JP4785654B2 - COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM - Google Patents
COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM Download PDFInfo
- Publication number
- JP4785654B2 JP4785654B2 JP2006189531A JP2006189531A JP4785654B2 JP 4785654 B2 JP4785654 B2 JP 4785654B2 JP 2006189531 A JP2006189531 A JP 2006189531A JP 2006189531 A JP2006189531 A JP 2006189531A JP 4785654 B2 JP4785654 B2 JP 4785654B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- tcp2
- computer
- code
- connection request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
Description
本発明は、例えばWAN(Wide Area Network)とLAN(Local Area Network)を接続して通信を行う場合に使用して好適な通信システム、アドレス解決方法、通信プログラム及び記録媒体に関する。詳しくは、通信システムで用いる識別アドレスを利用して、良好なアドレス解決が行われるようにしたものである。 The present invention relates to a communication system, an address resolution method, a communication program, and a recording medium suitable for use when, for example, WAN (Wide Area Network) and LAN (Local Area Network) are connected to perform communication. Specifically, good address resolution is performed using an identification address used in the communication system.
従来のアドレス解決では、いわゆるMAC(Media Access Control)アドレスを利用するものが知られている(例えば、特許文献1参照。)。すなわちこの方法では、所定の通信カードに付加された識別コードを用いて、通信の宛先等の特定を行っている。 Conventional address resolution uses a so-called MAC (Media Access Control) address (see, for example, Patent Document 1). That is, in this method, a communication destination or the like is specified using an identification code added to a predetermined communication card.
また、本願の発明者らは、先に「TCP2」と命名した暗号化通信システムを提案している(例えば、特許文献2参照。)。すなわち「TCP2」では、第4層のトランスポート層に暗号化機能を追加して、外部からの不正侵入に強い通信システムを実現した。 Further, the inventors of the present application have proposed an encrypted communication system named “TCP2” (see, for example, Patent Document 2). That is, in “TCP2”, an encryption function is added to the transport layer of the fourth layer to realize a communication system that is resistant to unauthorized intrusion from the outside.
従来の技術では、MACアドレスを利用してアドレス解決を行うものが知られている。また、本願の発明者らは、先に「TCP2」と命名した新規な暗号化通信システムを提案しているものである。
現在のインターネットで利用されているインターネットプロトコル(IPv4)では、アドレス資源を32ビットで管理しているため、識別できるコンピュータの最大数は42億9496万7296台である。しかし、近年のインターネットの急速な普及により、アドレス資源の枯渇が予想以上に早く生じるとの危惧が関係者の間に高まり、128ビットでアドレスを管理するIPv6が開発されている。 In the Internet protocol (IPv4) currently used on the Internet, address resources are managed by 32 bits, so the maximum number of computers that can be identified is 4,249,967,296. However, due to the rapid spread of the Internet in recent years, there is a growing concern among concerned parties that address resource depletion will occur earlier than expected, and IPv6 that manages addresses with 128 bits has been developed.
ところが、IPv6はIPv4との互換がなされていないなどの理由で普及が進んでおらず、ユーザはIPv4との互換の下でアドレス解決を行う方向が期待されている。その対処方法として実施されているのが、特許文献1にも開示されているMACアドレス等を用いるアドレス解決である。ここでは、特定の通信カードに付与された識別コードを用いて、その通信カードの装備されたコンピュータを特定している。
However, IPv6 is not widely used because it is not compatible with IPv4, and users are expected to perform address resolution under compatibility with IPv4. As a coping method, address resolution using a MAC address or the like disclosed in
しかしながら、NAPT(Network Address Port Translation)と呼ばれるこの方法では、アドレス変換の際に同時にポート番号も変更されてしまう。すなわち、図11には、従来の通信システムの構成が示されている。この構成において、例えばLAN100に繋がれたクライアント101から、LAN200に繋がれたサーバ201に、WANとしてのインターネット300を介して接続する場合を考える。
However, with this method called NAPT (Network Address Port Translation), the port number is also changed at the same time as the address translation. That is, FIG. 11 shows a configuration of a conventional communication system. In this configuration, for example, consider a case where a
この場合に、まずクライアント101では、例えば図中の表(A)に示すように宛先及び送信元のIPアドレスとポート番号を用いて通信パケットを用意する。ここで、宛先のIPアドレスは、ドメイン名しか判らない場合には、DNS(Domain Name System)301等に問い合わせて記入される。なお、DNS301は図中の表(B)に示すようなドメイン名とグローバルアドレスの読み替えテーブルを有している。また、宛先のポート番号「80」は指定である。
In this case, first, the
これに対して、送信元のIPアドレスはLAN100内のローカルアドレスであり、ポート番号は任意に定められている。そこで、この通信パケットがLAN100とインターネット300とを繋ぐルータ302に送られると、ルータ302は送信元のIPアドレスをローカルアドレスからグローバルアドレスに書き替える。また、送信元のポート番号はLAN100内で同じ番号が重ならないように、適当な番号に書き替えられる。なお、ルータ302内には、接続時に図中の表(C)に示すような変更前のIPアドレスと、変更前、変更後のポート番号によるテーブルが作られる。
On the other hand, the IP address of the transmission source is a local address in the
これによりルータ302からは、図中の表(D)に示すような宛先及び送信元のIPアドレスとポート番号の付加された通信パケットが、グローバルアドレスで指定されたルータ303に向けて送信される。そしてこのルータ303には図中の表(E)に示すような変更前アドレスとポート番号のテーブルが設けられており、それに従ってグローバルアドレスがローカルアドレスに書き替えられてLAN200に向け送信される。これによって、図中の表(F)に示すような通信パケットが、LAN200に繋がれたサーバ201で受信される。
As a result, the communication packet to which the destination and transmission source IP address and the port number are added is transmitted from the
そしてサーバ201からの返信は、上記の図中の表(F)で宛先と送信元を入れ替えた通信パケットが送信され、ルータ303で送信元(図中では宛先)のローカルアドレスがグローバルアドレスに書き替えられる。さらに、ルータ302では図中の表(C)のテーブルに従って、宛先(図中では送信元)のIPアドレス及びポート番号が元に戻され、図中の表(A)で宛先と送信元を入れ替えた形の通信パケットがクライアント101で受信される。このようにしてクライアント101とサーバ201間の接続が行われている。
The reply from the
ところがこの通信システムにおいて、図中の表(C)に示したルータ302内の書き替えポート番号のテーブルは、例えばインターネットの接続時のみに作られているものであって、接続が終了すると消滅されてしまう。このため、従来のNAPT方式では、例えばインターネット側から内部のコンピュータにアクセスするような利用ができず、また、エラーメッセージや制御メッセージを転送するICMP(Internet Control Message Protocol)も利用できないなどの機能の制限が発生してしまうものである。
However, in this communication system, the rewritten port number table in the
この発明はこのような問題点に鑑みて成されたものであって、本発明の目的は、本願の発明者らが先に提案した新規な暗号化通信システム「TCP2」を利用することにより、IPv4との互換があって機能の制限も生じることのない、全く新規なアドレス解決を提案することである。 The present invention has been made in view of such problems, and the object of the present invention is to use a novel encrypted communication system “TCP2” previously proposed by the inventors of the present application. It is to propose a completely new address resolution that is compatible with IPv4 and does not cause functional limitations.
上記課題を解決し、本発明の目的を達成するため、本発明の通信システムは、接続要求を行うコンピュータと該接続要求を受け付けるコンピュータとの間で、TCP又はUDPに該当するプロトコルを取り扱う通信システムであって、接続要求を行うコンピュータは、TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加する手段を有している。また、接続要求を受け付けるコンピュータは、TCPパケット又はUDPパケットからTCP2アドレスを判別してこれを認証し、このTCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否する。そして、接続要求を行うコンピュータ及び接続要求を受け付けるコンピュータの個々のTCP2アドレスをIPアドレスと共に登録する登録手段が設けられ、TCP2アドレスを用いて接続要求を行うコンピュータと接続要求を受け付けるコンピュータに対するアドレス解決を行うようにしている。 In order to solve the above problems and achieve the object of the present invention, a communication system of the present invention is a communication system that handles a protocol corresponding to TCP or UDP between a computer that issues a connection request and a computer that accepts the connection request. a is, the computer makes a connection request, a unique identification address of the computer for TCP packet or UDP packet, adding TCP2 address to be used for mutual authentication between the client terminals in the transport layer Means to do. The computer that receives a connection request, which was authenticated to determine the TCP2 address from the TCP packet or UDP packet, the connection is permitted if the TCP2 address matches with a preset range, advance TCP2 address If the set range does not match, the connection is rejected. The registration means for registering the individual TCP2 address of the computer that accepts computer and the connection request requesting a connection with the IP address is provided, the address resolution for the computer to accept a connection request to the computer to make a connection request using the TCP2 address Like to do.
また、本発明の通信システムに用いるアドレス解決方法は、接続要求を行うコンピュータと該接続要求を受け付けるコンピュータとの間で、TCP又はUDPに該当するプロトコルを取り扱う通信システムに用いるものであり、接続要求を行うコンピュータにおいて、TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加している。そして、接続要求を受け付けるコンピュータにおいて、TCPパケット又はUDPパケットからTCP2アドレスを判別してこれを認証し、TCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否するようにしている。更に、接続要求を行うコンピュータ及び接続要求を受け付けるコンピュータの個々のTCP2アドレスをIPアドレスと共に登録手段に登録し、TCP2アドレスを用いて前記接続要求を行うコンピュータと接続要求を受け付けるコンピュータに対するアドレス解決を行う方法である。 The address resolution method used in the communication system of the present invention is used for a communication system that handles a protocol corresponding to TCP or UDP between a computer that issues a connection request and a computer that accepts the connection request. in computer for, a unique identification address of the computer for TCP packet or UDP packet, and adds the TCP2 address to be used for mutual authentication between the client terminal at the transport layer. The computer that accepts the connection request determines the TCP2 address from the TCP packet or UDP packet and authenticates it. If the TCP2 address matches within a preset range, the connection is permitted and the TCP2 address is set in advance. If they do not match within the specified range, the connection is refused. Furthermore, the individual TCP2 address of the computer that accepts computer and the connection request requesting a connection to register in the registration means together with IP address, performs address resolution for the computer to accept a connection request and a computer to perform the connection request using TCP2 address Is the method.
また、本発明の通信プログラムは、接続要求を行うコンピュータと接続要求を受け付けるコンピュータとの間で、TCP又はUDPに該当するプロトコルを用いた通信を行うために、以下の機能をコンピュータで実現するための通信プログラムである。
(a)接続要求を行うコンピュータは、TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加する機能、
(b)接続要求を受け付けるコンピュータは、TCPパケット又はUDPパケットからTCP2アドレスを判別してこれを認証し、TCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否する機能、
(c)接続要求を行うコンピュータ及び接続要求を受け付けるコンピュータの個々のTCP2アドレスをIPアドレスと共に登録手段に登録する機能、
(d)TCP2アドレスを用いて接続要求を行うコンピュータ及び接続要求を受け付けるコンピュータに対するアドレス解決を行う機能。
Further, the communication program of the present invention realizes the following functions on a computer in order to perform communication using a protocol corresponding to TCP or UDP between a computer that issues a connection request and a computer that accepts a connection request. Communication program.
(A) a computer for performing a connection request is a unique identification address of the computer for TCP packet or UDP packet, adding TCP2 address to be used for mutual authentication between the client terminals in the transport layer function,
(B) a computer that accepts a connection request, which was authenticated to determine the TCP2 address from the TCP packet or UDP packet, the connection is permitted if they match to the extent that TCP2 address is set in advance, in advance TCP2 address A function that rejects the connection if they do not match within the set range,
(C) the ability to register individual TCP2 address of the computer to accept the connection request computer and a connection request to perform the registration means together with the IP address,
(D) TCP2 function to perform address resolution for the computer to accept a computer and a connection request to a connection request by using the address.
本発明の通信システム、アドレス解決方法、通信プログラム及び記録媒体によれば、TCP又はUDPのようなトランスポート層のプロトコル自体に相互認証できる機能を追加し、この相互認証機能を備えたトランスポート層のプロトコルをサーバと各クライアント端末に採用することにより、クライアント端末自体で接続要求のあった他のクライアント端末との接続許可又は接続拒否のための処理が可能になると共に、上記の相互認証機能を利用してIPv4との互換があり、機能の制限も生じることのない、全く新規なアドレス解決を実現することができる。 According to the communication system, the address resolution method, the communication program, and the recording medium of the present invention, a function capable of mutual authentication is added to the transport layer protocol itself such as TCP or UDP, and the transport layer has this mutual authentication function. By adopting the protocol in the server and each client terminal, the client terminal itself can perform processing for permitting or denying connection with another client terminal that has requested connection, and the mutual authentication function described above can be used. It is possible to realize completely new address resolution that is compatible with IPv4 and does not cause functional limitations.
以下、図面を参照して本発明による通信システム、アドレス解決方法、通信プログラム及び記録媒体の実施の形態例を説明する。
ここでは、先に本願の発明者らが先に提案した新規な暗号化通信システム「TCP2」におけるユーザコードについて説明する。
Embodiments of a communication system, an address resolution method, a communication program, and a recording medium according to the present invention will be described below with reference to the drawings.
Here, the user code in the novel encrypted communication system “TCP2” previously proposed by the inventors of the present application will be described.
まず、図1は、本発明による通信システム、アドレス解決方法、通信プログラム及び記録媒体を利用するネットワークの適用例を示すブロック図である。グループA〜Cは1つのLAN10に収容されているクライアント端末群を示している。グループDのクライアント端末は、LAN10とは異なるLAN20に収容されているクライアント端末である。LAN10とLAN20とは、外部ネットワーク30を介して接続されている。
First, FIG. 1 is a block diagram showing an application example of a network using a communication system, an address resolution method, a communication program, and a recording medium according to the present invention. Groups A to C represent client terminal groups accommodated in one
LAN10に収容されているグループAに属するクライアント端末A1,A2,A3,・・・は、例えば会社の取締役クラスが使用するクライアント端末としてのセキュリティレベルが設定されている。また、LAN10に収容されているクライアント端末の中で、グループBに属するクライアント端末B1,B2,B3・・・は、例えば部長や課長などの管理職クラスのセキュリティレベルが設定されているクライアント端末である。
For the client terminals A1, A2, A3,... Belonging to the group A accommodated in the
そして、同じくLAN10に収容されているクライアント端末の中で、グループCに属するクライアント端末C1、C2、C3・・・は、例えば担当者レベルのセキュリティレベルが設定されているクライアント端末である。当然のことながら、グループAに属するクライアント端末のセキュリティレベルが最も高く設定され、グループCに属するクライアント端末のセキュリティレベルが最も低く設定されることになる。
Similarly, among the client terminals accommodated in the
一方、LAN10とは異なるLAN20に収容されるグループDに属するクライアント端末D1,D2,D3・・・は、例えば会社の支所や支店に存在しているクライアント端末であり、グループCに属するクライアント端末C1〜C3と同レベルのセキュリティレベルが設定されているものとする。
On the other hand, client terminals D1, D2, D3,... Belonging to the group D accommodated in the
上述したように、LAN10に収容されているクライアント端末は、それぞれのグループ毎に異なるセキュリティレベルが設定されているが、各グループに属するクライアント端末には、そのセキュリティレベルに応じてアクセス権限が設定されることになる。すなわち、取締役クラスのセキュリティレベルが設定されるクライアント端末A1、A2、A3・・・には、グループA、グループB、グループCの何れに属するクライアント端末に対してもアクセスできるアクセス権限が設定されている。
As described above, the client terminals accommodated in the
また、管理職クラス(部課長クラス)のセキュリティレベルを有するグループBに属するクライアント端末B1,B2,B3・・・、及びグループCに属する担当者レベルのクライアント端末C1,C2,C3・・・には、それぞれのセキュリティレベルに相当するアクセス権限が設定されている。このように、LAN10が収容する各グループに属するクライアント端末には、インストールサーバISが通信プロトコルをインストールする際に、そのセキュリティレベルに応じたアクセス権限が設定されるようになっている。
Further, the client terminals B1, B2, B3... Belonging to the group B having the security level of the managerial class (department manager class) and the client terminals C1, C2, C3. The access authority corresponding to each security level is set. As described above, when the installation server IS installs the communication protocol, the access authority corresponding to the security level is set to the client terminals belonging to each group accommodated by the
また、LAN20は、例えば、会社の支所や支店が保有するLANであり、このLAN20に収容されているクライアント端末D1、D2、D3・・・は、例えばLAN10のグループCに属するクライアント端末C1、C2、C3・・・と同一のセキュリティレベルのクライアント端末と考えてよい。LAN20に収容されている各クライアント端末にも、インストールサーバISが通信プロトコルをインストールする際に、そのセキュリティレベルに応じたアクセス権限が設定されるようになっている。
The
また、LAN10又はLAN20に収容されるそれぞれのクライアント端末は、通信インターフェース40、記憶手段50、及び認証手段60を備えている。図1では、LAN10のグループCに属する担当者レベルのセキュリティレベルが設定されるクライアント端末C1だけに上述の通信インターフェース40、記憶手段50、認証手段60が記載されているが、これらの手段はLAN10とLAN20に収容される全てのクライアント端末及び不図示のサーバも具備しているものである。
Each client terminal accommodated in the
通信インターフェース40は、LAN10あるいはLAN20に収容されるそれぞれのクライアント端末間で通信を行う際に、その接続部となるインターフェースを構成する部分である。記憶手段50には、各クライアント端末の識別アドレスが記憶されている。認証手段60は、それぞれのクライアント端末のセキュリティレベルに応じて設けられるマスクされた識別アドレスを用いて接続要求の許可あるいは接続要求の拒否を判別する手段である。この認証手続については後で詳細に説明する。
The
上述したように、LAN10及びLAN20に収容される各クライアント端末には、インストールサーバISによって、TCP/IP、UDP/IP等の通信プロトコルのアプリケーションプログラムがインストール(ダウンロード)される。なお、通信プロトコルのアプリケーションプログラムは、CD−ROMやPCカードのような記録媒体から各クライアント端末のハードディスクにダウンロードすることもできるが、PCカードやCD−ROMを各クライアント端末に挿入して通信プロトコルを利用可能にしてもよい。
As described above, application programs of communication protocols such as TCP / IP and UDP / IP are installed (downloaded) in each client terminal accommodated in the
また、外部ネットワーク40に接続されているインストールサーバISには、TCP/IP、UDP/IP等の通信プロトコルのアプリケーションプログラムのシリアル番号、CPUのID等の端末の機器情報、氏名等のユーザ情報、MACアドレス(Media Access Control:通信を行うコンピュータやルータなどのハードウエアが独自に持つアドレス、「物理アドレス」ともいう。)、ルータのIPアドレス等のLAN10及びLAN20に接続されている周辺機器の情報が保存されている。
The installation server IS connected to the
そして、インストールサーバISが、通信プロトコルのアプリケーションプログラムを各クライアント端末にイストールする際に、インストールサーバISから、LAN10とLAN20に収容される各クライアント端末に対して、後述するTCP2に係る識別アドレス(以下、「TCP2アドレス」という。)が付与され、各クライアント端末の記憶手段50に保存される。このTCP2アドレスが、各クライアント端末間の通信における端末間の相互認証に利用されることになる。
When the installation server IS installs the communication protocol application program in each client terminal, the installation server IS sends an identification address (hereinafter referred to as TCP2) to each client terminal accommodated in the
さらに図2は、それぞれのクライアント端末にインストールされるTCP/IP、UDP/IP、及びTCPsec/IP、UDPsec/IP等の通信プロトコルスタックを示す図である。 FIG. 2 is a diagram showing communication protocol stacks such as TCP / IP, UDP / IP, TCPsec / IP, and UDPsec / IP installed in each client terminal.
図2に示すように、「TCP2」に用いられるプロトコルスタックは、最下層に相当する物理層(第1層)と、データリンク層(第2層)にNIC(Network Interface Card)のドライバ11が配列されている。このドライバ11は、コンピュータなどのハードウエアをネットワークに接続するためのインターフェースカードのドライバであり、データ送受信制御のためのソフトウエアである。例えばEthernet(登録商標)に接続するためのLANボード又はLANカードがこれに相当する。
As shown in FIG. 2, the protocol stack used for “TCP2” includes a physical layer (first layer) corresponding to the lowest layer and a NIC (Network Interface Card)
第3層のネットワーク層には、一部がトランスポート層(第4層)まで延びたIPエミュレータ(emulator)13が存在している。このIPエミュレータ13は、暗号化通信を行うプロトコルである「IPsecon CP」13bと、「IP on CP」13aを用途に応じて切り換えて使う働きをするものである。ここで、「on CP」とは、クラッキング・プロテクタ(CP)による、「進入」「攻撃」の監視、破棄、切断ないし通過制限の対象となっていること、又は、設定によりなりうることを示している。
In the third network layer, there is an
また、ネットワーク層には、ARP(Address Resolution Protocol)12が配列されている。このARP12は、IPアドレスからEthernet(登録商標)の物理アドレスであるMACアドレスを求めるのに使われるプロトコルである。さらに、ネットワーク層には、IPのエラーメッセージや制御メッセージを転送するプロトコルであるICMP14a、同一のデータを複数のホストに効率よく配送する又は配送を受けるために構成されるホストのグループを制御するためのプロトコルであるIGMP14b等が設けられる。
In the network layer, an ARP (Address Resolution Protocol) 12 is arranged. The
なお、IPエミュレータ13は、各種のセキュリティ機能を従来のIP周辺のスタックに整合させるためのソフトウエア又はファームウエアである。すなわち、各種のセキュリティ機能を、後述するTCP、UDP、ソケット(Socket)インターフェース等に整合させるためのソフトウエア、又はファームウエア、ないしはハードウエア(電子回路、電子部品)である。従ってこのIPエミュレータ13により、IPsecの暗号化・復号化及び認証情報付加・認証等の前後の適合処理を行うことができる。
The
さらにIPエミュレータ13の上層のトランスポート層(第4層)には、TCPエミュレータ15とUDPエミュレータ16が配置される。TCPエミュレータ15は、暗号化通信を行うプロトコルである「TCPsecon CP」15bと、通常の通信プロトコルである「TCP on CP」15aを用途に応じて切り換えて使う働きをする。同様に、UDPエミュレータ16は、暗号化通信を行うプロトコルである「UDPsecon CP」16bと、通常の通信プロトコルである「UDP on CP」16aを用途に応じて切り換えて使う働きをする。
Further, a
ただし、TCPsec15b及びTCP15a、UDPsec16b及びUDP16aは、そのいずれもクラッキング・プロテクタ(CP)を備えているため、そのいずれを選択した場合でも、クラッカーによる「進入」「攻撃」に対する防御機能を実現することができる。また、TCPがエラー補償機能を有するのに対して、UDPはエラー補償機能を持たないが、その分転送速度が速く、かつブロードキャスト機能を備えているという特徴がある。さらにTCPエミュレータ15とUDPエミュレータ16は、上位層であるソケットとのインターフェースの役割も果たしている。
However, since all of TCPsec15b and TCP15a, UDPsec16b and UDP16a are provided with a cracking protector (CP), even if any of them is selected, a defense function against “entrance” and “attack” by a cracker can be realized. it can. Further, while TCP has an error compensation function, UDP does not have an error compensation function, but has a feature that the transfer speed is correspondingly higher and a broadcast function is provided. Further, the
さらにトランスポート層(第4層)の上層のセッション層(第5層)には、TCP及びUDP等のプロトコルとデータのやりとりを行うソケットインターフェース17が設けられる。このソケットは、IPアドレスとポート番号を組み合わせたネットワークアドレスを意味しており、実際には、一連のヘッダの追加ないし削除をまとめて行うための、単一のソフトウエアプログラムモジュール(実行プログラム等)あるいは単一のハードウエアモジュール(電子回路、電子部品等)からなっている。
Further, a
そして、このソケットインターフェース17は、さらに上位のアプリケーションからの統一的なアクセス方式を提供するものであり、引数の種類や型など従来と同様のインターフェースを保つようにしている。
The
この図2に示すソケット17、TCPエミュレータ15、UDPエミュレータ16、「TCPsecon CP」15b、「UDPsec on CP」16b、「TCP on CP」15a、「UDPon CP」16a、「ICMP on CP」14a、「IGMP on CP」14b、IPエミュレータ13、「IPon CP」13a、及び「ARPonCP」12からなるプロトコルスタックが、本願発明者が提案した暗号化通信システムを実現するためのプロトコルスタック「TCP2」である。
2, the
次に、TCP2において、特に重要な機能である「データ漏洩」を防ぐ機能であるTCPsec15b及びUDPsec16bについて説明する。 Next, TCPsec15b and UDPsec16b, which are functions that prevent “data leakage”, which is a particularly important function in TCP2, will be described.
TCPsec15b及びUDPsec16bのための暗号化・復号化の方法(アルゴリズム、ロジック(論理))としては、公知の秘密鍵(共通鍵)暗号アルゴリズムが用いられる。例えば、秘密鍵暗号アルゴリズムであるDES(Data Encryption Standard)や、その改良版としての3DESが用いられる。また、その他の暗号アルゴリズムとしては、IDEA(International Data Encryption Algorithm)も用いられる。この暗号アルゴリズムは、データを64ビットのブロックに区切って暗号化するもので、暗号鍵の長さは128ビットである。 As an encryption / decryption method (algorithm, logic (logic)) for TCPsec15b and UDPsec16b, a known secret key (common key) encryption algorithm is used. For example, DES (Data Encryption Standard) which is a secret key encryption algorithm and 3DES as an improved version thereof are used. As another encryption algorithm, IDEA (International Data Encryption Algorithm) is also used. In this encryption algorithm, data is divided into 64-bit blocks and encrypted, and the length of the encryption key is 128 bits.
また、TCPsec15b及びUDPsec16bの暗号方式として、FEAL(Fastdata Encipherment Algorithm)、MISTY、AES(Advanced Encryption Standard)といった暗号方式も利用されるほか、また、独自に作成した秘密の暗号化・復号化アルゴリズムを利用することもできる。ここで、FEALは、暗号化と復号化に同じ鍵を用いる秘密鍵型の暗号方式である。このFEALは、DESに比べて高速に暗号化と復号化ができるという利点がある。 In addition, encryption methods such as FEAL (Fastdata Encipherment Algorithm), MISTY, and AES (Advanced Encryption Standard) are used as encryption methods for TCPsec15b and UDPsec16b, and private encryption / decryption algorithms created independently are also used. You can also Here, FEAL is a secret key type encryption method that uses the same key for encryption and decryption. This FEAL has an advantage that encryption and decryption can be performed at a higher speed than DES.
図3は、本発明の実施の形態例に用いられるTCP2アドレスの例を示している。このTCP2アドレスは、80ビット(2進数80桁)からなり、図示のように、[分類コード][企業団体コード][ホストコード][ユーザコード][予備コード]の4つに分類したコードから構成される。[分類コード]は2ビット、[ユーザコード]は32ビット、[予備コード]は3ビットと固定で割り付けられている。[分類コード]は、企業団体コードとホストコードに配分されるビット数43ビットの配分割合を決定するコードであり、2ビットで4種類(図3のA〜D)に分けて定義することを可能としている。 FIG. 3 shows an example of the TCP2 address used in the embodiment of the present invention. This TCP2 address is composed of 80 bits (80 binary digits), and as shown in the figure, from codes classified into four categories: [classification code] [enterprise group code] [host code] [user code] [preliminary code]. Composed. [Classification code] is assigned as 2 bits, [User code] is assigned as 32 bits, and [ Preliminary code] is assigned as 3 bits. [Category code] is a code for determining the distribution ratio of 43 bits allocated to the business organization code and the host code, and is defined by dividing into 4 types (A to D in FIG. 3) with 2 bits. It is possible.
そこで分類コード「00」では、図3のAに示すように、43ビットの内、[企業団体コード]に7ビットを割り付け、[ホストコード]に36ビットを割り付ける。この結果、分類コード「00」では、企業団体を最大27(128)団体定義することができ、1団体当りのホスト割り当て数は236台となる。つまり分類コード「00」では、割り付けられる企業団体が少なくなる反面、ホスト数を多く割り付けることができる。従ってこの分類コード「00」は、団体数としては少ないが、多くのクライアントを持っている通信業者(通信キャリア)のような企業団体向けとして好適なものとなる。 Therefore, in the classification code “00”, as shown in FIG. 3A, among the 43 bits, 7 bits are allocated to [corporate organization code] and 36 bits are allocated to [host code]. As a result, the classification code "00", can be up to 2 7 (128) groups defines the corporate organizations, host allocation per 1 groups is 2 36 units. In other words, with the classification code “00”, the number of business organizations to be allocated is reduced, but a large number of hosts can be allocated. Therefore, the classification code “00” is suitable for a business group such as a communication company (communication carrier) having a large number of clients, although the number of groups is small.
次に、分類コード「01」では、図3のBに示すように、43ビットの内、[企業団体コード]に15ビットを割り付け、[ホストコード]に28ビットを割り付ける。この結果、分類コード「01」では、企業団体を最大215(32768)団体定義することができるが、その反面、1団体当りのホスト割り当て数は228台となるのである。従ってこの分類コード「01」で分類される団体は、支店や支所を国内外に多く抱える大企業向きの分類コードである。 Next, in the classification code “01”, as shown in FIG. 3B, among the 43 bits, 15 bits are assigned to [Business organization code] and 28 bits are assigned to [Host code]. As a result, the classification code "01", but the industry associations can be defined up to 2 15 (32768) groups, on the other hand, the host allocation number per organization will become one 2 28 units. Therefore, an organization classified by this classification code “01” is a classification code suitable for large companies having many branches and branch offices in Japan and overseas.
また、分類コード「10」では、図3のCに示すように、43ビットの内、[企業団体コード]に25ビットを割り付け、[ホストコード]に18ビットを割り付ける。この結果、分類コード「10」は、企業団体を最大225団体定義することができるが、1団体当りのホスト割り当て数は218(262144)台となる。従ってこの分類コード「10」は大企業より支店や支所の多くない中堅企業に好適である。 In the classification code “10”, as shown in FIG. 3C, among the 43 bits, 25 bits are assigned to [corporate organization code] and 18 bits are assigned to [host code]. As a result, classification code "10" can be up to 2 25 organizations define corporate organizations, host allocation per 1 groups is 2 18 (262144) stand. Therefore, this classification code “10” is more suitable for a medium-sized company having fewer branches and branch offices than a large company.
最後の分類コード「11」では、図3のDに示すように、43ビットの内、[企業団体コード]に31ビットを割り付け、[ホストコード]に12ビットを割り付ける。この結果、分類コード「11」は、企業団体を最大231団体定義することができるが、1団体当りのホストは212(4096)台しか割り当てることができない。従ってこの分類コード「11」は、分類コード「00」とは正反対で、割り付けられる企業団体が多くなる反面、ホスト数の割付が小さくなる。これは例えば中小企業団体のような、企業数が多く一つ一つの企業ではそれほどホスト数を増やす必要がない団体向けの分類コードとなる。 In the last classification code “11”, as shown in D of FIG. 3, 31 bits are allocated to [corporate organization code] and 12 bits are allocated to [host code] among 43 bits. As a result, classification code "11" can be defined up to 2 31 organizations corporate organizations, host per organization can only be assigned 2 12 (4096) units. Therefore, the classification code “11” is the opposite of the classification code “00”, and the number of business organizations to be allocated increases, but the allocation of the number of hosts decreases. This is a classification code for an organization such as a small and medium-sized business group that has a large number of companies and does not need to increase the number of hosts so much.
さらに、上述した[企業団体コード]は、TCP2を使用する企業団体に対して、TCP2アドレスの割付管理部門が、ユニークに割り当てを行うコードである。これを行うことで、全てのTCP2使用団体に、ユニークなTCP2アドレスを割り当てることが可能となる。また、[ホストコード]は、ネットワークに接続した、TCP2を実装するコンピュータ機器の固体を示すコードであり、企業団体内のTCP2管理部門が、企業団体内のTCP2アドレスをユニークに割り当てるコードである。 Furthermore, the above-mentioned [corporate organization code] is a code that the assignment management section of the TCP2 address uniquely assigns to a business organization that uses TCP2. By doing this, it is possible to assign unique TCP2 addresses to all TCP2 using organizations. [Host code] is a code that indicates the individual computer device that implements TCP2 and is connected to the network. The TCP2 management department in the business organization uniquely assigns the TCP2 address in the business organization.
従って、これら分類コード、企業団体コード、ホストコードの3つのコードで、TCP2を実装するネットワークに接続したコンピュータ機器の全てにユニークなTCP2アドレスを割り付けることができ、これらのコードによりネットワークに接続したTCP2を実装したコンピュータ機器を全て識別することができるようになる。なお、[ホストコード]は、企業内での組織などにしたがってグループ分けされるコードである。 Therefore, a unique TCP2 address can be assigned to all of the computer devices connected to the network on which TCP2 is implemented with these three codes of the classification code, the business organization code, and the host code, and the TCP2 connected to the network using these codes. It becomes possible to identify all the computer devices that implement the. [Host code] is a code grouped according to the organization in the company.
最後に「ユーザコード」は、ネットワークに接続され、TCP2が実装された各コンピュータ機器を使用するユーザを識別するコードである。1つのコンピュータ機器を複数の人が使用する場合には、1つのコンピュータ機器に対応して複数のユーザコードが存在することになる。特定のユーザが、TCP2を使用する際には、その個人にユニークなユーザID、パスワード、さらには生態認証情報等を必要とするのであるが、これらの情報を32ビットのユーザコードとして決定しておくためのものである。 Finally, the “user code” is a code for identifying a user who is connected to the network and uses each computer device on which TCP2 is mounted. When a plurality of people use one computer device, there are a plurality of user codes corresponding to the one computer device. When a specific user uses TCP2, a unique user ID, password, and biometric authentication information are required for the individual. These information is determined as a 32-bit user code. It is for keeping.
なお、[予備コード]は、今後、TCP2アドレスを拡張する際に使用するコードであり、現時点で必要とするものではない。 [Preliminary code] is a code to be used when extending the TCP2 address in the future, and is not required at this time.
さらに図4は、図3のCに示す分類コード「10」の例、すなわち18ビットが[ホストコード]に割り付けられている場合について、この[ホストコード]を会社の組織にしたがって分割する例を示したものである。なお、図4では、18ビット割り付けられている[ホストコード]を4階層にグループ化し、図4のCに示すように「事業部コード」、「部コード」、「課コード」、「機器コード」としている。 Further, FIG. 4 shows an example of the classification code “10” shown in C of FIG. 3, that is, an example in which 18 bits are assigned to [Host Code] and this [Host Code] is divided according to the organization of the company. It is shown. In FIG. 4, [Host code] assigned 18 bits is grouped into four layers, and as shown in FIG. 4C, “business unit code”, “department code”, “section code”, “equipment code” "
次に、図5と図6に基づいて、サーバとクライアント端末の間、あるいはクライアント端末同士の通信とユーザ認証の仕組みを説明する。 Next, the mechanism of communication and user authentication between the server and the client terminal or between the client terminals will be described with reference to FIGS.
図5は、実際のコンピュータ機器(サーバあるいはクライアント端末)のグルーピング制御を説明する上のシステム構成例を示す図である。この図5に示す例は、分類コードが2(2進数の「10」)で、企業団体コードが23の例である。そして図5に示すように、サーバには「ホストコード」として、事業部コード3、部コード4、機器コード1が割り当てられている。
FIG. 5 is a diagram showing an example of the above system configuration for explaining grouping control of actual computer equipment (server or client terminal). The example shown in FIG. 5 is an example in which the classification code is 2 (binary number “10”) and the business organization code is 23. As shown in FIG. 5, the
そこで、図6の(1)は、上記サーバの持つコードを、TCP2アドレスとして2進数で示したものである。ここで課コード及びユーザコードは“0”となっていることから、このサーバは、この部に所属するすべてのユーザが共同で利用するサーバであることがわかる。 Therefore, (1) in FIG. 6 shows the code of the server in binary notation as a TCP2 address. Here, since the section code and the user code are “0”, it is understood that this server is a server that is shared by all users belonging to this section.
すなわち、図5に示すクライアント端末Bとクライアント端末CXは同一の課であるX課に属するクライアント端末であり、クライアント端末Bは、例えば図1のLAN10のグループ(B)に属する管理職(課長)クラスのセキュリティを持つクライアント端末B1〜B3の1つを示している。このクライアント端末Bは、例えば事業部コード3、部コード4、課コード5、機器コード6、ユーザコード1を有している。このユーザコードが1であることは、一人のユーザ(課長)がクライアント端末Bを独占して使用することを示している。
That is, the client terminal B and the client terminal CX shown in FIG. 5 are client terminals belonging to the same section, section X, and the client terminal B is, for example, a manager (section manager) belonging to the group (B) of the
一方、クライアント端末CXは、図1のグループ(C)に属する担当者クラスのセキュリティを持つクライアント端末C1〜C3のいずれか1つの端末でクライアント端末Bと同じX課に属するクライアント端末を例示したものである。従って図6の(2)に示すように、事業部コード3、部コード4、課コード5までは、クライアント端末Bのコードと同じであるが、機器コードには“7”が割り当てられ、クライアント端末Bの機器コード“6”と異なっている。
On the other hand, the client terminal CX is an example of a client terminal belonging to the same X section as the client terminal B in any one of the client terminals C1 to C3 having security of the person in charge belonging to the group (C) in FIG. It is. Therefore, as shown in (2) of FIG. 6, the
また、図6の(3)のTCP2アドレスに示されるユーザコードの末尾の3ビットには「???」が付されているが、これはユーザコード2〜7(「010」〜「111」)の6人のユーザがこの端末を共同で利用することを意味している。理論的には、ユーザは最大で8人まで利用可能である。
In addition, “???” is added to the last 3 bits of the user code indicated by the TCP2 address in (3) of FIG. 6, but this indicates
これに対して、クライアント端末CYは、事業部コード3、部コード4で、クライアント端末B、CXと一致しているが、課コードが“6”となっている。つまりクライアント端末CYはクライアント端末B、CXの属するX課と異なるY課に属する端末である。また、図6の(4)のTCP2アドレスから分かるように、クライアント端末CYの機器コードは“7”であり、ユーザコードの下4桁は「????」である。
On the other hand, the client terminal CY matches the client terminals B and CX with the
つまり、このクライアント端末CYは、ユーザコード8〜15(2進数で「1000」〜「1111」)までのコードが割り当てられ、8人のユーザが共同利用するクライアント端末であるといえる。なお、4桁の「?」は最大で16人のユーザがこのクライアント端末CYを利用することができることを意味している。
In other words, this client terminal CY is a client terminal that is assigned a code of
さらに、図6を用いて、それぞれのクライアント端末間あるいはクライアント端末とサーバ間の通信接続の可能性について説明する。 Furthermore, the possibility of communication connection between each client terminal or between a client terminal and a server will be described with reference to FIG.
図6の(1)のサーバは、部内からのホストコンピュータ全てからの接続要求を許可にするため、図6の(1)に示す「通信許可コード」をその記憶手段50の設定データベースに保存している。 The server in (1) of FIG. 6 stores the “communication permission code” shown in (1) of FIG. 6 in the setting database of the storage means 50 in order to permit connection requests from all the host computers from within the department. ing.
すなわち、この「通信許可コード」は、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」をTCP2アドレスと同じに設定し、「課コード」、「機器コード」、「ユーザコード」を未設定「0」としている。また、「通信許可マスク情報」としては、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「予備コード」の全てのビットを「1」に設定し、「課コード」、「機器コード」、「ユーザコード」をすべて「0」に設定している。 That is, the “communication permission code” is set to the same as the TCP2 address in the “classification code”, “enterprise group code”, “business department code”, “department code”, “spare code”, “Device code” and “User code” are not set to “0”. In addition, as the “communication permission mask information”, all bits of “classification code”, “business organization code”, “business division code”, “department code”, and “preliminary code” are set to “1”. “Section code”, “device code”, and “user code” are all set to “0”.
また、図5のサーバは、図6の(1)に示すように、「通信禁止コード」と「通信禁止マスク情報」をその記憶手段50(図1参照)内の設定データベースに具備している。これは、クライアント端末CYの特定のユーザのアクセスを拒否するために設けられたものである。 Further, as shown in (1) of FIG. 6, the server of FIG. 5 has “communication prohibition code” and “communication prohibition mask information” in the setting database in the storage means 50 (see FIG. 1). . This is provided in order to deny access of a specific user of the client terminal CY.
すなわち、「通信禁止コード」としては、接続を禁止するユーザが使用するクライアント端末が属するTCP2アドレスである「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「ユーザコード」、「予備コード」を全て設定する。そして、「通信禁止マスク情報」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「ユーザコード」、「予備コード」の全ビットを「1」に設定する。 That is, as the “communication prohibition code”, the “classification code”, “enterprise group code”, “business department code”, “department code”, “section code” that are the TCP2 addresses to which the client terminals used by the users whose connection is prohibited belong. “Code”, “Device code”, “User code”, and “Reserve code” are all set. Then, as “communication prohibition mask information”, “classification code”, “business organization code”, “business department code”, “department code”, “section code”, “equipment code”, “user code”, “reserve code” All bits of "" are set to "1".
これに対し、図5のクライアント端末CXは、図6の(2)に示すように、そのTCP2設定データベースに、通信許可コードと通信許可マスク情報を持っている。これは、X課内からのクライアント端末からの接続要求を許可にするために設けられるものである。 On the other hand, as shown in (2) of FIG. 6, the client terminal CX of FIG. 5 has a communication permission code and communication permission mask information in its TCP2 setting database. This is provided to allow connection requests from client terminals from within the X section.
従って、通信許可コードとしては、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、X課の「課コード」、「予備コード」をTCP2アドレスと同じに設定する。そして、「機器コード」、「ユーザコード」を未設定「0」とする。また、「通信許可マスク情報」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを「1」に設定し、「機器コード」、「ユーザコード」を全て「0」に設定する。 Therefore, as the communication permission code, “classification code”, “business organization code”, “business department code”, “department code”, “section code” of section X, and “preliminary code” are set to the same as the TCP2 address. . Then, “device code” and “user code” are not set to “0”. Further, as “communication permission mask information”, all bits of “classification code”, “enterprise group code”, “business department code”, “department code”, “section code”, and “preliminary code” are set to “1”. Set “Device Code” and “User Code” to “0”.
これにより、X課のクライアント端末Bは、クライアント端末CXに接続することが可能となる。同様に、クライアント端末Bは、クライアント端末CXと同等なセキュリティレベルを有するX課に属する全てのクライアント端末にアクセスすることができる。 As a result, the client terminal B of section X can connect to the client terminal CX. Similarly, the client terminal B can access all the client terminals belonging to section X having the same security level as the client terminal CX.
一方、クライアント端末Bは、例えば課長の占有する端末であり、X課に属するクライアント端末であっても、例えば特別なクライアント端末CXからの接続要求を拒否することができるように設定される。このため、クライアント端末Bは、「通信禁止コード」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」に禁止するクライアント端末CXが使用するTCP2アドレスのコードと同じコードを設定している。 On the other hand, the client terminal B is a terminal occupied by the section manager, for example, and is set so that even a client terminal belonging to the section X can refuse a connection request from a special client terminal CX, for example. For this reason, the client terminal B uses “classification code”, “enterprise group code”, “business department code”, “department code”, “section code”, “equipment code”, “reserve code” as “communication prohibition code”. The same code as the code of the TCP2 address used by the client terminal CX that is prohibited is set.
そして、「通信禁止マスク情報」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」の全てのビットを「1」とし、「ユーザコード」の全ビットを「0」に設定する。この「通信禁止コード」、「通信禁止マスク情報」は、「通信許可コード」、「通信許可マスク情報」に優先するため、クライアント端末CX(担当者)からクライアント端末B(課長)への接続は拒否されることになる。 And, as “communication prohibition mask information”, all bits of “classification code”, “business organization code”, “business department code”, “department code”, “section code”, “equipment code”, “spare code” Is set to “1”, and all bits of “user code” are set to “0”. Since the “communication prohibition code” and “communication prohibition mask information” have priority over the “communication permission code” and “communication permission mask information”, the connection from the client terminal CX (person in charge) to the client terminal B (section manager) Will be rejected.
以上説明したように、図5に示すクライアント端末CXは、X課内にある全てのクライアント端末からの接続要求を許可にするように設定されるように、そのための情報がクライアント端末CXの記憶手段50の設定データベースに保存されている。
As described above, the client terminal CX shown in Figure 5, all as is set so as to allow the connection request from the client terminal, storage means information for the client terminal CX in X inside of a
すなわち図6の(3)に示すように、「通信許可コード1」として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、X課の「課コード」及び「予備コード」をX課に属するクライアント端末、例えばクライアント端末BのTCP2アドレスと同じに設定し、「機器コード」、「ユーザコード」を未設定“0”とする。そして、通信許可マスク情報1として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを“1”に設定する。
That is, as shown in (3) of FIG. 6, “
また、クライアント端末CXは、「通信禁止コード」及び「通信禁止マスク情報」をその記憶手段50の設定データベース内に保有しない。さらに、クライアント端末CXは、例外的に他の課であるY課のクライアント端末Cからの接続要求だけを許可にするため、通信許可コード2として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「機器コード」、「予備コード」をY課のクライアント端末CのTCPアドレスと同じに設定し、「ユーザコード」を未設定“0”とする。
Further, the client terminal CX does not have “communication prohibition code” and “communication prohibition mask information” in the setting database of the
そして、通信許可マスク情報2として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」を全てのビットを“1”に設定し、「機器コード」、「ユーザコード」を全て“0”に設定する。これにより、クライアント端末CYからクライアント端末CXへの接続が許可されることになる。
Then, as communication
次に、図5のクライアント端末CYは、Y課内の全てのクライアント端末からの接続要求を許可にするため、通信許可コード1として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」を設定し、「機器コード」、「ユーザコード」を未設定“0”とする。そして、通信許可マスク情報1として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを“1”に設定し、「機器コード」、「ユーザコード」を全て“0”に設定する。
Next, since the client terminal CY in FIG. 5 permits connection requests from all the client terminals in the Y section, the
さらに、クライアント端末CYは、例外的に他の課であるX課のクライアント端末Bからの接続要求だけを許可にするため、通信許可コード2として、「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」をX課のクライアント端末CXのTCP2アドレスと同じに設定し、「機器コード」と「ユーザコード」を未設定“0”とする。
Further, the client terminal CY exceptionally permits only a connection request from the client terminal B of the other section X, so that the
そして、通信許可マスク情報2の「分類コード」、「企業団体コード」、「事業部コード」、「部コード」、「課コード」、「予備コード」の全てのビットを“1”に設定し、「機器コード」、「ユーザコード」を全て“0”に設定する。これにより、クライアント端末CYは、クライアント端末CXからの接続要求を許可することができる。
Then, all bits of “classification code”, “business organization code”, “business department code”, “department code”, “section code”, and “spare code” in communication
以上説明したように、TCP2を用いたサーバとクライアント端末間、あるいはクライアント端末同士の通信では、それぞれのクライアント端末あるいはサーバに接続許可を与えるクライアント端末あるいは接続を禁止するクライアント端末を自由に設定できるので、情報の漏洩や盗難を防ぐことができ、より確実にクライアント端末間及びクライアント端末とサーバ間通信のセキュリティを保つことができる。 As described above, in communication between a server and a client terminal using TCP2, or between client terminals, each client terminal, a client terminal that grants connection permission to the server, or a client terminal that prohibits connection can be freely set. Information leakage and theft can be prevented, and security of communication between client terminals and between client terminals and servers can be more reliably maintained.
そこで図7には、従来技術で述べた図11に相当する通信システムの構成が示されている。この構成において、例えばLAN110に繋がれたクライアント111から、LAN210に繋がれたサーバ211に、WANとしてのインターネット310を介して接続する場合を考える。
FIG. 7 shows the configuration of a communication system corresponding to FIG. 11 described in the prior art. In this configuration, for example, consider a case where a
この場合に、まずクライアント111では、例えば図中の表(A)に示すように宛先及び送信元のIPアドレスとTCP2アドレスとポート番号を用いて通信パケットを用意する。ここで、宛先のIPアドレスとTCP2アドレスは、ドメイン名しか判らない場合には、TCP2−DNS311等に問い合わせて記入される。なお、TCP2−DNS311は図中の表(B)に示すようなドメイン名とグローバルアドレス及びTCP2アドレスの読み替えテーブルを有している。また、宛先のポート番号「80」は指定である。
In this case, first, the
これに対して、送信元のIPアドレスはLAN110内のローカルアドレスであり、ポート番号は任意に定められている。そこで、この通信パケットがLAN110とインターネット310とを繋ぐTCP2ルータ312に送られると、TCP2ルータ312は送信元のIPアドレスをローカルアドレスからグローバルアドレスに書き替える。なおここでTCP2ルータ312では、従来のルータとは異なる処理が行われるので、TCP2ルータとして示す。
On the other hand, the IP address of the transmission source is a local address in the
そしてこの場合において、TCP2アドレスは上述の「TCP2」の技術で唯一無二に定められている。従ってこの場合には、TCP2ルータ312では、TCP2アドレスは書き替える必要がないと共に、このTCP2アドレスによって端末の特定が行われることから、送信元のポート番号も書き替える必要がなくなる。なお、TCP2ルータ312内には、接続時に図中の表(C)に示すように変更前のIPアドレスと、不変のTCP2アドレス及びポート番号のテーブルが作られる。
In this case, the TCP2 address is uniquely determined by the above-described “TCP2” technique. Therefore, in this case, the
これによりTCP2ルータ312からは、図中の表(D)に示すような宛先及び送信元のIPアドレスとTCP2アドレス、ポート番号の付加された通信パケットが、グローバルアドレスで指定されたTCP2ルータ313に向けて送信される。そしてこのTCP2ルータ313には図中の表(E)に示すような変更前アドレスとTCP2アドレス、ポート番号のテーブルが設けられており、それに従ってグローバルアドレスがローカルアドレスに書き替えられてLAN210に向け送信される。これによって、図中の表(F)に示すような通信パケットが、LAN210に繋がれたサーバ211で受信される。
As a result, the
そしてサーバ211からの返信は、上記の図中の表(F)で宛先と送信元を入れ替えた通信パケットが送信され、TCP2ルータ313で送信元(図中では宛先)のローカルアドレスがグローバルアドレスに書き替えられる。さらに、TCP2ルータ312では図中の表(C)のテーブルに従って、宛先(図中では送信元)のIPアドレスが元に戻され、図中の表(A)で宛先と送信元を入れ替えた形の通信パケットがクライアント111で受信される。このようにしてクライアント111とサーバ211間の接続が行われている。
The reply from the
さらに図8には、上述の処理の流れをシーケンス図で示す。この図8において、最初にクライアント111からTCP2−DNS311に対してドメイン名に基づくDNS2要求が行われる(ステップS1)。このDNS2要求に対してTCP2−DNS311からは、ドメイン名に対応するグローバルアドレスとTCP2アドレスが応答される(ステップS2)。これにより通信パケットが生成され、TCP2ルータ312に送信される(ステップS3)。なお、応答にTCP2アドレスを含むことからDNS2と称する。
FIG. 8 is a sequence diagram showing the above-described processing flow. In FIG. 8, first, a DNS2 request based on the domain name is made from the
TCP2ルータ312では、送信元のローカルアドレスをグローバルアドレスに変換してTCP2ルータ313に向けて送信する(ステップS4)。これに対して、TCP2ルータ313はサーバ211に対してARP2要求を行う(ステップS5)。このARP2要求に対してサーバ211からはローカルアドレスとTCP2アドレスが応答される(ステップS6)。なお、応答にTCP2アドレスを含むことからARP2と称する。
The
これによりTCP2ルータ313では、宛先グローバルアドレスをローカルアドレスに変換し、このローカルアドレスとTCP2アドレスを付加した通信パケットをサーバ211に送信する(ステップS7)。これに対してサーバ211は、応答の通信パケットを形成してTCP2ルータ313に返信する(ステップS8)。さらに、TCP2ルータ313は送信元のローカルアドレスをグローバルアドレスに変換してTCP2ルータ312に送信する(ステップS9)。
As a result, the
そして、TCP2ルータ312では、宛先のグローバルアドレスをローカルアドレスに変換し、このローカルアドレスとTCP2アドレスを付加した通信パケットをクライアント111に送信する(ステップS10)。このようにして、クライアント111とサーバ211の間での通信が行われる。
Then, the
また、図9には、上述のTCP2における送信側の処理のフローチャートを示す。この図9において、クライアント111からサーバ211へ送信が開始されると、最初にサーバ211のIPアドレスが判っているか否か判断される(ステップS11)。そしてIPアドレスが判っていないとき(NO)は、クライアント111のTCP2のDNS2機能によりTCP2−DNS311に問合せ、サーバ211のドメインネームからIPアドレスとTCP2アドレスを取得する(ステップS12)。
FIG. 9 shows a flowchart of processing on the transmission side in the above-described TCP2. In FIG. 9, when transmission from the
さらに、クライアント111から通信パケットの宛先(TCP2ルータ312のIPアドレス)に通信パケットを送信する(ステップS13)。TCP2ルータ312は、テーブル(C)にクライアント111のIPアドレス(ローカルアドレス)、TCP2アドレス、ポート番号を登録する(ステップS14)。また、TCP2ルータ312でローカルアドレスをグローバルアドレスに変換する(ステップS15)。そしてTCP2ルータ312から通信パケットの宛先(TCP2ルータ313のIPアドレス)に通信パケットを送信する(ステップS16)。
Further, the communication packet is transmitted from the
また、TCP2ルータ313に通信パケットが届くと、テーブル(E)に宛先のTCP2アドレスが登録されているかを解析する(ステップS17)。そして登録されているときは、登録されているTCP2アドレスからサーバ211のIPアドレス(ローカルアドレス)を取得する(ステップS18)。さらに、サーバ211のIPアドレス(ローカルアドレス)に向けて通信パケットを送信する(ステップS19)。以上によって送信が完了される。
When the communication packet arrives at the
あるいは、ステップS17でテーブル(E)に宛先のTCP2アドレスが登録されていないときは、TCP2ルータ313のTCP2のARP2機能で、通信パケット内にある宛先のTCP2アドレスからサーバ211のIPアドレス(ローカルアドレス)を取得する(ステップS20)。その後は、ステップS19でサーバ211のIPアドレス(ローカルアドレス)に向けて通信パケットを送信し、これにより送信が完了される。
Alternatively, when the destination TCP2 address is not registered in the table (E) in step S17, the TCP2 ARP2 function of the
これに対して、図10には、上述のTCP2における返信側の処理のフローチャートを示す。この図10において、サーバ211からクライアント111へ返信が開始されると、最初にサーバ211から通信パケットの宛先(TCP2ルータ313のIPアドレス)に通信パケットを送信する(ステップS21)。次に、TCP2ルータ313はテーブル(E)にサーバ211のTCP2アドレスが登録されているか否か判断する(ステップS22)。
On the other hand, FIG. 10 shows a flowchart of processing on the reply side in the above-described TCP2. In FIG. 10, when a reply is started from the
ここで、登録されていないとき(NO)は、TCP2ルータ313のテーブル(E)にクライアント111のIPアドレス(ローカルアドレス)、TCP2アドレス、ポート番号を登録する(ステップS23)。さらに、TCP2ルータ313でローカルアドレスをグローバルアドレスに変換する(ステップS24)。また、TCP2ルータ313から通信パケットの宛先(TCP2ルータ312のIPアドレス)に通信パケットを送信する(ステップS25)。
If not registered (NO), the IP address (local address), TCP2 address, and port number of the
また、TCP2ルータ312に通信パケットが届くと、テーブル(C)に宛先のTCP2アドレスが登録されているかを解析する(ステップS26)。さらに、登録されているTCP2アドレスからクライアント111のIPアドレス(ローカルアドレス)を取得する(ステップS27)。そしてクライアント111のIPアドレス(ローカルアドレス)に向けて通信パケットを送信する(ステップS28)。以上によって返信が完了される。
When the communication packet arrives at the
こうして、本発明の通信システム、アドレス解決方法、通信プログラム及び記録媒体によれば、TCP又はUDPのようなトランスポート層のプロトコル自体に相互認証できる機能を追加し、この相互認証機能を備えたトランスポート層のプロトコルをサーバと各クライアント端末に採用することにより、クライアント端末自体で接続要求のあった他のクライアント端末との接続許可又は接続拒否のための処理が可能になると共に、上記の相互認証機能を利用してIPv4との互換があり、機能の制限も生じることのない、全く新規なアドレス解決を実現することができる。 Thus, according to the communication system, the address resolution method, the communication program, and the recording medium of the present invention, a function capable of mutual authentication is added to the transport layer protocol itself such as TCP or UDP, and a transformer having this mutual authentication function is added. By adopting the port layer protocol for the server and each client terminal, the client terminal itself can perform processing for permitting or denying connection with another client terminal that has requested connection, and the mutual authentication described above. Using the function, it is possible to realize completely new address resolution that is compatible with IPv4 and does not limit the function.
なお、本発明は上述した実施の形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の多くの実施の形態が含まれることは言うまでもない。 The present invention is not limited to the above-described embodiments, and it goes without saying that many other embodiments are included without departing from the gist of the present invention described in the claims. .
110,210…LAN(Local Area Network)、310…インターネット、111…クライアントのコンピュータ、211…サーバのコンピュータ、311…DNSのコンピュータ、312,313…ルータ 110, 210 ... LAN (Local Area Network), 310 ... Internet, 111 ... client computer, 211 ... server computer, 311 ... DNS computer, 312,313 ... router
Claims (5)
前記接続要求を行うコンピュータは、前記TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加する手段を有し、
前記接続要求を受け付けるコンピュータは、前記TCPパケット又はUDPパケットから前記TCP2アドレスを判別して前記TCP2アドレスを認証し、前記TCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、前記TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否すると共に、
前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータの個々の前記TCP2アドレスをIPアドレスと共に登録する登録手段が設けられ、
前記TCP2アドレスを用いて前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータに対するアドレス解決を行う
ことを特徴とする通信システム。 A communication system that handles a protocol corresponding to TCP or UDP between a computer that makes a connection request and a computer that accepts the connection request,
Computer for the connection request, the a unique identification address of the computer for TCP packet or UDP packet, means for adding TCP2 address to be used for mutual authentication between the client terminals in the transport layer Have
The computer that accepts the connection request determines the TCP2 address from the TCP packet or UDP packet, authenticates the TCP2 address, and permits the connection when the TCP2 address matches within a preset range, When the TCP2 address does not match within the preset range, the connection is rejected,
Registration means are provided for registering the individual said TCP2 address of the computer to accept the connection request computer and the connection request to perform together with the IP address,
Communication system and performs address resolution for the computer to accept a computer and the connection request to perform the connection request using the TCP2 address.
前記接続要求を行うコンピュータにおいて、前記TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加し、
前記接続要求を受け付けるコンピュータにおいて、前記TCPパケット又はUDPパケットから前記TCP2アドレスを判別して前記TCP2アドレスを認証し、前記TCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、前記TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否すると共に、
前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータの個々の前記TCP2アドレスをIPアドレスと共に登録手段に登録し、
前記TCP2アドレスを用いて前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータに対するアドレス解決を行う
ことを特徴とする通信システムにおけるアドレス解決方法。 An address resolution method used in a communication system that handles a protocol corresponding to TCP or UDP between a computer that performs a connection request and a computer that receives the connection request,
In a computer to perform the connection request, the a unique identification address of the computer for TCP packet or UDP packet, adds the TCP2 address to be used for mutual authentication between the client terminal at the transport layer,
In the computer that accepts the connection request, the TCP2 address is identified from the TCP packet or UDP packet to authenticate the TCP2 address, and if the TCP2 address matches within a preset range, a connection is permitted, When the TCP2 address does not match within the preset range, the connection is rejected,
Registered in the registration means of each of said TCP2 address of the computer to accept the connection request computer and the connection request to perform together with the IP address,
Address resolution method in a communication system and performs address resolution for the computer to accept a computer and the connection request to perform the connection request using the TCP2 address.
前記接続要求を行うコンピュータには、前記TCPパケット又はUDPパケットに対して当該コンピュータの固有の識別アドレスであって、トランスポート層において各クライアント端末間の相互認証に利用されるTCP2アドレスを付加する機能と、
前記接続要求を受け付けるコンピュータには、前記TCPパケット又はUDPパケットから前記TCP2アドレスを判別して前記TCP2アドレスを認証し、前記TCP2アドレスが予め設定された範囲で一致する場合には接続を許可し、前記TCP2アドレスが予め設定された範囲で一致しない場合には接続を拒否する機能と、
前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータの個々の前記TCP2アドレスをIPアドレスと共に登録手段に登録する機能と、
前記TCP2アドレスを用いて前記接続要求を行うコンピュータ及び前記接続要求を受け付けるコンピュータに対するアドレス解決を行う機能と、
をコンピュータに実現させる通信プログラム。 A communication program for performing communication using a protocol corresponding to TCP or UDP between a computer that performs a connection request and a computer that receives the connection request,
The computer for the connection request, the a unique identification address of the computer for TCP packet or UDP packet, adding TCP2 address to be used for mutual authentication between the client terminals in the transport layer Function and
The computer that accepts the connection request determines the TCP2 address from the TCP packet or UDP packet, authenticates the TCP2 address, and permits the connection when the TCP2 address matches within a preset range, A function of rejecting connection when the TCP2 address does not match within a preset range ;
A function of registering in the registration means each of said TCP2 address of the computer to accept the connection request computer and the connection request to perform together with the IP address,
A function of performing address resolution for the computer to accept a computer and the connection request to perform the connection request using the TCP2 address,
A communication program that makes a computer realize .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006189531A JP4785654B2 (en) | 2006-07-10 | 2006-07-10 | COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006189531A JP4785654B2 (en) | 2006-07-10 | 2006-07-10 | COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008022057A JP2008022057A (en) | 2008-01-31 |
JP4785654B2 true JP4785654B2 (en) | 2011-10-05 |
Family
ID=39077727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006189531A Active JP4785654B2 (en) | 2006-07-10 | 2006-07-10 | COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4785654B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019194828A (en) * | 2018-04-26 | 2019-11-07 | 株式会社クラス・マイスター | Managing system |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1028144A (en) * | 1996-07-12 | 1998-01-27 | Hitachi Ltd | System for constituting network with access control function |
JP2003319455A (en) * | 2002-04-23 | 2003-11-07 | Canon Inc | Communication system, managing server, method for controlling the same and program |
JP4152255B2 (en) * | 2003-05-21 | 2008-09-17 | 株式会社神戸製鋼所 | Communication system, communication terminal, management server |
JP2006005879A (en) * | 2004-06-21 | 2006-01-05 | Trend Micro Inc | Communication apparatus, wireless network, program and recording medium |
JP2006020085A (en) * | 2004-07-01 | 2006-01-19 | Fujitsu Ltd | Network system, network bridge device, network managing device and network address solution method |
-
2006
- 2006-07-10 JP JP2006189531A patent/JP4785654B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2008022057A (en) | 2008-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101585936B1 (en) | System for managing virtual private network and and method thereof | |
US6792474B1 (en) | Apparatus and methods for allocating addresses in a network | |
US6961783B1 (en) | DNS server access control system and method | |
US6895511B1 (en) | Method and apparatus providing for internet protocol address authentication | |
US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
US8214482B2 (en) | Remote log repository with access policy | |
US8307072B1 (en) | Network adapter validation | |
US7287269B2 (en) | System and method for authenticating and configuring computing devices | |
RU2289886C2 (en) | Method, bridge, and system for data transfer between public data network device and intercom network device | |
CN100539595C (en) | A kind of IP address assignment method based on the DHCP extended attribute | |
US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
JP2006262532A5 (en) | ||
KR100429901B1 (en) | Method for assigning IP address using agent in zero configuration network | |
CN106878161B (en) | Method and system for resolving domain name system requests | |
WO2002067512A1 (en) | Packet filtering method and packet communication system for ensuring communication security | |
Wouters | Dns-based authentication of named entities (dane) bindings for openpgp | |
JP4785654B2 (en) | COMMUNICATION SYSTEM, ADDRESS SOLUTION METHOD, COMMUNICATION PROGRAM, AND RECORDING MEDIUM | |
JP4696204B2 (en) | Communication method | |
EP1039724A2 (en) | Method and apparatus providing for internet protocol address authentication | |
JPH11331181A (en) | Network terminal authenticating device | |
CN112565253B (en) | Method and device for verifying inter-domain source address, electronic equipment and storage medium | |
JP4003634B2 (en) | Information processing device | |
JP2006216014A (en) | System and method for authenticating message, and firewall, network device, and computer-readable medium for authenticating message | |
JP4874037B2 (en) | Network equipment | |
He et al. | Network-layer accountability protocols: a survey |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080313 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090507 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090515 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090709 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20101216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110113 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110329 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110526 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110613 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110705 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110712 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4785654 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140722 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |