JP5949488B2 - Communication apparatus and program - Google Patents
Communication apparatus and program Download PDFInfo
- Publication number
- JP5949488B2 JP5949488B2 JP2012253092A JP2012253092A JP5949488B2 JP 5949488 B2 JP5949488 B2 JP 5949488B2 JP 2012253092 A JP2012253092 A JP 2012253092A JP 2012253092 A JP2012253092 A JP 2012253092A JP 5949488 B2 JP5949488 B2 JP 5949488B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- information
- assigned
- transmission
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、通信装置及びプログラムに関する。 The present invention relates to a communication device and a program.
情報処理装置に割り当てられた識別情報(例えば、IPアドレスなど)の漏洩を防ぐ技術が存在する。特許文献1には、予め用意された複数のインタフェースIDのうちからユーザによって選択された、あるいは、プレフィックスに基づいて選択されたインタフェースIDを、情報処理装置に割り当てられるIPv6(Internet Protocol Version 6)アドレスのインタフェースIDとして使用する技術が記載されている。非特許文献1には、IPv6アドレスが割り当てられた情報処理装置において、当該IPv6アドレスに含まれるインタフェースIDをランダムに変更する技術が記載されている。
There is a technique for preventing leakage of identification information (for example, an IP address) assigned to an information processing apparatus.
本発明の目的の1つは、送信対象に送信元又は送信先を識別する情報として関連付けられる識別情報が割り当てられた情報処理装置とは異なる通信装置において、当該識別情報のうち複数の情報処理装置に共通して割り当てられる部分が維持されつつ、当該識別情報のうち情報処理装置毎に割り当てられる部分が、当該識別情報が割り当てられた情報処理装置とは異なる情報処理装置に秘匿されるよう、当該識別情報の変更が行われるようにすることにある。 One of the objects of the present invention is a communication apparatus different from an information processing apparatus in which identification information associated with information to identify a transmission source or a transmission destination is assigned to a transmission target. The portion assigned to each information processing device among the identification information is kept secret from an information processing device different from the information processing device to which the identification information is assigned while maintaining the portion assigned in common to the information processing device. The identification information is changed.
請求項1に記載の発明は、通信装置であって、情報処理装置に割り当てられた識別情報が送信元又は送信先を識別する情報として関連付けられている送信対象を受信する受信手段と、前記識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を変更する変更手段と、前記変更手段が変更した識別情報を関連付けて、前記送信対象を送信する送信手段と、を含むこととしたものである。
The invention according to
請求項2に記載の発明は、請求項1に記載の通信装置であって、前記受信手段は、第1の情報処理装置に割り当てられた識別情報が送信元を識別する情報として関連付けられており、第2の情報処理装置に割り当てられた識別情報が送信先を識別する情報として関連付けられている送信対象を、当該第1の情報処理装置から受信し、前記変更手段は、前記第1の情報処理装置に割り当てられた識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を変更し、前記送信手段は、前記変更手段が変更した識別情報を、送信元を識別する情報として関連付けて、当該送信対象を前記第2の情報処理装置に宛てて送信することとしたものである。
The invention according to
請求項3に記載の発明は、請求項2に記載の通信装置であって、前記受信手段は、前記第2の情報処理装置に割り当てられた識別情報が送信元を識別する情報として関連付けられており、前記第1の情報処理装置に割り当てられた識別情報に対して行われた変更後の識別情報が送信先を識別する情報として関連付けられている、前記送信対象に対する応答を、前記第2の情報処理装置から受信し、前記変更手段は、前記第2の情報処理装置から受信した、送信先を識別する情報として前記応答に関連付けられている識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を前記第1の情報処理装置に割り当てられた識別情報に変更し、前記送信手段は、前記変更手段が変更した識別情報を、送信先を識別する情報として関連付けて、当該応答を前記第1の情報処理装置に宛てて送信することとしたものである。 A third aspect of the present invention is the communication apparatus according to the second aspect, wherein the receiving means associates identification information assigned to the second information processing apparatus as information for identifying a transmission source. And a response to the transmission target, in which the identification information after the change performed on the identification information assigned to the first information processing apparatus is associated as information for identifying a transmission destination, Received from the information processing apparatus, and the changing means is common to a plurality of information processing apparatuses among the identification information received from the second information processing apparatus and associated with the response as information for identifying a transmission destination. And changing the portion assigned to each information processing device to the identification information assigned to the first information processing device, and changing the transmission means. The identification information, in association with the information identifying the destination, in which the response was that transmits the control information to the first information processing apparatus.
請求項4に記載の発明は、請求項3に記載の通信装置であって、前記変更手段は、前記送信対象に関連付けられた識別情報の変更で用いられる方式で、前記応答に関連付けられた識別情報を変更することとしたものである。
The invention according to
請求項5に記載の発明は、請求項1から4のいずれか一項に記載の通信装置であって、前記変更手段は、前記送信対象に関連付けられた識別情報の変更を、前記送信対象の送信元のポート番号に応じた方式で行うこととしたものである。
Invention of Claim 5 is a communication apparatus as described in any one of
請求項6に記載の発明は、プログラムであって、情報処理装置に割り当てられた識別情報が送信元又は送信先を識別する情報として関連付けられている送信対象を受信する受信手段、前記識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を変更する変更手段、前記変更手段が変更した識別情報を関連付けて、前記送信対象を送信する送信手段、としてコンピュータを機能させることとしたものである。 The invention according to claim 6 is a program that is a program for receiving a transmission target in which identification information assigned to an information processing apparatus is associated as information for identifying a transmission source or a transmission destination. Among them, a change unit that changes a portion assigned to each information processing device while maintaining a portion that is commonly assigned to a plurality of information processing devices, and transmits the transmission target in association with identification information changed by the change unit The computer is caused to function as a transmission means.
請求項1,6に記載の発明によれば、送信対象に送信元又は送信先を識別する情報として関連付けられる識別情報が割り当てられた情報処理装置とは異なる通信装置において、当該識別情報のうち複数の情報処理装置に共通して割り当てられる部分が維持されつつ、当該識別情報のうち情報処理装置毎に割り当てられる部分が、当該識別情報が割り当てられた情報処理装置とは異なる情報処理装置に秘匿されるよう、当該識別情報の変更が行われることとなる。 According to the first and sixth aspects of the present invention, in a communication apparatus different from the information processing apparatus to which identification information associated as information for identifying a transmission source or a transmission destination is assigned to a transmission target, While the portion commonly assigned to the information processing devices is maintained, the portion of the identification information assigned to each information processing device is concealed by an information processing device different from the information processing device to which the identification information is assigned. Thus, the identification information is changed.
請求項2に記載の発明によれば、第1の情報処理装置とは異なる通信装置において、送信対象に送信元を識別する情報として関連付けられた、第1の情報処理装置に割り当てられた識別情報のうち、複数の情報処理装置に共通して割り当てられる部分が維持されつつ、当該識別情報のうち情報処理装置毎に割り当てられる部分が、送信先となる第2の情報処理装置に秘匿されるよう、当該識別情報の変更が行われることとなる。 According to the second aspect of the present invention, in the communication device different from the first information processing device, the identification information assigned to the first information processing device associated with the transmission target as information for identifying the transmission source Of these, the portion assigned to each information processing device among the identification information is kept secret by the second information processing device as the transmission destination while the portion assigned in common to the plurality of information processing devices is maintained. The identification information is changed.
請求項3に記載の発明によれば、第1の情報処理装置とは異なる通信装置において、第1の情報処理装置から第2の情報処理装置への送信対象に対する応答に、当該応答の送信先を識別する情報として関連付けられた識別情報が、第1の情報処理装置に割り当てられた識別情報に変更されることとなる。 According to the third aspect of the present invention, in a communication device different from the first information processing device, a response destination to the transmission target from the first information processing device to the second information processing device is sent. The identification information associated as the information for identifying is changed to the identification information assigned to the first information processing apparatus.
請求項4に記載の発明によれば、第1の情報処理装置から第2の情報処理装置への送信対象に関連付けられた識別情報の変更で用いられる方式で、当該送信対象に対する応答に関連付けられた識別情報の変更が行われることとなる。 According to the fourth aspect of the present invention, the method is used in changing the identification information associated with the transmission target from the first information processing apparatus to the second information processing apparatus, and is associated with the response to the transmission target. The identification information is changed.
請求項5に記載の発明によれば、第1の情報処理装置から第2の情報処理装置への送信対象の送信元のポート番号を変えると、識別番号の変更に用いられる方式が変わることとなる。 According to the invention described in claim 5, when the port number of the transmission source of the transmission target from the first information processing device to the second information processing device is changed, the method used for changing the identification number is changed. Become.
以下、本発明の一実施形態について図面に基づき詳細に説明する。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
図1は、本実施形態に係る通信システム10の全体構成の一例を示す図である。図1に示すように、本実施形態に係る通信システム10は、通信装置12、第1の情報処理装置群に属する情報処理装置であるサーバ14(14−1〜14−n)、第2の情報処理装置群に属する情報処理装置である利用者端末16(16−1〜16−m)、を含んでいる。通信装置12、及び、サーバ14は、第1の通信手段(本実施形態では、例えば、インターネット18など)に接続されている。通信装置12、及び、利用者端末16は、第2の通信手段(本実施形態では、例えば、ローカルエリアネットワーク(LAN)20など)に接続されている。
FIG. 1 is a diagram illustrating an example of the overall configuration of a
本実施形態に係る通信装置12は、例えば、利用者端末16とサーバ14との間の通信を中継するゲートウェイ装置等であり、通信装置12にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの通信インタフェースである通信部、などを含んでいる。これらの要素は、バスなどを介して接続される。
The
本実施形態に係るサーバ14は、例えば、利用者端末16に各種サービスを提供する情報処理装置であり、サーバ14にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの通信インタフェースである通信部、などを含んでいる。
The
本実施形態に係る利用者端末16は、例えば、パーソナルコンピュータなどのコンピュータであり、利用者端末16にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの通信インタフェースである通信部、ディスプレイ、スピーカ、マウス、キーボード、ボタン、などを含んでいる。
The
本実施形態では、例えば、利用者端末16とサーバ14との間で、IPv6に従ったパケットの送受信が行われる。当該パケットには、例えば、当該パケットの送信元の情報処理装置の識別情報であるIPv6アドレス(以下、送信元アドレスと呼ぶ。)、当該パケットの送信先の情報処理装置の識別情報であるIPv6アドレス(以下、送信先アドレスと呼ぶ。)、などが含まれるIPヘッダ、並びに、送信先の情報処理装置への送信対象となる情報(ペイロード)、などが含まれる。このように、本実施形態では、送信先の情報処理装置への送信対象となる情報に、送信元アドレス及び送信先アドレスが関連付けられている。
In the present embodiment, for example, transmission / reception of packets according to IPv6 is performed between the
本実施形態では、利用者端末16のそれぞれに割り当てられるIPv6アドレスは、例えば、インターネットサービスプロバイダから割り当てられたプレフィックス(例えば、「2001:db8:111:111::/64」)と、利用者端末16毎に割り当てられたインタフェースIDと、を含んでいる。プレフィックスは、IPv6アドレスのうちの、LAN20に接続される複数の利用者端末16に共通して割り当てられる部分となる。また、インタフェースIDは、本実施形態では、例えば、EUI64の仕組みを用いて設定される。すなわち、本実施形態では、例えば、利用者端末16が備えるネットワークボード等のデバイスを一意に識別するMAC(Media Access Control)アドレスに基づいて生成される値が、当該利用者端末16のインタフェースIDとして設定される。
In the present embodiment, the IPv6 address assigned to each
図2は、本実施形態に係る通信装置12により実現される機能の一例を示す機能ブロック図である。図2に示すように、本実施形態に係る通信装置12は、機能的には、例えば、パケット送受信部30、アドレス変更判断部32、アドレス変更部34、変換アルゴリズム決定部36、変換アルゴリズムテーブル記憶部38、などを含んでいる。図2に示す各部の機能は、コンピュータである通信装置12にインストールされた、図2に示す各部の機能に対応する命令を含むプログラムを、通信装置12の制御部で実行することにより実現されている。このプログラムは、例えば、光ディスク、磁気ディスク、磁気テープ、光磁気ディスク、フラッシュメモリ等のコンピュータ可読な情報記憶媒体を介して、あるいは、インターネットなどの通信手段を介して通信装置12に供給される。
FIG. 2 is a functional block diagram illustrating an example of functions realized by the
本実施形態では、例えば、変換アルゴリズムテーブル記憶部38に、予め、図3に例示する変換アルゴリズムテーブル40が記憶されている。変換アルゴリズムテーブル40は、本実施形態では、例えば、IPv6アドレスに含まれるインタフェースIDを変換する方式(変換アルゴリズム)を少なくとも1つ登録するためのテーブルである。また、本実施形態で用いられる変換アルゴリズムは、可逆変換の変換アルゴリズムである。
In the present embodiment, for example, the conversion algorithm table 40 illustrated in FIG. 3 is stored in advance in the conversion algorithm
本実施形態で用いられる変換アルゴリズムは、例えば、ブロック暗号のアルゴリズムであってもストリーム暗号のアルゴリズムであっても構わない。また、本実施形態で用いられる変換アルゴリズムは、例えば、ブロック暗号と、ブロック暗号をストリーム暗号のように扱える暗号利用モード(例えば、OFB(Output Feedback)、CFB(Cipher Feedback)、CTR(Counter)など)と、を組み合わせたものであっても構わない。 The conversion algorithm used in this embodiment may be, for example, a block cipher algorithm or a stream cipher algorithm. The conversion algorithm used in the present embodiment includes, for example, a block cipher and a cipher usage mode (for example, OFB (Output Feedback), CFB (Cipher Feedback), CTR (Counter), etc.) that can handle the block cipher like a stream cipher. ) And may be combined.
本実施形態に係る変換アルゴリズムテーブル40では、図3に示すように、変換アルゴリズムの識別子であるアルゴリズムID、変換アルゴリズムの名称、及び、変換に用いられるパラメータ(例えば、初期化ベクトルivや、鍵keyなど)、が互いに関連付けて管理されている。本実施形態では、暗号化方式(暗号化アルゴリズム)が、変換アルゴリズムとして使用される。また、本実施形態に係る変換アルゴリズムテーブル40では、10個の変換アルゴリズムが管理されている。また、本実施形態に係る通信装置12の記憶部には、変換アルゴリズムテーブル40に名称が示されている変換アルゴリズムを実装したプログラムが記憶されている。
In the conversion algorithm table 40 according to the present embodiment, as shown in FIG. 3, the algorithm ID that is the identifier of the conversion algorithm, the name of the conversion algorithm, and the parameters used for the conversion (for example, the initialization vector iv, the key key, etc. Are managed in association with each other. In this embodiment, an encryption method (encryption algorithm) is used as a conversion algorithm. In addition, in the conversion algorithm table 40 according to the present embodiment, ten conversion algorithms are managed. In addition, the storage unit of the
ここで、本実施形態に係る通信システム10で行われるパケット送受信処理の流れの一例を図4に示すフロー図を参照しながら説明する。
Here, an example of the flow of packet transmission / reception processing performed in the
まず、パケット送受信部30が、利用者端末16又はサーバ14からのパケットを受信すると、パケット送受信部30が、アドレス変更判断部32に、デバイスドライバからのパケット受信割込によって、パケットを受信した旨を通知する(S101)。
First, when the packet transmission / reception unit 30 receives a packet from the
そして、アドレス変更判断部32は、受信したパケットに対するアドレス変更の要否を判断する(S102)。アドレス変更判断部32は、本実施形態では、例えば、以下の条件1又は条件2を満足する場合は、アドレス変更が必要であると決定し、そうでない場合は、アドレス変更が不要であると決定する。
Then, the address
条件1:(1)受信したパケットが、LAN20側の情報処理装置(すなわち、利用者端末16)からインターネット18側の情報処理装置(すなわち、サーバ14)に送信されるパケットであり、かつ、(2)当該パケットに含まれる送信元アドレスがIPv6グローバルユニキャストアドレスであり、かつ、(3)当該送信元アドレスのプレフィックスが「2001:db8:111:111::/64」である(すなわち、送信元アドレスのプレフィックスが、利用者端末16が接続されるLAN20に割り当てられたものである)。
Condition 1: (1) The received packet is a packet transmitted from the information processing device on the
条件2:(1)受信したパケットが、インターネット18側の情報処理装置(すなわち、サーバ14)からLAN20側の情報処理装置(すなわち、利用者端末16)へ送信されるパケットであり、かつ、(2)当該パケットに含まれる送信先アドレスがIPv6グローバルユニキャストアドレスであり、かつ、(3)当該送信先アドレスのプレフィックスが「2001:db8:111:111::/64」である(すなわち、プレフィックスが、利用者端末16が接続されるLAN20に割り当てられたプレフィックスである)。
Condition 2: (1) The received packet is a packet transmitted from the information processing device on the
S102に示す処理で、アドレス変更が必要であると決定された場合は(S102:Y)、アドレス変更部34にアドレス変更指示を出力する(S103)。 If it is determined in the process shown in S102 that an address change is necessary (S102: Y), an address change instruction is output to the address change unit 34 (S103).
アドレス変更部34は、アドレス変更指示を受け付けると、変換アルゴリズム決定部36に、変換アルゴリズム決定指示を出力する(S104)。そして、変換アルゴリズム決定部36は、変換アルゴリズムテーブル記憶部38に記憶されている変換アルゴリズムテーブル40を参照して(S105)、変換アルゴリズムを決定する(S106)。
When receiving the address change instruction, the
本実施形態では、変換アルゴリズム決定部36は、例えば、LAN20側の情報処理装置(すなわち、利用者端末16)からインターネット18側の情報処理装置(すなわち、サーバ14)に送信されるパケットについては、当該パケットに含まれる送信元ポート番号の1の位の値に1を加えた値のアルゴリズムIDに関連付けられているアルゴリズムを、当該パケットの変換に用いられる変換アルゴリズムとして決定し、当該アルゴリズムIDに関連付けられているパラメータを当該パケットの変換に用いられるパラメータとして決定する。
In this embodiment, the conversion
また、変換アルゴリズム決定部36は、例えば、インターネット18側の情報処理装置(すなわち、サーバ14)からLAN20側の情報処理装置(すなわち、利用者端末16)に送信されるパケットについては、当該パケットに含まれる送信先ポート番号の1の位の値に1を加えた値のアルゴリズムIDに関連付けられている変換アルゴリズムを、当該パケットの変換に用いられる変換アルゴリズムとして決定し、当該アルゴリズムIDに関連付けられているパラメータを当該パケットの変換に用いられるパラメータとして決定する。
Also, the conversion
そして、変換アルゴリズム決定部36は、変換アルゴリズム決定部36が決定した変換アルゴリズムの名称、及び、変換アルゴリズム決定部36が決定したパラメータを、アドレス変更部34に通知する(S107)。
Then, the conversion
そして、アドレス変更部34は、通知された名称の変換アルゴリズムが実装されたプログラムを実行して、当該変換アルゴリズムによるアドレス変換を行うことによって、パケット送受信部30が受信したパケットに含まれる送信元アドレス又は送信先アドレスを変更する(S108)。なお、本実施形態では、S107に示す処理で通知されるパラメータが、当該変換アルゴリズムによるアドレス変換におけるパラメータとして用いられる。
Then, the
本実施形態では、S108に示す処理で、IPv6アドレスのうち、プレフィックスは変更されずに維持され、インタフェースIDのみが変更される。ここで、S108に示す処理の詳細を、図5に示すフロー図を参照しながら説明する。 In the present embodiment, in the processing shown in S108, the prefix of the IPv6 address is maintained without being changed, and only the interface ID is changed. Details of the processing shown in S108 will be described with reference to the flowchart shown in FIG.
アドレス変更部34は、まず、パケット送受信部30が受信したパケットの通信の方向を確認する(S201)。アドレス変更部34は、本実施形態では、例えば、パケット送受信部30が受信したパケットが、LAN20側の情報処理装置(すなわち、利用者端末16)からインターネット18側(WAN側)の情報処理装置(すなわち、サーバ14)に送信されるパケットであるか、インターネット18側(WAN側)の情報処理装置(すなわち、サーバ14)からLAN20側の情報処理装置(すなわち、利用者端末16)に送信されるパケットであるかを確認する。
The
S201に示す処理で、パケット送受信部30が受信したパケットが、LAN20側の情報処理装置からインターネット18側の情報処理装置に送信されるパケットであることが確認された場合は、アドレス変更部34は、送信元アドレスに含まれるインタフェースIDの、左から6つめの16進文字と、右から6つめの16進文字の間に配置されている、EUI64の予約部分である「fffe」を削除する(S202)。例えば、送信元アドレスに含まれるインタフェースIDが、「1:11ff:fe11:1111」(IPv6アドレスの表記法による)である場合は、S202に示す処理により、値「000111111111」が得られることとなる。
If it is confirmed in the process shown in S201 that the packet received by the packet transmitting / receiving unit 30 is a packet transmitted from the information processing device on the
そして、アドレス変更部34は、S107に示す処理で通知されたパラメータ(例えば、iv=1111,key=1111)を用いて、S107に示す処理で名称が通知された変換アルゴリズム(例えば、DES−CFB)に従って、S202に示す処理で得られた値を暗号化する(S203)。例えば、S202に示す処理で値「000111111111」が得られた場合は、S203に示す処理で、当該値が「d245c7fa7538」に変換されることとなる。
Then, the
そして、アドレス変更部34は、例えば、RFC1071「Computing the Internet Checksum」に示されているような公知の計算方法を用いて算出される、16ビットのTCP/UDPチェックサム補正値(例えば、「0e67」)を、S203に示す処理で得られた値の末尾に追加して(S204)、S108に示す処理を終了する。例えば、値「d245c7fa7538」に対するS204に示す処理の実行結果を、IPv6アドレスの表記法で表現した値は、「d245:c7fa:7538:0e67」となる。アドレス変更部34は、S204に示す処理で得られた値を、変更後の送信元アドレスに含まれるインタフェースIDとして決定する。
The
S201に示す処理で、パケット送受信部30が受信したパケットが、インターネット18側の情報処理装置からLAN20側の情報処理装置に送信されるパケットであることが確認された場合は、アドレス変更部34は、送信先アドレスに含まれるインタフェースIDの下位16ビットを削除する(S205)。例えば、送信先アドレスに含まれるインタフェースIDが、「d245:c7fa:7538:0e67」(IPv6アドレスの表記法による)である場合は、S205に示す処理により、値「d245c7fa7538」が得られることとなる。
If it is confirmed in the process shown in S201 that the packet received by the packet transmitting / receiving unit 30 is a packet transmitted from the information processing device on the
そして、アドレス変更部34は、S107に示す処理で通知されたパラメータ(例えば、iv=1111,key=1111)を用いて、S107に示す処理で名称が通知された変換アルゴリズム(例えば、DES−CFB)に従って、S205に示す処理で得られた値を復号化する(S206)。例えば、S205に示す処理で値「d245c7fa7538」が得られた場合は、S206に示す処理で、当該値が「000111111111」に変換されることとなる。なお、本実施形態では、例えば、S206に示す処理で実行される変換は、S203に示す処理で実行される変換の逆変換に相当する。
Then, the
そして、アドレス変更部34は、左から6つめの16進文字と、右から6つめの16進文字の間に、EUI64の予約部分である「fffe」を挿入して(S207)、S108に示す処理を終了する。例えば、値「000111111111」に対するS207に示す処理の実行結果を、IPv6アドレスの表記法で表現した値は、「0001:11ff:fe11:1111」となる。アドレス変更部34は、このようにして得られた値を変換後の送信先アドレスに含まれるインタフェースIDとして決定する。
Then, the
本実施形態では、送信元アドレスや送信先アドレスに含まれるプレフィックスは変換されずに維持される。よって、例えば、送信元アドレス「2001:db8:111:111:1:11ff:fe11:1111」に対して、上述のS202〜S204に示す処理が実行されると、変更後の送信元アドレス「2001:db8:111:111:d245:c7fa:7538:0e67」が得られることとなる。また、例えば、送信先アドレス「2001:db8:111:111:d245:c7fa:7538:0e67」に対して、上述のS205〜S207に示す処理が実行されると、変更後の送信先アドレス「2001:db8:111:111:1:11ff:fe11:1111」が得られることとなる。 In this embodiment, the prefix included in the transmission source address and the transmission destination address is maintained without being converted. Therefore, for example, when the processing shown in S202 to S204 is performed on the transmission source address “2001: db8: 111: 111: 1: 11ff: fe11: 1111”, the transmission source address “2001” after the change is executed. : Db8: 111: 111: d245: c7fa: 7538: 0e67 "will be obtained. Further, for example, when the processing shown in S205 to S207 is performed on the transmission destination address “2001: db8: 111: 111: d245: c7fa: 7538: 0e67”, the transmission destination address “2001” after the change is executed. : Db8: 111: 111: 1: 11ff: fe11: 1111 ".
以上のようにしてS108に示す処理が終了したら、アドレス変更部34は、アドレス変更判断部32に、変更されたアドレスを通知する(S109)。そして、S102に示す処理でアドレス変更が不要であると決定された場合(S102:N)、又は、S109に示す処理が終了した場合は、アドレス変更判断部32は、パケット送受信部30に、パケット送信割込を通知する(S110)。そして、パケット送受信部30は、パケットを送信する(S111)。
When the process shown in S108 is completed as described above, the
ここで、本実施形態において、利用者端末16からサーバ14に宛ててパケット(以下、要求パケットと呼ぶ。)が送信され、その後、当該要求パケットの応答のパケット(以下、応答パケットと呼ぶ。)がサーバ14から利用者端末16に宛てて送信される場面の一例について説明する。
Here, in this embodiment, a packet (hereinafter referred to as a request packet) is transmitted from the
まず、利用者端末16が要求パケットを送信する際には、要求パケットに含まれる送信元アドレスには利用者端末16に割り当てられたIPv6アドレスが設定され、要求パケットに含まれる送信先アドレスにはサーバ14に割り当てられたIPv6アドレスが設定されることとなる。また、ここでは、要求パケットに含まれる送信先ポート番号には、例えば、ウェルノウンポートのポート番号(例えば、80)が設定され、要求パケットに含まれる送信先ポート番号には、ランダムに決定される番号(ここでは、例えば、52320とする)が設定されることとなる。
First, when the
そして、通信装置12において、要求パケットに含まれる送信元アドレスのインタフェースIDは変換される。ここでは、例えば、アルゴリズムID「1」に対応するアルゴリズムに従って送信元アドレスのインタフェースIDは変換される。そして、サーバ14が要求パケットを受信する際には、要求パケットに含まれる送信元アドレスには通信装置12においてインタフェースIDが変換されたIPv6アドレスが設定され、当該パケットに含まれる送信先アドレスにはサーバ14に割り当てられたIPv6アドレスが設定されていることとなる。
In the
そして、サーバ14は、利用者端末16宛てに応答パケットを送信する。当該応答パケットに含まれる送信元アドレスにはサーバ14に割り当てられたIPv6アドレスが設定され、当該応答パケットに含まれる送信先アドレスにはサーバ14が受信した要求パケットに送信元アドレスとして含まれるIPv6アドレス(上述の変換後のIPv6アドレス)が設定されることとなる。また、当該応答パケットに含まれる送信先ポート番号には、要求パケットに含まれる送信元ポート番号(例えば、52320)が設定され、応答パケットに含まれる送信元ポート番号には、要求パケットに含まれる送信先ポート番号(例えば、80)が設定されることとなる。
Then, the
そして、通信装置12において、応答パケットに含まれる送信先アドレスのインタフェースIDが変換される。本実施形態では、当該変換には、要求パケットのアドレス変換に用いられるアルゴリズムと同じものが用いられることとなる。また、当該変換は、要求パケットの変換の逆変換となる。当該変換によって、当該パケットに含まれる送信先アドレスには利用者端末16に割り当てられたIPv6アドレスが設定されることとなる。そして、利用者端末16が応答パケットを受信する際には、応答パケットに含まれる送信元アドレスにはサーバ14に割り当てられたIPv6アドレスが設定され、応答パケットに含まれる送信先アドレスには利用者端末16に割り当てられたIPv6アドレスが設定されていることとなる。
In the
以上説明したように、本実施形態に係る通信装置12は、パケットに含まれるアドレスのうち、複数の利用者端末16に共通して割り当てられるプレフィックスを維持しつつ、利用者端末16毎に割り当てられるインタフェースIDを変更する。本実施形態では、利用者端末16におけるアドレス変換を行うことなく、インターネット18側の情報処理装置に、利用者端末16のインタフェースIDを秘匿することができる。また、本実施形態では、通信装置12を挟んで、インターネット18側の情報処理装置と、LAN20側の情報処理装置とで、プレフィックスの管理体系を変える必要がない。また、本実施形態では、変換前のアドレスと変換後のアドレスとの対応関係を管理するテーブルを通信装置12に記憶しておく必要がない。
As described above, the
なお、本発明は上述の実施形態に限定されるものではない。 In addition, this invention is not limited to the above-mentioned embodiment.
例えば、通信装置12が、利用者端末16等から受け付ける変更指示に応じて、変換アルゴリズムテーブル40を変更するアルゴリズム変更部を備えていても構わない。アルゴリズム変更部は、例えば、新たな変換アルゴリズムテーブル40への変更指示を受け付けた際に、利用者端末16とサーバ14との間の通信セッションの監視を開始する。そして、アルゴリズム変更部は、すべての通信セッションが切断されたことが確認された際に、LAN20側の情報処理装置(すなわち、利用者端末16)からインターネット18側の情報処理装置(すなわち、サーバ14)への通信を一時的にブロックした上で、新たな変換アルゴリズムテーブル40の内容を、変換アルゴリズムテーブル40に反映させる。そして、アルゴリズム変更部は、LAN20側の情報処理装置からインターネット18側の情報処理装置への通信のブロックを解除する。
For example, the
また、例えば、本実施形態に係る通信装置12が、送信元アドレスや送信先アドレスに含まれる、プレフィックス及びサブネットIDを維持しつつ、インタフェースIDを変更するようにしてもよい。
For example, the
また、本実施形態における通信装置12が複数の筐体から構成されていてもよい。また、明細書中の具体的な文字列や数値、並びに、図面中の具体的な文字列や数値は例示であり、これらの文字列や数値には限定されない。
In addition, the
10 通信システム、12 通信装置、14 サーバ、16 利用者端末、18 インターネット、20 LAN、30 パケット送受信部、32 アドレス変更判断部、34 アドレス変更部、36 変換アルゴリズム決定部、38 変換アルゴリズムテーブル記憶部、40 変換アルゴリズムテーブル。
DESCRIPTION OF
Claims (5)
前記識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を、前記送信対象の送信元のポート番号に応じた方式で変更する変更手段と、
前記変更手段が変更した識別情報を関連付けて、前記送信対象を送信する送信手段と、
を含むことを特徴とする通信装置。 Receiving means for receiving a transmission target associated with identification information assigned to the information processing apparatus as information for identifying a transmission source or a transmission destination;
Changing the part of the identification information that is assigned to each information processing apparatus while maintaining the part that is commonly assigned to a plurality of information processing apparatuses, in a manner corresponding to the port number of the transmission target transmission source Means,
A transmission unit that associates the identification information changed by the change unit and transmits the transmission target;
A communication device comprising:
前記変更手段は、前記第1の情報処理装置に割り当てられた識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を変更し、
前記送信手段は、前記変更手段が変更した識別情報を、送信元を識別する情報として関連付けて、当該送信対象を前記第2の情報処理装置に宛てて送信する、
ことを特徴とする請求項1に記載の通信装置。 In the receiving means, the identification information assigned to the first information processing apparatus is associated as information identifying the transmission source, and the identification information assigned to the second information processing apparatus is information identifying the transmission destination. Receiving an associated transmission target from the first information processing apparatus;
The changing unit changes a portion assigned to each information processing device while maintaining a portion assigned to a plurality of information processing devices in the identification information assigned to the first information processing device,
The transmitting unit associates the identification information changed by the changing unit as information for identifying a transmission source, and transmits the transmission target to the second information processing apparatus;
The communication apparatus according to claim 1.
前記変更手段は、前記第2の情報処理装置から受信した、送信先を識別する情報として前記応答に関連付けられている識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を前記第1の情報処理装置に割り当てられた識別情報に変更し、
前記送信手段は、前記変更手段が変更した識別情報を、送信先を識別する情報として関連付けて、当該応答を前記第1の情報処理装置に宛てて送信する、
ことを特徴とする請求項2に記載の通信装置。 The reception means is associated with identification information assigned to the second information processing apparatus as information for identifying a transmission source, and is performed on the identification information assigned to the first information processing apparatus. A response to the transmission target associated with the changed identification information as information for identifying a transmission destination is received from the second information processing apparatus;
The changing means maintains a portion commonly assigned to a plurality of information processing devices among identification information associated with the response as information for identifying a transmission destination received from the second information processing device. While changing the portion assigned to each information processing device to the identification information assigned to the first information processing device,
The transmission unit associates the identification information changed by the change unit as information for identifying a transmission destination, and transmits the response to the first information processing apparatus.
The communication device according to claim 2.
ことを特徴とする請求項3に記載の通信装置。 The changing means is a method used in changing the identification information associated with the transmission target, and changes the identification information associated with the response.
The communication apparatus according to claim 3.
前記識別情報のうち、複数の情報処理装置に共通して割り当てられる部分を維持しつつ、情報処理装置毎に割り当てられる部分を、前記送信対象の送信元のポート番号に応じた方式で変更する変更手段、
前記変更手段が変更した識別情報を関連付けて、前記送信対象を送信する送信手段、
としてコンピュータを機能させることを特徴とするプログラム。 Receiving means for receiving a transmission target associated with identification information assigned to the information processing apparatus as information for identifying a transmission source or a transmission destination;
Changing the part of the identification information that is assigned to each information processing apparatus while maintaining the part that is commonly assigned to a plurality of information processing apparatuses, in a manner corresponding to the port number of the transmission target transmission source means,
Transmitting means for associating the identification information changed by the changing means and transmitting the transmission object;
A program characterized by causing a computer to function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012253092A JP5949488B2 (en) | 2012-11-19 | 2012-11-19 | Communication apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012253092A JP5949488B2 (en) | 2012-11-19 | 2012-11-19 | Communication apparatus and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014103492A JP2014103492A (en) | 2014-06-05 |
JP5949488B2 true JP5949488B2 (en) | 2016-07-06 |
Family
ID=51025648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012253092A Active JP5949488B2 (en) | 2012-11-19 | 2012-11-19 | Communication apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5949488B2 (en) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002217896A (en) * | 2001-01-23 | 2002-08-02 | Matsushita Electric Ind Co Ltd | Method for cipher communication and gateway device |
JP3964814B2 (en) * | 2003-03-12 | 2007-08-22 | 株式会社エヌ・ティ・ティ・ドコモ | Data transmission apparatus, data transmission system, and data transmission control method |
-
2012
- 2012-11-19 JP JP2012253092A patent/JP5949488B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014103492A (en) | 2014-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Atkinson et al. | ILNP: mobility, multi-homing, localised addressing and security through naming | |
GB2605095A (en) | Intelligent service layer for separating application from physical networks and extending service layer intelligence | |
US8737396B2 (en) | Communication method and communication system | |
JP5987122B2 (en) | Network address translated device identification for device specific traffic flow steering | |
Baker et al. | Internet protocols for the smart grid | |
JP2007520970A (en) | Tunneling service method and system | |
CN1643947A (en) | Method to provide dynamic internet protocol security policy service | |
WO2013172391A1 (en) | Multi-tenant system, switch, controller, and packet transfer method | |
Thaler | Evolution of the IP Model | |
EP2975808B1 (en) | Method for packet processing and packet device and system | |
WO2012130128A1 (en) | Method, device, and system for implementing network identifier conversion | |
Bao et al. | IP/ICMP translation algorithm | |
Chu et al. | Transmission of ip over infiniband (ipoib) | |
US9755939B2 (en) | Network wide source group tag binding propagation | |
US20150032898A1 (en) | Method for establishing a virtual community network connection and a system for implementing said method | |
WO2014142278A1 (en) | Control device, communication system, communication method, and program | |
JP5949488B2 (en) | Communication apparatus and program | |
WO2014107905A1 (en) | Cluster and forwarding method | |
Kumar et al. | Computer Network-IP Address & Subnetting | |
KR101712922B1 (en) | Virtual Private Network System of Dynamic Tunnel End Type, Manager Apparatus and Virtual Router for the same | |
CN105592057B (en) | Lightweight dual stack group safe Enhancement Method off the net and device | |
Bhatti et al. | Fast, secure failover for IP | |
RU2517405C2 (en) | Method of providing security associations for encrypted packet data | |
Hughes | IPv6 Core Protocols | |
JP5768600B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, PACKET TRANSFER METHOD, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150306 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160322 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160510 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160523 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5949488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |