JP4696204B2 - 通信方法 - Google Patents
通信方法 Download PDFInfo
- Publication number
- JP4696204B2 JP4696204B2 JP2005196501A JP2005196501A JP4696204B2 JP 4696204 B2 JP4696204 B2 JP 4696204B2 JP 2005196501 A JP2005196501 A JP 2005196501A JP 2005196501 A JP2005196501 A JP 2005196501A JP 4696204 B2 JP4696204 B2 JP 4696204B2
- Authority
- JP
- Japan
- Prior art keywords
- code
- communication
- client terminal
- prohibition
- tcp2
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、クライアント端末がサービスを提供するサーバにアクセスする際、事前に認証サーバにアクセスして、電子証明書を取得した後、サービスを提供するサーバにアクセスすることも提案されている。
また、本発明は、特定のグループの中でそれぞれのクライアント端末にアクセス権限を付与し、上位のアクセス権限を付与されたクライアント端末から下位のアクセス権限を付与されたクライアント端末への接続を許可し、下位のアクセス権限を付与されたクライアント端末から上位のアクセス権限を付与されたクライアント端末への接続を拒否することにより、情報の漏洩を防止することも目的としている。
図1は、本発明による通信システム及び通信方法を利用したネットワークの適用例を示すブロック図である。グループA〜Cは1つのLAN(Local Area Network:LAN(1)とする。)に収容されているクライアント端末群を示している。グループDのクライアント端末は「LAN(1)とは異なるLAN(2)に収容されているクライアント端末である。
LAN(1)20とLAN(2)30とは、外部ネットワーク40を介して接続されている。
まず、図2に示すように、本発明に用いられるプロトコルスタックは、最下層に相当する物理層(第1層)とデータリンク層(第2層)にNIC(Network Interface Card)のDriver11が配列されている。このドライバは、コンピュータなどのハードウエアをネットワークに接続するためのインターフェースカードのドライバであり、データ送受信制御のためのソフトウエアである。例えばEthernetに接続するためのLANボードまたはLANカードがこれに相当する。
TCPsec15b及びUDPsec16bのための暗号化・復号化の方法(アルゴリズム、ロジック(論理))としては、公知の秘密鍵(共通鍵)暗号アルゴリズムが用いられる。例えば、秘密鍵暗号アルゴリズムであるDES(Data Encryption Standard)や、その改良版としての3DESが用いられる。また、その他の暗号アルゴリズムとしては、IDEA(International Data Encryption Algorithm)も用いられる。この暗号アルゴリズムは、データを64ビットのブロックに区切って暗号化するもので、暗号鍵の長さは128ビットである。
また、[ホストコード]は、ネットワークに接続した、TCP2を実装するコンピュータ機器の固体を示すコードであり、企業団体内のTCP2管理部門が、企業団体内のTCP2アドレスをユニークに割り当てるコードである。これら分類コード、企業団体コード、ホストコードの3つのコードで、TCP2を実装するネットワークに接続したコンピュータ機器全てにユニークなTCP2アドレスを割り付けることができ、これらのコードによりネットワークに接続したTCP2を実装したコンピュータ機器を全て識別することができるようになる。なお、[ホストコード]は、企業内での組織などにしたがってグループ分けされるコードである。
図5は、実際のコンピュータ機器(サーバあるいはクライアント端末)のグルーピング制御を説明する上のシステム構成例を示す図である。図5に示す例は、分類コードが2(2進数の「10」)で、企業団体コードが23の例である。図5に示すように、サーバには「ホストコード」として、事業部コード3、部コード4、機器コード1が割り当てられている。図6(1)は、上記サーバの持つコードを、TCP2アドレスとして2進数で示したものである。ここで課コード及びユーザコードは“0”となっていることから、このサーバは、この部に所属するすべてのユーザが共同で利用するサーバであることがわかる。
図6(1)のサーバは、部内からのホストコンピュータ全てからの接続要求を許可にするため、図6(1)に示す「通信許可コード」をその記憶手段200の設定データベースに保存している。すなわち、この「通信許可コード」は、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」をTCP2アドレスと同じに設定し、「課コード」、「機器コード」、「ユーザコード」を未設定「0」としている。また、「通信許可マスク情報」としては、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」の全てのビットを「1」に設定し、「課コード」、「機器コード」、「ユーザコード」をすべて「0」に設定している。
一方、クライアント端末Bは、例えば課長の占有する端末であり、X課に属するクライアント端末であっても、例えば特別なクライアント端末CXからの接続要求を拒否することができるように設定される。このため、クライアント端末Bは、「通信禁止コード」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」に禁止するクライアント端末CXが使用するTCP2アドレスのコードと同じコードを設定している。そして、「通信禁止マスク情報」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」の全てのビットを「1」とし、「ユーザコード」の全ビットを「0」に設定する。この、「通信禁止コード」、「通信禁止マスク情報」は、「通信許可コード」、「通信許可マスク情報」に優先するため、クライアント端末CX(担当者)からクライアント端末B(課長)への接続は拒否されることになる。
更に、クライアント端末CYは、例外的に他の課であるX課のクライアント端末Bからの接続要求だけを許可にするため、通信許可コード2として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」をX課のクライアント端末CXのTCP2アドレスと同じに設定し、「機器コード」と「ユーザコード」を未設定“0”とする。そして、通信許可マスク情報2の「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを“1”に設定し、「機器コード」、「ユーザコード」を全て“0”に設定する。これにより、クライアント端末CYは、クライアント端末CXからの接続要求を許可することができる。
この接続シーケンスが終了すると、TCPsecのデータ通信シーケンスが有効となり、コンピュータA側又はコンピュータB側の何れかがデータを送信後、データを受信した側からACK(肯定応答)を返す基本パターンを繰り返してデータの送受信が行われる。なお、このデータは、すべて暗号データである。
図8(a)が、標準のUDP、図8(b)がTCP2に設けられるUDPsecによる通信のシーケンス図である。
図8(a)の標準のUDPは、コンピュータA、コンピュータBともにアプリケーションがUDPオープンしている。そして、コンピュータBのアプリケーションがUDPオープンをすると、UDPオープン処理を開始する。また、コンピュータAのアプリケーションがUDPオープンした場合も、同様にUDPオープン処理を開始する。これにより、UDPのデータ通信を行うことができる状態となる。
また、データはコンピュータA、コンピュータBの何れからも発信することはできるが、図8(a)では、ブロードキャスト通信ということもあって、コンピュータA側からコンピュータB側に一方向的にデータが流れようにしている。TCPのように、データを受信したコンピュータB側からACK(肯定応答)を返さないため、送達確認とデータの保証をする機能は持たない。なお、データのブロードキャストは、IPアドレスのサブネットアドレスを全て“1”に設定することで、実現することができる。
コンピュータBがUDPsecオープンをすると、UDPsecオープン処理を開始する。また、コンピュータAがUDPsecオープンしても同様に、UDPsecオープン処理を開始する。これにより、UDPsecのデータ通信を行うことができる状態となる。
まず、図10に基づいて、クライアント端末間の一般的な通信動作について説明し、続いて、図11を用いて具体的な端末間の動作について説明する。
図10に示すように、まず、通信要求パケットを受信したクライアント端末は、受信したパケットからTCP2アドレス(図6を参照。)を取り込む(ステップS1)。
まず、クライアント端末Bのユーザコード1の者が、クライアント端末CXに通信要求する場合(図11(1)の場合)について説明する。クライアント端末CXは、クライアント端末BからTCP2の通信開始要求が来ると、通信開始要求内にあるクライアント端末BのTCP2アドレスを取り込み、通信可能な相手であるか否かを判断する。このTCP2アドレスには、機器コードと機器の使用者のコードであるユーザコードが含まれているため、認証精度が高い。
図11(1)の場合と同様に、クライアント端末Bは、クライアント端末CXからTCP2の通信開始要求が来ると、通信開始要求内にあるクライアント端末CXのTCP2アドレスを取り込み、通信可能な相手であるのかを判断する。ここで、図6(3)に示すように、クライアント端末Bは、その記憶手段200に、「通信禁止コード」と「通信禁止マスク情報」を持っている。
サーバは、図6(1)に示すように、「通信禁止コード」と「通信禁止マスク情報」をその記憶手段200にTCP2設定データベースとして保存している。
そこで、サーバの記憶手段200に保存されている「通信禁止マスク情報」と「クライアント端末CのTCP2アドレス」とが演算され、その論理積(AND)出力が演算結果として出力される。この処理は、図10のステップS3の処理に相当する。
Claims (1)
- 第二のクライアント端末が、第一のクライアント端末から送信された通信要求パケットを受信した後、前記通信要求パケットから識別アドレスを取り込む識別アドレス取得ステップと、
前記第二のクライアント端末の記憶手段に通信禁止コードが記憶されているか否かを判断する通信禁止コード有無判定ステップと、
前記通信禁止コード有無判定ステップにおいて前記第二のクライアント端末の記憶手段に通信禁止情報を構成する通信禁止コードが記憶されていると判断した場合は、前記通信禁止情報を構成する通信禁止マスク情報と前記識別アドレスとの論理積を演算する第一論理積演算ステップと、
前記第一論理積演算ステップにて得られた論理積演算結果と前記通信禁止コードとが一致するか否かを判断する通信禁止コード一致判定ステップと、
前記通信禁止コード有無判定ステップにおいて前記第二のクライアント端末の記憶手段に前記通信禁止コードが記憶されていないと判定された場合、あるいは前記通信禁止コード一致判定ステップにおいて前記論理積演算結果と前記通信禁止コードとが一致していないと判定された場合に、前記記憶手段に通信許可情報を構成する通信許可コードが記憶されているか否かを判断する通信許可コード有無判定ステップと、
前記通信許可コード有無判定ステップにおいて前記通信許可コードがあると判定された場合には、前記記憶手段から前記通信許可情報を構成する通信許可マスク情報を取り出し、前記通信許可マスク情報と前記識別アドレスとの論理積を演算する第二論理積演算ステップと、
前記第二論理積演算ステップにおいて得られた前記通信許可マスク情報と前記識別アドレスとの論理積演算結果が前記通信許可コードと一致するか否かを判断する通信許可コード一致判定ステップと、
前記通信許可コード一致判定ステップにおいて、前記論理積演算結果と前記通信許可コードが一致したと判断された場合に、前記第一のクライアント端末との接続を開始する通信開始ステップと、
前記通信禁止コード一致判定ステップにおいて前記論理積演算結果と前記通信禁止コードとが一致していると判定された場合、前記通信許可コード有無判定ステップにおいて前記通信許可コードがないと判定した場合、あるいは前記通信許可コード一致判定ステップにおいて前記論理積演算結果と前記通信許可コードが一致しないと判定した場合に、前記第一のクライアント端末との接続をすることなく通信を終了する通信終了ステップと
を有する通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196501A JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005196501A JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007018082A JP2007018082A (ja) | 2007-01-25 |
JP4696204B2 true JP4696204B2 (ja) | 2011-06-08 |
Family
ID=37755222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005196501A Expired - Fee Related JP4696204B2 (ja) | 2005-07-05 | 2005-07-05 | 通信方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4696204B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010200300A (ja) | 2009-01-28 | 2010-09-09 | Meidensha Corp | Tcp通信方式 |
JP5655848B2 (ja) * | 2009-01-28 | 2015-01-21 | 株式会社明電舎 | Tcp通信方式 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1028144A (ja) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | アクセス制御機能付きネットワーク構成方式 |
JP2002007346A (ja) * | 2000-06-21 | 2002-01-11 | Hewlett Packard Japan Ltd | 通信システム |
JP2003223420A (ja) * | 2002-01-31 | 2003-08-08 | Fujitsu Ltd | アクセス制御方法、記憶装置及び情報処理装置 |
-
2005
- 2005-07-05 JP JP2005196501A patent/JP4696204B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1028144A (ja) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | アクセス制御機能付きネットワーク構成方式 |
JP2002007346A (ja) * | 2000-06-21 | 2002-01-11 | Hewlett Packard Japan Ltd | 通信システム |
JP2003223420A (ja) * | 2002-01-31 | 2003-08-08 | Fujitsu Ltd | アクセス制御方法、記憶装置及び情報処理装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2007018082A (ja) | 2007-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2004302108C1 (en) | Communication system, communication device, communication method, and communication program for realizing the same | |
KR101585936B1 (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
US6067620A (en) | Stand alone security device for computer networks | |
US6993582B2 (en) | Mixed enclave operation in a computer network | |
US6212636B1 (en) | Method for establishing trust in a computer network via association | |
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
US6643698B2 (en) | Mixed enclave operation in a computer network | |
US7725933B2 (en) | Automatic hardware-enabled virtual private network system | |
US7940761B2 (en) | Communication connection method, authentication method, server computer, client computer and program | |
US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
US6792474B1 (en) | Apparatus and methods for allocating addresses in a network | |
US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
CA2437548A1 (en) | Apparatus and method for providing secure network communication | |
EP1485777A2 (en) | Firewall | |
US6272639B1 (en) | Mixed enclave operation in a computer network | |
CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
JP4191119B2 (ja) | 暗号化の層状の実施を促進する方法および装置 | |
CN104620556A (zh) | 用于将客户端注册到服务器的方法和设备 | |
JP2004056762A (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
JP4696204B2 (ja) | 通信方法 | |
JPH11331181A (ja) | ネットワーク端末認証装置 | |
JP2005202970A (ja) | ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品 | |
JP4785654B2 (ja) | 通信システム、アドレス解決方法、通信プログラム及び記録媒体 | |
KR20040088137A (ko) | 전송 암호화키 값 생성방법과 이를 적용한 상호인증보안방법 | |
WO2005057341A2 (en) | Automatic hardware-enabled virtual private network system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080702 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090507 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090515 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100921 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101214 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20101216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110203 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4696204 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |