JP3009876B2 - Base stations using the packet transfer method and the method - Google Patents

Base stations using the packet transfer method and the method

Info

Publication number
JP3009876B2
JP3009876B2 JP22733798A JP22733798A JP3009876B2 JP 3009876 B2 JP3009876 B2 JP 3009876B2 JP 22733798 A JP22733798 A JP 22733798A JP 22733798 A JP22733798 A JP 22733798A JP 3009876 B2 JP3009876 B2 JP 3009876B2
Authority
JP
Grant status
Grant
Patent type
Prior art keywords
packet
terminal
network
address
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP22733798A
Other languages
Japanese (ja)
Other versions
JPH11177582A (en )
Inventor
英俊 加山
正博 守倉
浩之 山本
武男 市川
斉 高梨
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は、無線または有線のパケット通信におけるパケット転送方法および該方法に用いる基地局に関する。 The present invention relates to relates to a base station for use in a packet transfer method and the method in a packet communication of the wireless or wired. さらに詳しくは、コネクションレス型のデータ通信において、パケット網に複数のLA More specifically, in data communications connectionless, the plurality of packet network LA
N(Local Area Network;ローカルエリアネットワーク)を接続して仮想LAN(VLAN)を構成したネットワークにおけるパケット転送方法および該方法に用いる基地局に関するものである。 N; relates base station used in a packet transfer method and the method in the network which constitutes a virtual LAN (VLAN) to connect the (Local Area Network local area network).

【0002】 [0002]

【従来の技術】インターネットでは、IP(Internet P BACKGROUND OF THE INVENTION Internet, IP (Internet P
rotocol;インターネットプロトコル)がパケット転送方法に採用され、このため各端末はIPアドレスを有する。 Rotocol; Internet Protocol) is employed in the packet transfer method, this since each terminal has an IP address. IPアドレスは32bitで構成され、上位ビットの一部はデータ網を識別するためのネットワークアドレスを示し、残りの下位ビットはデータ網に接続する端末を識別するためのホストアドレスを示す。 IP address is composed of 32bit, some of the upper bits indicate a network address for identifying a data network, the remaining lower bits indicate the host address for identifying the terminal to connect to the data network.

【0003】端末は、データに宛先アドレスと送信元アドレスを付与したパケットをIPネットワークに送信し、IPネットワークは宛先アドレス中のネットワークアドレスで示されるデータ網にパケットを転送する。 [0003] The terminal transmits the data to the packet assigned the destination address and the source address to the IP network, IP network forwards the packet to the data network indicated by the network address in the destination address. データ網は、パケットがユニキャストパケットの場合は宛先アドレス中のホストアドレスで指定された端末に転送し、パケットがブロードキャストパケットの場合はデータ網に接続する全ての端末に転送する(RFC791 I Data network, a packet is transferred to the terminal specified by the host address in the destination address if a unicast packet, if the packet is a broadcast packet transferred to all the terminals connected to the data network (RFC791 I
nternet Protocol)。 nternet Protocol).

【0004】しかしながら、このようなパケット転送方法によると、送信元の端末が何者であるかを確認せずにデータ網へパケットを転送するため、未知の端末によりデータ網が不正にアクセスされる危険性がある。 However, according to such a packet transfer method, since the sending device transfers the packet to the data network without confirming whether the who, danger of data network by an unknown terminal is unauthorized access there is sex. また、 Also,
たとえ送信元端末が正規の端末であったとしても、宛先アドレスを規制していないことから、送信元端末が属するデータ網以外の他のデータ網への不正アクセスを防止できないという問題もある。 Even if the source terminal is a terminal of the normal, since it does not restrict the destination address, there is a problem that the source terminal is unable to prevent unauthorized access to other data networks other than the data network belonging.

【0005】このような不都合を解消するために、パケット転送時に宛先アドレスと送信元アドレスをチェックするパケット転送方法が提案されている。 [0005] In order to solve this problem, a packet transfer method for checking the destination address and the source address have been proposed during packet transfer.

【0006】このアドレスチェック方法では、転送を許可する宛先アドレスと送信元アドレスとの組合せをあらかじめ許可テーブルとしてパケット転送装置に登録しておく。 [0006] In the address check method, it is registered in the packet transfer apparatus as previously permission table a combination of a destination address and the source address to allow the transfer. パケット転送装置は、転送パケットの宛先アドレスと送信元アドレスをチェックして、これらアドレスが許可テーブルに登録済みの場合は転送パケットを転送し、未登録の場合は転送パケットを転送しない(石坂 Packet transfer apparatus checks the destination address and source address of the transfer packet, if registered in these addresses permission table forwards the transfer packet, if the unregistered not forward transfer packet (Ishizaka
隆宏、「ネットワーク・セキュリティ装置」,特開平2 Takahiro, "network security device", JP-A-2
−302139号公報)。 -302,139 JP).

【0007】この方法によれば、送信元アドレスを確認して、あらかじめ許可した端末アドレスの時にだけパケットを転送することにより、データ網への不正アクセスを防止している。 According to this method, check the source address, by forwarding packets only when the terminal address has been permitted in advance, and to prevent unauthorized access to the data network. しかし、この方法では送信元アドレスを偽造することによってデータ網へ不正にアクセスできるという問題が生じる。 However, a problem that may gain unauthorized access to the data network by spoofing the source address occurs in this way.

【0008】従来の他のパケット転送方法として強制転送と呼ばれる方法が提案されている。 [0008] The method called forced transfer as another conventional packet transfer methods have been proposed. この方法は、コネクションオリエンテッド型のパケット網(即ち、X.2 This method, connection-oriented type of packet network (that is, X.2
5に代表され、通信を開始する際にコネクションを設定するパケット網)に複数のデータ網が接続しているとき、パケット網を通してアクセスしようとする呼をパケット網がセキュリティチェック用のデータベースマシンに強制転送する。 5 is represented, when a plurality of data networks to packet network) to set the connection when starting the communication is connected, forcing a call to be accessed through a packet network packet network is the database machine for security checks Forward. そして、データベースマシンがアクセスの正当性をチェックして、正当な場合はアクセス呼をデータ網に転送して端末−データ網間にコネクションを設定し、不当な場合はアクセス呼を切断するものである(大吉 章次,「パケット交換網におけるセキュリティチェック方式」,特開平5−327773号公報)。 Then, the database machine to check the authenticity of the access, if warranted by transferring an access call to the data network terminal - is intended to set a connection to the data networks, if unjust to disconnect the access call (Daikichi Shoji, "security check system in a packet switching network", JP-A-5-327773).

【0009】しかしながら、この方法では、パケットに付与された宛先アドレスにより転送を行うコネクションレス型のパケット網に適用した場合、セキュリティチェック用のデータベースマシンに全ての転送パケットを強制転送してアクセスの正当性をチェックする必要がある。 However, in this method, when applied to a connectionless packet network that transfers the destination address assigned to the packet, legitimate access to force transferring all transfer packets to the database machine for security checks it is necessary to check the sex. そのために、セキュリティチェック用のデータベースマシンの負荷の増加とパケット転送遅延時間の増加という問題が生じる。 To that end, the problem of an increase in growth and packet transfer delay time of the load on the database machine for the security check occurs.

【0010】さらに、従来の他のパケット転送方法として、不特定多数の端末が接続するインターネット等のネットワーク(以下、「中継ネットワーク」という)を経由して、リモート端末がデータ網にアクセスすることを可能にしつつ、データ網への不正アクセスを防止するカプセル化方法が提案されている。 Furthermore, as another conventional packet transfer method, a network such as the Internet, an unspecified number of terminals are connected (hereinafter, referred to as "relay network") via, that the remote terminal accesses the data network while allowing the encapsulation method for preventing unauthorized access to data networks have been proposed. この方法では、データ網がゲートウェイを介して中継ネットワークに接続する。 In this way, the data network is connected to the relay network via a gateway. ゲートウェイは通信開始時にまずリモート端末の認証を行い、不正端末であることが判明した場合はパケットを破棄する。 The gateway performs a first remote terminal authentication at the start communication, when it is found to be unauthorized terminal discards the packet. 次に、リモート端末は、宛先アドレスと送信元アドレスが含まれた送信パケットを暗号化してゲートウェイヘ送信する。 Then, the remote terminal gateway f encrypts and transmits the transmission packet containing the destination address and the source address. この時、暗号化された送信パケットは、ゲートウェイ宛のパケットのデータ部に格納され、宛先データ網に接続されたゲートウェイのアドレスと送信元アドレスが付加されて中継ネットワークに転送される。 At this time, the transmission packets encrypted is stored in the data portion of the packet addressed to the gateway, the address and the source address of the connected gateways is forwarded to the addition has been relayed network to the destination data network. なおこのようにしてパケットを転送することをカプセル化と呼んでいる。 Note is called encapsulation to transfer the packet in this manner. ゲートウェイは受信パケットからデータ部を取り出して暗号化されたパケットを復号する。 The gateway decodes the encrypted retrieve the data unit from the received packet packet. この復号時に改竄を検出した場合はパケットを破棄し、改竄されていない場合はパケットをデータ網へ転送する。 If it detects tampering when the decoding discards the packet, if not tampered transfers the packet to the data network. 一方、データ網からリモート端末に宛てたパケットは、送信元のデータ網に接続されたゲートウェイが、宛先アドレスと送信元アドレスを付加して暗号化したのち、これに宛先アドレスと自分のゲートウェイアドレスをさらに付加し、カプセル化してリモート端末に転送する。 Meanwhile, packets addressed from the data network to a remote terminal, connected gateways to the source of the data network, after encrypting by adding the destination address and source address, which the destination address and own gateway address further added, transferred to a remote terminal by encapsulation.

【0011】この方法によれば、リモート端末を認証した後、ゲートウェイとリモート端末間にカプセル化による暗号路を設定してデータ網への不正アクセスを防止している。 According to this method, after authenticating the remote terminal, to prevent unauthorized access to the data network to set the encryption path by the encapsulated between the gateway and the remote terminal. しかしながら、リモート端末が、中継ネットワーク経由で接続している他のリモート端末にパケットを送信する場合には、必ずゲートウェイを経由して転送されるため、最適な経路選択が行われず、パケット転送遅延時間が増加するという問題が生じる。 However, the remote terminal, when transmitting a packet to the other remote terminals connected via a relay network, because it is always transferred via a gateway, not performed the optimal path selection, the packet transfer delay but there is a problem of increasing. また、ゲートウェイは、自身に接続しているデータ網に属する全ての端末についてカプセル化/デカプセル化処理を行う必要があり、ゲートウェイの処理負荷が増大してしまう。 Further, the gateway must perform encapsulation / decapsulation processing for all the terminals belonging to the data network connected to its own gateway processing load increases. また、この方法では、データ網またはリモート端末がブロードキャストパケットやマルチキャストパケットを転送する場合に、中継ネットワークに送られるパケットの宛先アドレスにブロードキャストアドレスやマルチキャストアドレスを指定することができない。 Further, in this method, when the data network or a remote terminal to forward the broadcast packet or multicast packet, it is impossible to specify the broadcast address or multicast address in the destination address of the packet sent to the relay network. そのため、ゲートウェイはパケットを複製してから各リモート端末にユニキャスト転送するしかなく、中継ネットワークのトラヒック増加とパケット転送遅延時間の増加という問題が生じるほか、ゲートウェイの負荷が増大するという問題も生じる。 Therefore, the gateway is only unicasts transferred from duplicate the packets to each remote terminal, in addition to a problem of increased traffic increase and packet transfer delay of the relay network occurs, also resulting problem that the load of the gateway increases. さらに、送信元リモート端末から宛先リモート端末へユニキャストパケットを転送する場合、たとえこれらリモート端末が中継ネットワークに接続していても、必ず当該データ網に接続しているゲートウェイを経由してから宛先端末にパケットが送られるため、転送遅延時間が増加するという問題を生じる。 Further, the transmission if the original remote terminal to forward unicast packets to the destination remote terminal, even if you are connected to these remote terminals relay network, the destination terminal from the via gateways must be connected to the data network since a packet is sent to, there arises a problem that the transfer delay time is increased.

【0012】 [0012]

【発明が解決しようとする課題】従って本発明の第1の目的は、送信元アドレスを偽造することによりユーザL A first object of the 0008] Accordingly, the present invention, the user L by forged source addresses
ANへ不正にアクセスできてしまう問題を解決し、あらかじめ登録した端末に対してだけ特定のデータ網とのパケット転送を許可するパケット転送方法および該方法に用いる基地局を提供することにある。 To solve the problem that can gain unauthorized access to the AN, to provide a base station for use in pre-registered packet transfer method and the method only allows the packet transfer to a particular data network to the terminal.

【0013】また、本発明の第2の目的は、パケットの転送遅延時間,トラヒック,ゲートウェイの負荷が増加する問題点を解決し、最適な経路選択が可能でなおかつ効率的なパケット転送方法および該方法に用いる基地局を提供することにある。 Further, a second object of the present invention, the transfer delay of the packet traffic to solve the problems which the load of the gateway increases, yet efficient packet transfer method and the possible optimal path selection and to provide a base station used in the process.

【0014】 [0014]

【課題を解決するための手段】以上の課題を解決するために、請求項1記載の発明は、パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際 In order to solve the above problems SUMMARY OF THE INVENTION The invention of Claim 1, wherein is composed of a packet backbone network packet network connects the base station and the base station, said base station houses a plurality of packet terminal to subordinate said a packet communication using a network packet backbone network is further connected to the user LAN are a plurality of other packet networks, each packet terminal-specific transmits a packet grant and the source address is the destination address and its own terminal address is a terminal address of the destination terminal and having a terminal address, the packet which the network is responsible for transferring the packet by using the destination address a transfer method, the packet network, when said packet terminal to initiate communication via the base station 前記パケット端末の端末認証を行い、認証に成功した前記パケット端末は、送信すべきデータを暗号化して、前記宛先端末が属するユーザLAN The packet performs terminal authentication of the terminal, the packet terminal that the authentication is successful, encrypts the data to be transmitted, the user LAN to the destination terminal belongs
に割り当てられる識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付与したパケットを前記パケット網へ送信し、前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データを復号し、該受信パケットが改竄されていなければ、前記受信パケットに含まれる前記送信元アドレス及び前記識別子に基づいて、該識別子を持つユーザLANに対して前記パケット端末が通信を許可されている場合にだけ前記受信パケットを該ユーザLANに転送し、該通信が許可されていない場合には前記受信パケットを廃棄することを特徴としている。 Transmits a packet assigned to this encryption data identifier and the destination address assigned and the source address to the packet network, said packet network, said encryption receives the packet included in the received packet decodes the data, unless the received packet is falsified, based on the source address and the identifier included in the received packet, the packet terminal to the user LAN with the identifier is allowed to communicate the received packet only when you are transferred to the user LAN, is characterized by discarding the received packet if the communication is not permitted.

【0015】また、請求項2記載の発明は、パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、 [0015] According to a second aspect of the invention, the packet network are composed of a packet backbone network that connects the base station and the base station accommodates a plurality of packet terminal the base station is subordinate the a packet communication using a network packet backbone network is further connected to the user LAN are a plurality of other packet networks,
前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、前記ユーザLANを識別する識別子を前記各ユーザLANにあらかじめ割り当てておき、前記パケット網は、前記端末アドレスと通信を許されている1つ以上のユーザLANにそれぞれ割り当てられた前記識別子と端末認証に必要な情報とを対応づけた端末情報をあらかじめ記憶し、前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際に、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末 Each packet terminal sends a packet grant and the source address is the destination address and its own terminal address is a terminal address of the destination terminal which has a unique terminal address, said network using said destination address a packet transfer method for transferring the packet, the identifier for identifying the user LAN has been assigned in advance to each user LAN, the packet network may include one or more of which are allowed to communicate with the terminal address previously stores terminal information that associates information and necessary for the identifier and terminal authentication respectively assigned to the user LAN, the packet network, when said packet terminal to initiate communication via the base station, performs terminal authentication of the packet terminal using the information, the terminal the packet terminal is a regular あれば前記パケット端末に対して通信許可を通知し、前記パケット端末は、前記通信許可が通知されたのであれば、1つ以上の前記ユーザLANの中から通信するユーザLANを一つ選択し、送信すべきデータを暗号化して、該選択したユーザLANに割り当てられた識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付与したパケットを前記パケット網へ送信し、前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されていない場合には、前記受信パケットに含まれる前記送信元アドレスと前記識別子との対応が前記端末情報に登録されているかどうかを確認し、該対応が登録済みである場 It notifies the communication permission to the packet terminal if the packet terminal, if said communication permission is notified, selects one user LAN to communicate among one or more of the user LAN, the data to be transmitted is encrypted, and transmits a packet assigned the identifier assigned to the user LAN with the selected and the destination address of the transmission source address to the cryptographic data into the packet network, said packet network, to receive the packet and determine the presence or absence of falsification at the time of decoding of the encrypted data included in the received packet, falsification discards the received packet if it is detected, if not tampered, the receiving correspondence between the source address and the identifier included in the packet to see if registered in the terminal information, place the corresponding has been registered には前記受信パケットを前記宛先アドレスに転送し、該対応が未登録の場合には前記受信パケットを廃棄することを特徴としている。 The received packet is forwarded to the destination address in the case the corresponding is not registered is characterized by discarding the received packet.

【0016】また、請求項3記載の発明は、パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、 [0016] According to a third aspect of the invention, the packet network are composed of a packet backbone network that connects the base station and the base station accommodates a plurality of packet terminal the base station is subordinate the a packet communication using a network packet backbone network is further connected to the user LAN are a plurality of other packet networks,
前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、前記ユーザLAN毎にあらかじめ固有のユーザLAN名を割り当てておき、前記パケット網は、前記端末アドレスと通信を許されている1つ以上のユーザLA Each packet terminal sends a packet grant and the source address is the destination address and its own terminal address is a terminal address of the destination terminal which has a unique terminal address, said network using said destination address a packet transfer method for transferring the packet, wherein the previously assigned in advance unique user LAN name for each user LAN, the packet network, one or more user LA that are allowed to communicate with the terminal address
Nにそれぞれ割り当てられた前記ユーザLAN名と端末認証に必要な情報を対応づけた端末情報をあらかじめ記憶し、前記パケット端末は前記基地局を介して通信を開始する際に、1つ以上の前記ユーザLANの中から通信するユーザLANを一つ選択し、該選択したユーザLA Previously stores terminal information that associates information necessary to the user LAN name and terminal authentication respectively allocated to N, the packet terminal when initiating a communication via the base station, one or more of the user LA user LAN selects one, which is the selected communicating from the user LAN
Nに割り当てられた前記ユーザLAN名を前記パケット網へ通知し、前記パケット網は、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末であれば、前記パケット端末から通知された前記ユーザLAN名に対して前記ユーザLANを識別するための識別子を割り当てて前記パケット端末に通知し、前記パケット端末は、送信すべきデータを暗号化して、前記選択したユーザLANに割り当てられた識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付与したパケットを前記パケット網へ送信し、前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されてい The user LAN name assigned to the N notified to the packet network, the packet network may use the information performs terminal authentication of the packet terminal, said packet terminal if the terminal of the normal, the packet assigning an identifier to identify the user LAN to the user LAN name notified from the terminal notifies the packet terminal, said packet terminal encrypts data to be transmitted, the user LAN with the selected transmits a packet applied to cryptographic data and the assigned identifier the destination address and the source address to the packet network, said packet network, the encryption included to receive the packet in the received packet of determining the presence or absence of falsification at the time of decoding the data, it discards the received packet if tampering is detected, been tampered い場合には、前記受信パケットに含まれる識別子を割り当てたユーザLAN名と前記受信パケットに含まれる送信元アドレスとの対応が前記端末情報に登録されているかどうかを確認し、該対応が登録済みである場合には前記受信パケットを前記宛先アドレスに転送し、該対応が未登録の場合には前記受信パケットを廃棄し、前記パケット網は、その後に前記パケット端末が通信を終了した時に前記ユーザLAN名に割り当てた前記識別子を解放するようにしたことを特徴としている。 When you have checks if the correspondence between the source address contained in the received packet with the user LAN name assigned the identifier included in the received packet is registered in the terminal information, the correspondence registered the user when transferring the received packet to the destination address if it is, the correspondence in the case of registered discards the received packet, said packet network, said packet terminal has completed the communication thereafter It is characterized in that so as to release the identifier assigned to the LAN name.

【0017】また、請求項4記載の発明は、請求項2記載の発明において、前記パケットバックボーン網が、前記パケットを中継する複数の中継ノードを有し、これら各中継ノードが前記受信パケットを前記宛先アドレスに転送するための経路選択の機能を有するネットワークを用いたパケット転送方法であって、前記パケット網は、 Further, an invention according to claim 4, wherein, in the invention described in claim 2, wherein the packet backbone network, has a plurality of relay nodes for relaying the packet, each of these relay nodes is the the received packet a packet transfer method using a network having the function of routing for forwarding to the destination address, the packet network,
前記経路選択のためのルーチング情報として前記受信パケット中の前記宛先アドレスと前記識別子とを用い、ユニキャストパケットを転送する場合、前記宛先端末が前記パケット網に接続中であれば、前記宛先アドレスに応じて前記中継ノードを順次選択しながら該パケットを前記宛先端末まで転送し、前記宛先端末が前記パケット網に接続中でなければ、前記識別子に応じて前記中継ノードを順次選択しながら該パケットを前記ユーザLANまで転送し、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、前記識別子を用いて前記中継ノードを順次選択して該中継ノードに該パケットを順次転送してゆき、同じ識別子を用いて通信中の全ての前記パケット端末及び該識別子により指定される前記ユーザLANに該パ Using said and the destination address in the received packet identifier as routing information for the routing, when transferring unicast packet, if the destination terminal is currently connected to the packet network, the destination address accordance with the packet while sequentially selecting the relay node forwards to the destination terminal, when the destination terminal is not being connected to the packet network, the packet while sequentially selecting the relay node according to the identifier was transferred to the user LAN, when transferring broadcast packet and multicast packet, Yuki sequentially transfers the packets to the relay node sequentially selects the relay node using the identifier, communicate with the same identifier該Pa to the user LAN specified by all of the packet terminal and the identifier in the ットを転送することを特徴としている。 It is characterized in that to transfer Tsu door. また、請求項5記載の発明は、請求項2〜4の何れかの項記載の発明において、前記パケットバックボーン網と前記複数のユーザLANの間をゲートウェイで接続したネットワークを用いたパケット転送方法であって、 The invention of claim 5, wherein, in the invention of any one of claim of claims 2-4, in the packet backbone network and a packet transfer method using a network connected with the gateway between the plurality of users LAN there,
前記ユーザLANを介して前記受信パケットを前記宛先アドレスへ転送する際、前記ゲートウェイが前記受信パケットに含まれる前記識別子に応じて前記ユーザLAN When transferring the received packet via the user LAN to the destination address, the user LAN in response to the identifier the gateway is included in the received packet
を選択して該選択されたユーザLANへ前記受信パケットを転送することを特徴としている。 The Select is characterized by transferring the received packet to the selected user LAN.

【0018】また、請求項6記載の発明は、パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANにゲートウェイを介して接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、前記パケット網は、前記端末アドレスと端末認証に必要な情報とを対応づけた端末情報をあらかじ Further, an invention according to claim 6, wherein the packet network is composed of a packet backbone network that connects the base station and the base station accommodates a plurality of packet terminal the base station is subordinate the a packet communication using a network packet backbone network is further connected via a gateway to the user LAN are a plurality of other packet networks, the destination terminal together with the respective packet terminal has a unique terminal address sending the destination address and its own packet imparted with the source address is the terminal address is a terminal address, wherein the network is a packet transfer method for transferring the packet by using the destination address, the packet network It is beforehand a terminal information that associates information and necessary for the terminal address and terminal authentication 記憶し、前記ゲートウェイは、前記パケット網と前記ユーザLANの間でパケットの転送を許可する送信元の端末アドレスをあらかじめ記憶し、前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際に、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末であれば前記パケット端末に通信許可を通知し、前記パケット端末は、前記通信許可が通知されたのであれば、送信すべきデータを暗号化して前記宛先アドレスと前記送信元アドレスを付与したパケットを前記パケット網へ送信し、前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されていな Stored, the gateway stores in advance transmission source terminal address to allow the transfer of packets between the packet network and the user LAN, the packet network, the communication said packet terminal via the base station when starting, using the information performs terminal authentication of the packet terminal, the packet terminal notifies the communication permission to the packet terminal if the terminal of the normal, the packet terminal, the communication permission notification if it has been, the data to be sent encrypted packet imparted with the source address and the destination address is transmitted to the packet network, said packet network, included in the received packet to receive the packet wherein determining the presence or absence of falsification at the time of decoding the encrypted data, it discards the received packet if tampering is detected to be, Do been tampered 場合には前記受信パケットを前記ゲートウェイに転送し、前記ゲートウェイは、前記パケット網から転送されたパケットに含まれる前記送信元アドレスに対する転送が許可されている場合は該転送パケットを前記ユーザLANから前記宛先アドレスに転送し、該転送が許可されていない場合は該転送パケットを廃棄するようにしたことを特徴としている。 Transferring the received packet to the gateway when the gateway, if the transfer to the source address contained in the forwarded packet from the packet network is permitted the said transfer packet from the user LAN transferred to the destination address, if the transfer is not permitted is characterized in that so as to discard the forwarded packets.

【0019】また、請求項7記載の発明は、請求項6記載の発明において、前記パケットバックボーン網が、前記パケットを中継する複数の中継ノードを有し、これら各中継ノードが前記パケットを前記宛先アドレスに転送するための経路選択機能を有するネットワークを用いたパケット転送方法であって、前記ユーザLANを識別する識別子を前記各ユーザLANにあらかじめ割り当てておき、前記パケット端末は、前記パケットを前記パケット網へ送信する際に、複数の前記ユーザLANの中から接続するユーザLANを一つ選択して、該選択したユーザLANの識別子を前記パケットにさらに付与して送信し、前記パケット網は、前記経路選択のためのルーチング情報として送信された前記パケットに含まれる前記宛先アドレスと前記 Further, an invention according to claim 7, wherein, in the invention of claim 6, wherein the packet backbone network, has a plurality of relay nodes for relaying the packet, the destination of each of these relay nodes the packet a packet transfer method using a network having a routing function for transferring the address, an identifier identifying the user LAN have assigned in advance to each user LAN, the packet terminal, the said packet packet when transmitting to the network, select one user LAN to be connected from a plurality of the user LAN, and sends the identifier of the user LAN with the selected further applied to the packet, the packet network, the wherein said destination address included in the transmitted the packet as routing information for routing 別子とを用い、ユニキャストパケットを転送する場合、前記宛先端末が前記パケット網に接続中であれば、前記宛先アドレスに応じて前記中継ノードを順次選択しながら該パケットを前記宛先端末まで転送し、前記宛先端末が前記パケット網に接続中でなければ、前記識別子に応じて前記中継ノードを順次選択しながら該パケットを前記ゲートウェイに転送し、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、前記識別子を用いて前記中継ノードを順次選択して該中継ノードに該パケットを順次転送してゆき、 Using the Besshi, when transferring unicast packet, forwarding if the destination terminal is currently connected to the packet network, the packet while sequentially selecting the relay node in response to said destination address to said destination terminal and, if the destination terminal is not being connected to the packet network, the packet is transferred to the gateway while sequentially selecting the relay node according to the identifier, to forward broadcast and multicast packets, the sequentially selects the relay node using the identifier so on are sequentially transfers the packets to the relay node,
同じ識別子を用いて通信中の全ての前記パケット端末と、該識別子により指定される前記ゲートウェイとに転送することを特徴としている。 All said packet terminal in communication with the same identifier, and wherein the transfer to said gateway specified by said identifier.

【0020】また、請求項8記載の発明は、請求項4又は7記載の発明において、前記暗号化及び前記復号化に際し、前記ユニキャストパケットを転送する場合は、前記各パケット端末毎に割り当てた暗号鍵を用い、前記ブロードキャストパケット又は前記マルチキャストパケットを転送する場合は、前記各識別子毎に割り当てた暗号鍵を用いることを特徴としている。 [0020] The invention of claim 8 is the invention of claim 4 or 7, wherein, when the encryption and the decryption, when transferring the unicast packet is assigned the each packet terminal using an encryption key, when transferring the broadcast packet or the multicast packet is characterized by using the encryption key the allocated for each identifier. また、請求項9記載の発明は、請求項4又は7記載の発明において、前記暗号化及び前記復号化に際し、前記ユニキャストパケットを転送する場合及び前記パケット端末が前記ブロードキャストパケット又は前記マルチキャストパケットを送信する場合は、前記各パケット端末毎に割り当てた暗号鍵を用い、前記基地局が前記ブロードキャストパケット又は前記マルチキャストパケットを送信する場合は、前記各識別子毎に割り当てた暗号鍵を用いることを特徴としている。 Further, an invention according to claim 9, wherein, in the invention of claim 4 or 7, wherein, when the encryption and the decryption, the case and the packet terminal the broadcast packet or the multicast packet forwarding the unicast packet when sending is using the encryption key the assigned to each packet terminal, when the base station that transmits the broadcast packet or the multicast packet, as characterized by using a cryptographic key, wherein assigned to each identifier there. また、請求項10記載の発明は、請求項4又は7記載の発明において、前記暗号化及び前記復号化に際し、暗号鍵として前記各識別子毎に割り当てた暗号鍵を用いることを特徴としている。 The invention of claim 10, wherein, in the invention of claim 4 or 7, wherein, when the encryption and the decryption are characterized by using the encryption key the assigned to each identifier as an encryption key.

【0021】また、請求項11記載の発明は、他パケット網であるユーザLANが複数接続されたパケットバックボーン網に接続され、かつ、配下に複数のパケット端末を収容する基地局であって、前記各パケット端末に付与された固有の端末アドレスと、前記パケット端末が通信を許されている1つ以上のユーザLANにそれぞれ割り当てられた識別子と、端末認証に必要な情報を対応づけて記憶する端末情報記憶手段と、前記パケット端末からの通信開始要求に応じて前記情報を使用した端末認証を行い、前記パケット端末に対して認証結果を通知する端末認証手段と、前記パケットバックボーン網と前記パケット端末の間で授受されるパケット中のデータ部を前記情報を用いて暗号化して送信するパケット暗号化手段と、宛先端末の前 Further, an invention according to claim 11, wherein the user LAN is another packet network is connected to multiple connection packet backbone network, and a base station accommodating a plurality of packet terminal under the a unique terminal address assigned to each packet terminal, the terminal storing the packet terminal identifier assigned respectively to one or more user LAN that are allowed to communicate, in association with information necessary for the terminal authentication and information storage means, said perform terminal authentication using the information in response to a communication start request from the packet terminal, a terminal authentication unit that notifies the authentication result to the packet terminal, said packet terminal and the packet backbone network a packet encryption means for encrypting and transmitting the data portion in the packet that is exchanged with the information between, before the destination terminal 端末アドレスである宛先アドレスと前記パケット端末の端末アドレスである送信元アドレスと前記ユーザLANに割り当てられた識別子が暗号化データに付与されたパケットを前記パケット端末から受信して該暗号化データを復号するパケット復号化手段と、 Decoding the encryption of the data packets destination address identifier assigned to the source address and the user LAN is a terminal address of said packet terminal is assigned to the encrypted data is the terminal address received from the packet terminal a packet decoding means for,
前記復号されたデータから改竄を検出して該パケットを廃棄するパケット改竄検出手段と、前記パケットに含まれている前記送信元アドレス及び前記識別子の組が、前記端末情報記憶手段に記憶されている前記端末アドレス及び前記識別子の組の中に登録されているかどうかを確認する比較手段と、前記比較手段による確認結果に基づいて、前記登録があることを条件に前記宛先アドレスに前記パケットを転送し、前記登録が無いことを条件に前記パケットを廃棄するフィルタリング手段とを具備することを特徴としている。 A packet tampering detection means for discarding the packet by detecting the alteration from the decoded data, the set of the source address and the identifier is included in the packet is stored in the terminal information storage means comparison means for confirming whether the registered in the set of the terminal address and the identifier, based on the check result by the comparing means, the packet is forwarded to the destination address on condition that there is the registration It is characterized by comprising a filtering means for discarding the packet on condition that the registration is not.

【0022】また、請求項12記載の発明は、他パケット網であるユーザLANが複数接続されたパケットバックボーン網に接続され、かつ、配下に複数のパケット端末を収容する基地局であって、前記各パケット端末に付与された固有の端末アドレスと、前記パケット端末が通信を許されている1つ以上のユーザLANにそれぞれ割り当てられたユーザLAN名と、端末認証に必要な情報を対応づけて記憶する端末情報記憶手段と、前記パケット端末からの通信開始要求に応じて前記情報を使用した端末認証を行って、認証結果を前記パケット端末に通知するとともに、正規のパケット端末に対しては、前記通信開始要求に伴って前記パケット端末から通知されるユーザLAN名に前記ユーザLANを識別するための識別子を割り当てて通 Further, an invention according to claim 12, wherein the user LAN is another packet network is connected to multiple connection packet backbone network, and a base station accommodating a plurality of packet terminal under the a unique terminal address assigned to each packet terminal, a user LAN name assigned respectively to one or more users LAN to the packet terminal is allowed to communicate, association with each information necessary for terminal authentication a terminal information storage means for, by performing the terminal authentication with the information in response to the communication start request from the packet terminal, and notifies the authentication result to the packet terminal, for the normal packet terminal, said through assigning an identifier to identify the user LAN to the user LAN name notified from the packet terminal with the communication start request し、前記パケット端末が通信を終了したことを条件として前記ユーザLAN名に割り当てた前記識別子を解放する端末認証手段と、前記パケットバックボーン網と前記パケット端末の間で授受されるパケット中のデータ部を前記情報を用いて暗号化して送信するパケット暗号化手段と、宛先端末の前記端末アドレスである宛先アドレスと前記パケット端末の端末アドレスである送信元アドレスと前記識別子が暗号化データに付与されたパケットを前記パケット端末から受信して該暗号化データを復号するパケット復号化手段と、前記復号されたデータから改竄を検出して該パケットを廃棄するパケット改竄検出手段と、前記受信したパケットに含まれる識別子を割り当てたユーザLAN名と前記受信したパケットに含まれる送信元アドレス And, a terminal authentication means for releasing the identifier assigned to the user LAN name that said packet terminal has completed the communication condition, the data unit in the packet exchanged between the packet terminal and the packet backbone network a packet encryption means for encrypting and transmitting by using the information, the said source address as the destination address and the terminal address of the packet terminal is a terminal address of the destination terminal identifier is assigned to the encrypted data a packet decoding means for decoding the encryption of the data packets received from the packet terminal, a packet tampering detection means for discarding the packet by detecting the alteration from the decoded data, included in the received packet user LAN name and source address the included in the received packet assigned an identifier 組が、前記端末情報記憶手段に記憶されている前記ユーザLAN名及び前記端末アドレスの組の中に登録されているかどうかを確認する比較手段と、前記比較手段による確認結果に基づいて、前記登録があることを条件に前記宛先アドレスに前記パケットを転送し、前記登録が無いことを条件に前記パケットを廃棄するフィルタリング手段とを具備することを特徴としている。 Set includes a comparison means to determine whether the registered in the set of terminal information the user LAN name and the terminal address stored in the storage means, based on the check result by the comparing means, the registration It is characterized by comprising a filtering means able to forward the packet to the destination address on condition that, discarding the packet on condition that the registration is not.

【0023】また、請求項13記載の発明は、請求項1 [0023] The invention of claim 13, wherein the claim 1
1記載の発明において、前記パケット暗号化手段は、送信するパケットがユニキャストパケットであれば、各パケット端末毎に割り当てた暗号鍵を用いて暗号化し、前記送信するパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて暗号化し、前記パケット復号化手段は、受信したパケットがユニキャストパケットであれば、前記各パケット端末毎に割り当てた暗号鍵を用いて復号化し、前記受信したパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて復号化することを特徴としている。 In the invention of 1, wherein the packet encryption means, if the packet is a unicast packet to be transmitted, with the encryption key assigned to each packet terminal, a packet of the transmission is a broadcast packet or multicast packet if the encrypted using an encryption key assigned to each identifier, the packet decoding means, if the received packet is a unicast packet, decrypted using the encryption key the assigned to each packet terminal However, the received packet if the broadcast packet or multicast packet, is characterized in that decoding using the encryption key assigned to each identifier. また、請求項14記載の発明は、請求項11記載の発明において、前記パケット暗号化手段は、 Further, an invention according to claim 14, in the invention of claim 11, wherein the packet encryption means,
送信するパケットがユニキャストパケットであれば、各パケット端末毎に割り当てた暗号鍵を用いて暗号化し、 If the packet is a unicast packet to be transmitted, with the encryption key assigned to each packet terminal,
前記送信するパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて暗号化し、前記パケット復号化手段は、前記各パケット端末毎に割り当てた暗号鍵を用いて復号化することを特徴としている。 If the packet is a broadcast packet or a multicast packet to be transmitted, the encrypted using an encryption key assigned to each identifier, the packet decoding means, decrypted using the encryption key the assigned to each packet terminal It is characterized in that reduction. また、請求項1 Further, according to claim 1
5記載の発明は、請求項11記載の発明において、前記パケット暗号化手段は、前記各識別子毎に割り当てた暗号鍵を用いて送信するパケットのデータ部を暗号化し、 5 The invention described is the invention of claim 11, wherein the packet encryption unit encrypts the data portion of the packet to be transmitted using the encryption key the assigned to each identifier,
前記パケット復号化手段は、前記各識別子毎に割り当てた暗号鍵を用いて受信したパケットのデータ部を復号することを特徴としている。 Wherein the packet decoding means is characterized in that for decoding the data portion of the packet received using the encryption key the allocated for each identifier.

【0024】 [0024]

【発明の実施の形態】以下、本発明の種々の実施形態について、図面を参照して説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, various embodiments of the present invention will be described with reference to the drawings. なお、本発明は無線パケット網,有線パケット網の何れに対しても適用することができるが、以下では無線パケット網を中心にして説明を行い、最後に有線パケット網へ適用する場合の実施形態について説明する。 The present invention is an embodiment in a wireless packet network, but can also be applied to any wired packet network, which performs a description has been made in the wireless packet network in the following, is last applied to the wired packet network It will be described.

【0025】[第1実施形態]この第1実施形態は、請求項1,2,5記載のパケット転送方法および請求項1 [0025] [First Embodiment] The first embodiment is a method of packet transfer according to claim 1, 2, 5 description and claims 1
1記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 1 according.

【0026】図1は、本実施形態におけるパケット網のネットワーク構成を概略的に示している。 [0026] Figure 1 schematically shows a network configuration of a packet network in this embodiment. 同図において、複数の無線基地局1−6と、これら無線基地局1− In the figure, a plurality of radio base stations 1-6, these radio base stations 1-
6を接続する無線パケットバックボーン網1−5とで構成されるものを無線パケット網とする。 What it is composed of a wireless packet backbone network 1-5 connecting the 6 and wireless packet network. 各無線基地局1 Each radio base station 1
−6は配下に複数の無線パケット端末1−7を収容している。 -6 accommodates a plurality of wireless packet terminal 1-7 under. ユーザLAN1−4は他パケット網であって、無線パケットバックボーン網1−5はゲートウェイ1−1 The user LAN1-4 is a another packet network, the wireless packet backbone network 1-5 gateway 1-1
〜1−3を介して複数のユーザLAN1−4に接続している。 It is connected to a plurality of users LAN1-4 through ~1-3. ゲートウェイ1−3は後述するVLAN−IDに応じて何れかのユーザLAN1−4を選択し、パケットからVLAN−IDを削除したのち、選択したユーザL Gateway 1-3 selects one of the user LAN1-4 according to VLAN-ID to be described later, after deleting the VLAN-ID from the packet, the user L selected
ANへパケットを転送する。 To forward the packet to the AN. 無線パケットバックボーン網1−5とユーザLAN1−4との間の中継路1−10 Relay path 1-10 between the wireless packet backbone network 1-5 and the user LAN1-4
としては、ATM(Asynchronous Transfer Mode;非同期転送モード)網のバーチャルチャネルコネクション(VCC),インターネット上のバーチャルプライベートネットワーク(VPN)等の各種のものが選択可能である。 The, ATM; of (Asynchronous Transfer Mode) network virtual channel connection (VCC), any of various such virtual private network (VPN) on the Internet can be selected. また、無線パケットバックボーン網1−5は端末認証サーバ1−8に接続されている。 The radio packet backbone network 1-5 is connected to the terminal authentication server 1-8. この端末認証サーバ1−8は端末情報テーブルを記憶しており、無線パケット端末1−7が通信を開始する時に無線基地局1−6 The terminal authentication server 1-8 stores the terminal information table, the wireless base station when the wireless packet terminal 1-7 starts communication 1-6
へ端末情報を与える。 To give the terminal information.

【0027】本実施形態において、端末情報テーブルは少なくとも端末アドレスと、後述するVLAN−ID [0027] In this embodiment, VLAN-ID terminal information table to at least the terminal address, described below
と、端末認証に必要な情報として各端末固有の暗号鍵とを組にして持っている。 And, it has in the each terminal-specific encryption key to set as the information required for the terminal authentication. 端末アドレスとしてはイーサネットにおけるMAC(Media Access Control)アドレスを用いる。 The terminal address using MAC (Media Access Control) address in Ethernet. なお、無線パケット網はあらかじめ各無線パケット端末に暗号鍵を通知しておく。 The radio packet network should notify the encryption key in advance to each wireless packet terminals.

【0028】ここで、図2は本実施形態による無線基地局1−6の構成を示している。 [0028] Here, FIG. 2 shows the configuration of the radio base station 1-6 according to the present embodiment. 無線基地局1−6に設けられている各手段が有する機能については、これ以後の説明の中で順次説明してゆく。 For functions of the respective means provided in the radio base station 1-6, it slides into sequentially described in this following description. なお、同図において、実線は無線パケットバックボーン網1−5又は無線パケット端末1−7と無線基地局1−6との間で送受信されるパケット信号を意味しており、破線は無線基地局1−6 In the figure, a solid line means a packet signal transmitted and received between the wireless packet backbone network 1-5 or a wireless packet terminal 1-7 and the radio base station 1-6, the broken line wireless base station 1 -6
内の各部間の制御信号を意味している。 It means a control signal between each part of the inner.

【0029】図3は、本実施形態における無線パケット端末1−7の認証手順を示している。 [0029] Figure 3 illustrates an authentication procedure of the wireless packet terminal 1-7 in the present embodiment. 同図に示すように、無線パケット端末1−7は通信を開始する時に通信開始要求信号を無線基地局1−6へ送信する(2− As shown in the figure, the wireless packet terminal 1-7 transmits a communication start request signal when starting communication to the radio base station 1-6 (2-
1)。 1). 無線基地局1−6では、端末認証手段10が通信開始要求信号を受信して、端末認証サーバ1−8に端末情報要求を行う(2−2)。 In the radio base station 1-6, the terminal authentication unit 10 receives the communication start request signal, performs terminal information request to the terminal authentication server 1-8 (2-2). この端末情報要求に対して端末認証サーバ1−8が端末情報通知を無線基地局1− The radio base station terminal authentication server 1-8 terminal information notification to the terminal information request 1-
6に行うと、端末認証手段10はこの端末情報通知を受けて(2−3)、通知された端末情報を端末情報記憶手段11に記憶させる。 Doing 6, terminal authentication unit 10 receives the terminal information notification (2-3), and stores the notified terminal information in the terminal information storage unit 11. 次に、端末認証手段10は端末認証用の乱数を生成したのち、端末情報に含まれている暗号鍵を用いて暗号化し、暗号化された乱数を認証要求信号として無線パケット端末1−7に送信する(2− Then, the terminal authentication unit 10 After generating a random number for terminal authentication, and encrypted using the encryption key included in the terminal information, the wireless packet terminal 1-7 the encrypted random number as an authentication request signal send (2-
4)。 4). 無線パケット端末1−7は無線パケット網から通知されている暗号鍵で送信された乱数を復号化し、これを認証応答信号として無線基地局1−6に送り返す(2 Wireless packet terminal 1-7 decrypts the random number transmitted by the encryption key being notified from the radio packet network, back to the radio base station 1-6 as the authentication response signal (2
−5)。 -5). 無線基地局1−6では、端末認証手段10が認証要求信号として送信した乱数と送り返された乱数を比較する。 In the radio base station 1-6, compares the random number terminal authentication unit 10 is sent back as random number transmitted as an authentication request signal. 両者が一致する場合、端末認証手段10は無線パケット端末1−7を正規端末と判断し、認証受付信号を用いて無線パケット端末1−7に通信許可を通知する(2−6)。 If they match, the terminal authentication unit 10 of the wireless packet terminal 1-7 determines that regular terminal, and notifies the communication permission to the wireless packet terminal 1-7 using the authentication acceptance signal (2-6). これ以後は、パケット暗号化手段12が端末認証手段10から取得した暗号鍵を用いて、データパケット中のヘッダ部を除いたデータ部だけを暗号化して転送を行う。 This Thereafter, using an encryption key packet encryption unit 12 obtains from the terminal authentication unit 10, and transfers only the data portion excluding the header portion in the data packet is encrypted. 一方、上記2つの乱数が一致しない場合、 On the other hand, if the two random numbers do not match,
端末認証手段10は無線パケット端末1−7を不正端末と判断し、認証受付信号を用いて無線パケット端末1− Terminal authentication unit 10 of the wireless packet terminal 1-7 determines that unauthorized terminal, wireless packet terminal using the authentication acceptance signal 1-
7に通信拒否を通知する(2−6)。 7 To notify the communication rejection (2-6).

【0030】図4は、本実施形態におけるデータパケットの改竄検出手順を示している。 FIG. 4 shows a tampering detection procedure of the data packet in the present embodiment. 無線パケット端末1− Wireless packet terminal 1
7は、生起したデータに対する誤り検出符号を計算して当該データに付与してから暗号化し、さらにヘッダ情報を付与したデータパケットを無線基地局1−6に送信する(3−1)。 7 encrypts after given to the data to calculate an error detection code for occurrence data, further transmits the data packet imparted with header information to the radio base station 1-6 (3-1). 無線基地局1−6では、パケット復号化手段13がデータパケット中の暗号化されたデータ部を復号してパケット改竄検出手段14に送出する。 In the radio base station 1-6, the packet decoding unit 13 is sent by decoding data unit which is encrypted in the data packet to the packet tampering detection means 14. パケット改竄検出手段14は復号されたデータの誤り検出符号を計算し、この計算された誤り検出符号と復号によってパケットから得た誤り検出符号とを比較して、両者が一致する場合は改竄無しと判断し、両者が一致しない場合は改竄ありと判断する。 Packet tampering detection unit 14 calculates an error detecting code of the decoded data, by comparing the error detection code obtained from the packet by decoding this calculated error detecting code, if they coincide with each other with no tampering We are determined, if they do not match it is determined that there is tampering.

【0031】表1は、本実施形態における端末情報テーブルを示している。 [0031] Table 1 shows the terminal information table in the present embodiment. 端末情報テーブルは、端末アドレスと、VLAN−IDと、端末認証に必要な情報としての暗号鍵とからなる端末情報で構成されている。 Terminal information table, and the terminal address, and VLAN-ID, is composed of a terminal information composed of the encryption key as information necessary for terminal authentication. なお、この端末情報は端末認証手段10が端末情報記憶手段11 Incidentally, the terminal information terminal authentication unit 10 in the terminal information storage means 11
へ記憶させる(図2を参照)。 Is stored into (see Figure 2).

【0032】 [0032]

【表1】 [Table 1]

【0033】このVLAN−IDはユーザLAN1−4 [0033] The VLAN-ID is a user LAN1-4
を識別するための識別子として定義され、各ユーザLA It is defined as an identifier for identifying each user LA
Nに固有の値があらかじめ割り当てられている。 Unique value is allocated in advance to the N. 無線パケット端末1−7は、自分の所属するユーザLAN1− Wireless packet terminal 1-7, the user to his or her affiliation LAN1-
4のVLAN−IDをそれぞれ端末認証サーバ1−8にあらかじめ登録している。 4 of the VLAN-ID of each are registered in advance in the terminal authentication server 1-8.

【0034】図5は、本実施形態における無線パケット網が使用するパケットの信号フォーマットを示している。 [0034] FIG. 5 shows a signal format of a packet used wireless packet network in the present embodiment. 同図に示すように、パケットはヘッダ情報として宛先アドレス4−1,送信元アドレス4−2及びVLAN As shown in the figure, the packet destination address 4-1 as header information, source address 4-2 and VLAN
−ID4−3を持っており、ユーザデータ4−4の部分は暗号化されている。 Has a -ID4-3, portion of the user data 4-4 is encrypted.

【0035】以下に詳述するように、無線基地局1−6 [0035] As will be described in greater detail below, the radio base station 1-6
は、無線パケット端末1−7から受信したパケットの内、VLAN−ID4−3が当該無線パケット端末の所属するユーザLAN1−4のVLAN−IDに一致するパケットのみを転送し、これらVLAN−IDが一致しないパケットは廃棄する。 , Of the packet received from the wireless packet terminal 1-7 transfers only packets VLAN-ID4-3 match the VLAN-ID of the user LAN1-4 belonging to the wireless packet terminal, these VLAN-ID unmatched packet is discarded.

【0036】図6は、本実施形態におけるパケット転送手順を示している。 [0036] Figure 6 shows a packet forwarding procedure in the present embodiment. 無線基地局1−6は通信開始時に図3に示した認証を行い、無線パケット端末1−7が正規端末であると判断された場合には通信を開始させる。 The radio base station 1-6 performs the authentication as shown in FIG. 3 at the start of communications, when the wireless packet terminal 1-7 is determined to be an authorized terminal initiates the communication. 次に、無線基地局1−6は図4に示した改竄検出手順を行い、無線パケット端末1−7から受信したデータパケット(5−1)の改竄を検出した場合はこのデータパケットを廃棄する。 Then, the radio base station 1-6 performs tampering detection procedure shown in FIG. 4, when detecting tampering of the data packet received from the wireless packet terminal 1-7 (5-1) discards the data packet . 一方で改竄が検出されない場合、無線基地局1−6では、端末アドレス/VLAN−ID比較手段15が端末情報記憶手段11に記憶してある端末情報を参照し、VLAN−IDと送信元アドレス4−2との対応を確認してその結果をフィルタリング手段16に送出する。 If on the other hand falsification is not detected, the radio base station 1-6, terminal address / VLAN-ID comparing unit 15 refers to the terminal information stored in the terminal information storage unit 11, it transmits a VLAN-ID source address 4 check the correspondence -2 and sends the result to the filtering means 16. すなわち、端末アドレス/VLAN−ID比較手段15は、表1に示す端末情報テーブルを検索して、 That is, the terminal address / VLAN-ID comparing unit 15 searches the terminal information table shown in Table 1,
端末アドレス,VLAN−IDがそれぞれデータパケット中の送信元アドレス4−2,VLAN−ID4−3に等しいものが存在すれば、上記対応が端末情報に一致しているものと判断する。 Terminal address, source address 4-2 each VLAN-ID in the data packet, if there is equal to VLAN-ID4-3, determines that the corresponding matches the terminal information. フィルタリング手段16は送られた確認結果に基づき、上記対応が端末情報に一致していれば宛先アドレス4−1で指定された宛先端末にデータパケットを転送する(5−2)。 Filtering means 16 based on the check result sent, the corresponding transfers data packets to the specified destination terminal in the destination address 4-1 If they match the terminal information (5-2). この時、宛先端末がユーザLAN1−4と接続していれば、データパケットはゲートウェイ1−3からゲートウェイ1−1又はゲートウェイ1−2を介してユーザLAN1−4に転送される。 At this time, if the connection destination terminal user LAN1-4, the data packet is forwarded to the user LAN1-4 through the gateway 1-1 or gateway 1-2 from the gateway 1-3. また、宛先端末が無線パケット網と接続している場合、データパケットはゲートウェイを介することなく宛先端末に転送される。 Also, when the destination terminal is connected to the wireless packet network, the data packet is forwarded to the destination terminal without going through the gateway. 一方、VLAN−IDと送信元アドレス4−2との対応が端末情報に一致していない場合、フィルタリング手段16はデータパケットを廃棄する。 On the other hand, if the correspondence between the source address 4-2 VLAN-ID does not coincide with the terminal information, the filtering means 16 discards the data packet.

【0037】ここで、ユーザLAN1−4から無線パケット端末1−7へパケットを転送する場合の手順について簡単に説明しておく。 [0037] Here, briefly describes the steps of transferring the packet from the user LAN1-4 to wireless packet terminal 1-7. ユーザLAN1−4が自身に接続しているゲートウェイ1−1又はゲートウェイ1−2 Gateway user LAN1-4 is connected to its own 1-1 or gateway 1-2
にパケットを送信すると、これらゲートウェイは送信されたパケットを中継路1−10からゲートウェイ1−3 When transmitting a packet, these gateways gateways 1-3 a packet transmitted from the relay path 1-10
に転送する。 To transfer to. ゲートウェイ1−3は、パケットが送られてきた中継路1−10に応じて送信元のユーザLAN1 The gateway 1-3, the user LAN1 source in response to the relay path 1-10 packet is sent
−4に割り当てられているVLAN−IDをパケットに付与したのちに無線パケットバックボーン網1−5に転送する。 The VLAN-ID assigned to -4 After imparted to the packet forwarding in a wireless packet backbone network 1-5. 無線基地局1−6は転送されてきたパケットを受信し、当該パケットのデータ部を暗号化して宛先アドレスが示す無線パケット端末1−7へ送信し、無線パケット端末1−7は暗号化されたパケットを受信して復号する。 The radio base station 1-6 receives the packet transferred, and sends to the wireless packet terminal 1-7 shown on the destination address and encrypt the data portion of the packet, the wireless packet terminal 1-7 encrypted receiving a packet for decoding.

【0038】以上のように、本実施形態によれば、通信開始時に端末認証することによって無線パケット端末を特定可能であり、未知の端末や端末アドレスを偽造した端末からの不正アクセスを防止することができる。 [0038] As described above, according to this embodiment, it is possible identify a wireless packet terminal by terminal authentication at the start of communication, to prevent unauthorized access from a terminal forged unknown terminals and terminal address can. また、端末固有の暗号鍵により暗号化してパケットを転送することにより、不正な端末が認証された正規の端末になりすますことを防止可能であり、なりすまし端末による不正アクセスを防止することができる。 Furthermore, by transferring the packet encrypted by the terminal specific encryption key, it is possible to prevent the impersonation of proper terminal unauthorized terminal is authenticated, it is possible to prevent unauthorized access by spoofing the terminal. さらに、暗号の復号時に改竄を検出してパケットを廃棄することにより、改竄されたパケットの転送を防止可能であり、改竄データによる通信の妨害と無線パケット網のトラヒック増加を防止する効果が得られる。 Furthermore, by discarding the packet by detecting tampering when encryption of decryption, it is possible to prevent the transfer of tampering packets, the effect of preventing the interference and traffic increase of the wireless packet network of communication by alteration data is obtained . しかも、VLAN−I In addition, VLAN-I
Dと送信元アドレスの対応を確認することにより、認証後の端末が自分の属していないユーザLANにアクセスすることを防止可能であり、他ユーザLANに所属している端末からの不正アクセスを防止することができる。 By checking the corresponding source address and D, it is possible to prevent the terminal after the authentication to access the user LAN that does not belong of their own, prevent unauthorized access from the terminal that belongs to other users LAN can do.

【0039】[第2実施形態]この第2実施形態は、請求項1,2,5記載のパケット転送方法および請求項1 [0039] [Second Embodiment] The second embodiment is a method of packet transfer according to claim 1, 2, 5 description and claims 1
1記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 1 according.

【0040】本実施形態において、パケット網のネットワーク構成,無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、それぞれ図1〜図5に示した第1 [0040] In this embodiment, the network configuration of the packet network, configuration of the radio base station, the procedure of the authentication wireless packet terminal, the signal format of the falsification detection procedure and packet data packets, first shown in FIGS. 1 to FIG. 5 1
実施形態の場合と等しい。 Equal to the embodiment.

【0041】第1実施形態と同様に、VLAN−IDは各ユーザLAN1−4に固有の値があらかじめ割り当てられている。 [0041] Similar to the first embodiment, VLAN-ID is unique value is assigned in advance to each user LAN1-4.

【0042】各無線パケット端末1−7は、接続を許可されている複数のユーザLAN1−4のVLAN−ID [0042] Each wireless packet terminals 1-7, VLAN-ID of the plurality of users LAN1-4 who are allowed to connect
を端末認証サーバ1−8にあらかじめ登録している。 The are registered in advance in the terminal authentication server 1-8.

【0043】表2は、本実施形態における端末情報テーブルを示している。 [0043] Table 2 shows the terminal information table in the present embodiment. 例えば、端末アドレスとしてアドレス#1を持つ無線パケット端末は、VLAN−IDとしてVLAN−ID#A又はVLAN−ID#Bを持つユーザLAN1−4に接続が許可されている。 For example, wireless packet terminals having an address # 1 as a terminal address, connected to the user LAN1-4 is allowed to have a VLAN-ID # A and VLAN-ID # B as VLAN-ID.

【0044】 [0044]

【表2】 [Table 2]

【0045】以下に詳述するように、無線基地局1−6 [0045] As will be described in greater detail below, the radio base station 1-6
は、無線パケット端末1−7から受信したパケットの内、当該無線パケット端末が接続を許可されているユーザLANのVLAN−IDの何れかとVLAN−ID4 , Of the packet received from the wireless packet terminal 1-7, VLAN-ID4 and either VLAN-ID of the user LAN to which the wireless packet terminal is allowed to connect
−3が一致するパケットのみを転送し、何れのVLAN Only packets -3 match transfers, any VLAN
−IDにも一致しないパケットは廃棄する。 Packets that do not match even in -ID is discarded.

【0046】図7は、本実施形態におけるパケット転送手順を示している。 [0046] Figure 7 shows a packet forwarding procedure in the present embodiment. 無線基地局1−6では端末認証手段10が無線パケット端末1−7に対する認証を行い、当該無線パケット端末が正規の端末であれば暗号通信を開始する。 The radio base station 1-6 in the terminal authentication unit 10 performs authentication for wireless packet terminal 1-7, the wireless packet terminal starts the encrypted communication if a terminal authorized. 次に、無線基地局1−6ではパケット復号化手段13が無線パケット端末1−7からのデータパケットを復号(6−1)し、パケット改竄検出手段14は受信データパケットの改竄を調べ、改竄が検出された場合はパケットを廃棄する。 Then, the radio base station 1-6 in the packet decoding unit 13 decodes (6-1) data packets from the wireless packet terminal 1-7, packet tampering detection unit 14 examines the falsification of the received data packet, tampering If is detected discards the packet. なお、これまでの手順は第1実施形態と同様である。 Note that the previous steps are the same as the first embodiment. 一方、改竄が検出されない場合、無線基地局1−6では、端末アドレス/VLAN−ID比較手段15が端末情報記憶手段11に記憶してある端末情報を参照し、VLAN−ID4−3と送信元アドレス4−2との対応が端末情報に登録済みであるかどうか確認してその結果をフィルタリング手段16に送出する。 On the other hand, if the alteration is not detected, the radio base station 1-6, with reference to the terminal information terminal address / VLAN-ID comparing unit 15 are stored in the terminal information storage unit 11, source and VLAN-ID4-3 correspondence between the address 4-2 is sent to the filtering means 16, to confirm whether registered in the terminal information.
すなわち、端末アドレス/VLAN−ID比較手段15 That is, the terminal address / VLAN-ID comparing unit 15
は、端末情報テーブル中の端末アドレスが送信元アドレス4−2に一致し、かつ、当該端末アドレスに対応して登録されている複数のVLAN−IDの中にVLAN− The terminal address in the terminal information table matches the source address 4-2, and, among a plurality of VLAN-ID that are registered in correspondence with the terminal address VLAN-
ID4−3と一致するものが存在していれば、上記対応が端末情報に登録済みであるものと判断する。 If there is a match with ID4-3, it is determined that the correspondence is registered in the terminal information. そして、 And,
フィルタリング手段16は送られた確認結果に基づいて、上記対応が端末情報に登録済みであれば宛先アドレス4−1で指定された宛先端末にデータパケットを転送する(6−2)。 Filtering means 16 based on the check result sent, the corresponding transfers data packets to the specified destination terminal in the destination address 4-1 if registered in the terminal information (6-2). この時、宛先端末がユーザLAN1− At this time, the destination terminal user LAN1-
4と接続しているならば、データパケットはゲートウェイ1−3からゲートウェイ1−1又はゲートウェイ1− If 4 to be connected, the gateway from the data packet gateway 1-3 1-1 or gateway 1-
2を介してユーザLAN1−4に転送される。 It is transferred to the user LAN1-4 through 2. また、宛先端末が無線パケット網と接続している場合、データパケットはゲートウェイを介することなく宛先端末に転送される。 Also, when the destination terminal is connected to the wireless packet network, the data packet is forwarded to the destination terminal without going through the gateway. 一方、VLAN−IDと送信元アドレスとの対応が端末情報に未登録の場合、フィルタリング手段16 On the other hand, if the correspondence between the source address VLAN-ID is not registered in the terminal information, the filtering means 16
はデータパケットを廃棄する。 It discards the data packet.

【0047】以上のように、本実施形態によれば、第1 [0047] As described above, according to this embodiment, the first
実施形態から得られる効果のほかにさらに以下の効果が得られる。 Further the following effects in addition to the effects obtained from the embodiment can be obtained. すなわち、VLAN−IDと送信元アドレスの対応を確認することにより、認証後の端末が接続の許可されていないデータ網にアクセスすることを防止可能であり、接続を許可されている端末から他データ網への不正アクセスを防止することができる。 In other words, by confirming the corresponding source address and VLAN-ID, it is possible to prevent the terminal after the authentication to access a data network that is not permitted in connection with other data from a terminal is allowed to connect it is possible to prevent unauthorized access to the network. また、1無線パケット端末あたり複数のVLAN−IDを登録することにより、1つの無線パケット端末で複数のデータ網にアクセスすることが可能であり、ユーザヘのサービス性が向上する。 Moreover, by registering a plurality of VLAN-ID per radio packet terminal, it is possible to access multiple data networks in one wireless packet terminal, thereby improving the serviceability of Yuzahe.

【0048】[第3実施形態]この第3実施形態は、請求項1,2,4,5,8記載のパケット転送方法および請求項11,13記載の基地局を適用した場合に相当している。 [0048] [Third Embodiment] The third embodiment is equivalent to the case of applying the method of packet transfer according to claim 1,2,4,5,8 description and claims 11 and 13 base station according there.

【0049】図8は、本実施形態におけるパケット網のネットワーク構成を概略的に示している。 [0049] Figure 8 illustrates schematically the network structure of the packet network in this embodiment. 第1実施形態と同様に、無線パケット網は、複数の無線基地局7−6 Like the first embodiment, a wireless packet network, a plurality of radio base stations 7-6
と、これら複数の無線基地局7−6を接続する無線パケットバックボーン網7−5とで構成されている。 When, and a wireless packet backbone network 7-5 for connecting the plurality of radio base stations 7-6. 各無線基地局7−6はその配下に複数の無線パケット端末7− Each radio base station 7-6 of the plurality under the wireless packet terminals 7-
7を収容している。 Housing the 7. 無線パケットバックボーン網7−5 Wireless packet backbone network 7-5
は、ゲートウェイ7−1〜7−3を介して、複数のユーザLAN7−4(他パケット網)に接続されている。 Via the gateway 7-1 to 7-3 are connected to a plurality of users LAN7-4 (other packet networks). ここで、ゲートウェイ7−3はVLAN−ID4−3に応じて何れかのユーザLAN7−4を選択し、パケットからVLAN−IDを削除したのち、選択したユーザLA Here, after the gateway 7-3 to select one of the user LAN7-4 according to VLAN-ID4-3, and deletes the VLAN-ID from the packet, the user LA selected
Nへパケットを転送する。 It forwards the packet to N. さらに、本実施形態における無線パケットバックボーン網7−5はパケットを中継する複数の中継ノード7−9を有している。 Further, the wireless packet backbone network 7-5 in the present embodiment has a plurality of relay nodes 7-9 that relays a packet. 各中継ノード7−9は、パケット中の宛先アドレス4−1及びVLA Each relay node 7-9, the destination address 4-1 and VLA in the packet
N−ID4−3を用いたルーチング情報を有しており、 Has a routing information using the N-ID4-3,
このルーチング情報に従って最適な経路を選択してパケットを転送する。 By selecting an optimal path to forward packets according to the routing information. 例えば、中継ノード7−9は、パケットを受信した時に、受信パケット中の送信元アドレス4 For example, the relay node 7-9, when receiving a packet, the transmission being received packet source address 4
−2が示す端末アドレスと当該パケットを受信したポート、および、受信パケット中のVLAN−ID4−3と当該パケットを受信したポートを対応づけて記憶する。 Ports -2 receives the terminal address and the packet shown, and, stores an association port receiving the VLAN-ID4-3 and the packet in the received packet.
次に、中継ノード7−9は、受信パケットがユニキャストパケットならば、宛先アドレス4−1が示す端末アドレスに対応するポートへ受信パケットを送信する。 The relay node 7-9 receives packet if a unicast packet, and transmits the received packet to a port corresponding to the terminal address indicated by the destination address 4-1. これに対し、受信パケットがブロードキャストパケット又はマルチキャストパケットならば、中継ノード7−9はV In contrast, if the received packet is a broadcast packet or a multicast packet, the relay nodes 7-9 V
LAN−ID4−3に対応する全てのポートへ受信パケットを送信する。 It transmits the received packet to all ports corresponding to the LAN-ID4-3. なお、ここで言う“ポート”は、中継ノード7−9が自身に隣接する中継ノード又は無線基地局との間の通信路を接続するためのインタフェースである。 Here, the term "port" is an interface for connecting a communication path between the relay node or the radio base station relay nodes 7-9 are adjacent to itself. また、中継路7−10としては、図1に示した中継路1−10と同様に各種のものが選択可能である。 As the relay path 7-10, similar to the various relay path 1-10 shown in FIG. 1 can be selected. また、無線パケットバックボーン網7−5は中継ノード7 The radio packet backbone network 7-5 relay node 7
−9を介して端末認証サーバ7−8に接続されている。 It is connected to the terminal authentication server 7-8 via -9.
端末認証サーバ7−8は図1に示した端末認証サーバ1 Terminal authentication server 7-8 terminal authentication server 1 shown in FIG. 1
−8と同じく表2に示した端末情報テーブルを記憶しており、無線パケット端末7−7が通信を開始する際に無線基地局7−6に対して端末情報を与える。 -8 also stores the terminal information table shown in Table 2 and give the terminal information to the radio base station 7-6 when the wireless packet terminal 7-7 starts communication.

【0050】本実施形態において、この端末情報テーブルに登録された暗号鍵は端末認証及びユニキャストパケットの暗号化に用いられ、以下ではこの暗号鍵を「端末鍵」という。 In the present embodiment, the encryption key registered in the terminal information table is used to encrypt the terminal authentication and unicast packets, hereinafter the encryption key referred to as "terminal key". なお、無線パケット網は各無線パケット端末7−7に端末鍵をあらかじめ通知しておく。 The radio packet network in advance notify the terminal key to each wireless packet terminal 7-7.

【0051】以上に加えて、端末認証サーバ7−8は表3に示すVLAN情報テーブルにVLAN情報を持っている。 [0051] In addition to the above, the terminal authentication server 7-8 has a VLAN information to the VLAN information table shown in Table 3.

【0052】 [0052]

【表3】 [Table 3]

【0053】このVLAN情報テーブルは、VLAN− [0053] The VLAN information table, VLAN-
IDと、同じVLAN−IDを持つ全ての端末で共通に使用する暗号鍵(以下、「VLAN鍵」という)との対応を記録している。 ID and encryption key to be used in common by all of the terminals that have the same VLAN-ID (hereinafter referred to as "VLAN key") is recorded the correspondence between. このVLAN鍵はブロードキャストパケット及びマルチキャストパケットの暗号化に使用される。 The VLAN key is used to encrypt the broadcast packet and multicast packet. なお、無線パケット網は各無線パケット端末7− The radio packet network each radio packet terminal 7-
7に対してVLAN鍵をあらかじめ通知しておく。 Advance notification of the VLAN key to 7.

【0054】第1実施形態と同様に、VLAN−IDは各ユーザLAN7−4に固有の値があらかじめ割り当てられている。 [0054] Similar to the first embodiment, VLAN-ID is unique value is assigned in advance to each user LAN7-4.

【0055】無線パケット端末7−7は自分の所属するユーザLAN7−4のVLAN−IDをそれぞれ端末認証サーバ7−8の端末情報テーブルにあらかじめ登録している。 [0055] wireless packet terminal 7-7 is pre-registered in the terminal information table of each of the VLAN-ID of the user LAN7-4 that you belong terminal authentication server 7-8.

【0056】以下に詳述するように、無線基地局7−6 [0056] As will be described in greater detail below, the radio base station 7-6
は、無線パケット端末7−7から受信したパケットの内、当該無線パケット端末が接続を許可されているユーザLAN7−4のVLAN−IDの何れかとVLAN− , Of the packet received from the wireless packet terminal 7-7, and any of the VLAN-ID of the user LAN7-4 that the wireless packet terminal is allowed to connect VLAN-
ID4−3が一致するパケットのみを転送し、何れのV Only a transfer packet which ID4-3 matches, either V
LAN−IDにも一致しないパケットは廃棄する。 Packet that does not match the LAN-ID is discarded.

【0057】本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 [0057] configuration of the wireless base station in the present embodiment, a procedure of authentication wireless packet terminal, the signal format of the falsification detection procedure and packet data packets, each equal to the case of the first embodiment shown in FIGS. 2 to 5 .

【0058】図9は、本実施形態におけるパケット転送手順を示している。 [0058] Figure 9 shows a packet forwarding procedure in the present embodiment. 第1実施形態と同様に、無線基地局7−6では、端末認証手段10が通信開始時に無線パケット端末7−7に対する認証を行い、当該無線パケット端末が正規の端末であれば暗号通信を開始する。 Like the first embodiment, the radio base station 7-6, to authenticate to wireless packet terminal 7-7 at the start of communication terminal authentication unit 10, starts the encrypted communication when the wireless packet terminal is a terminal of a regular to. なお、 It should be noted that,
この認証に際して、端末認証手段10は端末認証サーバ7−8から端末情報と共にVLAN情報を得て端末情報記憶手段11に記憶させる。 In this authentication, terminal authentication unit 10 is stored in the terminal information storage unit 11 obtains VLAN information together with the terminal information from the terminal authentication server 7-8. 一方、無線パケット端末7 On the other hand, the wireless packet terminal 7
−7は、ユニキャストパケットを送信する時には端末鍵を選択して暗号化を行い、暗号化されたデータパケットを無線基地局7−6に送信する(8−1)。 -7, when transmitting a unicast packet to encrypt by selecting terminal key, transmits the encrypted data packet to the radio base station 7-6 (8-1). 一方、無線パケット端末7−7は、ブロードキャストパケット又はマルチキャストパケットを送信する時にはVLAN鍵を選択して暗号化を行い、暗号化されたデータパケットを無線基地局7−6に送信する(8−1)。 On the other hand, the wireless packet terminal 7-7, when transmitting a broadcast packet or multicast packet to encrypt by selecting VLAN key and sends the encrypted data packet to the radio base station 7-6 (8-1 ). これらに対応して、無線基地局7−6のパケット復号化手段13は、 In response to these, the packet decoding unit 13 of the radio base station 7-6,
ユニキャストパケットを受信した時には端末鍵を選択してデータパケットを復号し、また、ブロードキャストパケット又はマルチキャストパケットを受信した時にはV Select terminal key upon receiving a unicast packet decodes the data packet, also, V is when receiving a broadcast packet or multicast packet
LAN鍵を選択してデータパケットを復号する。 Decoding the data packet by selecting the LAN key. パケット改竄検出手段14は、図4に示した改竄検出手順に従って復号されたデータパケットの改竄の有無を調べ、改竄が検出された場合にはデータパケットを廃棄する。 Packet tampering detection unit 14 checks the presence or absence of falsification of decoded data packets according to tampering detection procedure shown in FIG. 4, when tampering is detected discards the data packet. 一方、データパケットの改竄が検出されない場合、端末アドレス/VLAN−ID比較手段15は、第2実施形態と同様にしてVLAN−ID4−3と送信元アドレス4 On the other hand, if the alteration of the data packet is not detected, the terminal address / VLAN-ID comparing unit 15, it transmits the second embodiment and the VLAN-ID4-3 in the same manner based on the address 4
−2の対応を確認し、これらの対応が端末情報に登録済みであれば宛先アドレスで指定された宛先端末にデータパケットを転送する(8−2)。 Correspondence -2 sure, these measures will forward the data packets to the specified destination terminal in the destination address if registered in the terminal information (8-2). この時、本実施形態では、宛先端末がユーザLAN7−4と接続している場合、各中継ノード7−9はデータパケット中の宛先アドレス4−1に応じて次の送信ポートを選択してゲートウェイ7−3へデータパケットを転送する。 At this time, in this embodiment, when the destination terminal is connected to the user LAN7-4, each relay node 7-9 selects the next transmission port according to the destination address 4-1 in the data packet gateway 7-3 to transfer the data packet to. ゲートウェイ7−3はVLAN−ID4−3に応じてゲートウェイ7 Gateway The gateway 7-3 in accordance with the VLAN-ID4-3 7
−1又はゲートウェイ7−2の何れかを選択してデータパケットをユーザLAN7−4に転送する。 -1 or by selecting one of the gateways 7-2 and transfers the data packets to the user LAN7-4. また、宛先端末が無線パケット網と接続している場合、各中継ノード7ー9は宛先アドレス4−1に応じて次の送信ポートを選択してデータパケットを宛先端末へ転送する。 Also, when the destination terminal is connected to the wireless packet network, the relay nodes 7-1 9 selects the next transmission port forwards the data packet to the destination terminal in response to the destination address 4-1. したがってこの場合はゲートウェイを介することなくデータパケットが転送される。 Accordingly, in this case the data packet is transferred without going through the gateway. 一方、VLAN−IDと送信元アドレスとの対応が端末情報に登録されていない場合、 On the other hand, if the correspondence between the source address VLAN-ID is not registered in the terminal information,
フィルタリング手段16はデータパケットを廃棄する。 Filtering means 16 discards the data packet.

【0059】図10は、本実施形態におけるブロードキャストパケットの転送手順を示している。 [0059] Figure 10 shows a procedure of forwarding the broadcast packet in this embodiment. 送信元端末ではデータが生起するとブロードキャストパケットを無線基地局7−6に送信する(9−1)。 In the sender terminal transmits a broadcast packet when occurring the data to the radio base station 7-6 (9-1). 無線基地局7−6 Radio base station 7-6
では、パケット暗号化手段12が端末認証手段10から取得した暗号鍵のうちVLAN鍵を選択(9−2)してブロードキャストパケットを暗号化(9−3)し、全てのパケット端末(同図では無線パケット端末#1,# In selecting the VLAN key of the encryption key packet encryption unit 12 obtains from the terminal authentication section 10 (9-2) to encrypt broadcast packets (9-3), and all packet terminal (in the figure wireless packet terminal # 1, #
2)へブロードキャストパケットを送信する(9− 2) to send a broadcast packet (9-
4)。 4). 各無線パケット端末#1,#2では、暗号鍵としてVLAN鍵を選択(9−5)し、暗号化されたブロードキャストパケットを復号化する(9−6)。 Each wireless packet terminals # 1 and # 2, choose the VLAN key as an encryption key (9-5), and decodes the broadcast packet encrypted (9-6). このように本実施形態では、暗号化にVLAN鍵を用いているため、同じVLAN−IDを有するパケット端末がブロードキャストパケット及びマルチキャストパケットを復号化することが可能である。 As described above, in this embodiment, due to the use of VLAN key encryption, packet terminal having the same VLAN-ID is capable of decoding the broadcast packet and multicast packet.

【0060】図11は、ブロードキャストパケットがネットワーク内を転送されてゆく様子を示している。 [0060] Figure 11 shows a state in which broadcast packets Yuku is transferred in the network. 同図に示すように、ユーザLAN#Aに属する無線パケット端末7−7a(送信端末)がブロードキャストパケットを無線基地局7−6aに送信すると、このパケットは無線パケットバックボーン網7−5に送出される。 As shown in the figure, when the wireless packet terminals 7-7a belonging to the user LAN # A (transmission terminal) transmits a broadcast packet to the wireless base station 7-6a, the packet is sent to the radio packet backbone network 7-5 that. 無線パケットバックボーン網7−5は、VLAN−ID4−3 Wireless packet backbone network 7-5, VLAN-ID4-3
に応じて中継ノード7−9aからゲートウェイ7−3及び中継ノード7−9bにブロードキャストパケットを転送する。 Forwarding broadcast packets to the gateway 7-3, and the relay node 7-9b from the relay node 7-9a in response to. ここで、ゲートウェイ7−3はVLAN−ID Here, the gateway 7-3 VLAN-ID
4−3を見て、ユーザLAN#Aに接続されたゲートウェイ7−1へブロードキャストパケットを転送する。 4-3 watches, forwarding broadcast packets to the gateway 7-1 is connected to the user LAN # A. 一方、中継ノード7−9bはブロードキャストパケットをさらに中継ノード7−9cと転送し、中継ノード7−9 On the other hand, the relay node 7-9b transfers the further relay node 7-9c broadcast packet, the relay nodes 7-9
cは、ユーザLAN#Aに属する無線パケット端末7− c is wireless packet terminals belonging to the user LAN # A 7-
7cが接続された無線基地局7−6cにブロードキャストパケットを転送する。 7c forwards the broadcast packet to the connected wireless base station 7-6C.

【0061】このように、VLAN−IDを用いたルーチング情報によって経路が選択されてブロードキャストパケットが転送される。 [0061] Thus, the selected route is the routing information using the VLAN-ID is broadcast packet is forwarded. また、無線基地局7−6bにはユーザLAN#Bに属する無線パケット端末7−7bのみが接続されており、VLAN−ID4−3と同じVL Further, only the wireless packet terminals 7-7b belonging to the user LAN # B to the wireless base station 7-6b are connected, the same VL as VLAN-ID4-3
AN−IDを有する無線パケット端末を配下に持っていない。 It does not have to subordinate the wireless packet terminal having an AN-ID. したがって、中継ノード7−9bは無線基地局7 Accordingly, the relay node 7-9b radio base station 7
−6bに対してブロードキャストパケットを転送しない。 It does not forward broadcast packets to -6b.

【0062】なお、上述した説明では第2実施形態を基にしたパケット転送手順について説明したが、第1実施形態を基にしても良い。 [0062] Although in the above description has been described packet forwarding procedure based on the second embodiment may be based on the first embodiment. そうした場合、端末情報テーブルとしては表2の代わりに表1を使用することになるほか、VLAN−IDと送信元アドレスの対応が端末情報に登録済みであるか確認する(図9における8−3)代わりに、この対応が端末情報に一致するかどうか確認することになる(図6における5−3)。 In such cases, in addition to the terminal information table will be used in Table 1 instead of Table 2, the corresponding VLAN-ID and the source address is confirmed whether the registered in the terminal information (8-3 in FIG. 9 ) Alternatively, this correspondence is possible to confirm whether it matches the terminal information (5-3 in FIG. 6).

【0063】以上のように、本実施形態によれば第1〜 [0063] As described above, the first to according to this embodiment
第2実施形態に加えて以下の効果が得られる。 The following effects are obtained in addition to the second embodiment. すなわち、本実施形態では、宛先アドレスに応じて次の中継ノードを選択してパケットを転送するため、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 That is, in this embodiment, in order to forward the packet to select the next relay node according to the destination address, when the wireless packet terminal packet transfer to another wireless packet terminal, optimum route without passing through the gateway be capable of selecting the by transfer, it is possible to prevent an increase in transfer delay time.

【0064】また、ブロードキャストパケット又はマルチキャストパケットを転送する場合は、VLAN−ID [0064] In the case of forward broadcast packets or multicast packets, VLAN-ID
に応じて次の中継ノードを選択して転送するため、同じVLAN−IDを用いて通信している全ての無線パケット端末に対してゲートウェイからユニキャスト転送する必要がない。 Next to transfer by selecting the relay node, it is not necessary to unicast forwarding from the gateway to all the wireless packet terminals communicating with the same VLAN-ID in accordance with the. したがって、最適な経路選択でパケットを転送することが可能であり、転送遅延時間,トラヒック,ゲートウェイの処理負荷の増加をそれぞれ防止することができる。 Therefore, it is possible to forward packets at an optimal path selection, it is possible to prevent transfer delay, traffic, an increase in the gateway processing load, respectively.

【0065】また、VLAN−IDが同じであれば共通の暗号鍵を用いてブロードキャストパケット又はマルチキャストパケットを暗号化しているため、無線基地局は、同一のVLAN−IDを持つ配下の全無線パケット端末に対して、1回の送信でブロードキャストパケット又はマルチキャストパケットを転送することが可能となる。 [0065] In addition, since the VLAN-ID is encrypted broadcast packet or multicast packet by using the common encryption key if the same radio base station, all the radio packet terminal under with the same VLAN-ID respect, it is possible to transfer the broadcast packet or multicast packet transmission once. したがって、各無線パケット端末の暗号鍵を用いて暗号化したパケットを複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷を抑制することができる。 Therefore, as compared with the case of transmitting a plurality of times the encrypted packet using the encryption key of the wireless packet terminals, traffic, transfer delay, suppress the load of the base station. なお、VLAN鍵は端末固有の暗号鍵ではないが、異なるVLAN−IDを持つパケット端末は知りえないため、なりすましによる不正アクセスは生じない。 In addition, VLAN key is not a terminal-specific encryption key, because that can not be know packet terminal with a different VLAN-ID, unauthorized access by spoofing does not occur.

【0066】[第4実施形態]この第4実施形態は、請求項1,2,4,5,9記載のパケット転送方法および請求項11,14記載の基地局を適用した場合に相当している。 [0066] [Fourth Embodiment] The fourth embodiment is equivalent to the case of applying the method of packet transfer according to claim 1,2,4,5,9 description and claims 11 and 14 base station according there.

【0067】本実施形態におけるパケット網のネットワーク構成は図8に示した第3実施形態の構成に等しい。 [0067] Network configuration of the packet network in this embodiment is equal to the configuration of the third embodiment shown in FIG.
また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,デ一タパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the wireless base station in the present embodiment, the authentication procedure, the signal format of the falsification detection procedure and packet de one Tapaketto wireless packet terminals, respectively equal to the case of the first embodiment shown in FIGS. 2 to 5 .

【0068】第3実施形態と同様に、VLAN−IDは各ユーザLAN7−4に固有の値があらかじめ割り当てられている。 [0068] Similar to the third embodiment, VLAN-ID is unique value is assigned in advance to each user LAN7-4.

【0069】無線パケット端末7−7は、自分の所属するユーザLAN7−4のVLAN−IDをあらかじめ端末認証サーバ7−8の端末情報テーブルに登録している。 [0069] wireless packet terminal 7-7, have been registered in the terminal information table of the VLAN-ID in advance the terminal authentication server 7-8 of the user LAN7-4 which you belong.

【0070】第3実施形態と同様に、無線基地局7−6 [0070] Similar to the third embodiment, the radio base station 7-6
は、無線パケット端末7−7から受信したパケットの内、当該無線パケット端末が接続を許可されているユーザLAN7−4のVLAN−IDの何れかとVLAN− , Of the packet received from the wireless packet terminal 7-7, and any of the VLAN-ID of the user LAN7-4 that the wireless packet terminal is allowed to connect VLAN-
ID4−3が一致するパケットのみを転送し、何れのV Only a transfer packet which ID4-3 matches, either V
LAN−IDにも一致しないパケットは廃棄する。 Packet that does not match the LAN-ID is discarded.

【0071】また、端末認証サーバ7−8は表3に示した第3実施形態と同じVLAN情報テーブルを持っており、VLAN鍵はブロードキャストパケット及びマルチキャストパケットの暗号化に使用される、無線パケット網が各無線パケット端末7−7にVLAN鍵をあらかじめ通知しておくことも第3実施形態と同じである。 [0071] The terminal authentication server 7-8 has the same VLAN information table with the third embodiment shown in Table 3, VLAN key is used to encrypt the broadcast packet and multicast packet, the wireless packet network There it is also the same as the third embodiment previously notifies the VLAN keys to each wireless packet terminal 7-7.

【0072】本実施形態における端末情報テーブルは表2に示した第2実施形態の端末情報テーブルと等しい。 [0072] The terminal information table in this embodiment is equal to the terminal information table of the second embodiment shown in Table 2.
この端末情報テーブルに登録された暗号鍵(端末鍵) Encryption key to this has been registered in the terminal information table (terminal key)
は、端末認証時,ユニキャストパケットの暗号化時,ならびに,無線パケット端末によるブロードキャスト及びマルチキャストパケットの暗号化時にそれぞれ用いられる。 It is when the terminal is authenticated, when encrypting the unicast packet, and used respectively when encrypting the broadcast and multicast packets by the wireless packet terminal. なお、無線パケット網は各無線パケット端末7−7 The radio packet network each wireless packet terminal 7-7
に端末鍵をあらかじめ通知しておく。 Keep notified of the terminal key advance in.

【0073】図12は、本実施形態におけるパケット転送手順を示している。 [0073] Figure 12 shows a packet forwarding procedure in the present embodiment. 無線基地局7−6では、第3実施形態と同様にして、端末認証手段10が通信開始時において無線パケット端末7−7に対する認証を行い、当該パケット端末が正規の端末であれば暗号通信を開始する。 In the radio base station 7-6, as in the third embodiment, to authenticate to wireless packet terminal 7-7 at the start communication terminal authentication unit 10, the packet terminal encrypted communication, if the terminal of a regular Start. なお、この認証に際して端末認証手段10が端末認証サーバ7−8から端末情報と共にVLAN情報を得るのも第3実施形態と同じである。 The terminal authentication section 10 when this authentication is the same as also the third embodiment to obtain the VLAN information together with the terminal information from the terminal authentication server 7-8. 次に、第3実施形態とは異なって、無線パケット端末7−7はユニキャストパケット/ブロードキャストパケット/マルチキャストパケットの区別なく端末鍵を用いてデータパケットを暗号化して無線基地局7−6に送信する(11−1)。 Next, transmission differs from the third embodiment, the wireless packet terminal 7-7 radio base station 7-6 encrypts the data packet using the distinguished without terminal key unicast packet / broadcast packet / multicast packet to (11-1). 無線基地局7−6では、パケット復号化手段13がユニキャストパケット/ブロードキャストパケット/マルチキャストパケットを区別することなく端末鍵を用いてデータパケットを復号化する。 In the radio base station 7-6 decodes the data packet using the terminal key without packet decoding unit 13 to distinguish unicast packet / broadcast packet / multicast packet. そしてこれ以後の手順は第3実施形態と同じである。 And Subsequent steps are the same as in the third embodiment. 無線基地局7−6は、受信したデータパケットが改竄されていればデータパケットを廃棄し、改竄されていなければVLAN−IDと送信元アドレスとの対応が端末情報に登録済みであれば宛先アドレス4−1で指定される宛先端末にデータパケットを転送する(11−2)。 The radio base station 7-6, the data packet discarded if the received data packet if it is tampered with, the destination address if correspondence is registered in the terminal information if it is not tampered with VLAN-ID and source address It forwards the data packet to the destination terminal specified by the 4-1 (11-2). このとき、データパケットは第3実施形態と同様に転送されてゆく。 At this time, the data packet is Yuku is transferred in the same manner as the third embodiment. 一方、VLAN−ID On the other hand, VLAN-ID
と送信元アドレスとの対応が端末情報に登録されていない場合、フィルタリング手段16はデータパケットを廃棄する。 Correspondence between the source address is not registered in the terminal information, the filtering means 16 discards the data packet.

【0074】本実施形態では、無線基地局7−6が送信するブロードキャストパケット及びマルチキャストパケットの暗号化の際には第3実施形態と同様にVLAN鍵を用いるため、同じVLAN−IDを有するパケット端末はブロードキャストパケット及びマルチキャストパケットの復号が可能である。 [0074] In this embodiment, since the use of VLAN keys as in the third embodiment during the encryption of the broadcast packet and multicast packet radio base station 7-6 transmits a packet terminals having the same VLAN-ID is capable decoding of broadcast and multicast packets. 一方、無線パケット端末7− On the other hand, the wireless packet terminals 7-
7が送信するブロードキャストパケット及びマルチキャストパケットの暗号化には端末鍵を用いているため、無線基地局7−6は第3実施形態のように2種類の暗号鍵(端末鍵,VLAN鍵)を切り替えて暗号を復号化する必要がない。 Since 7 is using the terminal key to encrypt the broadcast packet and multicast packet to be transmitted, the radio base station 7-6 switches the two kinds of encryption keys (terminal key, VLAN key) as in the third embodiment there is no need to decrypt the encrypted Te.

【0075】また、本実施形態においてブロードキャストパケットをパケット網で転送する様子は、図10〜図11に示す第3実施形態の場合に等しい。 [0075] Furthermore, how the present embodiment transfers the broadcast packet in the packet network is equal to the case of the third embodiment shown in FIGS. 10 11. すなわち、無線基地局7−6がブロードキャスト又はマルチキャストパケットを送信する場合には、VLAN鍵を用いてパケットの暗号化が行われることになる。 That is, when the radio base station 7-6 transmits a broadcast or multicast packet will encrypt the packet is performed using the VLAN key.

【0076】なお、上述した説明では第2実施形態を基にしたパケット転送手順について説明したが、第1実施形態を基にしても良い。 [0076] Although in the above description has been described packet forwarding procedure based on the second embodiment may be based on the first embodiment. その場合には、第3実施形態で説明したように、表1に示す端末情報テーブルを使用するとともに、VLAN−IDと送信元アドレスの対応が端末情報に一致するかどうか確認することになる。 In this case, as described in the third embodiment, with using the terminal information table shown in Table 1, the corresponding source address and VLAN-ID is to see if it matches the terminal information.

【0077】以上のように、本実施形態によれば、第3 [0077] As described above, according to this embodiment, third
実施形態と同様に、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 Similar to the embodiment, when the wireless packet terminal packet transfer to another wireless packet terminal, a can be transferred by selecting the best route without passing through the gateway, preventing an increase in the transfer delay time can do.

【0078】これに加えて本実施形態では、無線基地局がブロードキャストパケット又はマルチキャストパケットを転送する際には、VLAN−IDに共通する暗号鍵を用いて暗号化している。 [0078] In this embodiment, in addition to this, when the radio base station forwards the broadcast packet or multicast packet is encrypted using an encryption key common to VLAN-ID. このため、無線基地局は同じVLAN−IDを持つ配下の全無線パケット端末に対して1回の送信でパケット転送することができる。 Therefore, the radio base station can be a packet transferred in one transmission to all the wireless packet terminals under with the same VLAN-ID. したがって、各無線パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制することができる。 Therefore, as compared with the case of transmitting a plurality of times with the encryption key of the wireless packet terminals, traffic transfer delay time, the load on the base station can be suppressed respectively.

【0079】また、無線パケット端末がブロードキャストパケット又はマルチキャストパケットを転送する際、 [0079] Further, when the wireless packet terminal forwards the broadcast packet or multicast packet,
ユニキャストパケット用の暗号鍵を用いて暗号化している。 It is encrypted using an encryption key for unicast packets. したがって、無線基地局は無線パケット端末からパケットを受信した時に暗号鍵を切り替えることなく復号することが可能となり、ブロードキャストパケット及びマルチキャストパケット用の暗号鍵を用いて暗号化して送信する場合に比べて、無線基地局にかかる負荷を抑制することができる。 Therefore, the radio base station it is possible to decode without changing the encryption key when receiving the packet from the wireless packet terminal, as compared with the case of transmitting encrypted using the encryption key for the broadcast packet and multicast packet, it is possible to suppress the load on the radio base station.

【0080】[第5実施形態]この第5実施形態は、請求項1,2,4,5,10記載のパケット転送方法および請求項11,15記載の基地局を適用した場合に相当している。 [0080] [Fifth Embodiment] The fifth embodiment is equivalent to the case of applying the method of packet transfer according to claim 1,2,4,5,10 description and claims 11 and 15 base station according there.

【0081】本実施形態におけるパケット網のネットワーク構成は、図8に示す第3実施形態の構成に等しい。 [0081] Network configuration of the packet network in this embodiment is equal to the configuration of the third embodiment shown in FIG.
また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the wireless base station in the present embodiment, the authentication procedure, the signal format of the falsification detection procedure and packet of data packets of the wireless packet terminals, respectively equal to the case of the first embodiment shown in FIGS. 2-5.

【0082】第3実施形態と同様に、VLAN−IDは各ユーザLAN7−4に固有の値があらかじめ割り当てられている。 [0082] Similar to the third embodiment, VLAN-ID is unique value is assigned in advance to each user LAN7-4.

【0083】端末認証サーバ7−8は第3実施形態と同様に端末情報テーブル及びVLAN情報テーブルを有している。 [0083] The terminal authentication server 7-8 has a terminal information table and the VLAN information table as in the third embodiment.

【0084】第3実施形態と同様に、無線基地局7−6 [0084] Similar to the third embodiment, the radio base station 7-6
は、無線パケット端末7−7から受信したパケットの内、当該無線パケット端末が接続を許可されているユーザLAN7−4のVLAN−IDの何れかとVLAN− , Of the packet received from the wireless packet terminal 7-7, and any of the VLAN-ID of the user LAN7-4 that the wireless packet terminal is allowed to connect VLAN-
ID4−3が一致するパケットのみを転送し、何れのV Only a transfer packet which ID4-3 matches, either V
LAN−IDにも一致しないパケットは廃棄する。 Packet that does not match the LAN-ID is discarded.

【0085】本実施形態では、VLAN鍵はパケットを暗号化するときに使用される。 [0085] In this embodiment, VLAN key is used to encrypt the packet. なお、無線パケット網は各無線パケット端末7−7にVLAN鍵をあらかじめ通知しておく。 The radio packet network in advance notify the VLAN keys to each wireless packet terminal 7-7.

【0086】本実施形態における端末情報テーブルは、 [0086] the terminal information table in the present embodiment,
表2に示した第2実施形態の端末情報テーブルと等しい。 Equal to the terminal information table of the second embodiment shown in Table 2. ここで、本実施形態ではこの端末情報テーブルに登録する暗号鍵として、各パケット端末が所属するユーザLAN7−4のVLAN鍵を用いる。 Here, in the present embodiment as an encryption key to be registered in the terminal information table, using a VLAN key of the user LAN7-4 each packet terminal belongs.

【0087】図13は、本実施形態におけるパケット転送手順を示している。 [0087] Figure 13 shows a packet forwarding procedure in the present embodiment. 第3実施形態と同様に、無線基地局7−6では端末認証手段10が通信開始時に無線パケット端末7−7に対する認証を行い、当該パケット端末が正規の端末であれば暗号通信を開始する。 Like the third embodiment, to authenticate to wireless packet terminal 7-7 terminal authentication unit 10 in the radio base station 7-6 at the start of communication, the packet terminal starts the encrypted communication if a terminal authorized. なお、この認証に際して端末認証サーバ7−8から端末情報と共にVLAN情報を得るのも第3実施形態と同じである。 Incidentally, also the same as the third embodiment to obtain the VLAN information together with the terminal information when the authentication from the terminal authentication server 7-8. 次に、第3実施形態及び第4実施形態とは異なって、無線パケット端末7−7はユニキャストパケット/ブロードキャストパケット/マルチキャストパケットの区別なくVLAN鍵を用いてデータパケットを暗号化して無線基地局7−6に送信する(12−1)。 Next, unlike the third and fourth embodiments, the wireless packet terminal 7-7 radio base station to encrypt the data packet using the distinguished without VLAN key unicast packet / broadcast packet / multicast packet to send to the 7-6 (12-1). 無線基地局7−6 Radio base station 7-6
では、パケット復号化手段13がユニキャストパケット/ブロードキャストパケット/マルチキャストパケットを区別することなくVLAN鍵を用いてデータパケットを復号化する。 In decodes the data packet using the VLAN key without packet decoding unit 13 to distinguish unicast packet / broadcast packet / multicast packet. そしてこれ以後の手順は第3実施形態と同じである。 And Subsequent steps are the same as in the third embodiment. 無線基地局7−6は、受信したデータパケットが改竄されていればパケットを廃棄し、改竄されていなければVLAN−IDと送信元アドレスとの対応が端末情報に登録済みであれば宛先アドレス4−1で指定される宛先端末にデータパケットを転送する(12− The radio base station 7-6, the packet discarded if the received data packet if it is tampered with, the destination address if correspondence is registered in the terminal information if it is not tampered with VLAN-ID and the source address 4 forwards the data packet to the destination terminal specified in -1 (12
2)。 2). このとき、データパケットは第3実施形態と同様に転送されてゆく。 At this time, the data packet is Yuku is transferred in the same manner as the third embodiment. 一方、VLAN−IDと送信元アドレスとの対応が端末情報に登録されていない場合、フィルタリング手段16はデータパケットを廃棄する。 On the other hand, if the correspondence between the source address VLAN-ID is not registered in the terminal information, the filtering means 16 discards the data packet.

【0088】本実施形態では、第3実施形態と違って暗号化にVLAN鍵のみを用いるようにして端末鍵を用いてないため、同じVLAN−IDを有する無線パケット端末が、ブロードキャストパケット及びマルチキャストパケットに施された暗号を復号化することが可能である。 [0088] In this embodiment, since the encrypted unlike the third embodiment does not use the terminal key so as to use only VLAN key, the wireless packet terminals having the same VLAN-ID is broadcast packet and multicast packet it is possible to decode the applied cipher to. また、無線基地局及び無線パケット端末は2種類の暗号鍵を切り替えて暗号化及び復号化を行う必要がないため、無線基地局及び無線パケット端末にかかる負荷を抑制することができる。 The radio base station and a wireless packet terminal does not need to perform encryption and decryption by switching two types of encryption keys, it is possible to suppress the load on the radio base station and a wireless packet terminals.

【0089】なお、本実施形態においてブロードキャストパケットをパケット網で転送する様子は、図11に示す第3実施形態の場合に等しい。 [0089] Incidentally, how to forward broadcast packets in the packet network in this embodiment is equal to the case of the third embodiment shown in FIG. 11. また、上述した説明では第2実施形態を基にしたパケット転送手順について説明したが、第1実施形態を基にしても良い。 Further, although the above description has been described packet forwarding procedure based on the second embodiment may be based on the first embodiment. その場合には、第3実施形態で説明したように、表1に示す端末情報テーブルを使用するとともに、VLAN−IDと送信元アドレスの対応が端末情報に一致するかどうか確認することになる。 In this case, as described in the third embodiment, with using the terminal information table shown in Table 1, the corresponding source address and VLAN-ID is to see if it matches the terminal information.

【0090】以上のように、本実施形態によれば、第3 [0090] As described above, according to this embodiment, third
実施形態と同様に、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 Similar to the embodiment, when the wireless packet terminal packet transfer to another wireless packet terminal, a can be transferred by selecting the best route without passing through the gateway, preventing an increase in the transfer delay time can do.

【0091】これに加えて本実施形態では、パケットを転送する際、VLAN−IDに共通する暗号鍵を用いて暗号化しているため、無線基地局は同じVLAN−ID [0091] In this embodiment, in addition to this, when forwarding packets, because of the use of an encryption key common to VLAN-ID, the radio base station are the same VLAN-ID
を有する配下の全無線パケット端末に対して、1回の送信でブロードキャストパケット及びマルチキャストパケットを転送することができる。 For all wireless packet terminals under with, it can forward the broadcast packet and multicast packet in a single transmission. したがって、各無線パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制することができる。 Therefore, as compared with the case of transmitting a plurality of times with the encryption key of the wireless packet terminals, traffic transfer delay time, the load on the base station can be suppressed respectively.

【0092】また、VLAN−IDに共通する暗号鍵を用いているため、無線基地局及び無線パケット端末はパケットを受信した時に暗号鍵を切り替えることなく復号することが可能となる。 [0092] Also, due to the use of encryption key common to VLAN-ID, the radio base station and a wireless packet terminal can decode without switching the encryption key when receiving a packet. したがって、2種類の暗号鍵を用いる場合に比べて、無線基地局及び無線パケット端末にかかる負荷を抑制することができる。 Therefore, compared with the case of using two kinds of encryption keys, it is possible to suppress the load on the radio base station and a wireless packet terminals. なお、VLAN In addition, VLAN
鍵は端末固有の暗号鍵ではないが、異なるVLAN−I The key is not a terminal-specific encryption key, but different VLAN-I
Dを持つパケット端末は知りえないため、なりすましによる不正アクセスは生じない。 Since the packet terminal can not be known with a D, unauthorized access by spoofing it does not occur.

【0093】[第6実施形態]この第6実施形態は、請求項1,3,5記載のパケット転送方法および請求項1 [0093] [Sixth Embodiment] The sixth embodiment is a method of packet transfer according to claim 1, 3, 5 description and claims 1
2記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 2 according. 本実施形態では第1実施形態に変形を加えて、VLAN−ID In this embodiment, in addition to modifications to the first embodiment, VLAN-ID
を通信開始時において動的に割り当てるようにしたものである。 It is obtained by the dynamically allocate the communication start to. 本実施形態におけるパケット網のネットワーク構成,無線基地局の構成,データパケットの改竄検出手順及びパケットの信号フォーマットは、図1,図2,図4及び図5に示した第1実施形態の場合とそれぞれ等しい。 Network configuration of the packet network in the present embodiment, the configuration of the radio base station, the signal format of the falsification detection procedure and packet data packets, in the case of the first embodiment shown in FIGS. 1, 2, 4 and 5 each equal.

【0094】本実施形態では、VLAN−IDの動的割り当てを実現するためにユーザLAN1−4の各々にあらかじめ固有の名称(以下、「ユーザLAN名」という)を割り当てておく。 [0094] In this embodiment, pre-unique name (hereinafter, "user LAN name") to each of the user LAN1-4 in order to achieve a dynamic allocation of VLAN-ID previously assigned to. 例えば図1において、LAN# For example, in FIG. 1, LAN #
Aには「ユーザLAN#A」を割り当て、LAN#Bには「ユーザLAN#B」を割り当てるようにする。 Assigning "user LAN # A" in A, the LAN # B to assign "user LAN # B". また、本実施形態ではユーザLAN名とVLAN−IDの対応関係を保持するために、無線基地局1−6が表4に示すVLAN−ID割当管理テーブルを記憶している。 Further, in the present embodiment to hold the correspondence between the user LAN name and VLAN-ID, the radio base station 1-6 stores the VLAN-ID assignment management table shown in Table 4.
さらに本実施形態において、端末認証サーバ1−8の保持する端末情報テーブルは表5に示す通りであり、VL Further in the present embodiment, the terminal information table held by the terminal authentication server 1-8 is as shown in Table 5, VL
AN−IDの代わりにユーザLAN名を使用する点が第1実施形態(表1)と異なっている。 That it uses user LAN name instead of AN-ID is different from the first embodiment (Table 1).

【0095】 [0095]

【表4】 [Table 4]

【0096】 [0096]

【表5】 [Table 5]

【0097】本実施形態では図3に示した認証手順に一部変更を加えて図14に示す無線パケット端末の認証手順を採用している。 [0097] In the present embodiment employs an authentication procedure of the wireless packet terminal shown in FIG. 14 by partially modifying the authentication procedure shown in Fig. 図14に示すように、無線パケット端末1−7は通信開始要求信号を無線基地局1−6へ送信する際に、自分の所属しているユーザLANに割り当てられたユーザLAN名(例えば「ユーザLAN# As shown in FIG. 14, when transmitting a wireless packet terminal 1-7 communication start request signal to the radio base station 1-6, the user LAN name assigned to the user LAN that he belongs (e.g., "user LAN #
A」)を含めて送信している(18−1)。 We are sending, including the A ") (18-1). 無線基地局1−6では、端末認証手段10が送られたユーザLAN In the radio base station 1-6, the user LAN terminal authentication unit 10 is sent
名を内部に記憶しておく。 It stores the name inside. 次に、第1実施形態と同様に、無線基地局1−6は端末認証サーバ1−8に要求(2−2)を行って端末情報を取得(2−3)してこれを端末情報記憶手段11に記憶し、端末認証用の乱数を暗号化して無線パケット端末1−7に認証要求信号を送信(2−4)し、無線パケット端末1−7が送り返す認証応答信号(2−5)に基づいて認証を行う。 Then, as in the first embodiment, the radio base station 1-6 acquires the terminal information by performing request (2-2) in the terminal authentication server 1-8 (2-3) to which the terminal information storage stored in the unit 11, it transmits the authentication request signal to the wireless packet terminal 1-7 encrypts a random number for the terminal authentication (2-4), and the authentication response signal sent back wireless packet terminal 1-7 (2-5) perform authentication based on.

【0098】この認証によって無線パケット端末1−7 [0098] wireless packet terminal 1-7 by the authentication
が正規の端末と判断された場合、端末認証手段10は無線パケット端末1−7から通知(18−1)されているユーザLAN名にVLAN−IDを割り当てる(18− If is it is determined that the proper terminal, terminal authentication unit 10 assigns a VLAN-ID to the user LAN name that is notified from the wireless packet terminal 1-7 (18-1) (18
6)。 6). いま、無線パケット端末1−7から通知された例えばユーザLAN名が「ユーザLAN#A」である場合、端末認証手段10はこのユーザLANに対して例えば「VLAN−ID#A」を割り当て、表4に示すように「ユーザLAN#A」および「VLAN−ID#A」 Now, if the notified user, for example LAN name from the wireless packet terminal 1-7 is "user LAN # A", the terminal authentication unit 10 assigned to the user LAN such as "VLAN-ID # A", Table as shown in 4 "user LAN # a" and "VLAN-ID # a"
の組をVLAN−ID割当管理テーブルに追加する。 To add a set to the VLAN-ID assignment management table. 次いで、端末認証手段10は認証受付信号を用いて無線パケット端末1−7に通信許可を通知するが、このとき端末認証手段10はいま割り当てたVLAN−ID#Aを無線パケット端末1−7に通知する(18−7)。 Then, the terminal authentication unit 10 is to notify the communication permission to the wireless packet terminal 1-7 using the authentication acceptance signal, the time the terminal authentication unit 10 is VLAN-ID # A assigned now to the radio packet terminal 1-7 notification to (18-7). なお、無線パケット端末1−7が不正端末と判断された場合の処理は第1実施形態と同じである。 The processing when the wireless packet terminal 1-7 is determined to unauthorized terminal is the same as the first embodiment.

【0099】一方、図15は本実施形態におけるパケット転送手順を示している。 [0099] On the other hand, FIG. 15 shows a packet forwarding procedure in the present embodiment. まず、本実施形態では認証手順として図14に示した認証手順を実行する(19− First, in the present embodiment to perform the authentication procedure shown in FIG. 14 as an authentication procedure (19
1)。 1). 次に、無線パケット端末1−7はデータパケットを無線基地局1−6に送信するが、その際、VLAN− Next, the wireless packet terminal 1-7 is sending a data packet to the radio base station 1-6, in which, VLAN-
ID4−3としては先に通知されたVLAN−ID(図14の18−7)を用いる。 The ID4-3 using VLAN-ID which has been notified previously (18-7 in FIG. 14). この後は、第1実施形態と同様にして宛先端末へのデータパケットの転送(5− Thereafter, in the same manner as in the first embodiment the transfer of the data packet to the destination terminal (5-
2)の処理までを行うが、データパケットが改竄されておらず、ユーザLAN名と送信元アドレスの対応が端末情報に一致するかどうか確認する際(19−2)には次に述べる処理を行う。 While performing the up process 2), no data packet is tampered, then described processing when the corresponding user LAN name and the source address to determine whether matches in the terminal information (19-2) do. すなわち、無線基地局1−6では、端末アドレス/VLAN−ID比較手段15が、送信元アドレス4−2に対応するユーザLAN名を表5に示す端末情報テーブルから取得し、取得したユーザLA That is, in the radio base station 1-6, the user LA terminal address / VLAN-ID comparing unit 15, a user LAN name corresponding to the source address 4-2 obtains from the terminal information table shown in Table 5 were obtained
N名に対応するVLAN−IDを表4に示すVLAN− The VLAN-ID corresponding to the N-name shown in Table 4 VLAN-
ID割当管理テーブルから検索し、検索されたVLAN Retrieved from the ID allocation management table, retrieved VLAN
−IDとデータパケット中のVLAN−ID4−3が一致するかどうか判定する。 Determines whether VLAN-ID4-3 in -ID and data packet matches. フィルタリング手段16はこの判定結果に基づいて、両者が一致していれば宛先アドレス4−1で指定された宛先端末にデータパケットを転送(5−2)し、両者が一致していなければデータパケットを廃棄する。 Filtering means 16 based on the determination result, both forward the data packet to the destination terminal specified by the destination address 4-1 if the match (5-2), unless they match the data packet to discard. その後に、無線パケット端末1−7と宛先端末との間で通信が終了したならば、無線基地局1 Thereafter, if communication between the wireless packet terminal 1-7 and the destination terminal is completed, the radio base station 1
−6では端末認証手段10が表4に示したVLAN−I -6 The terminal authentication unit 10 is shown in Table 4 VLAN-I
D割当管理テーブルから「ユーザLAN#A」および「VLAN−ID#A」の組を削除しそれによって、無線パケット端末1−7に割り当てたVLAN−IDを解放する(19−3)。 Delete a set of "user LAN # A" and "VLAN-ID # A 'from D allocation management table thereby releasing the VLAN-ID assigned to the wireless packet terminal 1-7 (19-3).

【0100】以上のように、本実施形態では無線パケット端末1−7に対してVLAN−IDを動的に割り当てているため、限られたVLAN−IDを効率的に再利用することができ、より多くのユーザLANを収容することができる。 [0100] As described above, in the present embodiment are assigned dynamically VLAN-ID to the wireless packet terminal 1-7, it is possible to reuse the VLAN-ID with limited efficiently, it is possible to accommodate more users LAN.

【0101】[第7実施形態]この第7実施形態は、請求項1,3,5記載のパケット転送方法および請求項1 [0102] [Seventh Embodiment] The seventh embodiment is a method of packet transfer according to claim 1, 3, 5 description and claims 1
2記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 2 according. 本実施形態は、第6実施形態で説明したVLAN−IDの動的割り当てを第2実施形態に適用したものである。 This embodiment is an application of the dynamic assignment of VLAN-ID described in the sixth embodiment to the second embodiment. したがって、本実施形態におけるパケット網のネットワーク構成,無線基地局の構成,データパケットの改竄検出手順及びパケットの信号フォーマットは、図1,図2,図4 Therefore, the network structure of the packet network in this embodiment, the configuration of the radio base station, the signal format of the falsification detection procedure and packet data packets 1, 2, 4
及び図5に示した第1実施形態の場合とそれぞれ等しい。 And each equal to the case of the first embodiment shown in FIG.

【0102】本実施形態では、端末認証サーバ1−8が表6に示す端末情報テーブルを記憶している。 [0102] In this embodiment, the terminal authentication server 1-8 stores the terminal information table shown in Table 6. 表5(第6実施形態)と比較した場合、一つの端末アドレスについて、当該端末アドレスを持つパケット端末に通信を許可するユーザLAN名が複数登録されている。 Table 5 when compared to the Sixth Embodiment, for one terminal address, the user LAN name to allow communication to the packet terminal having the terminal address is registered more.

【0103】 [0103]

【表6】 [Table 6]

【0104】本実施形態における無線パケット端末の認証手順は図16に示すものとなる。 [0104] Procedure of authentication wireless packet terminal in this embodiment is as shown in FIG. 16. 図16に示す認証手順と図14(第6実施形態)との相違は、無線パケット端末1−7が通信開始要求信号を無線基地局1−6へ送信する際に、通信相手のユーザLAN名を指定して無線基地局1−6に通知する(20−1)点である。 The difference between the authentication procedure and 14 shown in FIG. 16 (sixth embodiment), when the wireless packet terminal 1-7 transmits a communication start request signal to the radio base station 1-6, the user LAN name of the communication partner the specify notifies the radio base station 1-6 (20-1) is a point. したがって、この後に行われる認証手順は第6実施形態と同じである。 Thus, the authentication procedure performed after this is the same as the sixth embodiment.

【0105】一方、図17は本実施形態におけるパケット転送手順を示している。 [0105] On the other hand, FIG. 17 shows a packet forwarding procedure in the present embodiment. 本実施形態では、まず認証手順として図16に示した手順を実行する(21−1)。 In this embodiment, first to perform the steps shown in FIG. 16 as an authentication procedure (21-1).
次に、無線パケット端末1−7はデータパケットを無線基地局1−6に送信するが、その際、VLAN−ID4 Next, the wireless packet terminal 1-7 is sending a data packet to the radio base station 1-6, in which, VLAN-ID4
−3としては先に通知されたVLAN−ID(図16の18−7)を用いる。 The -3 using VLAN-ID which has been notified previously (18-7 in Fig. 16). この後は、第2実施形態と同様にして宛先端末へのデータパケットの転送(6−2)の処理までを行うが、データパケットが改竄されておらず、 Thereafter, in the same manner as in the second embodiment performs processing until the transfer (6-2) of the data packet to the destination terminal, but not the data packet is altered,
ユーザLAN名と送信元アドレスの対応が端末情報に登録済みかどうか確認する際(21−2)には次に述べる処理を行う。 Corresponding user LAN name and source address be next described processing when checking whether registered in the terminal information (21-2). すなわち、無線基地局1−6において、端末アドレス/VLAN−ID比較手段15は、受信パケットに含まれるVLAN−ID4−3に対応するユーザLAN名を表4に示すVLAN−ID割当管理テーブルから検索し、検索されたユーザLAN名と受信パケットに含まれる送信元アドレス4−2の組が、表6に示す端末情報テーブル中の端末アドレスとユーザLAN名の複数の組の中に存在するかどうかを調べ、この組が端末情報テーブルに存在していなければ上記対応が端末情報に未登録であると判断する。 That is, the search in the radio base station 1-6, terminal address / VLAN-ID comparing unit 15, a user LAN name corresponding to the VLAN-ID4-3 contained in the received packet from the VLAN-ID assignment management table shown in Table 4 and, if the set of source addresses 4-2 included in the received packet and retrieved user LAN name, present in the plurality of pairs of terminal address and user LAN name in the terminal information table shown in table 6 the examined, if the set does not exist in the terminal information table the correspondence is determined to be registered in the terminal information. 一方、この組が端末情報テーブルに存在する場合、端末アドレス/VLAN−ID比較手段15は当該ユーザLAN名に割り当ててあるVL On the other hand, if the set is present in the terminal information table, terminal address / VLAN-ID comparing unit 15 are assigned to the user LAN name VL
AN−IDを表4に示すVLAN−ID割当管理テーブルから取得し、取得したVLAN−IDとパケット中のVLAN−ID4−3が一致するかどうか調べ、一致していれば上記対応が端末情報に登録済みであると判断し、一致していなければ上記対応が端末情報に未登録であると判断する。 The AN-ID acquired from the VLAN-ID assignment management table shown in Table 4, the obtained investigated whether VLAN-ID and VLAN-ID4-3 in the packet matches, consistent with long as the correspondence terminal information determines that the registered, must match the corresponding is determined to be registered in the terminal information. フィルタリング手段16は、この判断結果に基づいて上記対応が端末情報に登録済みであれば宛先アドレス4−1で指定された宛先端末にデータパケットを転送(6−2)し、上記対応が端末情報に未登録であればデータパケットを廃棄する。 Filtering means 16, the corresponding transfer data packets to the specified destination terminal in the destination address 4-1 if registered in the terminal information (6-2) on the basis of this determination result, the correspondence terminal information discard the data packet if it is not registered to. その後、無線パケット端末1−7と宛先端末の間で通信が終了したならば、第6実施形態と同様にして、端末認証手段10は無線パケット端末1−7に割り当てたVLAN−IDを解放する(21−3)。 Thereafter, if communication between the wireless packet terminal 1-7 and the destination terminal is completed, in the same manner as the sixth embodiment, the terminal authentication unit 10 releases the VLAN-ID assigned to the wireless packet terminal 1-7 (21-3).

【0106】[第8実施形態]この第8実施形態は、請求項1,2,5記載のパケット転送方法および請求項1 [0106] [Eighth Embodiment] The eighth embodiment, a method of packet transfer according to claim 1, 2, 5 description and claims 1
1記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 1 according. これまで説明した各実施形態では、端末アドレスとしてMAC In the embodiments described heretofore, MAC as a terminal address
アドレスを用い、ユーザLANに対してVLAN−ID Using the address, VLAN-ID to the user LAN
を割り当てるようにしていた。 The had been so assigned. これに対して、本実施形態では端末アドレスとしてIPアドレスを用いるとともに、ユーザLANには各ユーザLAN1−4に対して固有のネットワークアドレスをあらかじめ割り当てておく。 In contrast, with use of the IP address as a terminal address in the present embodiment, in advance assigned a unique network address for each user LAN1-4 the user LAN. 前述したようにIPアドレスは図18に示す構成をしているが、本実施形態ではこのIPアドレスに含まれるネットワークアドレス部をVLAN−IDの代わりに用いる。 IP address as described above has a structure shown in FIG. 18, in this embodiment using the network address portion included in the IP address instead of VLAN-ID. つまり、本実施形態においてはデータパケット中の宛先アドレス4−1の上位ビットを抽出することでネットワークアドレスが得られることになる。 That is, the network address is obtained by extracting the upper bits of the destination address 4-1 in the data packet in this embodiment. したがって、図5に示したVLAN−ID4−3は不要となり、 Therefore, VLAN-ID4-3 shown in FIG. 5 is not required,
本実施形態における信号フォーマットは図19に示すものとなる。 Signal format in the present embodiment is as shown in FIG. 19.

【0107】また、本実施形態における端末情報テーブルは表7に示すものとなり、表1で使用されていたVL [0107] The terminal information table in this embodiment becomes as shown in Table 7, VL that it was used in Table 1
AN−IDの代わりにネットワークアドレスが使用される。 Network address instead of the AN-ID is used. さらに、本実施形態における無線パケット端末1− Further, the wireless packet terminal in the embodiment 1
7は、自分の所属するユーザLAN1−4のネットワークアドレスをそれぞれ端末認証サーバ1−8にあらかじめ登録している。 7, have been registered in advance in each terminal authentication server 1-8 the network address of the user LAN1-4 which you belong. なお、本実施形態におけるパケット網のネットワーク構成,,無線基地局の構成,無線パケット端末の認証手順及びデータパケットの改竄検出手順は、図1〜図4に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the network configuration ,, a radio base station of the packet network in this embodiment, alteration detection procedure of the authentication procedure and the data packets of the wireless packet terminals, respectively in the case of the first embodiment shown in FIGS. 1 to 4 equal.

【0108】 [0108]

【表7】 [Table 7]

【0109】図20は本実施形態におけるパケット転送手順を示しており、図6(第1実施形態)に示したパケット転送手順とは以下の点が相違する。 [0109] Figure 20 shows a packet forwarding procedure in the present embodiment differs in the following points from the packet forwarding procedure shown in FIG. 6 (first embodiment). すなわち、無線基地局1−6では、パケット改竄検出手段14が受信したデータパケット(5−1)の改竄を検出しなかった場合、端末アドレス/VLAN−ID比較手段15は、受信したデータパケットの宛先アドレス4−1からネットワークアドレス部を抽出し、送信元アドレス4−2に基づいて表7に示した端末情報テーブルから無線パケット端末1−7の所属するユーザLANのネットワークアドレスを取得して、これら2つのネットワークアドレスが一致するかどうかを確認する(24−1)。 That is, in the radio base station 1-6, when a packet tampering detection means 14 does not detect an alteration of the received data packets (5-1), the terminal address / VLAN-ID comparing unit 15, the received data packet extracting the network address portion from the destination address 4-1, to obtain the network address of the user LAN belonging from the terminal information table of the wireless packet terminal 1-7 shown in table 7 based on the source address 4-2, these two network address to see if it matches (24-1). その後、フィルタリング手段16は送られた確認結果に基づいて、 Then, the filtering unit 16 based on the check result sent,
両ネットワークアドレスが一致していれば第1実施形態と同様に宛先アドレス4−1で指定された宛先端末にデータパケットを転送する(5−2)。 Both network address forwards the data packets to the specified destination terminal in the first embodiment similarly to the destination address 4-1 If they match (5-2). 一方、両ネットワークアドレスが一致していなければ、フィルタリング手段16はデータパケットを廃棄する。 On the other hand, if no two network addresses match, the filtering means 16 discards the data packet.

【0110】以上のように、本実施形態では、第1実施形態のようにデータパケット中にVLAN−IDのような余分なフィールドを設ける必要がない。 [0110] As described above, in the present embodiment, there is no need to provide extra fields such as VLAN-ID in the data packet as in the first embodiment.

【0111】[第9実施形態]この第9実施形態は、請求項1,2,5記載のパケット転送方法および請求項1 [0111] [Ninth Embodiment] The ninth embodiment is a method of packet transfer according to claim 1, 2, 5 description and claims 1
1記載の基地局を適用した場合に相当している。 It corresponds to the case of applying the base station 1 according. 本実施形態は、第8実施形態で説明したネットワークアドレスの使用を第2実施形態に適用したものである。 This embodiment is an application of the use of network address described in the eighth embodiment to the second embodiment. 本実施形態においても、ユーザLAN1−4に対して各ユーザL In this embodiment, each user L to the user LAN1-4
ANに固有のネットワークアドレスをあらかじめ割り当てておく。 In advance assigned a unique network address to the AN. また、本実施形態における端末情報テーブルは表8に示す通りであって、表2で使用されていたVL The terminal information table in the present embodiment was as shown in Table 8 were used in Table 2 VL
AN−IDの代わりにネットワークアドレスが使用されている。 Network address instead of the AN-ID is used. なお、本実施形態におけるパケット網のネットワーク構成,無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図1〜図4及び図19に示したものとそれぞれ等しい。 The network structure of a packet network in the present embodiment, the configuration of the radio base station, the authentication procedure, the signal format of the falsification detection procedure and packet of data packets of the wireless packet terminals, those shown in FIGS. 1 to 4 and 19 When equal to each other.

【0112】 [0112]

【表8】 [Table 8]

【0113】図21は本実施形態におけるパケット転送手順を示しており、図7(第2実施形態)に示したパケット転送手順とは以下の点が相違する。 [0113] Figure 21 shows a packet forwarding procedure in the present embodiment differs in the following points from the packet forwarding procedure shown in FIG. 7 (second embodiment). すなわち、無線基地局1−6では、パケット改竄検出手段14が受信したデータパケット(6−1)の改竄を検出しなかった場合、端末アドレス/VLAN−ID比較手段15は、受信したデータパケットの宛先アドレス4−1からネットワークアドレス部を抽出し、送信元アドレス4−2に基づいて無線パケット端末1−7が通信を許されているユーザLANに割り当てられている全てのネットワークアドレスを表8に示した端末情報テーブルから取得する。 That is, in the radio base station 1-6, when a packet tampering detection means 14 does not detect an alteration of the received data packets (6-1), the terminal address / VLAN-ID comparing unit 15, the received data packet extracting the network address portion from the destination address 4-1, all the network addresses assigned to the user LAN to wireless packet terminal 1-7 is allowed to communicate on the basis of the source address 4-2 in Table 8 obtaining from the terminal information table shown.
次いで、端末アドレス/VLAN−ID比較手段15 Then, the terminal address / VLAN-ID comparing unit 15
は、取得したネットワークアドレスの中に宛先アドレス4−1から抽出されたネットワークアドレスと一致するものが登録されているかどうか確認する。 It is those that match the network address extracted from the destination address 4-1 in the obtained network address to determine whether is registered. フィルタリング手段16は送られた確認結果に基づいて、一致するネットワークアドレスが存在していれば宛先アドレス4− Based on the filtering means 16 is check sent result, matching if network address if present destination address 4-
1で指定された宛先端末にデータパケットを転送(6− Forwards the data packet to the specified destination terminals 1 (6-
2)し、一致するネットワークが全く無ければデータパケットを廃棄する。 2), the network discards the data packet if no completely matching.

【0114】以上のように、本実施形態においても、第1実施形態のようにデータパケット中にVLAN−ID [0114] As described above, in the present embodiment, VLAN-ID in the data packet as in the first embodiment
のような余分なフィールドを設ける必要がない。 There is no need to provide an extra field like.

【0115】[第10実施形態]この第10実施形態は、請求項1,2,4,5,8記載のパケット転送方法および請求項11,13記載の基地局を適用した場合に相当している。 [0115] [Tenth Embodiment] The tenth embodiment corresponds to the case of applying the method of packet transfer according to claim 1,2,4,5,8 description and claims 11 and 13 base station according there. 本実施形態は、第8実施形態で説明したネットワークアドレスの使用を第3実施形態に適用したものである。 This embodiment is an application of the use of network address described in the eighth embodiment to the third embodiment. 本実施形態においても、ユーザLAN1− In this embodiment, the user LAN1-
4には各ユーザLANに固有のネットワークアドレスをあらかじめ割り当てておく。 Advance assigned a unique network address to each user LAN to 4. 本実施形態におけるパケット網のネットワーク構成は図8に示した第3実施形態の場合と等しい。 Network configuration of the packet network in this embodiment is equal to the case of the third embodiment shown in FIG. また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2 The configuration of the wireless base station in the present embodiment, a procedure of authentication wireless packet terminal, the signal format of the falsification detection procedure and packet data packets, FIG. 2
〜図4及び図19に示したものとそれぞれ等しい。 Respectively those shown in to 4 and 19 equal. また、端末認証サーバ7−8には表9に示すVLAN情報テーブルが設けられており、VLAN−IDの代わりにネットワークアドレスを使用している点で表3(第3実施形態)と相違している。 Also, the terminal authentication server 7-8 differs from the provided VLAN information table shown in Table 9, Table 3 in that it uses a network address instead of the VLAN-ID (Third Embodiment) there. なお、本実施形態においても、第3実施形態と同様に、無線パケット網が各無線パケット端末7−7にVLAN鍵をあらかじめ通知しておく。 Also in this embodiment, like the third embodiment, a wireless packet network in advance notify the VLAN keys to each wireless packet terminal 7-7.

【0116】 [0116]

【表9】 [Table 9]

【0117】図22は本実施形態におけるパケット転送手順を示しており、図9に示した第3実施形態の手順とは以下の点が相違する。 [0117] Figure 22 shows a packet forwarding procedure in the present embodiment, the procedure of the third embodiment has the following points are different as shown in FIG. まず、受信したデータパケット(8−1)の改竄が検出されなかった場合、第9実施形態と同様にして、端末アドレス/VLAN−ID比較手段15は、受信したデータパケットの宛先アドレス4− First, if the alteration of the received data packets (8-1) is not detected, as in the ninth embodiment, the terminal address / VLAN-ID comparing unit 15, the destination address of the received data packet 4-
1から抽出されるネットワークアドレスが、無線パケット端末7−7に対して通信が許可されている複数のユーザLAN1−4に割り当てたネットワークアドレスの中に登録されているかどうかを確認する(26−1)。 Network address extracted from 1 confirms whether the registered in the network address assigned to a plurality of users LAN1-4 the communication to the radio packet terminal 7-7 is permitted (26-1 ). そしてフィルタリング手段16はこの確認結果に応じてパケットを転送する(8−2)か廃棄するかを決定する。 The filtering means 16 determines whether to discard or to (8-2) forwards the packet according to the confirmation result.

【0118】ここで、データパケットを転送する際(8 [0118] In this case, when transferring the data packet (8
−2)に、宛先端末がユーザLAN7−4と接続している場合、各中継ノード7−9はデータパケット中の宛先アドレス4−1に応じて次の送信ポートを選択してゲートウェイ7−3へデータパケットを転送する。 -2), the gateway 7-3 to select a destination terminal when connecting to a user LAN7-4, the next transmission port according to the destination address 4-1 of each relay node 7-9 in the data packet to transfer the data packet. ゲートウェイ7−3は宛先アドレス4−1から抽出されるネットワークアドレスに応じてゲートウェイ7−1又はゲートウェイ7−2を選択して、データパケットをユーザLA Gateway 7-3 selects the gateway 7-1 or gateway 7-2 in accordance with the network address extracted from the destination address 4-1, the data packet user LA
N7−4から宛先端末に転送する。 Transferred to the destination terminal from N7-4. 一方、宛先端末が無線パケット網と接続している場合は、第3実施形態と同様に、各中継ノード7−9は宛先アドレス4−1に応じて次の送信ポートを選択して、ゲートウェイを介することなくパケットを宛先端末へ転送する。 On the other hand, if the destination terminal is connected to the wireless packet network, like the third embodiment, each relay node 7-9 selects the next transmission port according to the destination address 4-1, the gateway and it transfers the packet to the destination terminal without intervention.

【0119】本実施形態におけるブロードキャストパケットの転送手順は基本的に第3実施形態(図10)と同様であって、VLAN−IDの代わりに宛先アドレスから抽出されるネットワークアドレスを用いて経路選択が行われる点が相違している。 [0119] Procedure for forwarding broadcast packets in the present embodiment is a basically as the third embodiment (FIG. 10), the route selected by using the network address that is extracted from the destination address instead of VLAN-ID the point to be made is different.

【0120】以上のように、本実施形態においても、第1実施形態のようにデータパケット中にVLAN−ID [0120] As described above, in the present embodiment, VLAN-ID in the data packet as in the first embodiment
のような余分なフィールドを設ける必要がない。 There is no need to provide an extra field like. なお、 It should be noted that,
ここではネットワークアドレスの使用を第3実施形態へ適用した場合について説明したが、第3実施形態と第4 Here it has been described the case of applying the use of a network address to the third embodiment, the third embodiment and the fourth
〜第5実施形態とでは無線パケット端末7−7から無線基地局7−6へデータパケットを送信する際の暗号鍵の使い方が異なるだけである。 In the to fifth embodiments only use the encryption key in transmitting data packets from a wireless packet terminal 7-7 to the radio base station 7-6 is different. したがって、これら第4〜 Therefore, these fourth through
第5実施形態においてもVLAN−IDの代わりにネットワークアドレスを使用することができる。 You can use the network address instead of also VLAN-ID in the fifth embodiment.

【0121】[第11実施形態]この第11実施形態は、請求項1,6記載のパケット転送方法を適用した場合に相当している。 [0121] [Eleventh Embodiment] The eleventh embodiment corresponds to a case of applying a packet transfer method according to claim 1,6 wherein.

【0122】本実施形態におけるパケット網の構成,無線基地局の構成,無線パケット端末の認証手順及びデータパケットの改竄検出手順は、図1〜図4に示した第1 [0122] The configuration of the packet network in this embodiment, the configuration of the radio base station, alteration detection procedure of the authentication procedure and the data packets of the wireless packet terminal, first shown in FIGS. 1 to 4
実施形態の場合とそれぞれ等しい。 Each in the embodiment equal.

【0123】表10は、本実施形態における端末情報テーブルを示しており、端末アドレスと、端末認証に必要な情報としての暗号鍵とで構成されている。 [0123] Table 10 shows the terminal information table in the present embodiment, the terminal address, and a cryptographic key as information necessary for terminal authentication.

【0124】 [0124]

【表10】 [Table 10]

【0125】各ユーザLAN1−4に接続するゲートウェイ1−1,1−2は、それぞれ許可アドレス情報を許可アドレステーブルに持っている。 [0125] The gateway 1-1, 1-2 connected to each user LAN1-4 has got to be permitted address table permission address information, respectively. 表11はゲートウェイ1−1の許可アドレステーブルを示しており、表12 Table 11 shows the permitted address table of the gateway 1-1, Table 12
はゲートウェイ1−2の許可アドレステーブルを示している。 Shows a permitted address table of the gateway 1-2. ゲートウェイ1−1,1−2は、送信元アドレス4−2が各ゲートウェイの許可アドレステーブルに登録されているデータパケットだけをユーザLAN1−4に転送する。 The gateway 1-1, 1-2, and transfers only the user LAN1-4 data packet source address 4-2 is registered in the permitted address table of each gateway.

【0126】 [0126]

【表11】 [Table 11]

【0127】 [0127]

【表12】 [Table 12]

【0128】また、本実施形態における無線パケット網のパケットの信号フォーマットは、第8実施形態で説明した図19のものと同じであって、宛先アドレス4−1 [0128] The signal format of the packet of the wireless packet network in the present embodiment is the same as that of FIG. 19 described in the eighth embodiment, the destination address 4-1
と送信元アドレス4−2をヘッダ情報として持っており、ユーザデータ4−4は暗号化される。 And have as header information the source address 4-2, the user data 4-4 is encrypted.

【0129】図23は、本実施形態におけるパケット転送手順を示している。 [0129] Figure 23 shows a packet forwarding procedure in the present embodiment. 無線基地局1−6では、端末認証手段10が通信開始時に無線パケット端末1−7に対する認証を行い、当該パケット端末が正規の端末の場合は暗号通信を開始する。 In the radio base station 1-6, to authenticate to wireless packet terminal 1-7 at the start of communication terminal authentication unit 10, if the packet terminal is a regular terminal starts the encrypted communication. なお、この認証に際して端末認証手段10は端末認証サーバ1−8から端末情報を得る。 The terminal authentication section 10 when the authentication obtain terminal information from the terminal authentication server 1-8.
次に、無線パケット端末1−7は暗号化されたデータパケットを無線基地局1−6に送信する(14−1)。 Next, the wireless packet terminal 1-7 transmits the encrypted data packet to the radio base station 1-6 (14-1). 無線基地局1−6ではパケット復号化手段13がデータパケットを復号化して、パケット改竄検出手段14が受信データパケット(14−1)の改竄を検出した場合はこの受信データパケットを廃棄する。 The radio base station 1-6 in the packet decoding unit 13 decodes the data packet, if the packet tampering detection unit 14 detects tampering of the received data packet (14-1) to discard the received data packet. なお、これまでの手順は第1実施形態(図6)と同じである。 Note that the previous steps are the same as those in the first embodiment (FIG. 6). 一方、改竄が検出されない場合、端末アドレス/VLAN−ID比較手段15は第1実施形態のようにVLAN−IDと送信元アドレスとの対応を確認することはせず、受信データパケットをそのままフィルタリング手段16に送出し、 On the other hand, if the alteration is not detected, the terminal address / VLAN-ID comparing unit 15 is not able to verify the correspondence between the source address and the VLAN-ID as in the first embodiment, as filtering means a received data packet It was sent to the 16,
フィルタリング手段16は宛先アドレス4−1で指定された宛先端末にデータパケットを転送する(14− Filtering means 16 transfers the data packet to the destination terminal specified by the destination address 4-1 (14-
2)。 2). この時、宛先端末がユーザLAN1−4と接続していれば、データパケットはゲートウェイ1−3からゲートウェイ1−1又はゲートウェイ1−2を介してユーザLAN1−4に転送される。 At this time, if the connection destination terminal user LAN1-4, the data packet is forwarded to the user LAN1-4 through the gateway 1-1 or gateway 1-2 from the gateway 1-3. その際、選択されたゲートウェイはデータパケット中の送信元アドレス4−2を確認し、当該アドレスが選択されたゲートウェイの許可アドレステーブルに登録済みであればデータパケットをユーザLAN1−4に転送し、未登録であれば当該データパケットを廃棄する。 At this time, the gateway selected checks the source address 4-2 in the data packet, forwards the data packets to the user LAN1-4 long been registered in the permitted address table of the gateway to which the address is selected, if not registered discards the data packet. 一方、宛先端末が無線パケット網と接続している場合、データパケットはゲートウェイを介することなく宛先端末に転送される。 On the other hand, if the destination terminal is connected to the wireless packet network, the data packet is forwarded to the destination terminal without going through the gateway.

【0130】以上のように、本実施形態では、通信開始時に端末認証することによって、無線パケット端末を特定可能であり、未知の端末や端末アドレスを偽造した端末からの不正アクセスを防止することができる。 [0130] As described above, in this embodiment, by terminal authentication at the start of communication, it is possible to identify the wireless packet terminal, it is possible to prevent unauthorized access from a terminal forged unknown terminals and terminal address it can. また、 Also,
暗号化してパケットを転送することにより、不正な端末が認証された正規の端末になりすますことを防止可能であり、なりすまし端末による不正アクセスを防止することができる。 By transferring packets encrypted, it is possible to prevent the impersonation of proper terminal unauthorized terminal is authenticated, it is possible to prevent unauthorized access by spoofing the terminal. さらに、暗号の復号時に改竄を検出してパケットを廃棄することにより、改竄されたパケットの転送を防止可能であり、改竄データによる通信の妨害と無線パケット網のトラヒック増加を防止することができる。 Furthermore, by discarding the packet by detecting tampering when encryption of decryption, it is possible to prevent the transfer of tampering packets, it is possible to prevent interference and traffic increase of the wireless packet network of communication by alteration data. 加えて、ゲートウェイが宛先アドレスと送信元アドレスに応じてパケットの転送を許可することで、認証されたパケット端末が通信の許可されていないユーザLA In addition, by the gateway to allow a transfer of the packet according to the destination address and the source address, the user LA authenticated packets terminal is not permitted communication
Nにアクセスするのを防止可能であり、他ユーザLAN It is possible to prevent from accessing the N, other users LAN
に所属している端末からの不正アクセスを防止することができる。 Unauthorized access from a terminal that belongs can be prevented.

【0131】〔第12実施形態〕この第12実施形態は、請求項1,7,8記載のパケット転送方法を適用した場合に相当している。 [0131] Twelfth Embodiment The twelfth embodiment corresponds to a case of applying the packet transfer method of claim 1, 7, 8, wherein.

【0132】本実施形態におけるパケット網の構成は図8に示す第3実施形態の構成に等しい。 [0132] The configuration of the packet network in this embodiment is equal to the configuration of the third embodiment shown in FIG. また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the wireless base station in the present embodiment, the authentication procedure, the signal format of the falsification detection procedure and packet of data packets of the wireless packet terminals, respectively equal to the case of the first embodiment shown in FIGS. 2-5.

【0133】第3実施形態と同様に、VLAN−IDは各ユーザLAN7−4に固有の値があらかじめ割り当てられている。 [0133] Similar to the third embodiment, VLAN-ID is unique value is assigned in advance to each user LAN7-4.

【0134】端末認証サーバ7−8は第3実施形態と同様に端末情報テーブルとVLAN情報テーブルを有している。 [0134] The terminal authentication server 7-8 has a terminal information table and the VLAN information table as in the third embodiment. 本実施形態におけるVLAN情報テーブルは、表3に示す第3実施形態におけるVLAN情報テーブルに等しい。 VLAN information table in this embodiment is equal to the VLAN information table in the third embodiment shown in Table 3. 本実施形態では、VLAN鍵がブロードキャストパケット及びマルチキャストパケットの暗号化に使用される。 In this embodiment, VLAN key is used to encrypt the broadcast packet and multicast packet. なお、無線パケット網は各無線パケット端末7 The radio packet network each wireless packet terminals 7
−7にVLAN鍵をあらかじめ通知しておく。 Advance notification of the VLAN key to -7.

【0135】本実施形態における端末情報テーブルは、 [0135] the terminal information table in the present embodiment,
表10に示す第11実施形態における情報テーブルと等しい。 Equal information table in the eleventh embodiment shown in Table 10. この端末情報テーブルに登録した暗号鍵(端末鍵)は、端末認証及びユニキャストパケットの暗号化に用いられる。 Encryption key registered in the terminal information table (terminal key) is used to encrypt the terminal authentication and unicast packets. なお、無線パケット網は各無線パケット端末7−7に端末鍵をあらかじめ通知しておく。 The radio packet network in advance notify the terminal key to each wireless packet terminal 7-7.

【0136】各ユーザLAN7−4に接続するゲートウェイ7−1,7−2は、第11実施形態におけるゲートウェイ1−1,1−2と同様に、許可アドレス情報を表11,表12に示した許可アドレステーブルに持っている。 [0136] The gateway 7-1, 7-2 connected to each user LAN7-4, like the gateway 1-1, 1-2 in the eleventh embodiment, showing the permission address information table 11, the table 12 have the permission address table.

【0137】図24は、本実施形態におけるパケット転送手順を示している。 [0137] Figure 24 shows a packet forwarding procedure in the present embodiment. 第3実施形態と同様に、無線基地局7−6では端末認証手段10が通信開始時に無線パケット端末7−7に対する認証を行い、当該パケット端末が正規の端末であれば暗号通信を開始する。 Like the third embodiment, to authenticate to wireless packet terminal 7-7 terminal authentication unit 10 in the radio base station 7-6 at the start of communication, the packet terminal starts the encrypted communication if a terminal authorized. なお、この認証に際して端末認証手段10が端末認証サーバ7−8 The terminal authentication section 10 when the authentication terminal authentication server 7-8
から端末情報と共にVLAN情報を得るのも第3実施形態と同じである。 Obtain VLAN information together with the terminal information from the also the same as the third embodiment. 次に、無線パケット端末7−7は第3 Next, the wireless packet terminal 7-7 3
実施形態と同様にパケットに応じた暗号鍵としてVLA VLA as an encryption key corresponding to the same packets to the embodiment
N鍵又は端末鍵を選択し、暗号化されたデータパケットを無線基地局7−6に送信する(15−1)。 Select N key or terminal key and sends the encrypted data packet to the radio base station 7-6 (15-1). 無線基地局7−6は第3実施形態と同様にパケットに応じた復号鍵を選択してデータパケットを復号化する。 The radio base station 7-6 decodes the data packet by selecting a decryption key corresponding to the packet as in the third embodiment. そして、パケット改竄検出手段14が受信データパケット(15− Then, the packet tampering detection means 14 receives a data packet (15
1)の改竄を検出した場合はこの受信データパケットを廃棄する。 When detecting tampering with 1) discards the received data packet. 一方、改竄が検出されない場合、端末アドレス/VLAN−ID比較手段15は第3実施形態のようにVLAN−IDと送信元アドレスとの対応を確認することはせず、受信データパケットをそのままフィルタリング手段16に送出し、フィルタリング手段16は宛先アドレス4−1で指定される宛先端末に転送するためにデータパケットを無線パケット網へ送信する(15− On the other hand, if the alteration is not detected, the terminal address / VLAN-ID comparing unit 15 is not able to verify the correspondence between the source address VLAN-ID as in the third embodiment, as filtering means a received data packet sent to 16, the filtering means 16 transmits the data packet to the radio packet network to transfer to the destination terminal specified by the destination address 4-1 (15-
2)。 2). この時、宛先端末がユーザLAN7−4と接続している場合、各中継ノード7−9はデータパケット中の宛先アドレス4−1に応じて次の送信ポートを選択してゲートウェイ7−3へデータパケットを転送する。 At this time, if the destination terminal is connected to the user LAN7-4, each relay node 7-9 data to the gateway 7-3 to select the next transmission port according to the destination address 4-1 in the data packet to forward the packet. ゲートウェイ7−3は宛先アドレス4−1から抽出されるネットワークアドレスに応じてゲートウェイ7−1又はゲートウェイ7−2を選択し、選択されたゲートウェイに接続するユーザLAN7−4から宛先端末にデータパケットを転送する(15−3)。 Gateway 7-3 selects the gateway 7-1 or gateway 7-2 in accordance with the network address extracted from the destination address 4-1, the data packet to the destination terminal from the user LAN7-4 connected to the selected gateway to transfer (15-3). その際、選択されたゲートウェイはデータパケット中の送信元アドレス4−2を確認し、当該アドレスが選択されたゲートウェイの許可アドレステーブルに登録済みであればデータパケットをユーザLAN7−4に転送し、未登録であれば当該データパケットを廃棄する。 At this time, the gateway selected checks the source address 4-2 in the data packet, forwards the data packets to the user LAN7-4 long been registered in the permitted address table of the gateway to which the address is selected, if not registered discards the data packet. 一方、宛先端末が無線パケット網と接続している場合は、第3実施形態と同様に、各中継ノード7−9は宛先アドレス4−1に応じて次の送信ポートを選択して、ゲートウェイを介することなくデータパケットを宛先端末へ転送する。 On the other hand, if the destination terminal is connected to the wireless packet network, like the third embodiment, each relay node 7-9 selects the next transmission port according to the destination address 4-1, the gateway It forwards the data packet to the destination terminal without intervention.

【0138】本実施形態におけるブロードキャストパケットの転送手順は、図10に示す第3実施形態の場合と等しい。 [0138] Procedure for forwarding broadcast packets in this embodiment is the same as in the third embodiment shown in FIG. 10. 本実施形態では、暗号化にVLAN鍵を用いているため、第3実施形態と同様に、VLAN−IDの同じパケット端末は、ブロードキャストパケット及びマルチキャストパケットの復号が可能である。 In the present embodiment, due to the use of VLAN key for encryption, as in the third embodiment, the same packet terminal VLAN-ID can be decoded broadcast and multicast packets.

【0139】また、本実施形態においてブロードキャストパケットをパケット網が転送する様子は、図11に示す第3実施形態の場合と等しい。 [0139] Furthermore, how the packet network to forward broadcast packets in the present embodiment is the same as in the third embodiment shown in FIG. 11.

【0140】以上のように、本実施形態によれば、第1 [0140] As described above, according to this embodiment, the first
1実施形態によって得られる効果に加えて次に述べる効果が得られる。 Described next effect in addition to the effects obtained by the first embodiment can be obtained. すなわち、宛先アドレスに応じて次の中継ノードを選択してパケットを転送するため、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 That is, since according to the destination address forwards the packet to select the next relay node, when the wireless packet terminal packet transfer to another wireless packet terminal selects an optimal route without passing through the gateway transfers be capable of, it is possible to prevent an increase in transfer delay time. また、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、 In the case of forward broadcast and multicast packets are
VLAN−IDにより次の中継ノードを選択してパケットを転送するため、同じVLAN−IDを用いて通信中の全ての無線パケット端末に対してゲートウェイがユニキャスト転送する必要がなくなり、最適な経路選択で転送することが可能であって、転送遅延時間,トラヒック,ゲートウェイの処理負荷の増加を防止することができる。 To forward packets by selecting a next relay node by VLAN-ID, it eliminates the gateway to all the wireless packet terminal in communication with the same VLAN-ID is necessary to unicast forwarding, optimal path selection in a can transfer, transfer delay, it is possible to prevent traffic increase of gateway processing load. また、ブロードキャストパケット又はマルチキャストパケットを転送する際は、VLAN−IDに共通する暗号鍵を用いて暗号化しているため、無線基地局は同じVLAN−IDを持つ配下の全無線パケット端末に対して1回の送信でこれらパケットを転送することができる。 Also, when transferring broadcast packet or multicast packet, since the use of an encryption key common to VLAN-ID, the radio base station for all the wireless packet terminals under with the same VLAN-ID 1 it is possible to transfer these packets in times of transmission. したがって、各無線パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック, Therefore, as compared with the case of transmitting a plurality of times with the encryption key of the wireless packet terminals, traffic,
転送遅延時間,基地局の負荷をそれぞれ抑制することができる。 Transfer delay time, the load on the base station can be suppressed respectively. なお、VLAN鍵は端末固有の暗号鍵ではないが、異なるVLAN−IDを持つパケット端末は知りえないため、なりすましによる不正アクセスは生じない。 In addition, VLAN key is not a terminal-specific encryption key, because that can not be know packet terminal with a different VLAN-ID, unauthorized access by spoofing does not occur.

【0141】〔第13実施形態〕この第13実施形態は、請求項1,7,9記載のパケット転送方法を適用した場合に相当している。 [0141] [Embodiment 13] This thirteenth embodiment corresponds to a case of applying a packet transfer method according to claim 1,7,9, wherein.

【0142】本実施形態におけるパケット網の構成は図8に示す第3実施形態の構成に等しい。 [0142] The configuration of the packet network in this embodiment is equal to the configuration of the third embodiment shown in FIG. また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the wireless base station in the present embodiment, the authentication procedure, the signal format of the falsification detection procedure and packet of data packets of the wireless packet terminals, respectively equal to the case of the first embodiment shown in FIGS. 2-5.

【0143】第3実施形態と同様に、VLAN−IDは各ユーザLANに固有の値があらかじめ割り当てられている。 [0143] Similar to the third embodiment, VLAN-ID is unique to the respective user LAN is assigned in advance. 端末認証サーバ7−8は第3実施形態と同様に端末情報テーブルとVLAN情報テーブルを有している。 The terminal authentication server 7-8 has a terminal information table and the VLAN information table as in the third embodiment.
本実施形態におけるVLAN情報テーブルは、表3に示す第3実施形態におけるVLAN情報テーブルに等しい。 VLAN information table in this embodiment is equal to the VLAN information table in the third embodiment shown in Table 3.

【0144】本実施形態において、VLAN鍵は無線基地局7−6がブロードキャストパケット及びマルチキャストパケットを暗号化するときに使用される。 [0144] In this embodiment, VLAN key radio base station 7-6 is used to encrypt the broadcast packet and multicast packet. なお、無線パケット網は各無線パケット端末7−7にVLAN鍵をあらかじめ通知しておく。 The radio packet network in advance notify the VLAN keys to each wireless packet terminal 7-7.

【0145】また、本実施形態における端末情報テーブルは表10に示す第11実施形態の端末情報テーブルと等しい。 [0145] The terminal information table in this embodiment is equal to the terminal information table of the eleventh embodiment shown in Table 10. この端末情報テーブルに登録した暗号鍵(端末鍵)は、端末認証時,ユニキャストパケットの暗号化時,ならびに,無線パケット端末7−7によるブロードキャスト及びマルチキャストパケットの暗号化時においてそれぞれ用いられる。 Encryption key registered in the terminal information table (terminal key), at the time of terminal authentication, when encrypting the unicast packets, and are used respectively at the time of encrypting the broadcast and multicast packets by the wireless packet terminal 7-7. なお、無線パケット網は各無線パケット端末7−7に端末鍵をあらかじめ通知しておく。 The radio packet network in advance notify the terminal key to each wireless packet terminal 7-7.

【0146】ゲートウェイ7−1,7−2は第11実施形態におけるゲートウェイ1−1,1−2と同様に、表11,表12に示す許可アドレステーブルをそれぞれ有している。 [0146] The gateway 7-1 and 7-2 in the same manner as gateways 1-1 and 1-2 in the eleventh embodiment has the table 11, a permitted address table shown in Table 12, respectively.

【0147】図25は、本実施形態におけるパケット転送手順を示している。 [0147] Figure 25 shows a packet forwarding procedure in the present embodiment. 第3実施形態と同様に、無線基地局7−6では端末認証手段10が通信開始時に無線パケット端末7−7に対する認証を行い、当該パケット端末が正規の端末であれば暗号通信を開始する。 Like the third embodiment, to authenticate to wireless packet terminal 7-7 terminal authentication unit 10 in the radio base station 7-6 at the start of communication, the packet terminal starts the encrypted communication if a terminal authorized. なお、この認証に際して端末認証手段10が端末認証サーバ7−8 The terminal authentication section 10 when the authentication terminal authentication server 7-8
から端末情報と共にVLAN情報を得るのも第3実施形態と同じである。 Obtain VLAN information together with the terminal information from the also the same as the third embodiment. 次に、無線パケット端末7−7は第4 Next, the wireless packet terminal 7-7 4
実施形態と同様にユニキャストパケット/ブロードキャストパケット/マルチキャストパケットの区別なく端末鍵を用いてデータパケットを暗号化して無線基地局7− Embodiment as well as to encrypt the data packet using the distinguished without terminal key unicast packet / broadcast packet / multicast packet radio base station 7-
6に送信する(16−1)。 To send to the 6 (16-1). 無線基地局7−6では、パケット復号化手段13がユニキャストパケット/ブロードキャストパケット/マルチキャストパケットを区別することなく端末鍵を用いてデータパケットを復号化する。 In the radio base station 7-6 decodes the data packet using the terminal key without packet decoding unit 13 to distinguish unicast packet / broadcast packet / multicast packet. これ以後は、第12実施形態と同様に、無線基地局7−6は受信したデータパケットが改竄されていればパケットを廃棄し、改竄されていない場合は、VLAN− This Thereafter, similarly to the twelfth embodiment, the radio base station 7-6 discards the packet if it is tampered data packet received, if not tampered, VLAN-
IDと送信元アドレスとの対応を確認することなく、第12実施形態と同様にして宛先アドレス4−1で指定される宛先端末までデータパケットを転送する(16− Without checking the correspondence between ID and source address, and transfers the data packet to the destination terminal specified by the destination address 4-1 in the same manner as in the twelfth embodiment (16-
3)。 3). すなわち、宛先端末がユーザLAN7−4と接続しているならば、データパケットは各中継ノード7− That is, if the destination terminal is connected to the user LAN7-4, data packets each relay node 7
9,ゲートウェイ7−3,ゲートウェイ7−1又はゲートウェイ7−2,ユーザLAN7−4を経て宛先端末に転送される。 9, the gateway 7-3, the gateway 7-1 or gateway 7-2, through a user LAN7-4 is transferred to the destination terminal. その際、ゲートウェイ7−1又は7−2はデータパケット(16−2)の送信元アドレス4−2が許可アドレステーブルに登録済みであればデータパケットをユーザLAN7−4に転送し、未登録であれば当該データパケットを廃棄する。 At that time, the gateway 7-1 or 7-2 transfers the data packet if it has already been registered in the source address 4-2 permitted address table of the data packet (16-2) to the user LAN7-4, unregistered It discards the data packet, if any. 一方、宛先端末が無線パケット網と接続している場合、データパケットはゲートウェイを介することなく宛先端末へ転送される。 On the other hand, if the destination terminal is connected to the wireless packet network, the data packet is transferred to the destination terminal without going through the gateway.

【0148】また、本実施形態においてブロードキャストパケットをパケット網が転送する様子は図11に示す第3実施形態の場合に等しい。 [0148] Furthermore, how the packet network to forward broadcast packets in this embodiment is equal to the case of the third embodiment shown in FIG. 11.

【0149】本実施形態によれば、第11実施形態によって得られる効果に加えて次に述べる効果が得られる。 According to [0149] this embodiment, described below effectively in addition to the effects obtained by the eleventh embodiment can be obtained.
すなわち、宛先アドレスに応じて次の中継ノードを選択してパケットを転送するため、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 That is, since according to the destination address forwards the packet to select the next relay node, when the wireless packet terminal packet transfer to another wireless packet terminal selects an optimal route without passing through the gateway transfers be capable of, it is possible to prevent an increase in transfer delay time. また、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、VLAN−ID In the case of forward broadcast and multicast packets are, VLAN-ID
により次の中継ノードを選択してパケットを転送するため、同じVLAN−IDを用いて通信中の全ての無線パケット端末に対してゲートウェイがユニキャスト転送する必要がなくなり、最適な経路選択で転送することが可能であって、転送遅延時間,トラヒック,ゲートウェイの処理負荷の増加を防止することができる。 By for transferring packets by selecting a next relay node, a gateway to all of the wireless packet terminal in communication with the same VLAN-ID is not required to be unicast forwarding, forwarding with optimum path selection it be capable of, transfer delay, traffic, an increase in the gateway processing load can be prevented. また、無線基地局が送信するブロードキャストパケット及びマルチキャストパケットの暗号化の際にはVLAN鍵を用いるため、VLAN−IDの同じパケット端末は暗号の復号が可能である。 Moreover, since the use of VLAN key during encryption of the broadcast packet and multicast packet radio base station transmits the same packet terminal VLAN-ID is possible to decrypt the encryption. また、無線基地局がブロードキャストパケット又はマルチキャストパケットを転送する際は、V Further, when the radio base station forwards the broadcast packet or multicast packet, V
LAN−IDに共通する暗号鍵を用いて暗号化しているため、無線基地局は同じVLAN−IDを持つ配下の全無線パケット端末に対して1回の送信でこれらパケットを転送することができる。 Due to the use of an encryption key common to LAN-ID, it is possible to transfer these packets in one transmission to all the wireless packet terminals subordinate to the radio base station with the same VLAN-ID. したがって、各無線パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制することができる。 Therefore, as compared with the case of transmitting a plurality of times with the encryption key of the wireless packet terminals, traffic transfer delay time, the load on the base station can be suppressed respectively. さらに、無線パケット端末は、送信するブロードキャストパケット及びマルチキャストパケットの暗号化に際して、ユニキャストパケット用の暗号鍵である端末鍵を用いている。 Further, the wireless packet terminal, when encrypted broadcast packet and multicast packet to be transmitted, and using the terminal key is an encryption key for unicast packets. そのため、第12実施形態などとは異なり、無線基地局はパケットの受信時に2種類の暗号鍵を切り替えることなく暗号を復号することが可能となる。 Therefore, unlike the like twelfth embodiment, the radio base station can decode the cipher without switching the two types of encryption keys upon receipt of a packet. したがって、ブロードキャストパケット及びマルチキャストパケット用の暗号鍵を用いて暗号化して送信する場合に比べて、無線基地局の負荷を抑制することができる。 Therefore, as compared with the case of transmitting encrypted using the encryption key for the broadcast packet and multicast packet, it is possible to suppress the load of the radio base station.

【0150】〔第14実施形態〕この第14実施形態は、請求項1,7,10記載のパケット転送方法を適用した場合に相当している。 [0150] [Embodiment 14] The fourteenth embodiment corresponds to the case of applying the packet transfer method of claim 1,7,10, wherein.

【0151】本実施形態におけるパケット網の構成は図8に示す第3実施形態の構成に等しい。 [0151] The configuration of the packet network in this embodiment is equal to the configuration of the third embodiment shown in FIG. また、本実施形態における無線基地局の構成,無線パケット端末の認証手順,データパケットの改竄検出手順及びパケットの信号フォーマットは、図2〜図5に示した第1実施形態の場合とそれぞれ等しい。 The configuration of the wireless base station in the present embodiment, the authentication procedure, the signal format of the falsification detection procedure and packet of data packets of the wireless packet terminals, respectively equal to the case of the first embodiment shown in FIGS. 2-5.

【0152】第3実施形態と同様に、VLAN−IDは各ユーザLANに対して固有の値があらかじめ割り当てられている。 [0152] Similar to the third embodiment, VLAN-ID is unique value is allocated in advance to each user LAN. 端末認証サーバ7−8は第3実施形態と同様に端末情報テーブルとVLAN情報テーブルを有している。 The terminal authentication server 7-8 has a terminal information table and the VLAN information table as in the third embodiment. 本実施形態におけるVLAN情報テーブルは、表3に示す第3実施形態におけるVLAN情報テーブルに等しい。 VLAN information table in this embodiment is equal to the VLAN information table in the third embodiment shown in Table 3. 本実施形態では、第5実施形態と同様に、VL In the present embodiment, as in the fifth embodiment, VL
AN鍵はパケットを暗号化するときに使用される。 AN key is used to encrypt the packet. なお、無線パケット網は各無線パケット端末7−7にVL The radio packet network to each wireless packet terminal 7-7 VL
AN鍵をあらかじめ通知しておく。 You should notify in advance the AN key.

【0153】本実施形態における端末情報テーブルは表10に示した第11実施形態の端末情報テーブルと等しい。 [0153] The terminal information table in this embodiment is equal to the terminal information table of the eleventh embodiment shown in Table 10. また、端末情報テーブルに登録した暗号鍵としては、各端末が所属するユーザLAN7−4のVLAN鍵を用いる。 As the encryption key registered in the terminal information table, using a VLAN key of the user LAN7-4 each terminal belongs.

【0154】ゲートウェイ7−1,7−2は第11実施形態におけるゲートウェイ1−1,1−2と同様に、それぞれ表11,表12に示す許可アドレステーブルを有している。 [0154] The gateway 7-1 and 7-2 in the same manner as gateways 1-1 and 1-2 in the eleventh embodiment, respectively Table 11, and a permitted address table shown in Table 12.

【0155】図26は、本実施形態におけるパケット転送手順を示している。 [0155] Figure 26 shows a packet forwarding procedure in the present embodiment. 第3実施形態と同様に、無線基地局7−6では端末認証手段10が通信開始時に無線パケット端末7−7に対する認証を行い、当該パケット端末が正規の端末であれば暗号通信を開始する。 Like the third embodiment, to authenticate to wireless packet terminal 7-7 terminal authentication unit 10 in the radio base station 7-6 at the start of communication, the packet terminal starts the encrypted communication if a terminal authorized. なお、この認証に際して端末認証手段10が端末認証サーバ7−8 The terminal authentication section 10 when the authentication terminal authentication server 7-8
から端末情報と共にVLAN情報を得るのも第3実施形態と同じである。 Obtain VLAN information together with the terminal information from the also the same as the third embodiment. 次に、無線パケット端末7−7は第5 Next, the wireless packet terminal 7-7 fifth
実施形態と同様にユニキャストパケット/ブロードキャストパケット/マルチキャストパケットの区別なくVL Without distinction VL embodiment similarly to the unicast packets / broadcast packet / multicast packet
AN鍵を用いてデータパケットを暗号化して無線基地局7−6に送信する(17−1)。 It encrypts and transmits to the wireless base station 7-6 data packet using the AN key (17-1). 無線基地局7−6では、パケット復号化手段13がユニキャストパケット/ In the radio base station 7-6, the packet decoding unit 13 is a unicast packet /
ブロードキャストパケット/マルチキャストパケットを区別することなくVLAN鍵を用いてデータパケットを復号化する。 Decoding the data packet using the VLAN key without distinguishing a broadcast packet / multicast packet. これ以後は、第12実施形態と同様に、無線基地局7−6は受信したデータパケットが改竄されていればパケットを廃棄し、改竄されていない場合は、V This Thereafter, similarly to the twelfth embodiment, discards the packet if the radio base station 7-6 is falsified data packet received, if not tampered, V
LAN−IDと送信元アドレスとの対応を確認することなく、第12実施形態と同様にして宛先アドレス4−1 Without checking the corresponding LAN-ID and the transmission source address, destination address 4-1 in the same manner as in the twelfth embodiment
で指定される宛先端末までデータパケットを転送する(17−3)。 It forwards the data packet in to the destination terminal specified (17-3). すなわち、宛先端末がユーザLAN7− That is, the destination terminal user LAN7-
4と接続しているならば、データパケットは各中継ノード7−9,ゲートウェイ7−3,ゲートウェイ7−1又はゲートウェイ7−2,ユーザLAN7−4を経て宛先端末に転送される。 If 4 to be connected, the data packets each relay node 7-9, the gateway 7-3, the gateway 7-1 or gateway 7-2, through a user LAN7-4 is transferred to the destination terminal. その際、ゲートウェイ7−1又は7 At that time, the gateway 7-1 or 7
−2はデータパケット(17−2)の送信元アドレス4 -2 source address of the data packet (17-2) 4
−2が許可アドレステーブルに登録済みであればデータパケットをユーザLAN7−4に転送し、未登録であれば当該データパケットを廃棄する。 If -2 registered in the authorization address table and forwards the data packets to the user LAN7-4, discards the data packet if unregistered. 一方、宛先端末が無線パケット網と接続している場合、データパケットはゲートウェイを介することなく宛先端末へ転送される。 On the other hand, if the destination terminal is connected to the wireless packet network, the data packet is transferred to the destination terminal without going through the gateway.

【0156】本実施形態においてブロードキャストパケットをパケット網が転送する様子は、図11に示す第3 [0156] manner in which the packet network broadcast packet in this embodiment is transferred, the 3 shown in FIG. 11
実施形態の場合と等しい。 Equal to the embodiment.

【0157】以上のように、本実施形態によれば、第1 [0157] As described above, according to this embodiment, the first
1実施形態によって得られる効果に加えて次に述べる効果が得られる。 Described next effect in addition to the effects obtained by the first embodiment can be obtained. すなわち、宛先アドレスに応じて次の中継ノードを選択してパケットを転送するため、無線パケット端末が他の無線パケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であって、転送遅延時間の増加を防止することができる。 That is, since according to the destination address forwards the packet to select the next relay node, when the wireless packet terminal packet transfer to another wireless packet terminal selects an optimal route without passing through the gateway transfers be capable of, it is possible to prevent an increase in transfer delay time. また、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、 In the case of forward broadcast and multicast packets are
VLAN−IDにより次の中継ノードを選択してパケットを転送するため、同じVLAN−IDを用いて通信中の全ての無線パケット端末に対してゲートウェイがユニキャスト転送する必要がなくなり、最適な経路選択で転送することが可能であって、転送遅延時間,トラヒック,ゲートウェイの処理負荷の増加を防止することができる。 To forward packets by selecting a next relay node by VLAN-ID, it eliminates the gateway to all the wireless packet terminal in communication with the same VLAN-ID is necessary to unicast forwarding, optimal path selection in a can transfer, transfer delay, it is possible to prevent traffic increase of gateway processing load. また、本実施形態では、暗号化にVLAN鍵のみを用いるようにして端末鍵を用いないため、VLAN− Further, in this embodiment, it is not used the terminal key so as to use only VLAN key for encryption, VLAN-
IDの同じパケット端末はブロードキャスト及びマルチキャストパケットの暗号を復号することが可能である。 Same packet terminal ID is capable of decrypting the encrypted broadcast and multicast packets.
また、VLAN−IDに共通する暗号鍵を用いているため、無線基地局及び無線パケット端末はパケット受信時に2種類の暗号鍵を切り替えて暗号化及び復号する必要がない。 Moreover, the use of the encryption key common to VLAN-ID, there is no need to encrypt and decrypt by switching two types of encryption keys at the radio base station and a wireless packet terminal packet receiving. したがって、2種類の暗号鍵を用いる場合に比べて、無線基地局及び無線パケット端末の負荷を抑制することができる。 Therefore, compared with the case of using two kinds of encryption keys, it is possible to suppress the load of the radio base station and a wireless packet terminals. また、パケットを転送する際は、VL Also, when transferring the packet, VL
AN−IDに共通する暗号鍵を用いて暗号化しているため、無線基地局は同じVLAN−IDを持つ配下の全無線パケット端末に対して1回の送信でこれらパケットを転送することができる。 Due to the use of an encryption key common to AN-ID, it is possible to transfer these packets in one transmission to all the wireless packet terminals subordinate to the radio base station with the same VLAN-ID. したがって、各無線パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制することができる。 Therefore, as compared with the case of transmitting a plurality of times with the encryption key of the wireless packet terminals, traffic transfer delay time, the load on the base station can be suppressed respectively. なお、VLAN鍵は端末固有の暗号鍵ではないが、異なるVLAN−IDを持つパケット端末は知りえないため、なりすましによる不正アクセスは生じない。 In addition, VLAN key is not a terminal-specific encryption key, because that can not be know packet terminal with a different VLAN-ID, unauthorized access by spoofing does not occur.

【0158】[第15実施形態]上述した各実施形態では本発明を無線パケット網へ適用した場合について説明してきたが、本発明は無線パケット網に限らず有線パケット網に適用しても良い。 [0158] In the fifteenth embodiment] Each embodiment described above has been described for the case of applying the present invention to a wireless packet network, the present invention may be applied to a wired packet network is not limited to a wireless packet network. 図27は、前述した第1実施形態を有線パケット網で実現した場合のネットワーク構成を示している。 Figure 27 shows a network configuration when implementing a wired packet network the first embodiment described above. 同図では、無線パケットバックボーン網1−5と同等の機能を有するパケットバックボーン網27−5,無線/有線の違いを除いて無線基地局1−6 In the figure, a packet backbone network 27-5 with wireless packet backbone network 1-5 equivalent function, a radio base station except for the difference of the wireless / wired 1-6
と同等の機能を有するアクセスサーバ(有線接続装置) Access server having the same functions as (wired connecting device)
27−6,および無線/有線の違いを除いて無線パケット端末1−7と同等の機能を有するパケット端末27− 27-6, and packet terminal having the same function as the wireless packet terminal 1-7 except for the difference of the wireless / wired 27-
7がそれぞれ設けられている。 7 are provided, respectively. これら以外の構成は全て第1実施形態(図1)と同じである。 Configuration other than these are the same for all the first embodiment (FIG. 1). 本実施形態によるパケット転送手順は、アクセスサーバ27−6とパケット端末27−7の間を含めた全ての通信が有線で行われる点を除けば、第1実施形態と全く同じになる。 Procedure packet transfer according to the present embodiment, the access server 27-6 and all communication, including during the packet terminal 27-7 is except that performed by wire, exactly like the first embodiment. また、 Also,
図8に示したネットワーク構成を用いる場合にも、無線パケットバックボーン網7−5,無線基地局7−6,無線パケット端末7−7をそれぞれパケットバックボーン網27−5,アクセスサーバ27−6,パケット端末2 Even in the case of using the network configuration shown in FIG. 8, the wireless packet backbone network 7-5, the radio base station 7-6, the radio packet terminal 7-7 each packet backbone network 27-5, the access server 27-6, the packet terminal 2
7−7に置き換えれば良い。 It may be replaced to 7-7. したがって、上述した全ての実施形態に対して有線パケット網のネットワーク構成を適用することができる。 Therefore, it is possible to apply the network structure of the wired packet network to all of the embodiments described above.

【0159】以上述べた実施形態は全て本発明を例示的に示すものであって限定的に示すものではなく、本発明は他の種々の変形態様及び変更態様で実施することができる。 [0159] The above described embodiments are not intended to indicate limited all were described as showing the present invention illustratively, the present invention can be implemented in other various modifications and variations. 従って本発明の範囲は特許請求の範囲及びその均等範囲によってのみ規定されるものである。 Accordingly, the present invention is intended to be defined only by the claims and their equivalents.

【0160】例えば、上記各実施形態では、パケット網への入口である無線基地局(あるいはアクセスサーバ) [0160] For example, in the above embodiments, a radio base station which is the entrance to the packet network (or the access server)
が端末認証やパケット改竄検出などを行うことによって、最も効率的な転送を実現することができる。 There by performing such as a terminal authentication and packet tampering detection, it is possible to achieve the most efficient transfer. しかしながら、パケット網の構成によっては無線基地局を統括する制御局などが設けられている場合もあり、そうした場合には、この制御局が端末認証やパケット改竄検出を行うようにしても良い。 However, depending on the configuration of the packet network might also a control station which controls the radio base station is provided, in such a case, the control station may perform terminal authentication and packet tampering detection.

【0161】 [0161]

【発明の効果】以上説明したように、本発明によれば、 As described in the foregoing, according to the present invention,
通信開始時に端末認証することによってパケット端末を特定可能であり、未知の端末や端末アドレスを偽造した端末からの不正アクセスを防止する効果が得られる。 It is possible to specify packet terminal by terminal authentication at the start of communication, the effect of preventing unauthorized access from a terminal forged unknown terminals and terminal address is obtained. また、暗号化してパケットを転送することにより、不正な端末が認証された正規の端末になりすますことを防止可能であり、なりすまし端末による不正アクセスを防止する効果が得られる。 Furthermore, by transferring the packets encrypted, it is possible to prevent the impersonation of the regular unauthorized terminal is authenticated terminal, the effect of preventing the unauthorized access by spoofing the terminal is obtained. さらに、暗号の復号時に改竄を検出してパケットを廃棄することにより、改竄されたパケットの転送を防止可能であり、改竄データによる通信の妨害とパケット網のトラヒック増加を防止する効果が得られる。 Furthermore, by discarding the packet by detecting tampering when encryption of decryption, it is possible to prevent the transfer of tampering packets, the effect of preventing traffic increase of communication interference and packet network by alteration data is obtained.

【0162】従って、送信元アドレスを偽造することによりデータ網(ユーザLAN)へ不正にアクセスできる問題を解決し、あらかじめ登録した端末に対してだけ特定のデータ網との通信を許可するパケット転送方法を提供することが可能となる。 [0162] Therefore, to solve the problems that can be unauthorized access to the data network (user LAN) by forge the source address, the packet transfer method to allow communication only with a specific data network with respect to pre-registered terminal it is possible to provide a. また、パケットの転送遅延時間,トラヒック,ゲートウェイの負荷が増加する問題を解決し、最適な経路選択が可能でなおかつ効率的なパケット転送方法を提供することが可能となる。 The transfer delay of the packet, to solve the problem of traffic load of the gateway increases, it is possible to provide a yet efficient packet transfer method allows optimal routing.

【0163】また、請求項2,3,11又は12記載の発明によれば、識別子又はユーザLAN名と送信元アドレスの対応を確認することにより、認証された端末が自分が接続の許可されていない(あるいは自分の属していない)データ網にアクセスすることを防止可能であり、 [0163] Further, according to the present invention 2, 3, 11 or 12, wherein, by confirming the corresponding identifier or a user LAN name and source addresses, have authenticated terminal is allowed their connections not (or do not belong to yourself) it is possible to prevent the access to the data network,
あるデータ網に接続を許可されている(あるいは所属している)端末から他データ網への不正アクセスを防止する効果が得られる。 Effect of preventing unauthorized access from one to the data network are permitted to connect (or belongs) terminal to another data network is obtained. さらにまた、1パケット端末あたり複数の識別子又はユーザLAN名を登録することにより、1つのパケット端末で複数のデータ網にアクセスすることが可能であり、ユーザヘのサービス性が向上するという効果が得られる。 Furthermore, by registering a plurality of identifiers or user LAN name per packet terminal, it is possible to access multiple data networks in a single packet terminal, the effect is obtained that the service of Yuzahe is improved .

【0164】また、請求項4又は7記載の発明によれば、宛先アドレスに応じて次の中継ノードを選択してパケットを転送するため、パケット端末が他のパケット端末にパケット転送する時には、ゲートウェイを経由することなく最適な経路を選択して転送することが可能であり、転送遅延時間の増加を防止する効果が得られる。 [0164] According to the invention of claim 4 or 7, wherein, in order to forward the packet to select the next relay node according to the destination address, when a packet terminal packet transfer to other packet terminal, gateway it is possible to transfer by selecting an optimal route without passing through the effect of preventing an increase in the transfer delay is obtained. また、ブロードキャストパケット及びマルチキャストパケットを転送する場合は、識別子に応じて次の中継ノードを選択してパケットを転送するため、同じ識別子を用いて通信している全てのパケット端末に対してゲートウェイからユニキャスト転送する必要がない。 In the case of forward broadcast and multicast packets in order to forward the packet to select the next relay node according to the identifier, uni from the gateway to all packets terminals communicating with the same identifier cast there is no need to transfer. したがって、 Therefore,
最適な経路選択でパケットを転送することが可能であり、転送遅延時間,トラヒック,ゲートウェイの処理負荷の増加をそれぞれ防止する効果が得られる。 It is possible to forward packets at an optimal path selection, transfer delay, traffic, the effect of preventing an increase in the gateway processing load respectively obtained.

【0165】また、請求項6記載の発明によれば、ゲートウェイが宛先アドレスと送信元アドレスに応じてパケットの転送を許可することで、認証されたパケット端末が通信の許可されていないユーザLANにアクセスすることを防止可能であり、他ユーザLANに所属しているパケット端末からの不正アクセスを防止する効果が得られる。 [0165] According to the sixth aspect of the present invention, by the gateway to allow a transfer of the packet according to the destination address and the source address, the user LAN authentication packets terminal is not permitted communication it is possible to prevent the access, the effect of preventing unauthorized access from the packet terminal belonging to another user LAN is obtained.

【0166】また、請求項8又は13記載の発明によれば、識別子が同じであれば共通の暗号鍵を用いてブロードキャストパケット及びマルチキャストパケットを暗号化しているため、基地局は同一の識別子を持つ配下の全パケット端末に対して1回の送信でこれらパケットを転送することが可能となる。 [0166] Also, according to the invention of claim 8 or 13 wherein, because the identifier is encrypted broadcast packet and multicast packet by using the common encryption key if the same base station have the same identifier it is possible to transfer these packets in one transmission for all packet terminal under. したがって、各パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷を抑制する効果が得られる。 Therefore, as compared with the case of transmitting a plurality of times by using the encryption key of each packet terminal, traffic, transfer delay, suppressing effect is obtained a load on the base station.

【0167】また、請求項9又は14記載の発明によれば、基地局がブロードキャストパケット及びマルチキャストパケットを転送する際には、識別子に共通する暗号鍵を用いて暗号化している。 [0167] Also, according to the invention of claim 9 or 14, wherein, when the base station forwards the broadcast packet and multicast packet is encrypted using an encryption key common to the identifier. このため、基地局は同じ識別子を持つ配下の全パケット端末に対して1回の送信でこれらパケットを転送することが可能となる。 Therefore, it is possible to transfer these packets in one transmission for all packet terminal under the base station with the same identifier. したがって、各パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制する効果が得られる。 Therefore, as compared with the case of transmitting a plurality of times by using the encryption key of each packet terminal, traffic, transfer delay, the effect of suppressing respectively obtain the load of the base station. また、 Also,
パケット端末がブロードキャストパケット及びマルチキャストパケットを転送する際には、ユニキャストパケット用の暗号鍵を用いて暗号化している。 When the packet terminal forwards the broadcast packet and multicast packet is encrypted using the encryption key for unicast packets. したがって、基地局はパケット端末からパケットを受信した時に暗号鍵を切り替えることなく復号することが可能となり、ブロードキャストパケット及びマルチキャストパケット用の暗号鍵を用いて暗号化して送信する場合に比べて、基地局にかかる負荷を抑制する効果が得られる。 Thus, the base station it is possible to decode without changing the encryption key when receiving the packet from the packet terminal, as compared with the case of transmitting encrypted using the encryption key for the broadcast packet and multicast packet, the base station the effect of suppressing the load on is obtained.

【0168】また、請求項10又は15記載の発明によれば、パケットを転送する際、識別子に共通の暗号鍵を用いて暗号化しているため、基地局は同じ識別子を有する配下の全パケット端末に対して1回の送信でブロードキャストパケット及びマルチキャストパケットを転送することが可能となる。 [0168] According to the invention of claim 10 or 15, wherein, when forwarding packets, since the encrypted using a common encryption key identifier, all packets terminals under the base station having the same identifier it is possible to forward broadcast and multicast packets in a single transmission to. したがって、各パケット端末の暗号鍵を用いて暗号化して複数回送信する場合に比べて、 Therefore, as compared with the case of transmitting a plurality of times by using the encryption key of each packet terminal,
トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑制する効果が得られる。 Traffic, transfer delay time, the effect of suppressing respectively obtain the load of the base station. また、識別子に共通する暗号鍵を用いているため、基地局及びパケット端末はパケットの受信時において暗号鍵を切り替えることなく復号することが可能となる。 Moreover, the use of the encryption key common to the identifier, the base station and the packet terminal can decode without switching the encryption key at the time of receiving the packet. したがって、2種類の暗号鍵を用いる場合に比べて、基地局及びパケット端末にかかる負荷を抑制する効果が得られる。 Therefore, compared with the case of using two kinds of encryption keys, suppressing effect is obtained a load on the base station and the packet terminal.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】 本発明の第1実施形態における無線パケット通信のネットワーク構成を示すブロック図である。 1 is a block diagram showing a network configuration of a wireless packet communication in the first embodiment of the present invention.

【図2】 本発明の各実施形態における無線基地局の構成を示すブロック図である。 2 is a block diagram showing a configuration of a wireless base station in the embodiments of the present invention.

【図3】 本発明の第1実施形態における無線パケット通信の認証手順を示す図である。 Is a diagram illustrating an authentication procedure of a wireless packet communication in the first embodiment of the present invention; FIG.

【図4】 同実施形態におけるデータパケットの改竄検出手順を示す図である。 4 is a diagram illustrating a tampering detection procedure of the data packet in the embodiment.

【図5】 同実施形態におけるパケットの信号フォーマットを示す図である。 5 is a diagram showing a signal format of a packet in the embodiment.

【図6】 同実施形態におけるパケット転送手順を示す図である。 6 is a diagram showing a packet forwarding procedure in the same embodiment.

【図7】 本発明の第2実施形態におけるパケット転送手順を示す図である。 7 is a diagram showing a packet transfer procedure according to the second embodiment of the present invention.

【図8】 本発明の第3実施形態における無線パケット通信のネットワーク構成を示すブロック図である。 8 is a block diagram showing a network configuration of a wireless packet communication in a third embodiment of the present invention.

【図9】 同実施形態におけるパケット転送手順を示す図である。 9 is a diagram showing a packet forwarding procedure in the same embodiment.

【図10】 同実施形態におけるブロードキャストパケットの転送手順を示す図である。 10 is a diagram showing a transfer procedure of the broadcast packets in the same embodiment.

【図11】 同実施形態におけるブロードキャストパケットの転送の様子を示す図である。 11 is a diagram showing a state of transmission of broadcast packets in the same embodiment.

【図12】 本発明の第4実施形態におけるパケット転送手順を示す図である。 It illustrates a packet forwarding procedure in a fourth embodiment of the present invention; FIG.

【図13】 本発明の第5実施形態におけるパケット転送手順を示す図である。 13 is a diagram showing a packet transfer procedure in the fifth embodiment of the present invention.

【図14】 本発明の第6実施形態における無線パケット通信の認証手順を示す図である。 14 is a diagram illustrating an authentication procedure of a wireless packet communication according to a sixth embodiment of the present invention.

【図15】 同実施形態におけるパケット転送手順を示す図である。 15 is a diagram showing a packet forwarding procedure in the same embodiment.

【図16】 本発明の第7実施形態における無線パケット通信の認証手順を示す図である。 Is a diagram illustrating an authentication procedure of a wireless packet communication according to a seventh embodiment of FIG. 16 is the present invention.

【図17】 同実施形態におけるパケット転送手順を示す図である。 17 is a diagram showing a packet forwarding procedure in the same embodiment.

【図18】 IPアドレスの構成を示す図である。 FIG. 18 is a diagram showing the configuration of the IP address.

【図19】 本発明の第8実施形態におけるパケットの信号フォーマットを示す図である。 19 is a diagram showing a signal format of the packet in the eighth embodiment of the present invention.

【図20】 同実施形態におけるパケット転送手順を示す図である。 20 is a diagram showing a packet forwarding procedure in the same embodiment.

【図21】 本発明の第9実施形態におけるパケット転送手順を示す図である。 21 is a diagram showing a packet transfer procedure in the ninth embodiment of the present invention.

【図22】 本発明の第10実施形態におけるパケット転送手順を示す図である。 22 is a diagram showing a packet transfer procedure in the tenth embodiment of the present invention.

【図23】 本発明の第11実施形態におけるパケット転送手順を示す図である。 23 is a diagram showing a packet transfer procedure in the eleventh embodiment of the present invention.

【図24】 本発明の第12実施形態におけるパケット転送手順を示す図である。 It illustrates a packet forwarding procedure in a twelfth embodiment of Figure 24 the present invention.

【図25】 本発明の第13実施形態におけるパケット転送手順を示す図である。 25 is a diagram showing a packet transfer procedure in the thirteenth embodiment of the present invention.

【図26】 本発明の第14実施形態におけるパケット転送手順を示す図である。 26 is a diagram showing a packet transfer procedure in the fourteenth embodiment of the present invention.

【図27】 本発明の第15実施形態における有線パケット通信のネットワーク構成を示すブロック図である。 FIG. 27 is a block diagram showing a network configuration of a wired packet communication in a fifteenth embodiment of the present invention.

【符号の説明】 DESCRIPTION OF SYMBOLS

1−1、1−2、1−3、7−1、7ー2、7−3 ゲートウェイ 1−4、7−4 ユーザLAN 1−5、7−5 無線パケットバックボーン網 1−6、7−6、7−6a〜7−6c 無線基地局 1−7、7−7、7−7a〜7−7c 無線パケット端末 1−8、7−8 端末認証サーバ 1−10、7−10 中継路 4−1 宛先アドレス 4−2 送信元アドレス 4−3 VLAN−ID 4−4 ユーザデータ 7−9、7−9a〜7−9c 中継ノード 10 端末認証手段 11 端末情報記憶手段 12 パケット暗号化手段 13 パケット復号化手段 14 パケット改竄検出手段 15 端末アドレス/VLAN−ID比較手段 16 フィルタリング手段 27−5 パケットバックボーン網 27−6 アクセスサーバ(有線接続装置) 27−7 パケット端末 1-1,1-2,1-3,7-1,7 over 2,7-3 gateway 1-4,7-4 user LAN 1-5,7-5 wireless packet backbone network 1-6,7- 6,7-6a~7-6c radio base station 1-7,7-7,7-7a~7-7c wireless packet terminals 1-8,7-8 terminal authentication server 1-10,7-10 relay path 4 -1 destination address 4-2 source address 4-3 VLAN-ID 4-4 user data 7-9,7-9a~7-9c relay node 10 terminal authentication unit 11 terminal information storage unit 12 packet encryption unit 13 packets decoding means 14 packet tampering detection means 15 terminal address / VLAN-ID comparing unit 16 filtering unit 27-5 packet backbone network 27-6 access server (wired connecting device) 27-7 packet terminal

───────────────────────────────────────────────────── フロントページの続き (72)発明者 高梨 斉 東京都新宿区西新宿三丁目19番2号 日 本電信電話株式会社内 (72)発明者 守倉 正博 東京都新宿区西新宿三丁目19番2号 日 本電信電話株式会社内 ────────────────────────────────────────────────── ─── of the front page continued (72) inventor Hitoshi Takanashi Tokyo Nishi-Shinjuku, Shinjuku-ku, Third Street No. 19 No. 2 Date. this telegraph and telephone within Co., Ltd. (72) inventor Morikura Masahiro Tokyo Nishi-Shinjuku, Shinjuku-ku, Third Street 19 Ban No. 2 Date. this telegraph and telephone in the Corporation

Claims (15)

    (57)【特許請求の範囲】 (57) [the claims]
  1. 【請求項1】 パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、 前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際に前記パケット端末の端末認証を行い、 認証に成功した前記パケット端 1. A packet network is constituted by a packet backbone network that connects the base station and the base station, wherein and the base station accommodating a plurality of packet terminal under the packet backbone network further plurality of a packet communication using a network connected to the user LAN, which is another packet network, each packet terminal in the destination address and the own terminal address is the terminal address of the destination terminal which has a unique terminal address a certain transmission sent the original address and packet grant, the packet transfer method in which the network is responsible for transferring the packet by using the destination address, the packet network, the packet terminal via the base station performs terminal authentication of the packet terminal when starting the communication, the packet end successfully authenticate は、送信すべきデータを暗号化して、前記宛先端末が属するユーザLANに割り当てられる識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付与したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データを復号し、該受信パケットが改竄されていなければ、前記受信パケットに含まれる前記送信元アドレス及び前記識別子に基づいて、該識別子を持つユーザLANに対して前記パケット端末が通信を許可されている場合にだけ前記受信パケットを該ユーザLANに転送し、該通信が許可されていない場合には前記受信パケットを廃棄することを特徴とするパケット転送方法。 Encrypts data to be transmitted, and transmits the packet given to this encryption data identifier and the destination address and the source address assigned to the user LAN to the destination terminal belongs to the packet network, said packet network receives the packet decoding the encrypted data included in the received packet, unless the received packet is falsified, based on the source address and the identifier included in the received packet, It said packet terminal to the user LAN with the identifier to transfer only the received packet to the user LAN if it is allowed to communicate, to discard the received packet if the communication is not permitted packet transfer method according to claim.
  2. 【請求項2】 パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、 前記ユーザLANを識別する識別子を前記各ユーザLA 2. A packet network is constituted by a packet backbone network that connects the base station and the base station, wherein and the base station accommodating a plurality of packet terminal under the packet backbone network further plurality of a packet communication using a network connected to the user LAN, which is another packet network, each packet terminal in the destination address and the own terminal address is the terminal address of the destination terminal which has a unique terminal address transmits a packet grant and is the source address, the network is a packet transfer method for transferring the packet by using the destination address, each user LA an identifier for identifying the user LAN
    Nにあらかじめ割り当てておき、 前記パケット網は、前記端末アドレスと通信を許されている1つ以上のユーザLANにそれぞれ割り当てられた前記識別子と端末認証に必要な情報とを対応づけた端末情報をあらかじめ記憶し、 前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際に、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末であれば前記パケット端末に対して通信許可を通知し、 前記パケット端末は、前記通信許可が通知されたのであれば、1つ以上の前記ユーザLANの中から通信するユーザLANを一つ選択し、送信すべきデータを暗号化して、該選択したユーザLANに割り当てられた識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付 N advance assigned to the packet network, the terminal information that associates information and necessary for the terminal address and the identifier and terminal authentication respectively assigned to one or more user LAN that are allowed to communicate previously stored, the packet network, when said packet terminal to initiate communication via the base station, using said information performs terminal authentication of the packet terminal, said packet terminal there in proper terminal notifies the communication permission to play the packet terminal, said packet terminal, if said communication permission is notified, selects one user LAN to communicate among one or more of the user LAN, transmission the should do data is encrypted, with the identifier assigned to the user LAN with the selected and the destination address of the transmission source address to the cryptographic data したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されていない場合には、前記受信パケットに含まれる前記送信元アドレスと前記識別子との対応が前記端末情報に登録されているかどうかを確認し、該対応が登録済みである場合には前記受信パケットを前記宛先アドレスに転送し、該対応が未登録の場合には前記受信パケットを廃棄することを特徴とするパケット転送方法。 The packet transmitted to the packet network, the packet network receives the packet to determine the presence or absence of falsification at the time of decoding of the encrypted data included in the received packet, the reception if tampering is detected discard the packet, when not tampered, and checks whether the correspondence between the source address and the identifier included in the received packet is registered in the terminal information, the correspondence is registered If transferring the received packet to the destination address, packet transfer method when the correspondence is not registered, characterized in that the discards the received packet.
  3. 【請求項3】 パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANに接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、 前記ユーザLAN毎にあらかじめ固有のユーザLAN名を割り当てておき、 前記パケット網は、前記端末アドレスと通信を許されている1つ以上のユ 3. A packet network is constituted by a packet backbone network that connects the base station and the base station, the base station accommodates a plurality of packet terminal under the packet backbone network further plurality of a packet communication using a network connected to the user LAN, which is another packet network, each packet terminal in the destination address and the own terminal address is the terminal address of the destination terminal which has a unique terminal address transmits a packet grant and is the source address, the network is a packet transfer method for transferring the packet by using the destination address, by allocating in advance specific user LAN name for each of the user LAN the packet network may include one or more of the hot water are allowed to communicate with the terminal address ザLANにそれぞれ割り当てられた前記ユーザLAN名と端末認証に必要な情報を対応づけた端末情報をあらかじめ記憶し、 前記パケット端末は前記基地局を介して通信を開始する際に、1つ以上の前記ユーザLANの中から通信するユーザLANを一つ選択し、該選択したユーザLANに割り当てられた前記ユーザLAN名を前記パケット網へ通知し、 前記パケット網は、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末であれば、前記パケット端末から通知された前記ユーザL The LAN in the previously stores terminal information that associates information necessary to the user LAN name and terminal authentication assigned respectively, the packet terminal when initiating a communication via the base station, one or more wherein selects one user LAN to communicate from the user LAN, the user LAN name assigned to the user LAN with the selected notifying the packet network, said packet network, said using said information packet performs terminal authentication of the terminal, if the packet terminal is a terminal authorized, the user L notified from the packet terminal
    AN名に対して前記ユーザLANを識別するための識別子を割り当てて前記パケット端末に通知し、 前記パケット端末は、送信すべきデータを暗号化して、 Assigning an identifier to identify the user LAN respect AN name notifies the packet terminal, said packet terminal encrypts data to be transmitted,
    前記選択したユーザLANに割り当てられた識別子と前記宛先アドレスと前記送信元アドレスを該暗号化データに付与したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されていない場合には、前記受信パケットに含まれる識別子を割り当てたユーザLAN名と前記受信パケットに含まれる送信元アドレスとの対応が前記端末情報に登録されているかどうかを確認し、該対応が登録済みである場合には前記受信パケットを前記宛先アドレスに転送し、該対応が未登録の場合には前記受信パケットを廃棄し、 前記パケット網は、その後に前記パケット端末が通信を終了し Transmits a packet applying the source address and the destination address and an identifier assigned to the user LAN that the selected cryptographic data to the packet network, said packet network, said received packet to receive the packet the user determines the presence of falsification at the time of decoding the encrypted data, if the alteration is discarding the received packet if it is detected, not tampered, that assigned the identifier included in the received packet included in the correspondence between the source address contained LAN name in the received packet to verify whether it is registered in the terminal information, if the correspondence is registered forwards the received packet to the destination address, If the correspondence of the registered discards the received packet, said packet network, said packet terminal to terminate the communication thereafter 時に前記ユーザLAN名に割り当てた前記識別子を解放するようにしたことを特徴とするパケット転送方法。 Packet transfer method which is characterized in that so as to release the identifier during assigned to the user LAN name.
  4. 【請求項4】 前記パケットバックボーン網が、前記パケットを中継する複数の中継ノードを有し、これら各中継ノードが前記受信パケットを前記宛先アドレスに転送するための経路選択の機能を有するネットワークを用いたパケット転送方法であって、 前記パケット網は、前記経路選択のためのルーチング情報として前記受信パケット中の前記宛先アドレスと前記識別子とを用い、 ユニキャストパケットを転送する場合、前記宛先端末が前記パケット網に接続中であれば、前記宛先アドレスに応じて前記中継ノードを順次選択しながら該パケットを前記宛先端末まで転送し、前記宛先端末が前記パケット網に接続中でなければ、前記識別子に応じて前記中継ノードを順次選択しながら該パケットを前記ユーザLAN Wherein said packet backbone network, use the network with the packet includes a plurality of relay nodes that relay the function of routing for transferring each of these relay nodes is the received packet to the destination address a had packet transfer method, the packet network, using said and the destination address in the received packet identifier as routing information for the routing, when transferring a unicast packet, the destination terminal is the if currently connected to a packet network, the packet while sequentially selecting the relay node according to the destination address and forwards to the destination terminal, when the destination terminal is not being connected to the packet network, the identifier the user LAN the packet while said relay node sequentially selected according
    まで転送し、 ブロードキャストパケット及びマルチキャストパケットを転送する場合は、前記識別子を用いて前記中継ノードを順次選択して該中継ノードに該パケットを順次転送してゆき、同じ識別子を用いて通信中の全ての前記パケット端末及び該識別子により指定される前記ユーザLAN Until transferred when transferring the broadcast packet and multicast packet, the sequentially selects the relay node using the identifier so on are sequentially transfers the packets to the relay node, all communicating with the same identifier the user LAN specified by the packet terminal and the identifier of
    に該パケットを転送することを特徴とする請求項2記載のパケット転送方法。 Packet transfer method according to claim 2, wherein forwarding the packet to.
  5. 【請求項5】 前記パケットバックボーン網と前記複数のユーザLANの間をゲートウェイで接続したネットワークを用いたパケット転送方法であって、 前記ユーザLANを介して前記受信パケットを前記宛先アドレスへ転送する際、前記ゲートウェイが前記受信パケットに含まれる前記識別子に応じて前記ユーザLAN 5. A packet transfer method using a network connected between said plurality of user LAN and the packet backbone network at the gateway, when transferring the received packet to the destination address via the user LAN , the user LAN in response to the identifier the gateway is included in the received packet
    を選択して該選択されたユーザLANへ前記受信パケットを転送することを特徴とする請求項2〜4の何れかの項記載のパケット転送方法。 Any packet transfer method according to claim of claims 2 to 4 which selects and wherein the transfer of said received packet to said selected user LAN to.
  6. 【請求項6】 パケット網が基地局と該基地局を接続するパケットバックボーン網とから構成されており、前記基地局が配下に複数のパケット端末を収容しており、前記パケットバックボーン網がさらに複数の他パケット網であるユーザLANにゲートウェイを介して接続されているネットワークを用いたパケット通信であり、前記各パケット端末は固有の端末アドレスを有すると共に宛先端末の前記端末アドレスである宛先アドレスと自己の端末アドレスである送信元アドレスとを付与したパケットを送信し、前記ネットワークが前記宛先アドレスを用いて前記パケットの転送を行うパケット転送方法であって、 前記パケット網は、前記端末アドレスと端末認証に必要な情報とを対応づけた端末情報をあらかじめ記憶し、 前記ゲートウェイ 6. A packet network is constituted by a packet backbone network that connects the base station and the base station, the and the base station accommodating a plurality of packet terminal under the packet backbone network further plurality other packet network in which via a gateway to the user LAN is a packet communication using a network connected, the destination address and the self is the terminal address of the destination terminal together with the respective packet terminal has a unique terminal address a of sending a packet grant and the source address is the terminal address, the network packet transfer method for transferring the packet by using the destination address, the packet network, the terminal address and terminal authentication previously stores terminal information that associates the information required, the gateway 、前記パケット網と前記ユーザLA The said packet network user LA
    Nの間でパケットの転送を許可する送信元の端末アドレスをあらかじめ記憶し、 前記パケット網は、前記パケット端末が前記基地局を介して通信を開始する際に、前記情報を使用して前記パケット端末の端末認証を行い、前記パケット端末が正規の端末であれば前記パケット端末に通信許可を通知し、 前記パケット端末は、前記通信許可が通知されたのであれば、送信すべきデータを暗号化して前記宛先アドレスと前記送信元アドレスを付与したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケットに含まれる前記暗号化データの復号時に改竄の有無を判定し、改竄が検出されていれば前記受信パケットを廃棄し、改竄されていない場合には前記受信パケットを前記ゲートウェイに転送し、 前記 Previously stores transmission source terminal address to allow the transfer of packets between N, the packet network, when said packet terminal to initiate communication via the base station, said using said information packet performs terminal authentication of the terminal, the packet terminal notifies the communication permission to the packet terminal if the terminal of the normal, the packet terminal, if said communication permission is notified to encrypt data to be transmitted a packet applying the source address and the destination address is transmitted to the packet network Te, said packet network, determine the presence or absence of falsification to receive the packet at the time of decoding of the encrypted data included in the received packet and, falsification discards the received packet if it is detected, if not falsified transfers the received packet to the gateway, the ゲートウェイは、前記パケット網から転送されたパケットに含まれる前記送信元アドレスに対する転送が許可されている場合は該転送パケットを前記ユーザLAN Gateway, the user LAN the transfer packet if the transfer is permitted for the source address contained in the forwarded packet from the packet network
    から前記宛先アドレスに転送し、該転送が許可されていない場合は該転送パケットを廃棄するようにしたことを特徴とするパケット転送方法。 The transferred to the destination address, if the transfer is not permitted packet transfer method which is characterized in that so as to discard the forwarded packets from.
  7. 【請求項7】 前記パケットバックボーン網が、前記パケットを中継する複数の中継ノードを有し、これら各中継ノードが前記パケットを前記宛先アドレスに転送するための経路選択機能を有するネットワークを用いたパケット転送方法であって、 前記ユーザLANを識別する識別子を前記各ユーザLA Wherein said packet backbone network, having a plurality of relay nodes for relaying the packet, each of these relay nodes using the network having a routing function to forward the packet to the destination address packet a transfer method, each user LA an identifier for identifying the user LAN
    Nにあらかじめ割り当てておき、 前記パケット端末は、前記パケットを前記パケット網へ送信する際に、複数の前記ユーザLANの中から接続するユーザLANを一つ選択して、該選択したユーザLA N advance assigned to the packet terminal, when transmitting the packet to the packet network, select one user LAN to be connected from a plurality of said user LAN, the user LA who said selected
    Nの識別子を前記パケットにさらに付与して送信し、 前記パケット網は、前記経路選択のためのルーチング情報として送信された前記パケットに含まれる前記宛先アドレスと前記識別子とを用い、 ユニキャストパケットを転送する場合、前記宛先端末が前記パケット網に接続中であれば、前記宛先アドレスに応じて前記中継ノードを順次選択しながら該パケットを前記宛先端末まで転送し、前記宛先端末が前記パケット網に接続中でなければ、前記識別子に応じて前記中継ノードを順次選択しながら該パケットを前記ゲートウェイに転送し、 ブロードキャストパケット及びマルチキャストパケットを転送する場合は、前記識別子を用いて前記中継ノードを順次選択して該中継ノードに該パケットを順次転送してゆき、同じ識別子を用いて通 Sends N identifiers further applied to the packet, the packet network, using said destination address and said identifier included in the packet transmitted as routing information for the routing, the unicast packet when transferring, if the destination terminal is currently connected to the packet network, wherein the packet while sequentially selecting the relay node forwards to the destination terminal in response to the destination address, the destination terminal is the packet network If it is not in connection, the packet is transferred to the gateway while sequentially selecting the relay node according to the identifier, to forward broadcast and multicast packets sequentially selects the relay node using the identifier to Yuki sequentially transfers the packets to the relay node, through using the same identifier 中の全ての前記パケット端末と、該識別子により指定される前記ゲートウェイとに転送することを特徴とする請求項6記載のパケット転送方法。 All of the packet terminal and a packet transfer method according to claim 6, wherein the forwarding to said gateway specified by said identifier in.
  8. 【請求項8】 前記暗号化及び前記復号化に際し、前記ユニキャストパケットを転送する場合は、前記各パケット端末毎に割り当てた暗号鍵を用い、前記ブロードキャストパケット又は前記マルチキャストパケットを転送する場合は、前記各識別子毎に割り当てた暗号鍵を用いることを特徴とする請求項4又は7記載のパケット転送方法。 Upon wherein said encryption and said decryption, when transferring the unicast packet using the encryption key assigned to each packet terminal, when transferring the broadcast packet or the multicast packet, according to claim 4 or 7 packet transfer method according is characterized by using the encryption key the allocated for each identifier.
  9. 【請求項9】 前記暗号化及び前記復号化に際し、前記ユニキャストパケットを転送する場合及び前記パケット端末が前記ブロードキャストパケット又は前記マルチキャストパケットを送信する場合は、前記各パケット端末毎に割り当てた暗号鍵を用い、前記基地局が前記ブロードキャストパケット又は前記マルチキャストパケットを送信する場合は、前記各識別子毎に割り当てた暗号鍵を用いることを特徴とする請求項4又は7記載のパケット転送方法。 Upon wherein said encryption and said decryption, if the case and the packet terminal forwards the unicast packet for transmitting the broadcast packet or the multicast packet, encryption key said assigned to each packet terminal the use, when the base station that transmits the broadcast packet or the multicast packets, according to claim 4 or 7 packet transfer method according is characterized by using the encryption key the allocated for each identifier.
  10. 【請求項10】 前記暗号化及び前記復号化に際し、暗号鍵として前記各識別子毎に割り当てた暗号鍵を用いることを特徴とする請求項4又は7記載のパケット転送方法。 Upon wherein said encryption and said decryption, claim 4 or 7 The method of packet transfer, wherein the use of encryption keys the assigned to each identifier as an encryption key.
  11. 【請求項11】 他パケット網であるユーザLANが複数接続されたパケットバックボーン網に接続され、かつ、配下に複数のパケット端末を収容する基地局であって、 前記各パケット端末に付与された固有の端末アドレスと、前記パケット端末が通信を許されている1つ以上のユーザLANにそれぞれ割り当てられた識別子と、端末認証に必要な情報を対応づけて記憶する端末情報記憶手段と、 前記パケット端末からの通信開始要求に応じて前記情報を使用した端末認証を行い、前記パケット端末に対して認証結果を通知する端末認証手段と、 前記パケットバックボーン網と前記パケット端末の間で授受されるパケット中のデータ部を前記情報を用いて暗号化して送信するパケット暗号化手段と、 宛先端末の前記端末アドレスである宛先 11. The user LAN is another packet network is connected to multiple connection packet backbone network, and a base station accommodating a plurality of packet terminal under inherent said assigned to each packet terminal and the terminal address, and the identifier packet terminal is respectively assigned to one or more user LAN that are allowed to communicate, and the terminal information storage means stores an association information required for terminal authentication, the packet terminal in accordance with the communication start request from the perform terminal authentication using the information, the terminal authentication unit that notifies the authentication result to the packet terminal, the packet exchanged between the packet terminal and the packet backbone network a packet encryption means for the data portion sent encrypted using the information, the destination is the terminal address of the destination terminal ドレスと前記パケット端末の端末アドレスである送信元アドレスと前記ユーザLANに割り当てられた識別子が暗号化データに付与されたパケットを前記パケット端末から受信して該暗号化データを復号するパケット復号化手段と、 前記復号されたデータから改竄を検出して該パケットを廃棄するパケット改竄検出手段と、 前記パケットに含まれている前記送信元アドレス及び前記識別子の組が、前記端末情報記憶手段に記憶されている前記端末アドレス及び前記識別子の組の中に登録されているかどうかを確認する比較手段と、 前記比較手段による確認結果に基づいて、前記登録があることを条件に前記宛先アドレスに前記パケットを転送し、前記登録が無いことを条件に前記パケットを廃棄するフィルタリング手段とを具備することを Packet decoding means dress the identifier assigned to the source address and the user LAN is a terminal address of said packet terminal to decode the encryption of data by receiving a packet given to the encrypted data from the packet terminal When a packet tampering detection means for discarding the packet by detecting the alteration from the decoded data, the set of the source address and the identifier is included in the packet, stored in the terminal information storage means comparison means for confirming whether to have the registered in the set of terminal address and the identifier, based on the check result by the comparing means, the packet to the destination address on condition that there is the registration transferred, by comprising a filtering means for discarding the packet on condition that the registration is not 特徴とする基地局。 Said base station.
  12. 【請求項12】 他パケット網であるユーザLANが複数接続されたパケットバックボーン網に接続され、かつ、配下に複数のパケット端末を収容する基地局であって、 前記各パケット端末に付与された固有の端末アドレスと、前記パケット端末が通信を許されている1つ以上のユーザLANにそれぞれ割り当てられたユーザLAN名と、端末認証に必要な情報を対応づけて記憶する端末情報記憶手段と、 前記パケット端末からの通信開始要求に応じて前記情報を使用した端末認証を行って、認証結果を前記パケット端末に通知するとともに、正規のパケット端末に対しては、前記通信開始要求に伴って前記パケット端末から通知されるユーザLAN名に前記ユーザLANを識別するための識別子を割り当てて通知し、前記パケット端末が通 12. The user LAN is another packet network is connected to multiple connection packet backbone network, and a base station accommodating a plurality of packet terminal under inherent said assigned to each packet terminal and the terminal address, and the user LAN name assigned respectively to one or more users LAN to the packet terminal is allowed to communicate, and the terminal information storage means stores an association information required for terminal authentication, the performing terminal authentication using the information in response to a communication start request from the packet terminal, and notifies the authentication result to the packet terminal, for the normal packet terminal, said along with the communication start request packet notify allocates an identifier for identifying the user LAN to the user LAN name notified from the terminal, the packet terminal through を終了したことを条件として前記ユーザLAN名に割り当てた前記識別子を解放する端末認証手段と、 前記パケットバックボーン網と前記パケット端末の間で授受されるパケット中のデータ部を前記情報を用いて暗号化して送信するパケット暗号化手段と、 宛先端末の前記端末アドレスである宛先アドレスと前記パケット端末の端末アドレスである送信元アドレスと前記識別子が暗号化データに付与されたパケットを前記パケット端末から受信して該暗号化データを復号するパケット復号化手段と、 前記復号されたデータから改竄を検出して該パケットを廃棄するパケット改竄検出手段と、 前記受信したパケットに含まれる識別子を割り当てたユーザLAN名と前記受信したパケットに含まれる送信元アドレスの組が、前記端末情報記憶 A terminal authentication means for releasing the identifier assigned to the user LAN name on condition that the completion of the encryption data section of the packet to be exchanged between the packet backbone network said packet terminal using the information receiving a packet encryption means for turned into send the packets the terminal transmission address in which the destination address is the terminal address of the packet terminal source address and the identifier is assigned to the encrypted data of the destination terminal from the packet terminal user LAN assigned packet decoding means for decoding the encryption of data, a packet tampering detection means for discarding the packet by detecting the alteration from the decoded data, the identifier included in the received packet by the set of source addresses included in the name as the received packet, the terminal information storage 段に記憶されている前記ユーザLAN名及び前記端末アドレスの組の中に登録されているかどうかを確認する比較手段と、 前記比較手段による確認結果に基づいて、前記登録があることを条件に前記宛先アドレスに前記パケットを転送し、前記登録が無いことを条件に前記パケットを廃棄するフィルタリング手段とを具備することを特徴とする基地局。 Comparison means for confirming whether the registered in the set of the user LAN name and the terminal address stored in the stages, based on the check result by said comparing means, said on condition that there is the registration base station characterized by comprising a filtering means for transferring the packet to the destination address, and discards the packet on condition that the registration is not.
  13. 【請求項13】 前記パケット暗号化手段は、送信するパケットがユニキャストパケットであれば、各パケット端末毎に割り当てた暗号鍵を用いて暗号化し、前記送信するパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて暗号化し、 前記パケット復号化手段は、受信したパケットがユニキャストパケットであれば、前記各パケット端末毎に割り当てた暗号鍵を用いて復号化し、前記受信したパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて復号化することを特徴とする請求項11記載の基地局。 Wherein said packet encryption means, if the packet is a unicast packet to be transmitted, with the encryption key assigned to each packet terminal, a packet of the transmission is any broadcast or multicast packets if the encrypted using an encryption key assigned to each identifier, the packet decoding means, when the received packet is a unicast packet, and decrypted using the encryption key the assigned to each packet terminal , if the received packet is a broadcast packet or a multicast packet, the base station according to claim 11, wherein the decrypted using the encryption key the allocated for each identifier.
  14. 【請求項14】 前記パケット暗号化手段は、送信するパケットがユニキャストパケットであれば、各パケット端末毎に割り当てた暗号鍵を用いて暗号化し、前記送信するパケットがブロードキャストパケット又はマルチキャストパケットであれば、前記各識別子毎に割り当てた暗号鍵を用いて暗号化し、 前記パケット復号化手段は、前記各パケット端末毎に割り当てた暗号鍵を用いて復号化することを特徴とする請求項11記載の基地局。 14. The method of claim 13, wherein the packet encryption means, if the packet is a unicast packet to be transmitted, with the encryption key assigned to each packet terminal, a packet of the transmission is any broadcast or multicast packets if the encrypted using an encryption key assigned to each identifier, the packet decoding means, according to claim 11, wherein the decrypted using the encryption key the assigned to each packet terminal base station.
  15. 【請求項15】 前記パケット暗号化手段は、前記各識別子毎に割り当てた暗号鍵を用いて送信するパケットのデータ部を暗号化し、 前記パケット復号化手段は、前記各識別子毎に割り当てた暗号鍵を用いて受信したパケットのデータ部を復号することを特徴とする請求項11記載の基地局。 15. The packet encryption means, the encrypting the data portion of the packet to be transmitted using the encryption key assigned to each identifier, the packet decoding means, encryption key said assigned to each identifier the base station of claim 11, wherein decoding the data portion of the received packet with.
JP22733798A 1997-08-12 1998-08-11 Base stations using the packet transfer method and the method Expired - Fee Related JP3009876B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP9-228966 1997-08-12
JP22896697 1997-08-12
JP22733798A JP3009876B2 (en) 1997-08-12 1998-08-11 Base stations using the packet transfer method and the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP22733798A JP3009876B2 (en) 1997-08-12 1998-08-11 Base stations using the packet transfer method and the method

Publications (2)

Publication Number Publication Date
JPH11177582A true JPH11177582A (en) 1999-07-02
JP3009876B2 true JP3009876B2 (en) 2000-02-14

Family

ID=26527620

Family Applications (1)

Application Number Title Priority Date Filing Date
JP22733798A Expired - Fee Related JP3009876B2 (en) 1997-08-12 1998-08-11 Base stations using the packet transfer method and the method

Country Status (1)

Country Link
JP (1) JP3009876B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005004418A1 (en) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation Remote access vpn mediation method and mediation device

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (en) * 1999-12-22 2003-04-30 Nokia Corp Cheating Prevention of telecommunication systems
DE60116754D1 (en) * 2000-04-26 2006-04-06 Science Applic Int Corp Safer registration of domain names
EP1303940B1 (en) * 2000-07-14 2008-08-13 Irdeto Access B.V. Secure packet-based data broadcasting architecture
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
DE60042175D1 (en) * 2000-09-26 2009-06-18 Landala Naet Ab Access point for mobile devices in a network-based packages
JP3419391B2 (en) 2000-10-05 2003-06-23 日本電気株式会社 lan to allow access under specific conditions with respect to authentication rejection terminal
CA2447130A1 (en) * 2001-05-14 2002-11-21 Nortel Networks Limited Data stream filtering apparatus & method
JP3688664B2 (en) 2002-07-29 2005-08-31 株式会社東芝 Relay apparatus and network relay method
WO2004073237A3 (en) * 2003-02-06 2004-09-30 Symbol Technologies Inc Virtual wireless local area networks
JP4074283B2 (en) 2004-09-28 2008-04-09 株式会社東芝 COMMUNICATION APPARATUS, COMMUNICATION SYSTEM AND COMMUNICATION METHOD
JP4507904B2 (en) * 2005-02-15 2010-07-21 パナソニック株式会社 Communication system, an information processing apparatus, a server apparatus, and information processing method
JP4545662B2 (en) * 2005-09-06 2010-09-15 日本電信電話株式会社 Control method and base station of a wireless lan base station
JP4797168B2 (en) * 2006-03-08 2011-10-19 国立大学法人東京農工大学 Communications system
JP4877932B2 (en) * 2006-03-30 2012-02-15 富士通テレコムネットワークス株式会社 Encrypted communication system and the encryption key update method
JP5206609B2 (en) * 2009-07-15 2013-06-12 横河電機株式会社 Network switch
JP2016019031A (en) * 2014-07-04 2016-02-01 トヨタ自動車株式会社 Filtering device and filtering method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005004418A1 (en) * 2003-07-04 2005-01-13 Nippon Telegraph And Telephone Corporation Remote access vpn mediation method and mediation device
CN100456739C (en) 2003-07-04 2009-01-28 日本电信电话株式会社 Remote access vpn mediation method and mediation device

Also Published As

Publication number Publication date Type
JPH11177582A (en) 1999-07-02 application

Similar Documents

Publication Publication Date Title
US5086469A (en) Encryption with selective disclosure of protocol identifiers
US7171685B2 (en) Standard format specification for automatically configuring IP security tunnels
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
US7120930B2 (en) Method and apparatus for control of security protocol negotiation
US6970459B1 (en) Mobile virtual network system and method
US7965843B1 (en) Methods and apparatus for security over fibre channel
US7246373B1 (en) Methods and apparatus for virtual private network based mobility
US5099517A (en) Frame status encoding for communication networks
EP1178644A2 (en) Key management methods for wireless lans
US20070127500A1 (en) System, device, method and software for providing a visitor access to a public network
US20030172307A1 (en) Secure IP access protocol framework and supporting network architecture
US20070297611A1 (en) Method for Security Association Negotiation with Extensible Authentication Protocol in Wireless Portable Internet System
US20020163920A1 (en) Method and apparatus for providing network security
US7076653B1 (en) System and method for supporting multiple encryption or authentication schemes over a connection on a network
US7143188B2 (en) Method and apparatus for network address translation integration with internet protocol security
US6229806B1 (en) Authentication in a packet data system
US20080063205A1 (en) Tunneling security association messages through a mesh network
US20040054905A1 (en) Local private authentication for semi-public LAN
US20060185012A1 (en) Communication betweeen a private network and a roaming mobile terminal
US5918019A (en) Virtual dial-up protocol for network communication
US20060112431A1 (en) Method and system for including network security information in a frame
US20050188194A1 (en) Automatic hardware-enabled virtual private network system
US20110173678A1 (en) User and Device Authentication in Broadband Networks
US5235644A (en) Probabilistic cryptographic processing method
US20060143440A1 (en) Using authentication server accounting to create a common security database

Legal Events

Date Code Title Description
FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071203

Year of fee payment: 8

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081203

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees