JPH09252323A - 通信システムおよび通信装置 - Google Patents

通信システムおよび通信装置

Info

Publication number
JPH09252323A
JPH09252323A JP8344862A JP34486296A JPH09252323A JP H09252323 A JPH09252323 A JP H09252323A JP 8344862 A JP8344862 A JP 8344862A JP 34486296 A JP34486296 A JP 34486296A JP H09252323 A JPH09252323 A JP H09252323A
Authority
JP
Japan
Prior art keywords
packet
information
network
header
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8344862A
Other languages
English (en)
Inventor
Fumio Teraoka
文男 寺岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP8344862A priority Critical patent/JPH09252323A/ja
Priority to US08/778,209 priority patent/US6009528A/en
Publication of JPH09252323A publication Critical patent/JPH09252323A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 仮想インターネットプロトコルに基づいた通
信において、自組織に属する移動ホストだけが外部から
自組織内にアクセスすることができるようにし、セキュ
リティを向上させる。 【解決手段】 ファイアウォール300と移動ホスト2
4は、同一の鍵情報と演算方法をそれぞれ記憶し、移動
ホスト24がネットワーク21から移動し、広域ネット
ワーク23に接続し、ホスト25にパケットの送信を行
うとき、鍵情報とパケットのヘッダに含まれる情報に基
づいて認証情報を演算し、パケットのヘッダ情報に含ま
せて送信する。ファイアウォール300は、鍵情報と移
動ホスト24からのパケットのヘッダ情報から同様にし
て演算した認証情報と、ヘッダ情報に含まれる認証情報
とが一致する場合、そのパケットを中継する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信システムおよ
び通信装置に関し、例えば、パケットのヘッダ情報に基
づく認証機能を有し、通信のセキュリティを向上させ、
外部から自組織内にアクセスすることができるようにし
た通信システムおよび通信装置に関する。
【0002】
【従来の技術】ルータは複数のネットワークインタフェ
ースを有する装置であり、パケットの中継を行う。図9
は、ルータの構成例を示すブロック図である。このルー
タ100においては、所定のネットワークインタフェー
ス(network i/f)1a乃至1cのいずれかより受信し
たパケットは、送信ネットワークインタフェース決定器
(output network i/f selector)2によって決定され
たネットワークインタフェース1a乃至1cのいずれか
より送信される。このネットワークインタフェースを決
定する際には、経路表(routing table)3が利用され
る。
【0003】また、外部と接続しているルータであっ
て、所定の組織内のネットワークを守るために、外部か
らのパケットを選択的にこの組織に中継するルータを特
にファイアウォールと呼ぶ。図10は、ファイアウォー
ル200の構成例を示すブロック図である。上述したよ
うに、ファイアウォール200は、選択的にパケットの
中継を行うルータであり、図9に示したルータ100
に、パケットの選別を行う機能を有するパケット選別器
11が付加されている。
【0004】パケット選別器11は、パケットヘッダに
含まれている送信ホストアドレス、受信ホストアドレ
ス、およびプロトコルの種別等のヘッダ情報を用いてパ
ケットの選別を行う。従って、所定のホストからのパケ
ットだけを選択的にこの組織内に中継するようにするこ
とができる。
【0005】
【発明が解決しようとする課題】しかしながら、これら
のヘッダ情報の内容は正しいとは限らない。不正なユー
ザが、偽りのヘッダ情報を使用していることも考えられ
る。従って、不正なユーザがこの組織内にアクセスする
可能性があり、通信のセキュリティが確保できない場合
がある課題があった。
【0006】本発明はこのような状況に鑑みてなされた
ものであり、不正なユーザからのパケットを中継しない
ようにすることにより、ネットワークのセキュリティを
向上させることができるようにするものである。
【0007】
【課題を解決するための手段】請求項1に記載の通信シ
ステムは、送信局は、所定の鍵情報を記憶する第1の記
憶手段と、所定の演算方法を記憶し、第1の記憶手段に
記憶された鍵情報と、受信局に送信すべきパケットのヘ
ッダ情報に基づいて、この演算方法に従って第1の認証
情報を演算する第1の演算手段と、第1の演算手段によ
って演算された第1の認証情報をパケットのヘッダ情報
に含めて送信する送信手段とを備え、通信装置は、鍵情
報を記憶する第2の記憶手段と、演算方法を記憶し、第
2の記憶手段に記憶された鍵情報と、送信局からのパケ
ットのヘッダ情報に基づいて、この演算方法に従って第
2の認証情報を演算する第2の演算手段と、送信局から
のパケットのヘッダ情報に含まれる第1の認証情報と、
第2の認証情報とを比較する比較手段と、比較手段によ
る比較結果に基づいて、パケットを第2のネットワーク
に中継するか否かを決定する決定手段とを備えることを
特徴とする。
【0008】請求項6に記載の通信装置は、ネットワー
クインタフェースを介して受信した送信局からのパケッ
トに含まれるヘッダ情報が本物であるか否かを認証する
認証手段と、認証手段により、パケットに含まれるヘッ
ダ情報が本物であると認証されたとき、パケットが中継
されるよう制御する制御手段とを備えることを特徴とす
る。
【0009】請求項1に記載の通信システムにおいて
は、送信局において、第1の演算手段により、第1の記
憶手段に記憶された鍵情報と、受信局に送信すべきパケ
ットのヘッダ情報に基づいて、記憶している演算方法に
従って第1の認証情報が演算され、送信手段により、第
1の演算手段によって演算された第1の認証情報がパケ
ットのヘッダ情報に含められて送信される。また、通信
装置において、第2の演算手段により、第2の記憶手段
に記憶された鍵情報と、送信局からのパケットのヘッダ
情報に基づいて、記憶している演算方法に従って第2の
認証情報が演算され、比較手段により、送信局からのパ
ケットのヘッダ情報に含まれる第1の認証情報と、第2
の認証情報とが比較され、この比較結果に基づいて、決
定手段により、パケットを第2のネットワークに中継す
るか否かが決定される。従って、通信装置が記憶してい
る鍵情報および演算方法と同一のものを記憶している送
信局からのパケットのみを、選択的に中継するようにす
ることができる。
【0010】請求項6に記載の通信装置においては、認
証手段により、ネットワークインタフェースを介して受
信した送信局からのパケットに含まれるヘッダ情報が本
物であるか否かが認証され、制御手段により、認証手段
によってパケットに含まれるヘッダ情報が本物であると
認証されたとき、パケットが中継されるよう制御され
る。従って、ヘッダ情報が本物である場合にだけ、その
パケットを中継するようにすることができる。
【0011】
【発明の実施の形態】以下に、本発明の実施の形態を説
明するが、その前に、特許請求の範囲に記載の発明の各
手段と以下の実施の形態との対応関係を明らかにするた
めに、各手段の後の括弧内に、対応する実施の形態(但
し、一例)を付加して、本発明の特徴を記述すると、次
のようになる。
【0012】すなわち、請求項1に記載の通信システム
は、第1のネットワーク(例えば、図1の広域ネットワ
ーク23)と第2のネットワーク(例えば、図1のある
組織のネットワーク21)が通信装置(例えば、図1の
ファイアウォール300)を介して接続され、第1のネ
ットワークの送信局(例えば、図1の移動ホスト24)
から第2のネットワークの受信局(例えば、図1のホス
ト25)に送信されたパケットが、通信装置によって選
択的に、第2のネットワークに中継される通信システム
において、送信局は、所定の鍵情報を記憶する第1の記
憶手段(例えば、図2の記憶部24a)と、所定の演算
方法を記憶し、第1の記憶手段に記憶された鍵情報と、
受信局に送信すべきパケットのヘッダ情報に基づいて、
この演算方法に従って第1の認証情報を演算する第1の
演算手段(例えば、図2の演算部24b)と、第1の演
算手段によって演算された第1の認証情報をパケットの
ヘッダ情報に含めて送信する送信手段(例えば、図2の
送受信部24c)とを備え、通信装置は、鍵情報を記憶
する第2の記憶手段(例えば、図3の認証器31)と、
演算方法を記憶し、第2の記憶手段に記憶された鍵情報
と、送信局からのパケットのヘッダ情報に基づいて、こ
の演算方法に従って第2の認証情報を演算する第2の演
算手段(例えば、図3の認証器31)と、送信局からの
パケットのヘッダ情報に含まれる第1の認証情報と、第
2の認証情報とを比較する比較手段(例えば、図3の認
証器31)と、比較手段による比較結果に基づいて、パ
ケットを第2のネットワークに中継するか否かを決定す
る決定手段(例えば、図3のパケット選別器11)とを
備えることを特徴とする。
【0013】請求項3に記載の通信システムは、通信装
置は、送信局の第2の情報を第1の情報に変換する変換
手段(例えば、図3の経路表3)をさらに備えることを
特徴とする。
【0014】請求項6に記載の通信装置は、複数のネッ
トワークインタフェースを有し、ネットワークインタフ
ェースの所定のものを介して受信した送信局からのパケ
ットを、ネットワークインタフェースの他の所定のもの
を介して送信することにより、ネットワーク間でパケッ
トの中継を行う通信装置において、ネットワークインタ
フェースを介して受信した送信局からのパケットに含ま
れるヘッダ情報が本物であるか否かを認証する認証手段
(例えば、図3の認証器31)と、認証手段により、パ
ケットに含まれるヘッダ情報が本物であると認証された
とき、パケットが中継されるよう制御する制御手段(例
えば、図3のパケット選別器11および送信ネットワー
クインタフェース決定器2)とを備えることを特徴とす
る。
【0015】なお、勿論この記載は、各手段を上記した
ものに限定することを意味するものではない。
【0016】以下、本発明の通信システムを適用したネ
ットワークの一実施の形態について説明するが、その前
に、本発明を実現するための仮想インターネットプロト
コル(VIP:Virtual Internet Protocol)について
簡単に説明する。
【0017】VIPとは、位置指示子(アドレス)と識
別子とを明確に分離することにより、移動透過な通信
(移動透過性)を実現するものである。
【0018】ここで、移動透過性とは、相手コンピュー
タの場所に拘らず、一定不変の識別子を用いて相手コン
ピュータと通信を行うことができ、例えばTCPコネク
ションのような論理通信路を移動の前後で維持すること
ができることであると定義することができる。インター
ネットにおいて、移動透過な通信ができないのは、IP
アドレスが持つアドレスと識別子という二重性のためで
ある。
【0019】上記移動透過性を実現するために、具体的
には、位置指示子であるIPアドレスに加えて、各ホス
トに固有の識別子としてVIPアドレスを導入する。
【0020】VIPアドレスとIPアドレスは、同一の
フォーマットを有しており、それだけではどちらである
かを区別することができない。これは、オペレーティン
グシステムの仮想記憶システムにおける仮想アドレスと
物理アドレスの関係に対応づけることができる。
【0021】VIPアドレスからIPアドレスへのマッ
ピングを効率よく行うために、VIP層でAMT(Addr
ess Mapping Table)と呼ばれるキャッシュを持つよう
にする。以下では、AMTを構成するデータ単位のこと
をAMTエントリと呼ぶことにする。AMTエントリ
は、VIPアドレス、IPアドレス、バージョン番号、
その他の管理情報から構成される。
【0022】移動コンピュータ(例えば、図1の移動ホ
スト24)が送信するパケットのヘッダには、送信コン
ピュータのVIPアドレス(図4の送信ホスト識別子に
対応する)と、IPアドレス(図4の送信ホストアドレ
スに対応する)が含まれている。従って、移動コンピュ
ータから所定のネットワーク内の所定のコンピュータ
(受信コンピュータ)に向けてパケットが送信されたと
き、このパケットが受信コンピュータに到達するまでに
経由するルータ、および最終的には受信コンピュータに
より、そのパケットのヘッダに含まれる送信コンピュー
タのVIPアドレスとIPアドレスが読み取られ、それ
に基づいてAMTエントリが作成される。
【0023】このようにして、原則として移動コンピュ
ータが送信したパケットの経路に沿って、AMTエント
リが拡散していく。
【0024】VIPアドレスは、位置に依存しない番号
であるため、自分以外の他のコンピュータのVIPアド
レスを偽ること(他のコンピュータになりすますこと)
は容易である。すなわち、送信ホスト識別子に他のコン
ピュータの識別子(VIPアドレス)を設定し、所定の
受信コンピュータにこのパケットを送信することは容易
である。これにより、受信コンピュータは、VIPアド
レスに対応する他のコンピュータからのパケットを受信
したものと認識する。
【0025】そこで、このVIPに新たに認証機構を導
入し、不正なコンピュータによる他のコンピュータへの
なりすましを防止することを考える。
【0026】そのために、ここでは、Keyed MD
(Message Digest)5と呼ばれる方式を用いるものとす
る。MD5とは、一種のチェックサム計算法であり、任
意長のデータから、16オクテット(128ビット)の
データ(MD)を生成する。MD5による演算結果が特
定の値になるようなデータを生成することは非常に困難
であるとされるため、MD5は通常、改竄防止に使用さ
れる。
【0027】Keyed MDでは、送信側(送信コン
ピュータ)と受信側(受信コンピュータ)で秘密鍵(Se
cret Key)を共有する。送信側ではデータに秘密鍵を付
加したものについてMD5を計算し、計算結果をデータ
に付加して送信する。一方、受信側では、受信したデー
タに秘密鍵を付加してMD5を計算し、その計算結果を
受信したデータに付加された計算結果と比較する。両者
が一致すれば通信途中に改竄が行われていないことがわ
かると同時に、送信側と受信側が秘密鍵を共有している
こともわかる。従って、第3者が秘密鍵を知らないと仮
定すると、受信者は送信者が「本物」であると認証する
ことができる。
【0028】例えば、送信コンピュータは自分のVIP
アドレス、IPアドレス、アドレスバージョン、AMT
エントリ保持時間、およびタイムスタンプ等の合計20
オクテット(160ビット)のデータに、128ビット
(16オクテット)の秘密鍵を付加してMD5の計算を
行うようにすることができる。
【0029】また、移動コンピュータ(送信コンピュー
タ)と移動コンピュータの属するネットワークのファイ
アウォールで秘密鍵を共有するようにし、ファイアウォ
ールが移動コンピュータが本当に自組織に属していると
確認することができたときのみに、ファイアウォールが
移動コンピュータからのパケットを外側から内側へ中継
するようにすることができる。
【0030】図1は、本発明の通信システムを適用した
ネットワークの構成例を示している。この例の場合、あ
る組織のネットワーク(Local area networks in an or
ganization)21は、ファイアウォール(FW)300
を介して広域ネットワーク(Wide area network)(例
えばインターネット)23に接続されている。また、ネ
ットワーク21には、ホスト(H)25が接続されてい
る。ここでは、各ホストは、仮想インターネットプロト
コル(VIP:Virtual Internet Protocol)に基づい
て、通信を行うものとする。
【0031】図2は、図1に示した移動ホスト(MH:
Mobile Host)24の構成例を示している。記憶部24
aは、秘密鍵(Secret Key)を記憶するようになされて
いる。演算部24bは、例えば、一種のチェックサムの
演算方法(例えば、MD(Message-Digest)5)を記憶
し、記憶部24aに記憶された秘密鍵と、送信すべきパ
ケットのヘッダ内の情報に基づいて、ヘッダ内の情報が
本物であるか否かの認証をするためのチェックサム(送
信ホスト認証子)を演算するようになされている。ま
た、送受信部24cは、演算部24bによって演算され
た送信ホスト認証子をパケットのヘッダに含めて送信し
たり、送られてきたパケットを受信するようになされて
いる。
【0032】図3は、図1に示したファイアウォール3
00の構成例を示すブロック図である。このファイアウ
ォール300においては、図10に示した従来のファイ
アウォール200において、受信したパケットのパケッ
トヘッダ内の情報が本物であるか否かを認証する認証器
(Authenticator)31をさらに設けるようにしてい
る。
【0033】認証器31は、移動ホスト24が有するも
のと同一の秘密鍵(Secret Key)、および一種のチェッ
クサムの演算方法(例えば、MD5)を記憶し、後述す
るように、ネットワークインタフェース1a乃至1cの
所定のものを介して受信したパケットのパケットヘッダ
内の情報が本物であるか否かを認証するようになされて
いる。また、この場合、パケット選別器11は、認証器
31がパケットヘッダ内の情報が本物であると認証した
パケットだけを、経路表3に基づいて決定したネットワ
ークインタフェース1a乃至1cのいずれかを介して、
ネットワーク21に中継するようになされている。
【0034】その他の構成は、図10を参照して上述し
た場合と同様であるので、ここではその説明は省略す
る。
【0035】例えば、ある組織のネットワーク21に属
している移動ホスト24が、この組織のネットワーク2
1を出て、広域ネットワーク23に接続し、移動ホスト
24からこの移動ホスト24が属しているネットワーク
21内のホスト25へパケットを送信した場合を考え
る。その際、移動ホスト24は、送信ホスト認証子を演
算し、それをパケットのヘッダに含める。
【0036】また、このとき、移動ホスト24とファイ
アウォール300は、予め所定の秘密鍵(Ks)をそれ
ぞれ記憶し、共有するようにする。この秘密鍵は、例え
ば128ビット程度のデータとすることができる。
【0037】また、ここで送信されるパケットは、例え
ば図4に示したようなパケットフォーマットを有してい
る。すなわち、パケットヘッダ部とデータとからなり、
パケットヘッダ部はさらに、送信ホストアドレス(Sour
ce Address)(IPアドレス)、送信ホスト識別子(So
urce Identifier)(VIPアドレス)、送信ホストア
ドレスバージョン(Source Address Version)、タイム
スタンプ(Timestamp)、送信ホスト認証子(Source Ho
st Authenticator)、受信ホストアドレス(Destinatio
n Address)(IPアドレス)、受信ホスト識別子(Des
tination Identifier)(VIPアドレス)、および受
信ホストアドレスバージョン(Destination Address Ve
rsion)の各フィールドより構成されている。
【0038】ここで、送信ホスト認証子は、例えば、次
のようにして計算することができる。すなわち、送信ホ
ストアドレス、送信ホスト識別子、送信ホストバージョ
ン、およびタイムスタンプの各フィールド内のデータに
秘密鍵(Ks)を連結して得られたデータに、例えば、
MD5(Message Digest 5)のようなアルゴリズムに基
づいて、一種のチェックサムを計算することにより得る
ことができる。このMD5は、任意長のデータから、1
6バイトのチェックサムを生成するものである。
【0039】また、上記MD5の他に、次のようなアル
ゴリズム、例えば、DES(Data Encryption Standar
d)(National Bureau of Standards FIPS Publication
46,1977)、FEAL(Fast Encryption ALgorithm)
(S.Miyaguchi. The FEAL cipher family. Lecture Not
es in Computer Science, 537(1001), pp627-638. (Adv
ances in Cryptology - CRYPTO '90))のような暗号化
アルゴリズム、あるいはMD4(Message Digest algor
ithm)(R.L.Rivest. The MD4 message digest algorit
hm. Lecture Notes in Computer Science, 537(1001),
303-311. (Advances in Cryptology - CRYPTO '90))や
SHS(Secure Hash Standard)(SecureHash Standar
d. National Bureau of Standards FIPS Publication 1
80, 1993)のようなメッセージダイジェストアルゴリズ
ムを使用することができる。なお、DES、FEALに
関しては、「辻井、笠原、「暗号と情報セキュリテ
ィ」、1993年7月」に詳しい。
【0040】次に、図5に示したフローチャートを参照
して、移動ホスト24が、自組織のネットワーク21か
ら出て、広域ネットワーク23に接続し、ホスト25に
対して所定のパケットの送信を行った場合のファイアウ
ォール300の動作について説明する。
【0041】移動ホスト24より送信されたパケット
は、まずファイアウォール300に到達し、ステップS
1においてこのパケットが、例えばネットワークインタ
フェース1a(図3)に入力される。すなわち、この場
合、ファイアウォール300は、ネットワークインタフ
ェース1aを介して広域ネットワーク23と接続されて
いるものとする。
【0042】ファイアウォール300のネットワークイ
ンタフェース1aに入力されたパケットは、ステップS
2において、経路表3により、中継可能なパケットであ
るか否かが判定される。例えば、ファイアウォール30
0に接続されたネットワーク、この場合、ネットワーク
21に、ネットワークインタフェース1aを介して入力
したパケットのパケットヘッダに含まれる受信ホストア
ドレスに対応するホストが存在するか否かが判定され
る。
【0043】その結果、ネットワーク21内に、パケッ
トヘッダに含まれる受信ホストアドレスに対応するホス
トが存在しないと判定された場合、ステップS3に進
み、このパケットが廃棄される。その後、ステップS1
に戻り、ステップS1より以降の処理が繰り返し実行さ
れる。一方、パケットヘッダに含まれる受信ホストアド
レスに対応するホストが、ネットワーク21内に存在す
ると判定された場合、ステップS4に進む。
【0044】ステップS4においては、パケット選別器
11により、中継してよいパケットであるか否かが判定
される。例えば、ある組織のネットワーク21に属する
移動ホストからのパケットであるか否かが判定される。
中継してよいパケットではないと判定された場合、ステ
ップS5に進み、このパケットは廃棄される。その後、
ステップS1に戻り、ステップS1より以降の処理が繰
り返し実行される。一方、中継してよいパケットである
と判定された場合、ステップS6に進む。
【0045】ステップS6においては、ファイアウォー
ル300を構成する認証器31により、ステップS1に
おいて入力されたパケットのパケットヘッダの情報が本
物であるか否かが判定される。すなわち、認証器31
は、移動ホスト24が有する秘密鍵および一種のチェッ
クサムの演算方法(例えばMD5)と同一のものを有し
ており、この秘密鍵とパケットを構成するパケットヘッ
ダの内容から、上述した移動ホスト24において行われ
た場合と同様にして、再度、送信ホスト認証子が独自に
計算される。
【0046】そして、この計算によって得られたチェッ
クサムとしての送信ホスト認証子と、ネットワークイン
タフェース1aを介して入力されたパケットのパケット
ヘッダの中に含まれる送信ホスト認証子が比較される。
そして、両者が一致するか否かを判定することによっ
て、入力されたパケットのパケットヘッダ内の情報が本
物であるか否かの認証が行われる。
【0047】すなわち、この計算によって得られた送信
ホスト認証子と、入力されたパケットヘッダの中に含ま
れる送信ホスト認証子が一致しない場合、このパケット
のパケットヘッダ内の情報は本物ではないと認証され、
ステップS7に進み、このパケットは廃棄される。その
後、ステップS1に戻り、ステップS1以降の処理が繰
り返し実行される。
【0048】一方、この計算によって得られた送信ホス
ト認証子と、入力されたパケットのパケットヘッダの中
に含まれる送信ホスト認証子が一致した場合、このパケ
ットのパケットヘッダの情報は本物である、すなわち、
移動ホスト24から送信されてきたパケットであると認
証され、ステップS8に進む。
【0049】ステップS8においては、このパケットを
中継するための処理が行われる。すなわち、経路表3に
基づいて、このパケットの受信ホストアドレスに対応す
るホストが存在するネットワークへのルート(経路)が
決定される。次に、それに基づいて、送信ネットワーク
インタフェース決定器2により、ネットワークインタフ
ェース1a乃至1cのうち、このパケットを送信すべき
ネットワークへの経路上にある、例えば、ネットワーク
インタフェース1bが決定される。すなわち、この場
合、ファイアウォール300とネットワーク21とは、
ネットワークインタフェース1bを介して接続されてい
るものとする。
【0050】次に、ステップS9において、ネットワー
クインタフェース1bを介して、このパケットが出力さ
れ、ネットワーク21に中継される。
【0051】その後、ステップS1に戻り、ステップS
1より以降の処理が繰り返し実行される。
【0052】このように、ファイアウォール300は、
自組織のネットワーク21に属する移動ホスト24から
のパケットだけを、自組織のネットワーク21に選択的
に中継することができるので、通信におけるセキュリテ
ィの向上を図ることができる。
【0053】図6は、本発明の通信システムを適用した
ネットワークの他の実施の形態の構成例を示している。
同図に示すように、ある組織(自組織)41は、メール
サーバ42とFTP(File Transfer Protocol)サーバ
43を有しており、ファイアウォール45を介してイン
ターネット46に接続されている。また、自組織41に
属するノートPC(パーソナルコンピュータ)44は、
自組織41を離れて、インターネット46にモデムを介
して接続されている。
【0054】次に、図7および図8を参照して、図6に
示したように、自組織41に属するノートPC44が、
この組織外でインターネット46に接続し、自組織41
内のメールサーバ42にアクセスする場合について説明
する。なお、FTPサーバ43にアクセスする場合も基
本的にメールサーバ42にアクセスする場合と同様であ
る。
【0055】ここでは、ノートPC44には、VIPが
実装されており、ファイアウォール45は、ノートPC
44のホームルータも兼ねているものとする。また、フ
ァイアウォール45は、内側から外側へ送信されるパケ
ットに関しては無条件に中継するものとする。そして、
ファイアウォール45とノートPC44は秘密鍵を共有
し、所定の計算方法(例えば、MD5)をそれぞれ記憶
しているものとする。
【0056】図7は、ノートPC44の動作手順を表す
フローチャートであり、図8は、ファイアウォール45
の動作手順を表すフローチャートである。
【0057】まず、図7のステップS11において、例
えば、ユーザはノートPC44を用いて、出張先のホテ
ルからモデムおよび電話回線を介してダイヤルアップに
より、インターネットプロバイダに接続する。次に、ス
テップS12において、ノートPC44は、インターネ
ットプロバイダからIPアドレスの割り当てを受ける。
すなわち、ノートPC44のIPアドレスは、ノートP
C44が移動することによって変化することになる。し
かしながら、ノートPC44のVIPアドレスは変化し
ない。このようにして、ある組織41に属するノートP
C44が、組織外の所定の地点でインターネット46に
接続する。
【0058】ステップS13においては、ノートPC4
4は、コントロールパケットにより、自分のVIPアド
レスとIPアドレスをファイアウォール(ホームルー
タ)45に送信する。
【0059】ノートPC44から送信されてきたこのコ
ントロールパケットのヘッダには、ノートPC44の認
証データ(図4の送信ホスト認証子に対応する)がヘッ
ダ情報として含まれているので、ファイアウォール45
は、図1乃至図5を参照して上述した場合と同様にし
て、ノートPC44が本物であるか否かを認証すること
ができる。
【0060】ファイアウォール45は、図8のステップ
S21において、ノートPC44からのコントロールパ
ケットを受信すると、ステップS22に進み、コントロ
ールパケットに含まれるヘッダの中の送信ホスト認証子
および他のヘッダ情報に基づいて、ノートPC44の認
証を行う。そして、ステップS23において、ファイア
ウォール45により、ステップS22における認証の結
果に基づいて、ノートPC44が本物であるか否かが判
定される。すなわち、ノートPC44が本当に自組織4
1に属するコンピュータであるか否かが判定される。ノ
ートPC44が本物ではないと判定された場合、ステッ
プS29において、このパケットが廃棄された後、処理
を終了する。一方、ノートPC44が本物であると判定
された場合、ステップS24に進み、ノートPC44か
ら送信されてきたコントロールパケットのヘッダに含ま
れるノートPC44のVIPアドレスとIPアドレスの
関係がAMTに登録される。
【0061】従って、それ以降、ファイアウォール41
は、AMTによってノートPC44のVIPアドレスを
IPアドレスに変換することができるようになる。
【0062】次に、ユーザが自組織41内のメールサー
バ42にアクセスし、自分宛のメール(電子メール)を
読む場合、ノートPC44は、図7のステップS14に
おいて、メールを読むために、自分宛のメールの送信を
要求する所定のVIPパケットを自組織41のメールサ
ーバ42に向けて送信する。このパケットには、ノート
PC44の認証データ(図4の送信ホスト認証子に対応
する)が含まれている。
【0063】ファイアウォール45は、図8のステップ
S25において、ノートPC44からメールサーバ42
に向けて送信されたVIPパケットを受信すると、ステ
ップS26に進み、ノートPC44からのVIPパケッ
トのヘッダに含まれる送信ホスト認証子とその他のヘッ
ダ情報に基づいて、ノートPC44の認証を行う。次
に、その認証結果に基づいて、ステップS27におい
て、ファイアウォール45によりノートPC44が本物
であるか否かが判定される。すなわち、ノートPC44
が本当に自組織41に属するコンピュータであるか否か
が判定される。ノートPC44が本物ではないと判定さ
れた場合、ステップS29において、このパケットが廃
棄された後、処理を終了する。一方、ノートPC44が
本物であると判定された場合、ステップS28に進み、
そのVIPパケットが自組織41に中継される。
【0064】これにより、VIPパケットは、メールサ
ーバ42に到達し、メールサーバ42により、VIPパ
ケットによるユーザからの要求が処理される。この場
合、ユーザ宛のメールがあればそれを含めた応答パケッ
トをノートPC44に送信する。ユーザ宛のメールがな
ければ、そのことを表す応答パケットをノートPC44
に送信する。このとき、上述したように、VIPが提供
する移動透過な通信機能(移動透過性)により、ノート
PC44の位置に拘らず、この応答パケットは、ファイ
アウォール45、インターネット46を介して伝送さ
れ、ノートPC44に到達する。
【0065】すなわち、上記応答パケットには、ノート
PC44のVIPアドレスが含まれており、このVIP
アドレスは、ファイアウォール45において、AMTに
基づいてIPアドレスに変換される。そして、応答パケ
ットは、このIPアドレスに基づいて、インターネット
46を介してノートPC44に伝送される。
【0066】ノートPC44においては、図7のステッ
プS15において、メールサーバ42からの応答パケッ
トが受信される。そして、応答パケットにユーザ宛のメ
ールが含まれる場合、それが画面に表示される。また、
応答パケットにユーザ宛のメールが含まれていない場
合、ユーザ宛のメールがないことを示す所定のメッセー
ジが画面に表示される。
【0067】このようにして、ユーザは、例えば出張先
のように任意の場所からファイアウォール45を越えて
自組織41の内部のメールサーバ42にアクセスし、自
分宛のメールを読むことが可能となる。同様にして、ユ
ーザは、自組織41内のメールサーバ42にメールを送
信することができる。その場合、メールを含んだVIP
パケットをメールサーバ宛に送信することになる。
【0068】最近では、ノートブック型のコンピュータ
を持ち歩き、行く先々で自組織のメールサーバにアクセ
スし、メールの読み書きをしているユーザも多い。上述
したように、VIPではファイアウォールが移動コンピ
ュータからのパケットに基づいて移動コンピュータの認
証を行い、自組織に属する移動コンピュータからのパケ
ットを安全に自組織内へ中継することができる。これに
より、ユーザは、ファイアウォールの存在を意識するこ
となく、外部からインターネット等を介して、ファイア
ウォールを越えて自組織内のメールサーバにアクセス
し、メールの読み書きを行うことができる。
【0069】なお、上記実施の形態においては、ユーザ
がノートPC44を用いてメールサーバ42にアクセス
する場合について説明したが、メールサーバ42にアク
セスする場合と基本的に同様の手順で、ユーザはノート
PC44を用いてファイアウォール45を越えて自組織
41のFTPサーバ43にアクセスし、FTPサーバ4
3とノートPC44の間でファイルの転送を行うことが
できる。従って、ユーザは、例えば出張先のように任意
の場所からファイアウォール45を越えて自組織41の
FTPサーバ43にアクセスし、所望のファイルを取り
寄せることが可能となる。
【0070】また、上記実施の形態においては、送信ホ
スト認証子を求めるためにMD5を用いるようにした
が、これに限定されるものではなく、他の方法を用いる
ようにすることも可能である。
【0071】また、上記実施の形態においては、仮想イ
ンターネットプロトコルに基づいてパケットが送受信さ
れるネットワークに本発明を適用する場合について説明
したが、他のプロトコルに基づいたネットワークに本発
明を適用することも可能である。
【0072】
【発明の効果】請求項1に記載の通信システムによれ
ば、送信局において、第1の演算手段により、第1の記
憶手段に記憶された鍵情報と、受信局に送信すべきパケ
ットのヘッダ情報に基づいて、記憶している演算方法に
従って第1の認証情報が演算され、送信手段により、第
1の演算手段によって演算された第1の認証情報がパケ
ットのヘッダ情報に含められて送信される。また、通信
装置において、第2の演算手段により、第2の記憶手段
に記憶された鍵情報と、送信局からのパケットのヘッダ
情報に基づいて、記憶している演算方法に従って第2の
認証情報が演算され、比較手段により、送信局からのパ
ケットのヘッダ情報に含まれる第1の認証情報と、第2
の認証情報とが比較され、この比較結果に基づいて、決
定手段により、パケットを第2のネットワークに中継す
るか否かが決定されるようにしたので、通信装置が記憶
している鍵情報および演算方法と同一のものを記憶して
いる送信局からのパケットのみを選択的に中継するよう
にすることができ、通信のセキュリティを向上させるこ
とが可能となる。
【0073】請求項6に記載の通信装置によれば、認証
手段により、ネットワークインタフェースを介して受信
した送信局からのパケットに含まれるヘッダ情報が本物
であるか否かが認証され、制御手段により、認証手段に
よってパケットに含まれるヘッダ情報が本物であると認
証されたとき、パケットが中継されるよう制御されるよ
うにしたので、ヘッダ情報が本物である場合にだけ、そ
のパケットを中継するようにすることができ、通信のセ
キュリティを向上させることができる。
【図面の簡単な説明】
【図1】本発明の通信システムを適用したネットワーク
の一実施の形態の構成例を示す図である。
【図2】図1の移動ホストの構成例を示すブロック図で
ある。
【図3】図1のファイアウォールの構成例を示すブロッ
ク図である。
【図4】パケットフォーマットおよび送信ホスト認証子
の演算方法を示す図である。
【図5】図3のファイアウォールの動作を説明するため
のフローチャートである。
【図6】本発明の通信システムを適用したネットワーク
の他の実施の形態の構成例を示す図である。
【図7】外部からメールサーバ42にアクセスするとき
のノートPC44の動作手順を示すフローチャートであ
る。
【図8】ノートPC44がメールサーバ42にアクセス
するときのファイアウォール45の動作手順を示すフロ
ーチャートである。
【図9】従来のルータの構成例を示すブロック図であ
る。
【図10】従来のファイアウォールの構成例を示すブロ
ック図である。
【符号の説明】
1a,1b,1c ネットワークインタフェース,2
送信ネットワークインタフェース決定器,3 経路表,
11 パケット選別器,21 ある組織のネットワー
ク,23 広域ネットワーク,24 移動ホスト,24
a 記憶部,24b 演算部,24c 送受信部,25
ホスト,41 自組織,42 メールサーバ,43
FTPサーバ,44 ノートPC,45 ファイアウォ
ール(ホームルータ),46 インターネット,100
ルータ,200,300 ファイアウォール

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 第1のネットワークと第2のネットワー
    クが通信装置を介して接続され、前記第1のネットワー
    クの送信局から前記第2のネットワークの受信局に送信
    されたパケットが、前記通信装置によって選択的に、前
    記第2のネットワークに中継される通信システムにおい
    て、 前記送信局は、 所定の鍵情報を記憶する第1の記憶手段と、 所定の演算方法を記憶し、前記第1の記憶手段に記憶さ
    れた前記鍵情報と、前記受信局に送信すべきパケットの
    ヘッダ情報に基づいて、前記演算方法に従って第1の認
    証情報を演算する第1の演算手段と、 前記第1の演算手段によって演算された前記第1の認証
    情報を前記パケットのヘッダ情報に含めて送信する送信
    手段とを備え、 前記通信装置は、 前記鍵情報を記憶する第2の記憶手段と、 前記演算方法を記憶し、前記第2の記憶手段に記憶され
    た前記鍵情報と、前記送信局からの前記パケットのヘッ
    ダ情報に基づいて、前記演算方法に従って第2の認証情
    報を演算する第2の演算手段と、 前記送信局からの前記パケットのヘッダ情報に含まれる
    前記第1の認証情報と、前記第2の認証情報とを比較す
    る比較手段と、 前記比較手段による比較結果に基づいて、前記パケット
    を前記第2のネットワークに中継するか否かを決定する
    決定手段とを備えることを特徴とする通信システム。
  2. 【請求項2】 前記パケットのヘッダ情報には、少なく
    とも前記送信局の位置を表す第1の情報と、前記送信局
    の位置に依存しない前記送信局を識別するための第2の
    情報とが含まれることを特徴とする請求項1に記載の通
    信システム。
  3. 【請求項3】 前記通信装置は、前記送信局の前記第2
    の情報を前記第1の情報に変換する変換手段をさらに備
    えることを特徴とする請求項1に記載の通信システム。
  4. 【請求項4】 前記第2のネットワークには、1または
    複数のサーバが接続され、 前記送信局から前記サーバに送信されたパケットは、前
    記通信装置の前記決定手段により、前記第2のネットワ
    ークへの中継が決定されたとき、前記第2のネットワー
    クに接続された前記サーバに伝送されることを特徴とす
    る請求項1に記載の通信システム。
  5. 【請求項5】 前記サーバは、メールサーバであること
    を特徴とする請求項4に記載の通信システム。
  6. 【請求項6】 複数のネットワークインタフェースを有
    し、前記ネットワークインタフェースの所定のものを介
    して受信した送信局からのパケットを、前記ネットワー
    クインタフェースの他の所定のものを介して送信するこ
    とにより、ネットワーク間でパケットの中継を行う通信
    装置において、 前記ネットワークインタフェースを介して受信した前記
    送信局からの前記パケットに含まれるヘッダ情報が本物
    であるか否かを認証する認証手段と、 前記認証手段により、前記パケットに含まれる前記ヘッ
    ダ情報が本物であると認証されたとき、前記パケットが
    中継されるよう制御する制御手段とを備えることを特徴
    とする通信装置。
  7. 【請求項7】 前記認証手段は、所定の鍵情報および演
    算方法を記憶し、 前記ネットワークインタフェースを介して受信した前記
    送信局からの前記パケットに含まれる前記ヘッダ情報と
    前記鍵情報に基づいて、前記演算方法に従った所定の演
    算を行うことにより、所定の認証情報を演算し、前記認
    証情報と同一のものが前記パケットのヘッダ情報の中に
    含まれるか否かに基づいて、前記ヘッダ情報が本物であ
    るか否かを認証することを特徴とする請求項6に記載の
    通信装置。
  8. 【請求項8】 前記送信局は、前記認証手段が記憶する
    前記鍵情報および演算方法と同一のものを記憶し、 前記パケットのヘッダ情報に基づいて前記認証情報を演
    算し、前記認証情報を前記パケットのヘッダ情報に含め
    ることを特徴とする請求項6に記載の通信装置。
JP8344862A 1996-01-11 1996-12-25 通信システムおよび通信装置 Pending JPH09252323A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP8344862A JPH09252323A (ja) 1996-01-11 1996-12-25 通信システムおよび通信装置
US08/778,209 US6009528A (en) 1996-01-11 1996-12-30 Communication system and communication apparatus

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP8-3009 1996-01-11
JP300996 1996-01-11
JP8344862A JPH09252323A (ja) 1996-01-11 1996-12-25 通信システムおよび通信装置

Publications (1)

Publication Number Publication Date
JPH09252323A true JPH09252323A (ja) 1997-09-22

Family

ID=26336505

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8344862A Pending JPH09252323A (ja) 1996-01-11 1996-12-25 通信システムおよび通信装置

Country Status (2)

Country Link
US (1) US6009528A (ja)
JP (1) JPH09252323A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136014A (ja) * 1996-10-25 1998-05-22 Toshiba Corp パケット検査装置、移動計算機装置及びパケット転送方法
WO1999060749A1 (fr) * 1998-05-18 1999-11-25 Mitsubishi Materials Corporation Systeme de partage d'informations
JP2001175551A (ja) * 1999-12-10 2001-06-29 Internatl Business Mach Corp <Ibm> 保守管理システム、遠隔保守管理方法およびシート部材処理装置およびプリンタの遠隔保守管理方法
US6307837B1 (en) 1997-08-12 2001-10-23 Nippon Telegraph And Telephone Corporation Method and base station for packet transfer
US6680941B1 (en) 1998-05-08 2004-01-20 Alcatel Process, software module, interface, terminal device, and server for the control of the forwarding of packets from completed packet sequences of packet-switched networks
JP2005072724A (ja) * 2003-08-20 2005-03-17 Toshiba Corp 通信制御装置、通信制御システム、通信制御方法および通信制御プログラム
WO2006004102A1 (ja) * 2004-07-06 2006-01-12 Matsushita Electric Industrial Co., Ltd. 移動ルータ、ホームエージェント、ルータ位置登録方法、及び移動ネットワークシステム
JP2007074761A (ja) * 2006-12-18 2007-03-22 Trinity Security Systems Inc データ暗号化方法、データ復号化方法、不正アクセス防止機能を有するlan制御装置、及び情報処理装置
US7444511B2 (en) 2000-10-05 2008-10-28 Nec Corporation LAN that allows non-authenticated external terminal station to access a predetermined device in LAN
JP2010283612A (ja) * 2009-06-04 2010-12-16 Mitsubishi Electric Corp ネットワーク通信方法、通信端末装置、および、通信中継装置
JP2013504821A (ja) * 2009-09-15 2013-02-07 シマンテック コーポレーション 評判システムにおける調整されただまし行為を防ぐためのセキュリティトークン内のメタデータの使用
US10812525B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method and system for defending distributed denial of service attack

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060195595A1 (en) 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
JPH10224719A (ja) * 1997-01-31 1998-08-21 Canon Inc 電子機器、像形成システム、ビデオプリントシステム及びカメラ一体型記録再生装置
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6678838B1 (en) * 1999-08-23 2004-01-13 Advanced Micro Devices, Inc. Method to track master contribution information in a write buffer
US6604147B1 (en) * 2000-05-09 2003-08-05 Lucent Technologies Inc. Scalable IP edge router
JP2002063084A (ja) * 2000-08-21 2002-02-28 Toshiba Corp パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体
AU2001290559A1 (en) * 2000-08-23 2002-03-04 Motorola, Inc. Cellular phone ethernet interface with routing capability
US6820562B2 (en) * 2000-11-29 2004-11-23 Accelerated Performance, Inc. Plastic desk with integral computer
US20020104009A1 (en) * 2001-01-29 2002-08-01 Richard Zodnik Portable computer that can be plugged into a backplane
US6868265B2 (en) * 2001-01-29 2005-03-15 Accelerated Performance, Inc. Locator for physically locating an electronic device in a communication network
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
US7165100B2 (en) * 2001-07-24 2007-01-16 At&T Corp. Method and apparatus for packet analysis in a network
US20030187977A1 (en) * 2001-07-24 2003-10-02 At&T Corp. System and method for monitoring a network
US7389536B2 (en) * 2001-11-14 2008-06-17 Lenovo Singapore Pte Ltd. System and apparatus for limiting access to secure data through a portable computer to a time set with the portable computer connected to a base computer
US8108687B2 (en) 2001-12-12 2012-01-31 Valve Corporation Method and system for granting access to system and content
US7243226B2 (en) 2001-12-12 2007-07-10 Valve Corporation Method and system for enabling content security in a distributed system
US7392390B2 (en) * 2001-12-12 2008-06-24 Valve Corporation Method and system for binding kerberos-style authenticators to single clients
US7290040B2 (en) 2001-12-12 2007-10-30 Valve Corporation Method and system for load balancing an authentication system
US7373406B2 (en) 2001-12-12 2008-05-13 Valve Corporation Method and system for effectively communicating file properties and directory structures in a distributed file system
US8161539B2 (en) * 2002-04-19 2012-04-17 International Business Machines Corporation IPSec network adapter verifier
AU2003240171A1 (en) * 2002-07-15 2004-02-02 Nokia Corporation An ipv6 address ownership authentification based on zero-knowledge identification protocols or based on one time password
JP2004128894A (ja) * 2002-10-02 2004-04-22 Nec Corp 電子データ送受信システム
KR100577390B1 (ko) * 2003-04-16 2006-05-10 삼성전자주식회사 인증을 위한 네트워크 장치와 시스템 및 상기 장치를이용한 네트워크 장치 인증방법
CN101425897B (zh) * 2007-10-29 2011-05-18 上海交通大学 一种用户认证方法、系统、服务器和用户节点
US11263124B2 (en) 2018-08-03 2022-03-01 Micron Technology, Inc. Host-resident translation layer validity check
US10852964B2 (en) * 2018-09-25 2020-12-01 Micron Technology, Inc. Host-resident translation layer validity check techniques
US11226907B2 (en) 2018-12-19 2022-01-18 Micron Technology, Inc. Host-resident translation layer validity check techniques
US11226894B2 (en) 2018-12-21 2022-01-18 Micron Technology, Inc. Host-based flash memory maintenance techniques

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01126793A (ja) * 1987-11-12 1989-05-18 Toshiba Corp 携帯可能電子装置および相互認証方法
JPH09214556A (ja) * 1995-11-30 1997-08-15 Toshiba Corp パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5001755A (en) * 1988-04-19 1991-03-19 Vindicator Corporation Security system network
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
EP0464562B1 (en) * 1990-06-29 1997-04-23 Digital Equipment Corporation Method and apparatus for decryption of an information packet having a format subject to modification
DE69022424T2 (de) * 1990-11-09 1996-03-28 Ibm Nichtablehnung in Rechnernetzwerken.
US5233655A (en) * 1991-02-19 1993-08-03 Shapiro Sanford S Data access verification system
DE59305159D1 (de) * 1992-04-09 1997-02-27 Siemens Ag Verfahren zum erkennen einer unberechtigten wiedereinspielung beliebiger von einem sender zu einem empfänger übertragener daten
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5548721A (en) * 1994-04-28 1996-08-20 Harris Corporation Method of conducting secure operations on an uncontrolled network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5671283A (en) * 1995-06-08 1997-09-23 Wave Systems Corp. Secure communication system with cross linked cryptographic codes
JPH09107389A (ja) * 1995-10-11 1997-04-22 Sony Corp 通信装置および通信方法
JP3555710B2 (ja) * 1995-12-20 2004-08-18 ソニー株式会社 データ伝送方法および装置
US5684951A (en) * 1996-03-20 1997-11-04 Synopsys, Inc. Method and system for user authorization over a multi-user computer system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01126793A (ja) * 1987-11-12 1989-05-18 Toshiba Corp 携帯可能電子装置および相互認証方法
JPH09214556A (ja) * 1995-11-30 1997-08-15 Toshiba Corp パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136014A (ja) * 1996-10-25 1998-05-22 Toshiba Corp パケット検査装置、移動計算機装置及びパケット転送方法
US6307837B1 (en) 1997-08-12 2001-10-23 Nippon Telegraph And Telephone Corporation Method and base station for packet transfer
US6680941B1 (en) 1998-05-08 2004-01-20 Alcatel Process, software module, interface, terminal device, and server for the control of the forwarding of packets from completed packet sequences of packet-switched networks
WO1999060749A1 (fr) * 1998-05-18 1999-11-25 Mitsubishi Materials Corporation Systeme de partage d'informations
JP2001175551A (ja) * 1999-12-10 2001-06-29 Internatl Business Mach Corp <Ibm> 保守管理システム、遠隔保守管理方法およびシート部材処理装置およびプリンタの遠隔保守管理方法
US7444511B2 (en) 2000-10-05 2008-10-28 Nec Corporation LAN that allows non-authenticated external terminal station to access a predetermined device in LAN
JP2005072724A (ja) * 2003-08-20 2005-03-17 Toshiba Corp 通信制御装置、通信制御システム、通信制御方法および通信制御プログラム
WO2006004102A1 (ja) * 2004-07-06 2006-01-12 Matsushita Electric Industrial Co., Ltd. 移動ルータ、ホームエージェント、ルータ位置登録方法、及び移動ネットワークシステム
US7911973B2 (en) 2004-07-06 2011-03-22 Panasonic Corporation Moving router, home agent, router position registration method, and moving network system
JP2007074761A (ja) * 2006-12-18 2007-03-22 Trinity Security Systems Inc データ暗号化方法、データ復号化方法、不正アクセス防止機能を有するlan制御装置、及び情報処理装置
JP2010283612A (ja) * 2009-06-04 2010-12-16 Mitsubishi Electric Corp ネットワーク通信方法、通信端末装置、および、通信中継装置
JP2013504821A (ja) * 2009-09-15 2013-02-07 シマンテック コーポレーション 評判システムにおける調整されただまし行為を防ぐためのセキュリティトークン内のメタデータの使用
US10812525B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method and system for defending distributed denial of service attack
US10812524B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method, and devices for defending distributed denial of service attack

Also Published As

Publication number Publication date
US6009528A (en) 1999-12-28

Similar Documents

Publication Publication Date Title
JPH09252323A (ja) 通信システムおよび通信装置
EP1880525B1 (en) Host identity protocol method and apparatus
O'shea et al. Child-proof authentication for MIPv6 (CAM)
JP3343064B2 (ja) フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
CN101103593B (zh) 鉴别多播消息的方法
US20030023845A1 (en) Method and apparatus for providing secure streaming data transmission facilites using unreliable protocols
EP2329621B1 (en) Key distribution to a set of routers
US9900178B2 (en) Device arrangement and method for implementing a data transfer network used in remote control of properties
US7233782B2 (en) Method of generating an authentication
US20060161667A1 (en) Server apparatus, communication control method and program
US20120300781A1 (en) Packet Routing in a Network
JP4490352B2 (ja) Vpnサーバホスティングシステム、およびvpn構築方法
CN102027726B (zh) 用于控制数据分组的路由的方法和设备
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
JP2982727B2 (ja) 認証方法
US8085797B2 (en) Method and system for addressing and routing in coded communications relationships
Richardson et al. Opportunistic encryption using the internet key exchange (ike)
JP3587633B2 (ja) ネットワーク通信方法および装置
CN101616005A (zh) 签名方法、装置以及签名验证方法、装置和系统
CN112437355A (zh) 三层组播的实现方法及系统
RU2390959C2 (ru) Способ и устройство протокола идентификации хост-узла
JP4188253B2 (ja) マルチキャスト通信システム、及び、パケット認証方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041001

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050421