、インターネットを介して接続されるインターネット中継接続方式において、IP(internet protocol)による通信のセキュリティ(IPsec, internet protocol security)を高度化する技術、及び異なるネットワーク間のアドレス変換(NAT, network address translation)に関する技術等について記載されている。
特開2002−208965号公報
図6で説明したように、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、IPsecゲートウェイ装置へIPsecセッションを確立する際に、従来では、1台の端末装置がIPsecゲートウェイ装置に対してIPsecセッションを確立してしまうと、他の端末装置は同一のIPsecゲートウェイ装置に対して同時にIPsecセッションの接続をすることができないという問題があった。本発明は、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、同一のIPsecゲートウェイ装置に対して同時にIPsecセッションを確立することができる通信装置を提供することを目的とする。
本発明のIPsecの複数セッションを処理する通信装置は、(1)プライベートIPアドレスとグローバルIPアドレスとを変換するアドレス変換管理テーブルを有するネットワークアドレス変換処理部と、配下の端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するIPsec通信検出部と、前記IPsec通信検出部によりIPsec通信の開始を検出した際に、アドレス割り当てサーバからグローバルIPアドレスを新たに取得するアドレス取得部と、を備え、前記新たに取得したグローバルIPアドレスを前記アドレス変換管理テーブルに登録し、前記IPsec通信に該新たに取得したグローバルIPアドレスを割り当て、前記ネットワークアドレス変換処理部で、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させ、前記IPsecセッションの通信の終了時に、前記アドレス変換管理テーブルから前記取得したグローバルIPアドレスを解放することを特徴とする。
また、(2)前記アドレス取得部で予めグローバルIPアドレスを取得して前記アドレス変換管理テーブルに登録しておき、前記IPsec通信検出部によりIPsec通信の開始を検出した際に、前記アドレス変換管理テーブルに予め登録されているグローバルIPアドレスを前記IPsec通信に割り当て、前記ネットワークアドレス変換処理部で、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるとともに、前記アドレス取得部によりアドレス割り当てサーバから新たにグローバルIPアドレスを取得し、前記アドレス変換管理テーブルに登録し、前記IPsecセッションの通信の終了時に、該IPsecセッションの通信に割り当てたグローバルIPアドレスを前記アドレス変換管理テーブルから解放することを特徴とする。
また、(3)前記IPsec通信検出部でIPsec通信の開始を検出したとき、前記アドレス割り当て部によりアドレス割り当てサーバから新たに取得したグローバルIPアドレスを、該IPsec通信を要求した前記端末装置に割り当て、該グローバルIPアドレスを用いてIPsecセッションの通信を前記端末装置に行わせることを特徴とする。
また、本発明のIPsecの複数セッションの処理方法は、(4)端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するステップと、前記IPsec通信の開始を検出した際に、アドレス割り当てサーバからグローバルIPアドレスを新たに取得し、該新たに取得したグローバルIPアドレスをアドレス変換管理テーブルに登録するステップと、前記IPsec通信に該新たに取得したグローバルIPアドレスを割り当て、前記アドレス変換管理テーブルを用い、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるステップと、前記IPsecセッションの通信の終了時に、前記アドレス変換管理テーブルから前記取得したグローバルIPアドレスを解放するステップと、を含むことを特徴とする。
また、(5)前記IPsec通信の開始を検出した際に、予めアドレス割り当てサーバから取得してアドレス変換管理テーブルに登録しておいたグローバルIPアドレスを前記IPsec通信に割り当て、前記アドレス変換管理テーブルを用い、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるステップと、アドレス割り当てサーバから新たにグローバルIPアドレスを取得し、前記アドレス変換管理テーブルに登録するステップと、前記IPsecセッションの通信の終了時に、該IPsec通信に割り当てたグローバルIPアドレスを前記アドレス変換管理テーブルから解放するステップと、を含むことを特徴とする。
また、(6)前記IPsec通信の開始を検出するステップと、アドレス割り当てサーバからグローバルIPアドレスを新たに取得して前記端末装置に割り当てるステップと、前記IPsec通信の開始を検出したとき、前記アドレス割り当てサーバから新たに取得したグローバルIPアドレスを、該IPsec通信を要求した前記端末装置に割り当て、該グローバルIPアドレスを用いて前記端末装置にIPsecセッションの通信を行わせるステップと、を含むことを特徴とする。
本発明によれば、家庭や企業等において、NAT機能を有する通信装置の配下に置かれた複数の端末装置から、IPsecゲートウェイ装置へIPsecセッションを確立する際に、各IPsecセッションの通信又は各端末装置にそれぞれ異なるグローバルIPアドレスを取得して割り当てることにより、複数台の端末装置が同一のIPsecゲートウェイ装置に対して同時にIPsecセッションの接続をすることができるようになる。
図1は本発明の通信装置の第1の実施形態を示す。第1の実施形態の通信装置101は、第1の端末装置108からのIPsec通信の最初のパケットである鍵管理プロトコル(ISAKMP)のパケットを検出部102で検出すると、アドレス取得部104にてアドレス割り当てサーバ110から新たなグローバルIPアドレス106を取得する。この取得には、一般的にはDHCP(Dynamic Host Configuration Protocol)やPPPoE(Point to Point Protocol over Ethernet(登録商標))等のプロトコルが使用される。
NAT処理部103は、第1の端末装置108のプライベートIPアドレスと、この取得したグローバルIPアドレス106と、更に第1の端末装置108の通信相手となるIPsecゲートウェイ装置111のグローバルIPアドレスとを、アドレス変換管理テーブル105に登録し、以降の通信に対して、これらの登録した各IPアドレス情報を使ってアドレス変換を行い、IPsecセッションの通信を通過させる。
更に、第1の端末装置108がIPsecゲートウェイ装置111に対してIPsecセッションを確立している状態で、第2の端末装置109から同一のIPsecゲートウェイ装置111に対して新たなIPsecセッションの要求が発生すると、検出部102にてこれを検出し、同様にアドレス割り当てサーバ110から新たなグローバルIPアドレス107を取得し、アドレス変換管理テーブル105に、これら第2の端末装置109のプライベートIPアドレスと、この取得したグローバルIPアドレス107と、通信相手となるIPsecゲートウェイ装置111のグローバルIPアドレスとを登録し、以降の通信に対して、この登録した各IPアドレス情報を使ってアドレス変換を行い、IPsecセッションの通信を通過させる。
このように、同一のIPsecゲートウェイ装置111に対する複数のIPsecセッションに対して、それぞれ異なるグローバルIPアドレスを取得して割り当てることにより、複数のIPsecセッションのパススルー接続を確立することが可能となる。
また、第1の端末装置108がIPsecセッションの通信を終了すると、通信装置101は、アドレス変換管理テーブル105から該通信に係るグローバルIPアドレス106を削除し、アドレス取得部104にてこのグローバルIPアドレス106を解放し、アドレス割り当てサーバ110に返却することにより、アドレス割り当てサーバ110の管理するIPアドレスを節約することができる。グローバルIPアドレス107についても同様に、第2の端末装置109がIPsecセッションの通信を終了したとき、アドレス割り当てサーバ110に返却する。
図2は本発明の通信装置の第2の実施形態を示す。第2の実施形態の通信装置201は、予めグローバルIPアドレス206を所持しておく。第1の端末装置209からのIPsec通信の最初のパケットである鍵管理プロトコル(ISAKMP)のパケットを検出部202で検出すると、NAT処理部203は、第1の端末装置209のプライベートIPアドレスと、この予め所持しているグローバルIPアドレス206と、更に第1の端末装置209の通信相手となるIPsecゲートウェイ装置212のグローバルIPアドレスとを、アドレス変換管理テーブル205に登録し、以降の通信に対して、これらの登録した各IPアドレス情報を使ってアドレス変換を行い、IPsecセッションの通信を通過させる。
上述のIPsecセッションの通信の開通動作と同時に、アドレス取得部204は、アドレス割り当てサーバ211から新たなグローバルIPアドレス207を取得する。更にこの状態で、第2の端末装置210からIPsecゲートウェイ装置212に対して新たなIPsecセッションの通信要求が発生すると、検出部202でこれを検出し、同様に第2の端末装置210のプライベートIPアドレスと、先刻取得したグローバルIPアドレス207と、更に通信相手のIPsecゲートウェイ装置212のグローバルIPアドレスとを、アドレス変換管理テーブル205に登録し、以降の通信に対して、これらの登録したIPアドレス情報を使ってアドレス変換を行い、IPsecセッションの通信を通過させる。
更に上述のIPsecセッションの通信の開通動作と同時に、アドレス取得部204は、再度、アドレス割り当てサーバ211から新たなグローバルIPアドレス208を取得し、保持しておく。このようにして、同一のIPsecゲートウェイ装置212との間に複数のIPsecセッションのパススルー接続機能を実現し、なおかつ、予め通信開始前にIPsecセッション用のグローバルIPアドレスを確保しておくことにより、アドレス割り当てサーバ211との接続が一時的に不可能な場合や、グローバルIPアドレス取得に長時間掛かって通信要求がタイムアウトしてしまう場合など、IPsec通信が不能となる頻度を減少させることができる。
また、第1の端末装置209がIPsecセッションの通信を終了したとき、通信装置201は、アドレス変換管理テーブル205から該通信に係るグローバルIPアドレス206を削除し、アドレス取得部204にてこのグローバルIPアドレス206を解放してアドレス割り当てサーバ211に返却することにより、アドレス割り当てサーバ211の管理するグローバルIPアドレスを節約することができる。
図3は本発明の通信装置の第3の実施形態を示す。第3の実施形態の通信装置301において、該通信装置301の配下の第1の端末装置305及び第2の端末装置308は、それぞれプライベートIPアドレス306及びプライベートIPアドレス309を使用して、NAT処理部304によるアドレス変換処理を経て、通常のインターネット通信を行っているものとする。
このとき、第1の端末装置305からIPsecセッションの通信要求が行われると、検出部302は、最初のパケットである鍵管理プロトコル(ISAKMP)のパケットを検出し、アドレス割り当て部303にネットワークアドレス(グローバルIPアドレス)の再取得を促し、アドレス割り当て部303は、アドレス割り当てサーバ(図示省略)からグローバルIPアドレス307を再取得し、該グローバルIPアドレス307を第1の端末装置305に割り当てる。
このときに使われるプロトコルの一般的な例として、DHCPのDHCPFORCERENEWメッセージ(RFC3203)を用いることができる。以降、通信装置301は、第1の端末装置305に対して、NAT処理部304によるアドレス変換処理を経ることなく、グローバルIPアドレス307を使用して、直接IPsecゲートウェイ装置311とIPsecセッションの通信を行わせる。
更にこの状態で、第2の端末装置308からIPsecセッションの通信要求が行われると、同様に、検出部302により最初の鍵管理プロトコル(ISAKMP)のパケットを検出し、アドレス割り当て部303にネットワークアドレス(グローバルIPアドレス)の再取得を促し、アドレス割り当て部303により第2の端末装置308にグローバルIPアドレス310を割り当てる。
第2の端末装置308は、NAT処理部304によるアドレス変化処理を経ることなく、グローバルIPアドレス310を使用して、直接IPsecゲートウェイ装置311とIPsecセッションの通信を開始する。これによって、同一のIPsecゲートウェイ装置311に対して複数のIPsecセッションのパススルー接続を実現することが可能となる。
本発明の通信装置の第1の実施形態を示す図である。 本発明の通信装置の第2の実施形態を示す図である。 本発明の通信装置の第3の実施形態を示す図である。 宅内の端末装置から複数のIPsecセッションを確立する第1の接続構成例を示す図である。 宅内の端末装置から複数のIPsecセッションを確立する第2の接続構成例を示す図である。 宅内の端末装置から複数のIPsecセッションを確立する第3の接続構成例を示す図である。
符号の説明
101 第1の実施形態の通信装置
102 検出部
103 NAT処理部
104 アドレス取得部
105 アドレス変換管理テーブル
106 グローバルIPアドレス
107 グローバルIPアドレス
108 第1の端末装置
109 第2の端末装置
110 アドレス割り当てサーバ
111 IPsecゲートウェイ装置

Claims (6)

  1. プライベートIPアドレスとグローバルIPアドレスとを変換するアドレス変換管理テーブルを有するネットワークアドレス変換処理部と、
    配下の端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するIPsec通信検出部と、
    前記IPsec通信検出部によりIPsec通信の開始を検出した際に、アドレス割り当てサーバからグローバルIPアドレスを新たに取得するアドレス取得部と、を備え、
    前記新たに取得したグローバルIPアドレスを前記アドレス変換管理テーブルに登録し、前記IPsec通信に該新たに取得したグローバルIPアドレスを割り当て、前記ネットワークアドレス変換処理部で、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させ、
    前記IPsecセッションの通信の終了時に、前記アドレス変換管理テーブルから前記取得したグローバルIPアドレスを解放することを特徴とするIPsecの複数セッションを処理する通信装置。
  2. プライベートIPアドレスとグローバルIPアドレスとを変換するアドレス変換管理テーブルを有するネットワークアドレス変換処理部と、
    配下の端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するIPsec通信検出部と、
    アドレス割り当てサーバからグローバルIPアドレスを新たに取得するアドレス取得部と、を備え、
    前記アドレス取得部で予めグローバルIPアドレスを取得して前記アドレス変換管理テーブルに登録しておき、前記IPsec通信検出部によりIPsec通信の開始を検出した際に、前記アドレス変換管理テーブルに予め登録されているグローバルIPアドレスを前記IPsec通信に割り当て、前記ネットワークアドレス変換処理部で、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるとともに、前記アドレス取得部によりアドレス割り当てサーバから新たにグローバルIPアドレスを取得し、前記アドレス変換管理テーブルに登録し、
    前記IPsecセッションの通信の終了時に、該IPsecセッションの通信に割り当てたグローバルIPアドレスを前記アドレス変換管理テーブルから解放することを特徴とするIPsecの複数セッションを処理する通信装置。
  3. 配下の端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するIPsec通信検出部と、
    アドレス割り当てサーバからグローバルIPアドレスを新たに取得して前記端末装置に割り当てるアドレス割り当て部と、を備え、
    前記IPsec通信検出部でIPsec通信の開始を検出したとき、前記アドレス割り当て部によりアドレス割り当てサーバから新たに取得したグローバルIPアドレスを、該IPsec通信を要求した前記端末装置に割り当て、該グローバルIPアドレスを用いてIPsecセッションの通信を前記端末装置に行わせることを特徴とするIPsecの複数セッションを処理する通信装置。
  4. 端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するステップと、
    前記IPsec通信の開始を検出した際に、アドレス割り当てサーバからグローバルIPアドレスを新たに取得し、該新たに取得したグローバルIPアドレスをアドレス変換管理テーブルに登録するステップと、
    前記IPsec通信に該新たに取得したグローバルIPアドレスを割り当て、前記アドレス変換管理テーブルを用い、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるステップと、
    前記IPsecセッションの通信の終了時に、前記アドレス変換管理テーブルから前記取得したグローバルIPアドレスを解放するステップと、
    を含むことを特徴とするIPsecの複数セッションの処理方法。
  5. 端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するステップと、
    前記IPsec通信の開始を検出した際に、予めアドレス割り当てサーバから取得してアドレス変換管理テーブルに登録しておいたグローバルIPアドレスを前記IPsec通信に割り当て、前記アドレス変換管理テーブルを用い、該グローバルIPアドレスと前記端末装置のプライベートIPアドレスとのアドレス変換処理を行ってIPsecセッションの通信を通過させるステップと、
    アドレス割り当てサーバから新たにグローバルIPアドレスを取得し、前記アドレス変換管理テーブルに登録するステップと、
    前記IPsecセッションの通信の終了時に、該IPsec通信に割り当てたグローバルIPアドレスを前記アドレス変換管理テーブルから解放するステップと、
    を含むことを特徴とするIPsecの複数セッションの処理方法。
  6. 端末装置から、暗号通信を行うための規格であるIPsecの鍵交換処理を含むISAKMP(Internet Security Association Key Management Protocol)の最初のパケットを受信し、IPsec通信の開始を検出するステップと、
    アドレス割り当てサーバからグローバルIPアドレスを新たに取得して前記端末装置に割り当てるステップと、
    前記IPsec通信の開始を検出したとき、前記アドレス割り当てサーバから新たに取得したグローバルIPアドレスを、該IPsec通信を要求した前記端末装置に割り当て、該グローバルIPアドレスを用いて前記端末装置にIPsecセッションの通信を行わせるステップと、
    を含むことを特徴とするIPsecの複数セッションの処理方法。
JP2006256595A 2006-09-22 2006-09-22 IPsecの複数セッションを処理する通信装置及びその処理方法 Pending JP2008079059A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006256595A JP2008079059A (ja) 2006-09-22 2006-09-22 IPsecの複数セッションを処理する通信装置及びその処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006256595A JP2008079059A (ja) 2006-09-22 2006-09-22 IPsecの複数セッションを処理する通信装置及びその処理方法

Publications (1)

Publication Number Publication Date
JP2008079059A true JP2008079059A (ja) 2008-04-03

Family

ID=39350637

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006256595A Pending JP2008079059A (ja) 2006-09-22 2006-09-22 IPsecの複数セッションを処理する通信装置及びその処理方法

Country Status (1)

Country Link
JP (1) JP2008079059A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP2010068110A (ja) * 2008-09-09 2010-03-25 Mitsubishi Electric Corp ネットワーク装置及びネットワークシステム
US10522882B2 (en) 2013-11-12 2019-12-31 Renesas Electronics Corporations Semiconductor device, battery pack, and mobile terminal with multi-speed CPU

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001257720A (ja) * 2000-03-14 2001-09-21 Kddi Corp Dnsサーバ、dhcpサーバ、端末および通信システム
JP2003273890A (ja) * 2002-03-15 2003-09-26 Oki Electric Ind Co Ltd 端末管理装置アドレス取得システム
JP2004120534A (ja) * 2002-09-27 2004-04-15 Matsushita Electric Ind Co Ltd ルータと中継装置、フォワーディング方法
JP2004129126A (ja) * 2002-10-07 2004-04-22 Oki Electric Ind Co Ltd アドレス割当システム
JP2005136589A (ja) * 2003-10-29 2005-05-26 Hitachi Cable Ltd アグリゲーション機能付き中継装置
JP2005269197A (ja) * 2004-03-18 2005-09-29 Seiko Epson Corp Ip電話システム及びその方法
JP2005530404A (ja) * 2002-06-13 2005-10-06 エヌヴィディア コーポレイション ネットワークを経て通信するための改善セキュリティ方法及び装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001257720A (ja) * 2000-03-14 2001-09-21 Kddi Corp Dnsサーバ、dhcpサーバ、端末および通信システム
JP2003273890A (ja) * 2002-03-15 2003-09-26 Oki Electric Ind Co Ltd 端末管理装置アドレス取得システム
JP2005530404A (ja) * 2002-06-13 2005-10-06 エヌヴィディア コーポレイション ネットワークを経て通信するための改善セキュリティ方法及び装置
JP2004120534A (ja) * 2002-09-27 2004-04-15 Matsushita Electric Ind Co Ltd ルータと中継装置、フォワーディング方法
JP2004129126A (ja) * 2002-10-07 2004-04-22 Oki Electric Ind Co Ltd アドレス割当システム
JP2005136589A (ja) * 2003-10-29 2005-05-26 Hitachi Cable Ltd アグリゲーション機能付き中継装置
JP2005269197A (ja) * 2004-03-18 2005-09-29 Seiko Epson Corp Ip電話システム及びその方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092108A (ja) * 2006-09-29 2008-04-17 Fujitsu Access Ltd IPsecの複数セッションを処理する通信装置
JP4708297B2 (ja) * 2006-09-29 2011-06-22 富士通テレコムネットワークス株式会社 IPsecの複数セッションを処理する通信装置
JP2010068110A (ja) * 2008-09-09 2010-03-25 Mitsubishi Electric Corp ネットワーク装置及びネットワークシステム
US10522882B2 (en) 2013-11-12 2019-12-31 Renesas Electronics Corporations Semiconductor device, battery pack, and mobile terminal with multi-speed CPU

Similar Documents

Publication Publication Date Title
JP4331154B2 (ja) 情報処理システム、トンネル通信装置、及びトンネル通信方法
JP4327142B2 (ja) 情報処理システム、トンネル通信装置、トンネル通信方法、代理応答装置、及び代理応答方法
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
US8751617B2 (en) Method and device for identifying and selecting an interface to access a network
US8787207B2 (en) Topology discovery of a private network
US8601567B2 (en) Firewall for tunneled IPv6 traffic
JP2018525935A5 (ja)
JP4146886B2 (ja) 通信モジュール及びこの通信モジュールを備えたアプリケーションプログラム
JPWO2006120751A1 (ja) 発着呼を可能とするピア・ツー・ピア通信方法及びシステム
WO2010048874A1 (zh) 一种ip会话标识方法、装置和系统
JP2005142702A (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP2009010606A (ja) トンネル接続システム、トンネル管理サーバ、トンネル接続装置、及びトンネル接続方法
JP2008079059A (ja) IPsecの複数セッションを処理する通信装置及びその処理方法
WO2016042397A1 (en) Enhanced dynamic host configuration protocol (dhcp)
JP2011188448A (ja) ゲートウェイ装置、通信方法および通信用プログラム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
US10164937B2 (en) Method for processing raw IP packet and device thereof
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
CN110048999B (zh) 建立经认证的连接的方法、设备、计算机可读介质和系统
JP6750950B2 (ja) 通信装置および通信方法
JP2006352710A (ja) パケット中継装置及びプログラム
EP1793563A1 (en) Apparatus and method for connecting to servers located behind a network address translator
CN106027689B (zh) 一种通信方法和通信装置
US8572283B2 (en) Selectively applying network address port translation to data traffic through a gateway in a communications network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110823

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110915

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111021

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111122