JPH10224409A - 通信システム - Google Patents
通信システムInfo
- Publication number
- JPH10224409A JPH10224409A JP9024677A JP2467797A JPH10224409A JP H10224409 A JPH10224409 A JP H10224409A JP 9024677 A JP9024677 A JP 9024677A JP 2467797 A JP2467797 A JP 2467797A JP H10224409 A JPH10224409 A JP H10224409A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- terminal
- address
- internal
- subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 内部ネットワークに位置する端末を外部ネッ
トワークへ移動させると、端末のアドレスに変化が生じ
るため、移動前の利用権限ではサービスを受け得ない。 【解決手段】 外部ネットワークの端末に、移動前に又
は予め内部ネットワークにおいて割り当てられていた端
末アドレスを記憶するアドレス記憶手段を備えるように
する。これにより、外部ネットワークに位置する端末で
あっても内部ネットワークで割り当てられた端末アドレ
スを記憶する端末については、内部ホスト側において、
当該端末に提供し得るサービスの利用権限を判別するこ
とが可能とできる。
トワークへ移動させると、端末のアドレスに変化が生じ
るため、移動前の利用権限ではサービスを受け得ない。 【解決手段】 外部ネットワークの端末に、移動前に又
は予め内部ネットワークにおいて割り当てられていた端
末アドレスを記憶するアドレス記憶手段を備えるように
する。これにより、外部ネットワークに位置する端末で
あっても内部ネットワークで割り当てられた端末アドレ
スを記憶する端末については、内部ホスト側において、
当該端末に提供し得るサービスの利用権限を判別するこ
とが可能とできる。
Description
【0001】
【発明の属する技術分野】本発明は、通信システムに関
し、特に、ファイアウォールを介して内外のネットワー
ク間で通信を行うシステムに好適なものである。
し、特に、ファイアウォールを介して内外のネットワー
ク間で通信を行うシステムに好適なものである。
【0002】
文献名:R.Atkinson,"Security Architecture for the
Internet Protocol ",RFC1825,August 1995 従来、この種の通信システムで用いられる通信方式とし
て、上記文献に開示されている通信方式がある。この通
信方式は、外部ネットワークのホスト(外部ホスト)が
ファイアウォールを介して内部ネットワークのホスト
(内部ホスト)と通信する場合に、ファイアウォールが
外部ホストを認証して鍵交換した後、当該ファイアウォ
ールと外部ホストの間でパケットの暗号処理を行ってト
ンネリングすることで、外部ネットワークでの盗聴、改
竄、なりすましを防止するものである。
Internet Protocol ",RFC1825,August 1995 従来、この種の通信システムで用いられる通信方式とし
て、上記文献に開示されている通信方式がある。この通
信方式は、外部ネットワークのホスト(外部ホスト)が
ファイアウォールを介して内部ネットワークのホスト
(内部ホスト)と通信する場合に、ファイアウォールが
外部ホストを認証して鍵交換した後、当該ファイアウォ
ールと外部ホストの間でパケットの暗号処理を行ってト
ンネリングすることで、外部ネットワークでの盗聴、改
竄、なりすましを防止するものである。
【0003】ここで、トンネリングとは、WIDEプロ
ジェクト“1994年度WlDEプロジェクト研究報告
書”p137 にも示されているように、ネットワーク層の
プロトコル(例えばIP:Internet Protocol)を伝達
するために、同じネットワーク層のプロトコル(例えば
IP)をデータリンク層のプロトコルとみなして利用す
る技術をいう。また、トンネルとは、通信路のうちトン
ネリングを適用する部分をいう。
ジェクト“1994年度WlDEプロジェクト研究報告
書”p137 にも示されているように、ネットワーク層の
プロトコル(例えばIP:Internet Protocol)を伝達
するために、同じネットワーク層のプロトコル(例えば
IP)をデータリンク層のプロトコルとみなして利用す
る技術をいう。また、トンネルとは、通信路のうちトン
ネリングを適用する部分をいう。
【0004】図2に、トンネル内を伝送されるパケット
の構造例を示す。図2の場合、「パケットB」202
が、「パケットA」201のペイロード204に格納さ
れているが、これは、「パケットA」201が、「パケ
ットB」202をカプセル化(encapsulation )してい
る状態を表している。なお、あるパケットのペイロード
からカプセル化されているパケットを抽出する処理を、
以下、脱カプセル化(decapsulation )という。
の構造例を示す。図2の場合、「パケットB」202
が、「パケットA」201のペイロード204に格納さ
れているが、これは、「パケットA」201が、「パケ
ットB」202をカプセル化(encapsulation )してい
る状態を表している。なお、あるパケットのペイロード
からカプセル化されているパケットを抽出する処理を、
以下、脱カプセル化(decapsulation )という。
【0005】ところで、上記文献の通信方式では、次に
示す(a) 〜(c) の手段が必要になる。(a) の手段は、フ
ァイアウォールが外部ホストを認証し鍵の交換を行うた
めの手段(以下、セッション管理部という。)である。
この手段は、ファイアウォールと外部ホストのそれぞれ
に必要とされる。(b) の手段は、ファイアウォールと外
部ホストとの間でパケットを暗号処理しトンネリングす
るための手段(以下、トンネリング処理部という。)で
ある。この手段も、ファイアウォールと外部ホストのそ
れぞれに必要とされる。(c) の手段は、アクセスを許可
したパケットのみを中継しその他のパケットは遮断する
ことにより、外部ネットワークから内部ネットワークへ
の不正なアクセスを防止するための手段(以下、アクセ
ス制御部と呼ぶ。)である。この手段は、内部ネットワ
ークと外部ネットワークの境界に設けられているファイ
アウォールに必要とされる。
示す(a) 〜(c) の手段が必要になる。(a) の手段は、フ
ァイアウォールが外部ホストを認証し鍵の交換を行うた
めの手段(以下、セッション管理部という。)である。
この手段は、ファイアウォールと外部ホストのそれぞれ
に必要とされる。(b) の手段は、ファイアウォールと外
部ホストとの間でパケットを暗号処理しトンネリングす
るための手段(以下、トンネリング処理部という。)で
ある。この手段も、ファイアウォールと外部ホストのそ
れぞれに必要とされる。(c) の手段は、アクセスを許可
したパケットのみを中継しその他のパケットは遮断する
ことにより、外部ネットワークから内部ネットワークへ
の不正なアクセスを防止するための手段(以下、アクセ
ス制御部と呼ぶ。)である。この手段は、内部ネットワ
ークと外部ネットワークの境界に設けられているファイ
アウォールに必要とされる。
【0006】従って、上記文献の通信方式を用いる通信
システムは、図3に示す構成となる。なお、上記文献に
は係る構成は示されていないので、図3は、必要とされ
る手段を基に作成したものである。
システムは、図3に示す構成となる。なお、上記文献に
は係る構成は示されていないので、図3は、必要とされ
る手段を基に作成したものである。
【0007】このシステムは、内部ホスト301、「通
信路A」302、ファイアウォール303、「通信路
B」304、外部ホスト305からなる。このうち、
「通信路A」302は、内部ホスト301とファイアウ
ォール303間の通信路である。「通信路A」302
は、内部ネットワークの通信路に当たる。一方、「通信
路B」304は、ファイアウォール303と外部ホスト
305間の通信路である。「通信路B」304は、外部
ネットワークの通信路に当たる。ファイアウォール30
3は、前述したように(a) 〜(c) の3つの手段、セッシ
ョン管理部306、トンネリング処理部307、アクセ
ス制御部308からなる。また、外部ホスト305は、
前述した(a) 及び(b) の2つの手段、セッション管理部
309、トンネリング処理部310からなる。ところ
で、ファイアウォール303と外部ホスト305の間に
はトンネル311がある。
信路A」302、ファイアウォール303、「通信路
B」304、外部ホスト305からなる。このうち、
「通信路A」302は、内部ホスト301とファイアウ
ォール303間の通信路である。「通信路A」302
は、内部ネットワークの通信路に当たる。一方、「通信
路B」304は、ファイアウォール303と外部ホスト
305間の通信路である。「通信路B」304は、外部
ネットワークの通信路に当たる。ファイアウォール30
3は、前述したように(a) 〜(c) の3つの手段、セッシ
ョン管理部306、トンネリング処理部307、アクセ
ス制御部308からなる。また、外部ホスト305は、
前述した(a) 及び(b) の2つの手段、セッション管理部
309、トンネリング処理部310からなる。ところ
で、ファイアウォール303と外部ホスト305の間に
はトンネル311がある。
【0008】次に、かかる構成のシステムにおいて実行
される通信動作を説明する。まず、内部ホスト301か
ら外部ホスト305に対してパケットを送信する場合、
ファイアウォール303が、パケット312を暗号処理
し、さらに、図2のようにカプセル化する。カプセル化
されたパケット312はパケット313として、トンネ
ル311を伝送され外部ホスト305に達する。外部ホ
スト305は、これを脱カプセル化し、パケット314
を得る。
される通信動作を説明する。まず、内部ホスト301か
ら外部ホスト305に対してパケットを送信する場合、
ファイアウォール303が、パケット312を暗号処理
し、さらに、図2のようにカプセル化する。カプセル化
されたパケット312はパケット313として、トンネ
ル311を伝送され外部ホスト305に達する。外部ホ
スト305は、これを脱カプセル化し、パケット314
を得る。
【0009】この反対に、外部ホスト305から内部ホ
スト301にパケットを送信する場合、外部ホスト30
5が、パケット315を暗号処理しパケット316のよ
うにカプセル化する。このパケット316は、トンネル
311を介してファイアウォール303に達し、ここで
脱パケット化されて内部ホスト301にパケット317
として与えられる。
スト301にパケットを送信する場合、外部ホスト30
5が、パケット315を暗号処理しパケット316のよ
うにカプセル化する。このパケット316は、トンネル
311を介してファイアウォール303に達し、ここで
脱パケット化されて内部ホスト301にパケット317
として与えられる。
【0010】以上のようにして、双方向の通信がなされ
る。
る。
【0011】
【発明が解決しようとする課題】しかしながら、上記文
献の通信方式の場合、内部ネットワーク上に位置する端
末を、何らかの事情で外部ネットワーク上へ移動させた
場合、以下に示す問題が生じてしまう。
献の通信方式の場合、内部ネットワーク上に位置する端
末を、何らかの事情で外部ネットワーク上へ移動させた
場合、以下に示す問題が生じてしまう。
【0012】一般に、サービスを提供するアプリケーシ
ョンは、サービスを要求しているホストのアドレスに基
づいて、サービスの利用権限を求める。従って、内部ネ
ットワーク上に位置する端末を、外部ネットワーク上へ
移動すると、端末のアドレスが変化するので、端末は内
部ホストが提供するサービスを移動前のサービス利用権
限では利用できなくなってしまう。ここで、サービス利
用権限には、例えば、サービスの利用を許可すること、
又は、サービスの利用を禁止すること、サービスをある
品質で許可することなどがある。
ョンは、サービスを要求しているホストのアドレスに基
づいて、サービスの利用権限を求める。従って、内部ネ
ットワーク上に位置する端末を、外部ネットワーク上へ
移動すると、端末のアドレスが変化するので、端末は内
部ホストが提供するサービスを移動前のサービス利用権
限では利用できなくなってしまう。ここで、サービス利
用権限には、例えば、サービスの利用を許可すること、
又は、サービスの利用を禁止すること、サービスをある
品質で許可することなどがある。
【0013】本発明は以上の課題を考慮してなされたも
ので、内部ネットワーク上に位置していた端末を外部ネ
ットワーク上へ移動しても、移動前に提供を受けること
ができたサービス利用権限の範囲内で引き続きサービス
を享受できるようにするリモートアクセス通信システム
を提供しようとするものである。
ので、内部ネットワーク上に位置していた端末を外部ネ
ットワーク上へ移動しても、移動前に提供を受けること
ができたサービス利用権限の範囲内で引き続きサービス
を享受できるようにするリモートアクセス通信システム
を提供しようとするものである。
【0014】
(A) かかる課題を解決するため第1の発明においては、
外部ネットワークに位置する端末が、ファイアウォール
を介して内部ネットワークの内部ホストと通信する形態
の通信システムにおいて、以下の手段を備えたことを特
徴とする。
外部ネットワークに位置する端末が、ファイアウォール
を介して内部ネットワークの内部ホストと通信する形態
の通信システムにおいて、以下の手段を備えたことを特
徴とする。
【0015】すなわち、端末は、移動前に又は予め内部
ネットワークにおいて割り当てられた端末アドレスを記
憶するアドレス記憶手段を備えたことを特徴とする。
ネットワークにおいて割り当てられた端末アドレスを記
憶するアドレス記憶手段を備えたことを特徴とする。
【0016】このように、第1の発明における通信シス
テムによれば、外部ネットワークに位置する端末であっ
ても内部ネットワークで割り当てられた端末アドレスを
記憶する端末については、内部ホスト側において、当該
端末に提供し得るサービスの利用権限を判別することが
可能となる。これにより、特定の端末については、外部
ネットワークに位置する場合にも、内部ネットワークに
位置する場合と同じ利用権限でのサービスを受けること
ができる。
テムによれば、外部ネットワークに位置する端末であっ
ても内部ネットワークで割り当てられた端末アドレスを
記憶する端末については、内部ホスト側において、当該
端末に提供し得るサービスの利用権限を判別することが
可能となる。これにより、特定の端末については、外部
ネットワークに位置する場合にも、内部ネットワークに
位置する場合と同じ利用権限でのサービスを受けること
ができる。
【0017】(B) また、第2の発明においては、内部ネ
ットワーク内のあるサブネットに位置する端末が、当該
ネットワーク内で内部ホストと通信する形態の通信シス
テムにおいて、以下の手段を備えることを特徴とする。
ットワーク内のあるサブネットに位置する端末が、当該
ネットワーク内で内部ホストと通信する形態の通信シス
テムにおいて、以下の手段を備えることを特徴とする。
【0018】すなわち、端末は、同じネットワーク内の
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末及び内部ホストは、当
該移動があった場合に、アドレス記憶手段が記憶してい
る移動前の端末アドレスと同一のアドレスを有するパケ
ットを、カプセル化後、端末及び内部ホストの間に形成
したトンネルを介して入出力するトンネリング処理手段
を備えることを特徴とする。
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末及び内部ホストは、当
該移動があった場合に、アドレス記憶手段が記憶してい
る移動前の端末アドレスと同一のアドレスを有するパケ
ットを、カプセル化後、端末及び内部ホストの間に形成
したトンネルを介して入出力するトンネリング処理手段
を備えることを特徴とする。
【0019】このように、第2の発明における通信シス
テムによれば、内部ネットワーク内であるサブネットか
ら他のサブネットに端末が移動した場合にも、移動前に
おける端末アドレスを端末が記憶しているので、内部ホ
スト側において、当該端末に提供し得るサービスの利用
権限を判別することが可能となる。これにより、特定の
端末については、他のサブネットに移動した場合にも、
移動前のサブネットで許容されていたのと同じ利用権限
でサービスを受けることができる。
テムによれば、内部ネットワーク内であるサブネットか
ら他のサブネットに端末が移動した場合にも、移動前に
おける端末アドレスを端末が記憶しているので、内部ホ
スト側において、当該端末に提供し得るサービスの利用
権限を判別することが可能となる。これにより、特定の
端末については、他のサブネットに移動した場合にも、
移動前のサブネットで許容されていたのと同じ利用権限
でサービスを受けることができる。
【0020】(C) さらに、第3の発明においては、内部
ネットワーク内のあるサブネットに位置する端末が、当
該ネットワーク内の内部ホストと通信する形態の通信シ
ステムにおいて、以下の手段を備えることを特徴とす
る。
ネットワーク内のあるサブネットに位置する端末が、当
該ネットワーク内の内部ホストと通信する形態の通信シ
ステムにおいて、以下の手段を備えることを特徴とす
る。
【0021】すなわち、端末は、同一ネットワーク内の
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末及び当該端末が移動前
に位置したサブネットのサブネット管理サーバは、当該
移動があった場合に、アドレス記憶手段が記憶している
移動前の端末アドレスと同一のアドレスを有するパケッ
トを、カプセル化後、端末及びサブネット管理サーバ間
に形成したトンネルを介して入出力するトンネリング処
理手段を備えることを特徴とする。
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末及び当該端末が移動前
に位置したサブネットのサブネット管理サーバは、当該
移動があった場合に、アドレス記憶手段が記憶している
移動前の端末アドレスと同一のアドレスを有するパケッ
トを、カプセル化後、端末及びサブネット管理サーバ間
に形成したトンネルを介して入出力するトンネリング処
理手段を備えることを特徴とする。
【0022】このように、第3の発明における通信シス
テムによれば、端末とサブネット管理サーバとの間にト
ンネルを設けているので、内部ホストごとに各端末まで
のトンネルを設けなくて良くなる。
テムによれば、端末とサブネット管理サーバとの間にト
ンネルを設けているので、内部ホストごとに各端末まで
のトンネルを設けなくて良くなる。
【0023】(D) さらに、第4の発明においては、内部
ネットワーク内のあるサブネットに位置する端末が、当
該ネットワーク内の内部ホストと通信する形態の通信シ
ステムにおいて、以下の手段を備えることを特徴とす
る。
ネットワーク内のあるサブネットに位置する端末が、当
該ネットワーク内の内部ホストと通信する形態の通信シ
ステムにおいて、以下の手段を備えることを特徴とす
る。
【0024】すなわち、端末は、同一ネットワーク内の
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末の移動の前後に係る各
サブネットのサブネット管理サーバは、当該移動があっ
た場合に、アドレス記憶手段が記憶している移動前の端
末アドレスと同一のアドレスを有するパケットを、カプ
セル化後、当該サブネット管理サーバ間に形成したトン
ネルを介して入出力するトンネリング処理手段を備える
ことを特徴とする。
あるサブネットから他のサブネットへ移動した後も、移
動前に割り当てられた端末アドレスを記憶し続けるアド
レス記憶手段を備え、かつ、端末の移動の前後に係る各
サブネットのサブネット管理サーバは、当該移動があっ
た場合に、アドレス記憶手段が記憶している移動前の端
末アドレスと同一のアドレスを有するパケットを、カプ
セル化後、当該サブネット管理サーバ間に形成したトン
ネルを介して入出力するトンネリング処理手段を備える
ことを特徴とする。
【0025】このように、第4の発明における通信シス
テムによれば、サブネット管理サーバ間にトンネルを設
けるので、端末がトンネリング処理をせずに済み、その
分、端末の負荷を軽減できるという効果が得られる。
テムによれば、サブネット管理サーバ間にトンネルを設
けるので、端末がトンネリング処理をせずに済み、その
分、端末の負荷を軽減できるという効果が得られる。
【0026】
(A)各実施形態で用いるパケットの構造 まず、後述する各実施形態において使用されるパケット
の基本構造を説明する。図4は、トンネルを介して送受
されるパケットの構造を表した図である。この図4は、
「パケットB」402が、「パケットA」401のペイ
ロードに格納され、カプセル化(encapsulation )され
ている状態を表している。ここで、「パケットA」の受
信先アドレス403と「パケットA」の送信元アドレス
404が「パケットA」のヘッダを表し、「パケット
B」の受信先アドレス405と「パケットB」の送信元
アドレス406が「パケットB」のヘッダを表してい
る。
の基本構造を説明する。図4は、トンネルを介して送受
されるパケットの構造を表した図である。この図4は、
「パケットB」402が、「パケットA」401のペイ
ロードに格納され、カプセル化(encapsulation )され
ている状態を表している。ここで、「パケットA」の受
信先アドレス403と「パケットA」の送信元アドレス
404が「パケットA」のヘッダを表し、「パケット
B」の受信先アドレス405と「パケットB」の送信元
アドレス406が「パケットB」のヘッダを表してい
る。
【0027】ここで、「パケットB」を端末へ入力する
場合は、「パケットB」の受信先アドレス405に書き
込まれているアドレスが、外部ネットワーク上でのアド
レスではなく、予め内部ネットワークで各端末に割り当
てられた内部ネットワーク上でのアドレス(内部ネット
ワークから外部ネットワークへ移動する場合における移
動前のアドレスを含む)が書き込まれている。各実施形
態では、このアドレスを用いた通信システムについて説
明する。
場合は、「パケットB」の受信先アドレス405に書き
込まれているアドレスが、外部ネットワーク上でのアド
レスではなく、予め内部ネットワークで各端末に割り当
てられた内部ネットワーク上でのアドレス(内部ネット
ワークから外部ネットワークへ移動する場合における移
動前のアドレスを含む)が書き込まれている。各実施形
態では、このアドレスを用いた通信システムについて説
明する。
【0028】また、一部実施形態(第5の実施形態及び
第10の実施形態)においては、図5に示す構造のパケ
ットを使用する。この図5の場合も、トンネルを介して
送受されるパケットの構造を表した図であり、「パケッ
トB」502が、「パケットA」501のペイロードに
格納され、カプセル化(encapsulation )されている状
態を表している。図5のパケットが図4のパケットと異
なる点は、「パケットA」のヘッダが、「パケットA」
の受信先アドレス503と「パケットA」の送信元アド
レス504に加えて、「パケットA」のSPI(Securi
ty ParametersIndex)を有する点である。ここで、SP
Iは、使用する暗号アルゴリズムや鍵等のセキュリティ
に関するパラメータを表すものである。なお、「パケッ
トB」のヘッダの構造は同じであり、「パケットB」を
端末へ入力する場合は、「パケットB」の受信先アドレ
ス505には、予め内部ネットワークで各端末に割り当
てられた内部ネットワーク上でのアドレス(内部ネット
ワークから外部ネットワークへ移動する場合における移
動前のアドレスを含む)が書き込まれている。
第10の実施形態)においては、図5に示す構造のパケ
ットを使用する。この図5の場合も、トンネルを介して
送受されるパケットの構造を表した図であり、「パケッ
トB」502が、「パケットA」501のペイロードに
格納され、カプセル化(encapsulation )されている状
態を表している。図5のパケットが図4のパケットと異
なる点は、「パケットA」のヘッダが、「パケットA」
の受信先アドレス503と「パケットA」の送信元アド
レス504に加えて、「パケットA」のSPI(Securi
ty ParametersIndex)を有する点である。ここで、SP
Iは、使用する暗号アルゴリズムや鍵等のセキュリティ
に関するパラメータを表すものである。なお、「パケッ
トB」のヘッダの構造は同じであり、「パケットB」を
端末へ入力する場合は、「パケットB」の受信先アドレ
ス505には、予め内部ネットワークで各端末に割り当
てられた内部ネットワーク上でのアドレス(内部ネット
ワークから外部ネットワークへ移動する場合における移
動前のアドレスを含む)が書き込まれている。
【0029】(B)第1の実施形態 以下、第1の実施形態に係る通信システムを、図面を参
照しながら説明する。
照しながら説明する。
【0030】(B−1)第1の実施形態の構成 図1は、第1の実施形態の構成図である。この通信シス
テムは、内部ホスト101、「通信路A」102、ファ
イアウォール103、「通信路B」104、端末105
からなる。因みに、従来技術で説明した図3の場合に
は、外部ネットワーク側の受信先が外部ホスト305と
なっていたが、この実施形態の場合には端末105が接
続されている。
テムは、内部ホスト101、「通信路A」102、ファ
イアウォール103、「通信路B」104、端末105
からなる。因みに、従来技術で説明した図3の場合に
は、外部ネットワーク側の受信先が外部ホスト305と
なっていたが、この実施形態の場合には端末105が接
続されている。
【0031】ここで、「通信路A」102は、内部ホス
ト101とファイアウォール103の間の通信路であ
る。「通信路A」102は、内部ネットワークの通信路
である。「通信路B」104は、ファイアウォール10
3と端末105の間の通信路である。「通信路B」10
4は、外部ネットワークの通信路である。
ト101とファイアウォール103の間の通信路であ
る。「通信路A」102は、内部ネットワークの通信路
である。「通信路B」104は、ファイアウォール10
3と端末105の間の通信路である。「通信路B」10
4は、外部ネットワークの通信路である。
【0032】本実施形態に係るファイアウォール103
は、セッション管理部106、トンネリング処理部10
7、アクセス制御部108の各構成要素を有してなる。
は、セッション管理部106、トンネリング処理部10
7、アクセス制御部108の各構成要素を有してなる。
【0033】本実施形態に係る端末105は、セッショ
ン管理部109、移動前情報記憶部110、トンネリン
グ処理部111の各構成要素を有してなる。このうち、
移動前情報記憶部110は、後述する移動前アドレスI
2の記憶に用いられる。
ン管理部109、移動前情報記憶部110、トンネリン
グ処理部111の各構成要素を有してなる。このうち、
移動前情報記憶部110は、後述する移動前アドレスI
2の記憶に用いられる。
【0034】なお、ファイアウォール103と端末10
5の間にトンネル112を設けることにする。
5の間にトンネル112を設けることにする。
【0035】内部ホスト101は、端末105のアドレ
スとして移動前アドレスI2を使用して、パケットを
「通信路A」102と送受信する。端末105は、端末
105のアドレスとして移動前アドレスI2を使用し
て、パケットをトンネリング処理部111と入出力す
る。
スとして移動前アドレスI2を使用して、パケットを
「通信路A」102と送受信する。端末105は、端末
105のアドレスとして移動前アドレスI2を使用し
て、パケットをトンネリング処理部111と入出力す
る。
【0036】セッション管理部106とセッション管理
部109は、互いに通信し、端末105の認証と鍵交換
をする。セッション管理部109は、セッション管理部
106へ、端末105が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であることを通知する。
部109は、互いに通信し、端末105の認証と鍵交換
をする。セッション管理部109は、セッション管理部
106へ、端末105が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であることを通知する。
【0037】トンネリング処理部107は、セッション
管理部106が交換した鍵を使用して、端末105宛て
のパケットを暗号処理してカプセル化する。また、トン
ネリング処理部107は、内部ホスト101宛てのパケ
ットを脱カプセル化し復号処理する。
管理部106が交換した鍵を使用して、端末105宛て
のパケットを暗号処理してカプセル化する。また、トン
ネリング処理部107は、内部ホスト101宛てのパケ
ットを脱カプセル化し復号処理する。
【0038】トンネリング処理部111は、セッション
管理部109が交換した鍵を使用して、内部ホスト10
1宛てのパケットを暗号処理しカプセル化する。また、
トンネリング処理部111は端末105宛てのパケット
を脱カプセル化し復号処理する。
管理部109が交換した鍵を使用して、内部ホスト10
1宛てのパケットを暗号処理しカプセル化する。また、
トンネリング処理部111は端末105宛てのパケット
を脱カプセル化し復号処理する。
【0039】アクセス制御部108は、受信するパケッ
トが、内部ホスト101と端末105の間の通信のパケ
ットであるかを判定する。アクセス制御部108は、内
部ホスト101と端末105の間の通信のパケットを、
トンネリング処理部107へ入力してパケットを加工
し、中継する。アクセス制御部108は、内部ホスト1
01と端末105の間の通信ではないパケットを、中継
しない。
トが、内部ホスト101と端末105の間の通信のパケ
ットであるかを判定する。アクセス制御部108は、内
部ホスト101と端末105の間の通信のパケットを、
トンネリング処理部107へ入力してパケットを加工
し、中継する。アクセス制御部108は、内部ホスト1
01と端末105の間の通信ではないパケットを、中継
しない。
【0040】内部ホスト101のアドレスは、I1であ
る。内部ネットワークに接続しているファイアウォール
103のネットワーク・インターフェースのアドレスは
Fiである。外部ネットワークに接続しているファイア
ウォール103のネットワーク・インターフェースのア
ドレスはFeである。端末105のアドレスは、Eであ
る。外部ネットワークへの移動前の端末105の内部ネ
ットワークでのアドレス(移動前アドレス)はI2であ
る。
る。内部ネットワークに接続しているファイアウォール
103のネットワーク・インターフェースのアドレスは
Fiである。外部ネットワークに接続しているファイア
ウォール103のネットワーク・インターフェースのア
ドレスはFeである。端末105のアドレスは、Eであ
る。外部ネットワークへの移動前の端末105の内部ネ
ットワークでのアドレス(移動前アドレス)はI2であ
る。
【0041】(B−2)第1の実施形態の通信動作 続いて、図1に示す通信システムによって実現される通
信動作を説明する。
信動作を説明する。
【0042】(B−2−1)通信開始前の動作 まず、内部ホスト101と端末105が通信を開始する
までの動作を説明する。これには、セッション管理部1
06とセッション管理部109とが通信し、端末105
の認証と鍵交換を行う。セッション管理部109は、セ
ッション管理部106へ、端末105が外部ネットワー
クへ移動したこと、移動後のアドレスがEであること、
移動前アドレスがI2であることを通知する。これによ
り、アクセス制御部108は、内部ホスト101と端末
105の間のパケットを中継するようになる。
までの動作を説明する。これには、セッション管理部1
06とセッション管理部109とが通信し、端末105
の認証と鍵交換を行う。セッション管理部109は、セ
ッション管理部106へ、端末105が外部ネットワー
クへ移動したこと、移動後のアドレスがEであること、
移動前アドレスがI2であることを通知する。これによ
り、アクセス制御部108は、内部ホスト101と端末
105の間のパケットを中継するようになる。
【0043】(B−2−2)通信開始後の動作 次に、内部ホスト101と端末105が通信をする時の
動作を説明する。
動作を説明する。
【0044】なお、内部ホスト101から端末105へ
伝送されるパケット113の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット113
をカプセル化したパケット114の受信先アドレスは
E、送信元アドレスはFeとなる。これを脱パケット化
した後のパケット115は、パケット113と同一とな
る。
伝送されるパケット113の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット113
をカプセル化したパケット114の受信先アドレスは
E、送信元アドレスはFeとなる。これを脱パケット化
した後のパケット115は、パケット113と同一とな
る。
【0045】一方、端末105から内部ホスト101へ
伝送されるパケット116の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット116
をカプセル化したパケット117の受信先アドレスはF
e、送信元アドレスはEとなる。これを脱パケット化し
た後のパケット118は、パケット116と同一とな
る。
伝送されるパケット116の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット116
をカプセル化したパケット117の受信先アドレスはF
e、送信元アドレスはEとなる。これを脱パケット化し
た後のパケット118は、パケット116と同一とな
る。
【0046】(B−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト101から端末105にパケットを送
信する場合の動作を説明する。
の送信 まず、内部ホスト101から端末105にパケットを送
信する場合の動作を説明する。
【0047】内部ホスト101は、「通信路A」102
に対してパケット113を送信する。
に対してパケット113を送信する。
【0048】ファイアウォール103のアクセス制御部
108は、「通信路A」102からパケット113を受
信する。アクセス制御部108は、そのヘッダから、パ
ケット113は内部ホスト101と端末105間のパケ
ットであると判定する。アクセス制御部108は、パケ
ット113をトンネリング処理部107へ与える。トン
ネリング処理部107は、セッション管理部106が交
換した鍵を使用して、パケット113を暗号処理してカ
プセル化し、パケット114を得る。この時、パケット
113の受信先アドレスがI2であるので、パケット1
14の受信先アドレスをEとする。かかる後、トンネリ
ング処理部107は、パケット114をアクセス制御部
108に与える。アクセス制御部108は、このパケッ
ト114を「通信路B」104へ送信する。
108は、「通信路A」102からパケット113を受
信する。アクセス制御部108は、そのヘッダから、パ
ケット113は内部ホスト101と端末105間のパケ
ットであると判定する。アクセス制御部108は、パケ
ット113をトンネリング処理部107へ与える。トン
ネリング処理部107は、セッション管理部106が交
換した鍵を使用して、パケット113を暗号処理してカ
プセル化し、パケット114を得る。この時、パケット
113の受信先アドレスがI2であるので、パケット1
14の受信先アドレスをEとする。かかる後、トンネリ
ング処理部107は、パケット114をアクセス制御部
108に与える。アクセス制御部108は、このパケッ
ト114を「通信路B」104へ送信する。
【0049】端末105のトンネリング処理部111
は、「通信路B」104からパケット114を受信す
る。トンネリング処理部111は、セッション管理部1
09が交換した鍵を使用して、パケット114を脱カプ
セル化し復号処理し、パケット115を得る。端末10
5は、トンネリング処理部111からパケット115を
得る。
は、「通信路B」104からパケット114を受信す
る。トンネリング処理部111は、セッション管理部1
09が交換した鍵を使用して、パケット114を脱カプ
セル化し復号処理し、パケット115を得る。端末10
5は、トンネリング処理部111からパケット115を
得る。
【0050】(B−2−2−2)端末から内部ホストへ
の送信 逆に、端末105から内部ホスト101にパケットを送
信する場合の動作を説明する。
の送信 逆に、端末105から内部ホスト101にパケットを送
信する場合の動作を説明する。
【0051】端末105は、パケット116をトンネリ
ング処理部111へ入力する。トンネリング処理部11
1は、セッション管理部109が交換した鍵を使用し
て、パケット116を暗号処理してカプセル化し、パケ
ット117を得る。トンネリング処理部111は、「通
信路B」104へパケット117を送信する。
ング処理部111へ入力する。トンネリング処理部11
1は、セッション管理部109が交換した鍵を使用し
て、パケット116を暗号処理してカプセル化し、パケ
ット117を得る。トンネリング処理部111は、「通
信路B」104へパケット117を送信する。
【0052】ファイアウォール103のアクセス制御部
108は、「通信路B」104からパケット117を受
信する。アクセス制御部108は、パケット117は内
部ホスト101と端末105の間のパケットであると判
定する。アクセス制御部108は、パケット117をト
ンネリング処理部107へ入力する。トンネリング処理
部107は、セッション管理部106が交換した鍵を使
用して、パケット117を脱カプセル化し復号処理し、
パケット118を得る。トンネリング処理部107は、
パケット118をアクセス制御部108へ出力する。ア
クセス制御部108は、「通信路A」102へパケット
118を送信する。
108は、「通信路B」104からパケット117を受
信する。アクセス制御部108は、パケット117は内
部ホスト101と端末105の間のパケットであると判
定する。アクセス制御部108は、パケット117をト
ンネリング処理部107へ入力する。トンネリング処理
部107は、セッション管理部106が交換した鍵を使
用して、パケット117を脱カプセル化し復号処理し、
パケット118を得る。トンネリング処理部107は、
パケット118をアクセス制御部108へ出力する。ア
クセス制御部108は、「通信路A」102へパケット
118を送信する。
【0053】内部ホスト101は、パケット118を受
信する。
信する。
【0054】(B−2−3)通信終了動作 内部ホスト101と端末105が通信を終了する場合の
動作を説明する。
動作を説明する。
【0055】ファイアウォール103が通信の終了を要
求する場合には、セッション管理部106がセッション
管理部109に通信の終了を要求する。これに対して、
端末105が通信の終了を要求する場合には、セッショ
ン管理部109がセッション管理部106に通信の終了
を要求する。
求する場合には、セッション管理部106がセッション
管理部109に通信の終了を要求する。これに対して、
端末105が通信の終了を要求する場合には、セッショ
ン管理部109がセッション管理部106に通信の終了
を要求する。
【0056】ファイアウォール103が「通信路B」1
04から受信するパケットには、アクセス制御部106
が受信するパケットとセッション管理部106が受信す
るパケットがある。ファイアウォール103は、パケッ
トのヘッダのうちアドレス以外の値により、どちらのパ
ケットであるかを判定する。端末105が「通信路B」
104から受信するパケットについても同様である。
04から受信するパケットには、アクセス制御部106
が受信するパケットとセッション管理部106が受信す
るパケットがある。ファイアウォール103は、パケッ
トのヘッダのうちアドレス以外の値により、どちらのパ
ケットであるかを判定する。端末105が「通信路B」
104から受信するパケットについても同様である。
【0057】(B−2−4)内部ネットワークに対する
サービスの提供 ファイアウォール103が内部ネットワーク向けにサー
ビスを提供している場合について説明する。
サービスの提供 ファイアウォール103が内部ネットワーク向けにサー
ビスを提供している場合について説明する。
【0058】この場合は、アクセス制御部108は、
「通信路A」102と送受信するパケット(パケット1
13とパケット118)を、ファイアウォール103と
入出力する。
「通信路A」102と送受信するパケット(パケット1
13とパケット118)を、ファイアウォール103と
入出力する。
【0059】(B−3)第1の実施形態の効果 以上のように、第1の実施形態によれば、ファイアウォ
ールと外部の端末との間にトンネルを設け、そのトンネ
ルにおいて、端末アドレスに移動前アドレスを使用する
パケットをカプセル化するようにしたので、内部ネット
ワークに位置する端末を外部ネットワークへ移動して
も、内部ホストに対しては、端末のアドレスが外部ネッ
トワークへの移動前後で変化していないようにみなせる
ので、端末は内部ホストが提供するサービスを移動前の
サービス利用権限で利用できるという効果が得られる。
ールと外部の端末との間にトンネルを設け、そのトンネ
ルにおいて、端末アドレスに移動前アドレスを使用する
パケットをカプセル化するようにしたので、内部ネット
ワークに位置する端末を外部ネットワークへ移動して
も、内部ホストに対しては、端末のアドレスが外部ネッ
トワークへの移動前後で変化していないようにみなせる
ので、端末は内部ホストが提供するサービスを移動前の
サービス利用権限で利用できるという効果が得られる。
【0060】また、これらサービスは、パケット伝送に
より実現されるので、複数の内部ホスト101と複数の
端末105間において同時通信を実現できる。
より実現されるので、複数の内部ホスト101と複数の
端末105間において同時通信を実現できる。
【0061】(C)第2の実施形態 続いて、第2の実施形態を説明する。ところで、前述の
第1の実施形態が有効に機能するには、内部ネットワー
クにおいて、受信先アドレスが端末の移動前アドレスI
2であるパケットがファイアウォールに届かなければな
らず、届かない場合には外部ネットワークに移動した端
末との間で通信できない。例えば、内部ホストと移動前
の端末との間の経路にファイアウォールが位置しない場
合には、ルータの経路制御テーブルを変更しないと、受
信先アドレスが端末の移動前アドレスI2であるパケッ
トをファイアウォールに届けることができない。そこ
で、次の実施形態を考える。
第1の実施形態が有効に機能するには、内部ネットワー
クにおいて、受信先アドレスが端末の移動前アドレスI
2であるパケットがファイアウォールに届かなければな
らず、届かない場合には外部ネットワークに移動した端
末との間で通信できない。例えば、内部ホストと移動前
の端末との間の経路にファイアウォールが位置しない場
合には、ルータの経路制御テーブルを変更しないと、受
信先アドレスが端末の移動前アドレスI2であるパケッ
トをファイアウォールに届けることができない。そこ
で、次の実施形態を考える。
【0062】(C−1)第2の実施形態の構成 図6は、第2の実施形態の構成図である。この通信シス
テムは、内部ホスト601、「通信路A」602、ファ
イアウォール603、「通信路B」604、端末605
からなる。ここで、「通信路A」602は、内部ホスト
601とファイアウォール603の間の通信路であり、
内部ネットワークの通信路である。「通信路B」604
は、ファイアウォール603と端末605の間の通信路
である。「通信路B」604は、外部ネットワークの通
信路である。
テムは、内部ホスト601、「通信路A」602、ファ
イアウォール603、「通信路B」604、端末605
からなる。ここで、「通信路A」602は、内部ホスト
601とファイアウォール603の間の通信路であり、
内部ネットワークの通信路である。「通信路B」604
は、ファイアウォール603と端末605の間の通信路
である。「通信路B」604は、外部ネットワークの通
信路である。
【0063】この実施形態では、第1の実施形態におい
てはファイアウォールに設けられていた3つの構成要素
のうち2つの構成要素が内部ホスト601側に設けるよ
うにしている。すなわち、本実施形態に係る内部ホスト
601は、セッション管理部606、トンネリング処理
部607を構成要素にもつ。
てはファイアウォールに設けられていた3つの構成要素
のうち2つの構成要素が内部ホスト601側に設けるよ
うにしている。すなわち、本実施形態に係る内部ホスト
601は、セッション管理部606、トンネリング処理
部607を構成要素にもつ。
【0064】一方、本実施形態に係るファイアウォール
603の構成要素は、セッション管理部608、アクセ
ス制御部609の2つである。
603の構成要素は、セッション管理部608、アクセ
ス制御部609の2つである。
【0065】本実施形態に係る端末605の構成要素
は、第1の実施形態の場合と同じ、すなわち、セッショ
ン管理部610、移動前情報記憶部611、トンネリン
グ処理部612の3つである。ここで、移動前情報記憶
部611は、端末605の移動前アドレスI2、内部ホ
スト601のアドレスI1を記憶している。
は、第1の実施形態の場合と同じ、すなわち、セッショ
ン管理部610、移動前情報記憶部611、トンネリン
グ処理部612の3つである。ここで、移動前情報記憶
部611は、端末605の移動前アドレスI2、内部ホ
スト601のアドレスI1を記憶している。
【0066】なお、本実施形態の場合には、2つのトン
ネルを用意する。1つは、内部ホスト601とファイア
ウォール603の間のトンネル613であり、1つは、
ファイアウォール603と端末605の間のトンネル6
14である。
ネルを用意する。1つは、内部ホスト601とファイア
ウォール603の間のトンネル613であり、1つは、
ファイアウォール603と端末605の間のトンネル6
14である。
【0067】内部ホスト601は、端末605のアドレ
スとして移動前アドレスI2を使用して、パケットをト
ンネリング処理部607と入出力する。
スとして移動前アドレスI2を使用して、パケットをト
ンネリング処理部607と入出力する。
【0068】端末605は、端末605のアドレスとし
て移動前アドレスI2を使用して、パケットをトンネリ
ング処理部612と入出力する。
て移動前アドレスI2を使用して、パケットをトンネリ
ング処理部612と入出力する。
【0069】セッション管理部608とセッション管理
部610は、互いに通信し、端末605の認証と鍵交換
をする。ここで、セッション管理部610は、セッショ
ン管理部608へ、端末605が外部ネットワークへ移
動したこと、移動後のアドレスがEであること、移動前
アドレスがI2であること、内部ホスト601のアドレ
スがI1であることを通知する。一方、セッション管理
部608は、セッション管理部606へ、端末605が
外部ネットワークへ移動したこと、移動後のアドレスが
Eであること、移動前アドレスがI2であること、及び
鍵を通知する。
部610は、互いに通信し、端末605の認証と鍵交換
をする。ここで、セッション管理部610は、セッショ
ン管理部608へ、端末605が外部ネットワークへ移
動したこと、移動後のアドレスがEであること、移動前
アドレスがI2であること、内部ホスト601のアドレ
スがI1であることを通知する。一方、セッション管理
部608は、セッション管理部606へ、端末605が
外部ネットワークへ移動したこと、移動後のアドレスが
Eであること、移動前アドレスがI2であること、及び
鍵を通知する。
【0070】トンネリング処理部607は、セッション
管理部608が交換した鍵を使用して、端末605宛て
のパケットを暗号処理しカプセル化する。また、トンネ
リング処理部607は、内部ホスト601宛てのパケッ
トを脱カプセル化し復号処理する。
管理部608が交換した鍵を使用して、端末605宛て
のパケットを暗号処理しカプセル化する。また、トンネ
リング処理部607は、内部ホスト601宛てのパケッ
トを脱カプセル化し復号処理する。
【0071】トンネリング処理部612は、セッション
管理部610が交換した鍵を使用して、内部ホスト60
1宛てのパケットを暗号処理しカプセル化する。また、
トンネリング処理部612は、端末605宛てのパケッ
トを脱カプセル化し復号処理する。
管理部610が交換した鍵を使用して、内部ホスト60
1宛てのパケットを暗号処理しカプセル化する。また、
トンネリング処理部612は、端末605宛てのパケッ
トを脱カプセル化し復号処理する。
【0072】アクセス制御部609は、受信するパケッ
トが、内部ホスト601と端末605の間の通信のパケ
ットであるかを判定する。アクセス制御部609は、内
部ホスト601と端末605の間の通信のパケットを中
継する。アクセス制御部609は、内部ホスト601と
端末605の間の通信ではないパケットを中継しない。
トが、内部ホスト601と端末605の間の通信のパケ
ットであるかを判定する。アクセス制御部609は、内
部ホスト601と端末605の間の通信のパケットを中
継する。アクセス制御部609は、内部ホスト601と
端末605の間の通信ではないパケットを中継しない。
【0073】(C−2)第2の実施形態の動作 続いて、図6に示す通信システムによって実現される通
信動作を説明する。
信動作を説明する。
【0074】(C−2−1)通信開始前の動作 まず、内部ホスト601と端末605が通信を開始する
までの動作を説明する。
までの動作を説明する。
【0075】セッション管理部608とセッション管理
部610が通信し、端末605の認証と鍵交換をする。
セッション管理部610は、セッション管理部608
ヘ、端末605が外部ネットワークへ移動したこと、移
動後のアドレスがEであること、移動前アドレスがI2
であること、内部ホスト601のアドレスがI1である
ことを通知する。セッション管理部608は、セッショ
ン管理部606へ、端末605が外部ネットワークへ移
動したこと、移動後のアドレスがEであること、移動前
アドレスがI2であること、及び鍵を通知する。これに
より、アクセス制御部609は、内部ホスト601と端
末605の間のパケットを中継するようになる。
部610が通信し、端末605の認証と鍵交換をする。
セッション管理部610は、セッション管理部608
ヘ、端末605が外部ネットワークへ移動したこと、移
動後のアドレスがEであること、移動前アドレスがI2
であること、内部ホスト601のアドレスがI1である
ことを通知する。セッション管理部608は、セッショ
ン管理部606へ、端末605が外部ネットワークへ移
動したこと、移動後のアドレスがEであること、移動前
アドレスがI2であること、及び鍵を通知する。これに
より、アクセス制御部609は、内部ホスト601と端
末605の間のパケットを中継するようになる。
【0076】(C−2−2)通信開始後の動作 次に、内部ホスト601と端末605が通信する時の動
作を説明する。
作を説明する。
【0077】なお、内部ホスト601から端末605へ
伝送されるパケット615の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット615
をカプセル化したパケット616の受信先アドレスは
E、送信元アドレスはI1となる。なお、パケット61
7は、パケット616と同一である。パケット618
は、パケット615と同一である。
伝送されるパケット615の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット615
をカプセル化したパケット616の受信先アドレスは
E、送信元アドレスはI1となる。なお、パケット61
7は、パケット616と同一である。パケット618
は、パケット615と同一である。
【0078】一方、端末605から内部ホスト601へ
伝送されるパケット619の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット619
をカプセル化したパケット620の受信先アドレスはI
1、送信元アドレスはEとなる。なお、パケット621
は、パケット620と同一である。パケット622は、
パケット619と同一である。
伝送されるパケット619の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット619
をカプセル化したパケット620の受信先アドレスはI
1、送信元アドレスはEとなる。なお、パケット621
は、パケット620と同一である。パケット622は、
パケット619と同一である。
【0079】(C−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト601から端末605にパケットを送
信する場合の動作を説明する。
の送信 まず、内部ホスト601から端末605にパケットを送
信する場合の動作を説明する。
【0080】内部ホスト601は、パケット615をト
ンネリング処理部607へ入力する。トンネリング処理
部607は、セッション管理部608が交換した鍵を使
用して、パケット615を暗号処理しカプセル化しパケ
ット616を得る。この時、パケット615の受信先ア
ドレスがI2であるので、パケット616の受信先アド
レスをEにする。トンネリング処理部607は、「通信
路A」602へパケット616を送信する。
ンネリング処理部607へ入力する。トンネリング処理
部607は、セッション管理部608が交換した鍵を使
用して、パケット615を暗号処理しカプセル化しパケ
ット616を得る。この時、パケット615の受信先ア
ドレスがI2であるので、パケット616の受信先アド
レスをEにする。トンネリング処理部607は、「通信
路A」602へパケット616を送信する。
【0081】ファイアウォール603のアクセス制御部
609は、「通信路A」602からパケット616を受
信する。アクセス制御部609は、パケット616が内
部ホスト601と端末605の間のパケットであると判
定する。アクセス制御部609は、「通信路B」604
へパケット617を送信する。トンネリング処理部61
2は、「通信路B」604からパケット617を受信す
る。トンネリング処理部612は、セッション管理部6
10が交換した鍵を使用して、パケット617を脱カプ
セル化し復号処理し、パケット618を得る。
609は、「通信路A」602からパケット616を受
信する。アクセス制御部609は、パケット616が内
部ホスト601と端末605の間のパケットであると判
定する。アクセス制御部609は、「通信路B」604
へパケット617を送信する。トンネリング処理部61
2は、「通信路B」604からパケット617を受信す
る。トンネリング処理部612は、セッション管理部6
10が交換した鍵を使用して、パケット617を脱カプ
セル化し復号処理し、パケット618を得る。
【0082】端末605は、トンネリング処理部612
からパケット618を得る。
からパケット618を得る。
【0083】(C−2−2−2)端末から内部ホストへ
の送信 逆に、端末605から内部ホスト601にパケットを送
信する場合の動作を説明する。
の送信 逆に、端末605から内部ホスト601にパケットを送
信する場合の動作を説明する。
【0084】端末605は、パケット619をトンネリ
ング処理部612に入力する。トンネリング処理部61
2は、セッション管理部610が交換した鍵を使用し
て、パケット619を暗号処理しカプセル化しパケット
620を得る。この時、パケット619の受信先アドレ
スがI1であるので、パケット620の受信先アドレス
をI1にする。
ング処理部612に入力する。トンネリング処理部61
2は、セッション管理部610が交換した鍵を使用し
て、パケット619を暗号処理しカプセル化しパケット
620を得る。この時、パケット619の受信先アドレ
スがI1であるので、パケット620の受信先アドレス
をI1にする。
【0085】ファイアウォール603のアクセス制御部
609は、パケット620が内部ホスト601と端末6
05の間のパケットであると判定し、パケット620を
中継する。
609は、パケット620が内部ホスト601と端末6
05の間のパケットであると判定し、パケット620を
中継する。
【0086】内部ホスト601のトンネリング処理部6
07は、セッション管理部608が交換した鍵を使用し
て、パケット621を脱カプセル化し復号処理しパケッ
ト622を得る。
07は、セッション管理部608が交換した鍵を使用し
て、パケット621を脱カプセル化し復号処理しパケッ
ト622を得る。
【0087】(C−3)第2の実施形態の効果 以上のように、第2の実施形態によれば、内部ホストと
端末との間にトンネルを設けるので、内部ネットワーク
において、受信先アドレスが端末の移動前アドレスI2
であるパケットがファイアウォールに届かない場合であ
っても、ルーティングテープルを変更することなく経路
制御をすることができる。これにより、外部ネットワー
クに移動した端末は任意の内部ホストにアクセスできる
ようになる。
端末との間にトンネルを設けるので、内部ネットワーク
において、受信先アドレスが端末の移動前アドレスI2
であるパケットがファイアウォールに届かない場合であ
っても、ルーティングテープルを変更することなく経路
制御をすることができる。これにより、外部ネットワー
クに移動した端末は任意の内部ホストにアクセスできる
ようになる。
【0088】また、第2の実施形態によれば、複数の内
部ホスト601と複数の端末605が同時に通信可能で
ある。
部ホスト601と複数の端末605が同時に通信可能で
ある。
【0089】(D)第3の実施形態 続いて、第3の実施形態を説明する。ところで、第2の
実施形態では、外部ネットワークにおいて、ヘッダに内
部ホストのアドレスを含むパケットを伝送する形態とな
るため、外部ネットワークにおいて内部ホストのアドレ
スを隠蔽できない。そこで、次の実施形態を考える。
実施形態では、外部ネットワークにおいて、ヘッダに内
部ホストのアドレスを含むパケットを伝送する形態とな
るため、外部ネットワークにおいて内部ホストのアドレ
スを隠蔽できない。そこで、次の実施形態を考える。
【0090】(D−1)第3の実施形態の構成 図7は、第3の実施形態の構成図である。この通信シス
テムの場合も基本構成は、内部ホスト701、「通信路
A」702、ファイアウォール703、「通信路B」7
04、端末705である。なお、図7は、図6との対応
部分に対応符号を付して示すもので、セッション管理部
706〜トンネリング処理部712は、それぞれ、図6
のセッション管理部606〜トンネリング処理部612
に対応している。これらの構成は、第2の実施形態の場
合と同様である。また、トンネル内のパケットを除く各
パケット715、718、719、722も、第2の実
施形態の場合と同様である。
テムの場合も基本構成は、内部ホスト701、「通信路
A」702、ファイアウォール703、「通信路B」7
04、端末705である。なお、図7は、図6との対応
部分に対応符号を付して示すもので、セッション管理部
706〜トンネリング処理部712は、それぞれ、図6
のセッション管理部606〜トンネリング処理部612
に対応している。これらの構成は、第2の実施形態の場
合と同様である。また、トンネル内のパケットを除く各
パケット715、718、719、722も、第2の実
施形態の場合と同様である。
【0091】従って、本実施形態と第2の実施形態との
違いは、本実施形態に係るファイアウォール703がア
ドレス変換部723を構成要素として有している点にあ
る。このアドレス変換部723は、ファイアウォール7
03のアクセス制御部709が中継するパケットのヘッ
ダアドレスを書き換える役割をもつものである。
違いは、本実施形態に係るファイアウォール703がア
ドレス変換部723を構成要素として有している点にあ
る。このアドレス変換部723は、ファイアウォール7
03のアクセス制御部709が中継するパケットのヘッ
ダアドレスを書き換える役割をもつものである。
【0092】(D−2)第3の実施形態の動作 続いて、図7に示す通信システムによって実現される通
信動作を説明する。なお、以下の説明では、第3の実施
形態の動作のうち、第2の実施形態の動作と異なる動作
を重点的に説明することにする。
信動作を説明する。なお、以下の説明では、第3の実施
形態の動作のうち、第2の実施形態の動作と異なる動作
を重点的に説明することにする。
【0093】(D−2−1)通信開始前の動作 まず、内部ホスト701と端末705が通信を開始する
までの動作であるが、これは、第2の実施形態の場合と
同様である。すなわち、セッション管理部706と70
8及びセッション管理部708と710の間で通信がな
され、端末705の移動が通知される。
までの動作であるが、これは、第2の実施形態の場合と
同様である。すなわち、セッション管理部706と70
8及びセッション管理部708と710の間で通信がな
され、端末705の移動が通知される。
【0094】(D−2−2)通信開始後の動作 次に、内部ホスト701と端末705が通信する時の動
作を説明する。
作を説明する。
【0095】ただし、この実施形態の場合には、内部ホ
スト701から端末705へ伝送されるパケット715
をカプセル化したパケット716の受信先アドレスがF
i、送信元アドレスがI1となる。しかも、このパケッ
ト716のアドレスは書き換えの対象となるので、パケ
ット717の受信先アドレスはE、送信元アドレスはF
eとなる。その反対に、端末705から内部ホスト70
1へ伝送されるパケット719をカプセル化したパケッ
ト720の受信先アドレスはFe、送信元アドレスはE
となる。また同様に、パケット721の受信先アドレス
はI1、送信元アドレスはFiとなる。
スト701から端末705へ伝送されるパケット715
をカプセル化したパケット716の受信先アドレスがF
i、送信元アドレスがI1となる。しかも、このパケッ
ト716のアドレスは書き換えの対象となるので、パケ
ット717の受信先アドレスはE、送信元アドレスはF
eとなる。その反対に、端末705から内部ホスト70
1へ伝送されるパケット719をカプセル化したパケッ
ト720の受信先アドレスはFe、送信元アドレスはE
となる。また同様に、パケット721の受信先アドレス
はI1、送信元アドレスはFiとなる。
【0096】(D−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト701から端末705にパケットを送
信する場合の動作を説明する。
の送信 まず、内部ホスト701から端末705にパケットを送
信する場合の動作を説明する。
【0097】アクセス制御部709がパケット716は
内部ホスト701と端末705の間の通信のパケットで
あると判定するまでの動作は、第2の実施形態の場合と
同様である。
内部ホスト701と端末705の間の通信のパケットで
あると判定するまでの動作は、第2の実施形態の場合と
同様である。
【0098】アクセス制御部709は、パケット716
をアドレス変換部723に入力する。アドレス変換部7
23は、パケット716のへッダのアドレスを書き換
え、パケット717を得る。この時、パケット716の
送信元アドレスがI1であるので、パケット717の受
信先アドレスをEにする。アドレス変換部723は、ア
クセス制御部709へパケット717を出力する。
をアドレス変換部723に入力する。アドレス変換部7
23は、パケット716のへッダのアドレスを書き換
え、パケット717を得る。この時、パケット716の
送信元アドレスがI1であるので、パケット717の受
信先アドレスをEにする。アドレス変換部723は、ア
クセス制御部709へパケット717を出力する。
【0099】端末705がパケット718を得るまでの
動作は、第2の実施形態と同様である。
動作は、第2の実施形態と同様である。
【0100】(D−2−2−2)端末から内部ホストへ
の送信 逆に、端末705から内部ホスト701にパケットを送
信する場合の動作を説明する。
の送信 逆に、端末705から内部ホスト701にパケットを送
信する場合の動作を説明する。
【0101】アクセス制御部709がパケット720が
内部ホスト701と端末705の間の通信のパケットで
あると判定するまでの動作は、第2の実施形態と同様で
ある。
内部ホスト701と端末705の間の通信のパケットで
あると判定するまでの動作は、第2の実施形態と同様で
ある。
【0102】アクセス制御部709は、パケット720
をアドレス変換部723に入力する。アドレス変換部7
23は、パケット720のへッダのアドレスを書き換
え、パケット721を得る。この時、パケット720の
送信元アドレスがEであるので、パケット721の受信
先アドレスをI1にする。
をアドレス変換部723に入力する。アドレス変換部7
23は、パケット720のへッダのアドレスを書き換
え、パケット721を得る。この時、パケット720の
送信元アドレスがEであるので、パケット721の受信
先アドレスをI1にする。
【0103】アドレス変換部723は、アクセス制御部
709にパケット721を出力する。内部ホスト701
がパケット722を得るまでの動作は、第2の実施形態
と同様である。
709にパケット721を出力する。内部ホスト701
がパケット722を得るまでの動作は、第2の実施形態
と同様である。
【0104】(D−3)第3の実施形態の効果 以上のように、第3の実施形態によれば、ファイアウォ
ールにアドレスを変換する機能を備えたので、外部ネッ
トワークに、内部ホストのアドレスを隠蔽できるという
効果が得られる。
ールにアドレスを変換する機能を備えたので、外部ネッ
トワークに、内部ホストのアドレスを隠蔽できるという
効果が得られる。
【0105】(E)第4の実施形態 続いて、第4の実施形態を説明する。ところで、第3の
実施形態では、内部ホスト701から端末705へパケ
ットを送信する場合に、パケット716の送信元アドレ
ス11により、パケット717の受信先アドレスEを決
定する。また、端末705から内部ホスト701へパケ
ットを送信する場合に、パケット720の送信元アドレ
スEにより、パケット721の受信先アドレスI1を決
定する。従って、外部ネットワークに移動した端末70
5が、ある内部ホスト701と通信中の場合には、外部
ネットワークに移動した他の端末705は、同じ内部ホ
スト701と同時に通信を行うことができない。そこ
で、次の構成を考える。
実施形態では、内部ホスト701から端末705へパケ
ットを送信する場合に、パケット716の送信元アドレ
ス11により、パケット717の受信先アドレスEを決
定する。また、端末705から内部ホスト701へパケ
ットを送信する場合に、パケット720の送信元アドレ
スEにより、パケット721の受信先アドレスI1を決
定する。従って、外部ネットワークに移動した端末70
5が、ある内部ホスト701と通信中の場合には、外部
ネットワークに移動した他の端末705は、同じ内部ホ
スト701と同時に通信を行うことができない。そこ
で、次の構成を考える。
【0106】(E−1)第4の実施形態の構成 図8は、第4の実施形態の構成図である。この通信シス
テムの場合も基本構成は、内部ホスト801、「通信路
A」802、ファイアウォール803、「通信路B」8
04、端末805である。また、図7との対応部分に対
応符号を付して示した図8から分かるように、これらを
構成する各構成要素も基本的には、第3の実施形態と同
じである。
テムの場合も基本構成は、内部ホスト801、「通信路
A」802、ファイアウォール803、「通信路B」8
04、端末805である。また、図7との対応部分に対
応符号を付して示した図8から分かるように、これらを
構成する各構成要素も基本的には、第3の実施形態と同
じである。
【0107】本実施形態が第3の実施形態と異なってい
るのは、ファイアウォール803が、外部ネットワーク
に接続しているネットワーク・インターフェースのアド
レスと内部ネットワークに接続しているネットワーク・
インターフェースのアドレスをそれぞれ複数有する点で
ある。すなわち、ファイアウォール803は、外部ネッ
トワークに接続しているネットワーク・インターフェー
スのアドレスとしてFe1〜Fen(n>1)を有し、
内部ネットワークに接続しているネットワーク・インタ
ーフェースのアドレスとしてFi1〜Fim(m>1)
を有する点である。
るのは、ファイアウォール803が、外部ネットワーク
に接続しているネットワーク・インターフェースのアド
レスと内部ネットワークに接続しているネットワーク・
インターフェースのアドレスをそれぞれ複数有する点で
ある。すなわち、ファイアウォール803は、外部ネッ
トワークに接続しているネットワーク・インターフェー
スのアドレスとしてFe1〜Fen(n>1)を有し、
内部ネットワークに接続しているネットワーク・インタ
ーフェースのアドレスとしてFi1〜Fim(m>1)
を有する点である。
【0108】この点について生じる違いを説明する。セ
ッション管理部808とセッション管理部810は、互
いに通信し、端末805の認証と鍵交換をする。ここ
で、セッション管理部810は、セッション管理部80
8ヘ、端末805が外部ネットワークへ移動したこと、
移動後のアドレスがEであること、移動前アドレスがI
2であること、内部ホスト801のアドレスがI1であ
ることを通知する。
ッション管理部808とセッション管理部810は、互
いに通信し、端末805の認証と鍵交換をする。ここ
で、セッション管理部810は、セッション管理部80
8ヘ、端末805が外部ネットワークへ移動したこと、
移動後のアドレスがEであること、移動前アドレスがI
2であること、内部ホスト801のアドレスがI1であ
ることを通知する。
【0109】セッション管理部808は、複数のアドレ
スFe1〜Fenのうち、その時点で使用していないア
ドレスFeiを求める。セッション管理部808は、F
i1〜Fimのうち、その時点で使用していないアドレ
スFijを求める。セッション管理部808は、セッシ
ョン管理部810に、内部ホスト801と端末805の
通信で使用するファイアウォール803の外部アドレス
がFeiであることを通知する。
スFe1〜Fenのうち、その時点で使用していないア
ドレスFeiを求める。セッション管理部808は、F
i1〜Fimのうち、その時点で使用していないアドレ
スFijを求める。セッション管理部808は、セッシ
ョン管理部810に、内部ホスト801と端末805の
通信で使用するファイアウォール803の外部アドレス
がFeiであることを通知する。
【0110】セッション管理部808は、セッション管
理部806へ、端末805が外部ネットワークへ移動し
たこと、移動前アドレスがI2であること、内部ホスト
801と端末805の通信で使用するファイアウォール
803の内部アドレスがFijであること、鍵を通知す
る。
理部806へ、端末805が外部ネットワークへ移動し
たこと、移動前アドレスがI2であること、内部ホスト
801と端末805の通信で使用するファイアウォール
803の内部アドレスがFijであること、鍵を通知す
る。
【0111】(E−2)第4の実施形態の動作 続いて、図8に示す通信システムによって実現される通
信動作を説明する。なお、以下の説明では、第4の実施
形態の動作のうち、第3の実施形態の動作と異なる動作
を重点的に説明することにする。
信動作を説明する。なお、以下の説明では、第4の実施
形態の動作のうち、第3の実施形態の動作と異なる動作
を重点的に説明することにする。
【0112】(E−2−1)通信開始前の動作 まず、内部ホスト801と端末805が通信を開始する
までの動作を説明する。
までの動作を説明する。
【0113】セッション管理部808とセッション管理
部810は、互いに通信し、端末805の認証と鍵交換
をする。セッション管理部810は、セッション管理部
808へ、端末805が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であること、内部ホスト801のアドレスがI1
であることを通知する。
部810は、互いに通信し、端末805の認証と鍵交換
をする。セッション管理部810は、セッション管理部
808へ、端末805が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であること、内部ホスト801のアドレスがI1
であることを通知する。
【0114】セッション管理部808は、複数有するF
e1〜Fenのうち、その時点で使用していないアドレ
スFeiを求める。セッション管理部808は、Fi1
〜Fimのうち、その時点で使用していないアドレスF
ij求める。
e1〜Fenのうち、その時点で使用していないアドレ
スFeiを求める。セッション管理部808は、Fi1
〜Fimのうち、その時点で使用していないアドレスF
ij求める。
【0115】セッション管理部808は、セッション管
理部810へ、内部ホスト801と端末805の通信で
使用するファイアウォール803の外部アドレスがFe
iであることを通知する。また、セッション管理部80
8は、セッション管理部806ヘ、端末805が外部ネ
ットワークへ移動したこと、移動前アドレスがI2であ
ること、内部ホスト801と端末805の通信で使用す
るファイアウォール803の内部アドレスがFijであ
ること、鍵を通知する。
理部810へ、内部ホスト801と端末805の通信で
使用するファイアウォール803の外部アドレスがFe
iであることを通知する。また、セッション管理部80
8は、セッション管理部806ヘ、端末805が外部ネ
ットワークへ移動したこと、移動前アドレスがI2であ
ること、内部ホスト801と端末805の通信で使用す
るファイアウォール803の内部アドレスがFijであ
ること、鍵を通知する。
【0116】(E−2−2)通信開始後の動作 次に、内部ホスト801と端末805が通信する場合の
動作を説明する。なおここでは、第4の実施形態の動作
のうち、第2の実施形態の動作とは異なる動作を説明す
る。
動作を説明する。なおここでは、第4の実施形態の動作
のうち、第2の実施形態の動作とは異なる動作を説明す
る。
【0117】なお、内部ホスト801から端末805へ
伝送されるパケット815の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット815
をカプセル化したパケット816の受信先アドレスはF
ij、送信元アドレスはI1となる。なお、パケット8
17は、パケット816のヘッダのアドレスを書き換え
たパケットであり、その受信先アドレスはE、送信元ア
ドレスはFeiである。パケット818は、パケット8
15と同一である。
伝送されるパケット815の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット815
をカプセル化したパケット816の受信先アドレスはF
ij、送信元アドレスはI1となる。なお、パケット8
17は、パケット816のヘッダのアドレスを書き換え
たパケットであり、その受信先アドレスはE、送信元ア
ドレスはFeiである。パケット818は、パケット8
15と同一である。
【0118】一方、端末805から内部ホスト801へ
伝送されるパケット819の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット819
をカプセル化したパケット820の受信先アドレスはF
ei、送信元アドレスはEとなる。パケット821は、
パケット820のヘッダのアドレスを書き換えたパケッ
トであり、その受信先アドレスはI1、送信元アドレス
はFijとなる。パケット822は、パケット819と
同一である。
伝送されるパケット819の受信先アドレスはI1、送
信元アドレスはI2となる。また、このパケット819
をカプセル化したパケット820の受信先アドレスはF
ei、送信元アドレスはEとなる。パケット821は、
パケット820のヘッダのアドレスを書き換えたパケッ
トであり、その受信先アドレスはI1、送信元アドレス
はFijとなる。パケット822は、パケット819と
同一である。
【0119】(E−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト801から端末805にパケットを送
信する場合の動作を説明する。
の送信 まず、内部ホスト801から端末805にパケットを送
信する場合の動作を説明する。
【0120】トンネリング処理部807は、パケット8
15の受信先アドレスがI2であるので、パケット81
6の受信先アドレスをFijにする。
15の受信先アドレスがI2であるので、パケット81
6の受信先アドレスをFijにする。
【0121】ファイアウォール803のアドレス変換部
823は、パケット816の受信先アドレスがFijで
あるので、パケット817の受信先アドレスをEにす
る。
823は、パケット816の受信先アドレスがFijで
あるので、パケット817の受信先アドレスをEにす
る。
【0122】(E−2−2−2)端末から内部ホストへ
の送信 逆に、端末805から内部ホスト801にパケットを送
信する場合の動作を説明する。
の送信 逆に、端末805から内部ホスト801にパケットを送
信する場合の動作を説明する。
【0123】トンネリング処理部812は、パケット8
19の受信先アドレスがI1であるので、パケット82
0の受信先アドレスをFeiにする。
19の受信先アドレスがI1であるので、パケット82
0の受信先アドレスをFeiにする。
【0124】ファイアウォール803のアドレス変換部
823は、パケット820の受信先アドレスがFeiで
あるので、パケット821の受信先アドレスをI1にす
る。
823は、パケット820の受信先アドレスがFeiで
あるので、パケット821の受信先アドレスをI1にす
る。
【0125】(E−3)第4の実施形態の効果 以上のように、第4の実施形態によれば、ファイアウォ
ールの外部アドレスと内部アドレスを複数にしたので、
複数の内部ホストと複数の端末が同時に通信可能となる
効果が得られる。
ールの外部アドレスと内部アドレスを複数にしたので、
複数の内部ホストと複数の端末が同時に通信可能となる
効果が得られる。
【0126】(F)第5の実施形態 続いて、第5の実施形態を説明する。ところで、第4の
実施形態では、ファイアウォールに複数の外部アドレス
と複数の内部アドレスを割り当てる必要がある。そこ
で、次の構成を考える。
実施形態では、ファイアウォールに複数の外部アドレス
と複数の内部アドレスを割り当てる必要がある。そこ
で、次の構成を考える。
【0127】(F−1)第5の実施形態の構成 従来技術に示した文献においては、カプセル化した後の
パケットのヘッダには、受信先アドレスと送信元アドレ
ス以外に、SPI(Security Parameters Index)を含
む。SPIにより、使用する暗号アルゴリズムや鍵など
のセキュリティに関係するパラメータを表している。パ
ケットを受信するコンピュータは、SPIを決めて、パ
ケットを送信するコンピュータに、SPIを通知する。
パケットのヘッダには、受信先アドレスと送信元アドレ
ス以外に、SPI(Security Parameters Index)を含
む。SPIにより、使用する暗号アルゴリズムや鍵など
のセキュリティに関係するパラメータを表している。パ
ケットを受信するコンピュータは、SPIを決めて、パ
ケットを送信するコンピュータに、SPIを通知する。
【0128】そこで、第5の実施形態においては、パケ
ットがどの内部ホストとどの端末の間の通信のパケット
であるかを、SPIにより表すことにする。
ットがどの内部ホストとどの端末の間の通信のパケット
であるかを、SPIにより表すことにする。
【0129】図9は、第5の実施形態の構成図である。
図9は、第3の実施形態の説明に用いた図7との対応部
分に対応符号を付したものである。従って、ここでは、
本実施形態の構成のうち、第3の実施形態の構成と異な
る部分を説明する。
図9は、第3の実施形態の説明に用いた図7との対応部
分に対応符号を付したものである。従って、ここでは、
本実施形態の構成のうち、第3の実施形態の構成と異な
る部分を説明する。
【0130】セッション管理部908とセッション管理
部910は、互いに通信し、端末905の認証と鍵交換
をする。
部910は、互いに通信し、端末905の認証と鍵交換
をする。
【0131】セッション管理部910は、内部ホスト9
01が端末905へ送信するパケットのSPI(ここで
はBとする。)を求める。セッション管理部910は、
セッション管理部908へ、端末905が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、内部ホスト90
1のアドレスがI1であること、内部ホスト901が端
末905へ送信するパケットのSPIがBであることを
通知する。
01が端末905へ送信するパケットのSPI(ここで
はBとする。)を求める。セッション管理部910は、
セッション管理部908へ、端末905が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、内部ホスト90
1のアドレスがI1であること、内部ホスト901が端
末905へ送信するパケットのSPIがBであることを
通知する。
【0132】セッション管理部908は、セッション管
理部906ヘ、端末905が外部ネットワークヘ移動し
たこと、移動後のアドレスがEであること、移動前アド
レスがI2であること、内部ホスト901が端末905
へ送信するパケットのSPIがBであること、鍵を通知
する。
理部906ヘ、端末905が外部ネットワークヘ移動し
たこと、移動後のアドレスがEであること、移動前アド
レスがI2であること、内部ホスト901が端末905
へ送信するパケットのSPIがBであること、鍵を通知
する。
【0133】セッション管理部906は、端末905が
内部ホスト901へ送信するパケットのSPI(ここで
は、Aとする。)を求める。セッション管理部906
は、セッション管理部908へ、端末905が内部ホス
ト901へ送信するパケットのSPIがAであることを
通知する。セッション管理部908は、セッション管理
部910へ、端末905が内部ホスト901へ送信する
パケットのSPIがAであることを通知する。
内部ホスト901へ送信するパケットのSPI(ここで
は、Aとする。)を求める。セッション管理部906
は、セッション管理部908へ、端末905が内部ホス
ト901へ送信するパケットのSPIがAであることを
通知する。セッション管理部908は、セッション管理
部910へ、端末905が内部ホスト901へ送信する
パケットのSPIがAであることを通知する。
【0134】トンネリング処理部907は、パケット9
15をカプセル化する時に、SPIをBにする。トンネ
リング処理部912は、パケット919をカプセル化す
る時に、SPIをAにする。
15をカプセル化する時に、SPIをBにする。トンネ
リング処理部912は、パケット919をカプセル化す
る時に、SPIをAにする。
【0135】アドレス変換部923は、SPIにより、
パケットのヘッダのアドレスを書き換える。
パケットのヘッダのアドレスを書き換える。
【0136】(F−2)第5の実施形態の動作 続いて、図9に示す通信システムによって実現される通
信動作を説明する。
信動作を説明する。
【0137】(F−2−1)通信開始前の動作 まず、内部ホスト901と端末905が通信を開始する
までの動作を説明する。
までの動作を説明する。
【0138】セッション管理部908とセッション管理
部910は、互いに通信し、端末905の認証と鍵交換
をする。
部910は、互いに通信し、端末905の認証と鍵交換
をする。
【0139】セッション管理部910は、内部ホスト9
01が端末905へ送信するパケットのSPI(ここで
はBとする。)を求める。セッション管理部910は、
セッション管理部908へ、端末905が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、内部ホスト90
1のアドレスがI1であること、内部ホスト901が端
末905へ送信するパケットのSPIがBであることを
通知する。
01が端末905へ送信するパケットのSPI(ここで
はBとする。)を求める。セッション管理部910は、
セッション管理部908へ、端末905が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、内部ホスト90
1のアドレスがI1であること、内部ホスト901が端
末905へ送信するパケットのSPIがBであることを
通知する。
【0140】セッション管理部908は、セッション管
理部906ヘ、端末905が外部ネットワークへ移動し
たこと、移動前アドレスがI2であること、内部ホスト
901が端末905へ送信するパケットのSPIがBで
あること、鍵を通知する。
理部906ヘ、端末905が外部ネットワークへ移動し
たこと、移動前アドレスがI2であること、内部ホスト
901が端末905へ送信するパケットのSPIがBで
あること、鍵を通知する。
【0141】セッション管理部906は、端末905が
内部ホスト901へ送信するパケットのSPI(ここで
は、Aとする。)を求める。セッション管理部906
は、セッション管理部908へ、端末905が内部ホス
ト901へ送信するパケットのSPIがAであることを
通知する。
内部ホスト901へ送信するパケットのSPI(ここで
は、Aとする。)を求める。セッション管理部906
は、セッション管理部908へ、端末905が内部ホス
ト901へ送信するパケットのSPIがAであることを
通知する。
【0142】セッション管理部908は、セッション管
理部910ヘ、端末905が内部ホスト901へ送信す
るパケットのSPIがAであることを通知する。
理部910ヘ、端末905が内部ホスト901へ送信す
るパケットのSPIがAであることを通知する。
【0143】(F−2−2)通信開始後の動作 次に、内部ホスト901と端末905が送信する場合の
動作を説明する。なおここでは、第5の実施形態の動作
のうち、第3の実施形態の動作とは異なる動作を説明す
る。
動作を説明する。なおここでは、第5の実施形態の動作
のうち、第3の実施形態の動作とは異なる動作を説明す
る。
【0144】なお、内部ホスト901から端末905へ
伝送されるパケット915の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット915
をカプセル化したパケット916の受信先アドレスはF
i、送信元アドレスはI1、SPIはBである。パケッ
ト917は、パケット916のヘッダのアドレスを書き
換えたパケットであり、受信先アドレスはE、送信元ア
ドレスはFe、SPIはBである。パケット918は、
パケット915と同一である。
伝送されるパケット915の受信先アドレスはI2、送
信元アドレスはI1となる。また、このパケット915
をカプセル化したパケット916の受信先アドレスはF
i、送信元アドレスはI1、SPIはBである。パケッ
ト917は、パケット916のヘッダのアドレスを書き
換えたパケットであり、受信先アドレスはE、送信元ア
ドレスはFe、SPIはBである。パケット918は、
パケット915と同一である。
【0145】一方、端末905から内部ホスト901へ
伝送されるパケット919の受信先アドレスはI1、送
信元アドレスはI2となる。パケット920は、このパ
ケット919をカプセル化したパケットであり、その受
信先アドレスはFe、送信元アドレスはE、SPIはA
となる。パケット921は、パケット920のヘッダの
アドレスを書き換えたパケットであり、受信先アドレス
はI1、送信元アドレスはFi、SPIはAである。パ
ケット922は、パケット919と同一である。
伝送されるパケット919の受信先アドレスはI1、送
信元アドレスはI2となる。パケット920は、このパ
ケット919をカプセル化したパケットであり、その受
信先アドレスはFe、送信元アドレスはE、SPIはA
となる。パケット921は、パケット920のヘッダの
アドレスを書き換えたパケットであり、受信先アドレス
はI1、送信元アドレスはFi、SPIはAである。パ
ケット922は、パケット919と同一である。
【0146】(F−2−2−1)内部ホストから端末へ
の送信 内部ホスト901から端末905にパケットを送信する
場合の動作を説明する。
の送信 内部ホスト901から端末905にパケットを送信する
場合の動作を説明する。
【0147】内部ホスト901は、パケット915をト
ンネリング処理部907に入力する。トンネリング処理
部907は、パケット915を暗号処理しカプセル化し
パケット916を得る。この時、パケット915の受信
先アドレスがI2であるので、パケット916のSPI
をBとする。トンネリング処理部907はパケット91
6を「通信路A」902に送信する。
ンネリング処理部907に入力する。トンネリング処理
部907は、パケット915を暗号処理しカプセル化し
パケット916を得る。この時、パケット915の受信
先アドレスがI2であるので、パケット916のSPI
をBとする。トンネリング処理部907はパケット91
6を「通信路A」902に送信する。
【0148】ファイアウォール903のアクセス制御部
909は、「通信路A」902からパケット916を受
信する。アクセス制御部909は、パケット916をア
ドレス変換部923に入力する。アドレス変換部923
は、パケット916のヘッダのアドレスを書き換え、パ
ケット917を得る。この時、パケット916のSPI
がBであることから、パケット917の受信先アドレス
をEとする。
909は、「通信路A」902からパケット916を受
信する。アクセス制御部909は、パケット916をア
ドレス変換部923に入力する。アドレス変換部923
は、パケット916のヘッダのアドレスを書き換え、パ
ケット917を得る。この時、パケット916のSPI
がBであることから、パケット917の受信先アドレス
をEとする。
【0149】端末905がパケット918を得るまでの
動作は、第3の実施形態と同様である。
動作は、第3の実施形態と同様である。
【0150】(F−2−2−2)端末から内部ホストへ
の送信 逆に、端末905から内部ホスト901にパケットを送
信する場合の動作を説明する。
の送信 逆に、端末905から内部ホスト901にパケットを送
信する場合の動作を説明する。
【0151】端末905は、パケット919をトンネリ
ング処理部912へ入力する。トンネリング処理部91
2は、パケット919を暗号処理しカプセル化しパケッ
ト920を得る。この時、パケット919の受信先アド
レスがI1であるので、パケット920のSPIをAと
する。トンネリング処理部912は、「通信路B」90
4にパケット920を送信する。
ング処理部912へ入力する。トンネリング処理部91
2は、パケット919を暗号処理しカプセル化しパケッ
ト920を得る。この時、パケット919の受信先アド
レスがI1であるので、パケット920のSPIをAと
する。トンネリング処理部912は、「通信路B」90
4にパケット920を送信する。
【0152】ファイアウォール903のアクセス制御部
909は、「通信路B」904からパケット920を受
信する。アクセス制御部909は、パケット920をア
ドレス変換部923に入力する。アドレス変換部923
は、パケット920のヘッダのアドレスを書き換えパケ
ット921を得る。この時、パケット920のSPIが
Aであることから、パケット921の受信先アドレスを
I1とする。
909は、「通信路B」904からパケット920を受
信する。アクセス制御部909は、パケット920をア
ドレス変換部923に入力する。アドレス変換部923
は、パケット920のヘッダのアドレスを書き換えパケ
ット921を得る。この時、パケット920のSPIが
Aであることから、パケット921の受信先アドレスを
I1とする。
【0153】内部ホスト901がパケット922を得る
までの動作は、実施形態3の動作と同様である。
までの動作は、実施形態3の動作と同様である。
【0154】(F−3)第5の実施形態の効果 以上のように、第5の実施形態によれば、パケットヘッ
ダに書き込まれているSPIにより、パケットがどの内
部ホストとどの端末の間の通信のパケットであるかを表
すようにしたので、ファイアウォールに複数の外部アド
レスと複数の内部アドレスを割り当てなくても、複数の
内部ホストと複数の端末が同時に通信可能となる効果が
得られる。
ダに書き込まれているSPIにより、パケットがどの内
部ホストとどの端末の間の通信のパケットであるかを表
すようにしたので、ファイアウォールに複数の外部アド
レスと複数の内部アドレスを割り当てなくても、複数の
内部ホストと複数の端末が同時に通信可能となる効果が
得られる。
【0155】(G)第6の実施形態 続いて、第6の実施形態を説明する。ところで、第2、
第3、第4、第5の実施形態では、内部ネットワークの
あるサブネットに位置する端末を、内部ネットワークの
他のサブネットへ移動すると、端末のアドレスが変化す
るので、端末は移動前のサービス利用権限で内部ホスト
が提供するサービスを利用できなくなることがある。そ
こで、次の構成を考える。
第3、第4、第5の実施形態では、内部ネットワークの
あるサブネットに位置する端末を、内部ネットワークの
他のサブネットへ移動すると、端末のアドレスが変化す
るので、端末は移動前のサービス利用権限で内部ホスト
が提供するサービスを利用できなくなることがある。そ
こで、次の構成を考える。
【0156】なお、第6の実施形態では、端末が外部ネ
ットワークに移動する場合に係る構成と動作は、第2の
実施形態と同様である。以下では、第6の実施形態の構
成と動作のうち、第2の実施形態の構成と動作とは異な
る構成と動作を説明する。
ットワークに移動する場合に係る構成と動作は、第2の
実施形態と同様である。以下では、第6の実施形態の構
成と動作のうち、第2の実施形態の構成と動作とは異な
る構成と動作を説明する。
【0157】(G−1)第6の実施形態の構成 図10は、第6の実施形態の構成図である。図10に
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネット(サブネット
A)ヘ移動する場合に係る構成要素のみを示してある。
また、図10は、端末を外部ネットワークへ移動する場
合に係る構成要素の一部を示したものである。従って、
図10では、内部ホスト1001、「通信路C」100
2、端末1003の3つのみを示している。
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネット(サブネット
A)ヘ移動する場合に係る構成要素のみを示してある。
また、図10は、端末を外部ネットワークへ移動する場
合に係る構成要素の一部を示したものである。従って、
図10では、内部ホスト1001、「通信路C」100
2、端末1003の3つのみを示している。
【0158】本実施形態に係る内部ホスト1001は、
外部セッション管理部1004、内部セッション管理部
1005、トンネリング処理部1006を構成要素とし
てもつ。
外部セッション管理部1004、内部セッション管理部
1005、トンネリング処理部1006を構成要素とし
てもつ。
【0159】本実施形態に係る端末1003は、内部セ
ッション管理部1007、外部セッション管理部100
8、移動前情報記憶部1009、トンネリング処理部1
010を構成要素としてもつ。
ッション管理部1007、外部セッション管理部100
8、移動前情報記憶部1009、トンネリング処理部1
010を構成要素としてもつ。
【0160】また、内部ホスト1001と端末1003
の間にトンネル1011を設ける。
の間にトンネル1011を設ける。
【0161】ここで、「通信路C」1002は、内部ホ
スト1001と端末1003の間の通信路である。すな
わち、「通信路C」1002は、内部ネットワークの通
信路である。
スト1001と端末1003の間の通信路である。すな
わち、「通信路C」1002は、内部ネットワークの通
信路である。
【0162】また、第2の実施形態と同様、ファイアウ
ォールの構成要素は、セッション管理部とアクセス制御
部である。内部ホスト1001とファイアウォールとの
間には、「通信路A」とトンネルがある。ファイアウォ
ールと外部ネットワークに移動した端末との間には、
「通信路B」とトンネルがある。
ォールの構成要素は、セッション管理部とアクセス制御
部である。内部ホスト1001とファイアウォールとの
間には、「通信路A」とトンネルがある。ファイアウォ
ールと外部ネットワークに移動した端末との間には、
「通信路B」とトンネルがある。
【0163】外部セッション管理部1008とファイア
ウォールのセッション管理部は、互いに通信し、外部ネ
ットワークに移動した端末の認証と鍵交換をする。外部
セッション管理部1008は、ファイアウォールのセッ
ション管理部へ、端末が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であること、内部ホスト1001のアドレスがI
1であることを、通知する。
ウォールのセッション管理部は、互いに通信し、外部ネ
ットワークに移動した端末の認証と鍵交換をする。外部
セッション管理部1008は、ファイアウォールのセッ
ション管理部へ、端末が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であること、内部ホスト1001のアドレスがI
1であることを、通知する。
【0164】ファイアウォールのセッション管理部は、
外部セッション管理部1004へ、端末が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、鍵を通知する。
外部セッション管理部1004へ、端末が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、鍵を通知する。
【0165】内部セッション管理部1005と内部セッ
ション管理部1007は、互いに通信し、端末1003
の認証と鍵交換をする。内部セッション管理部1007
は、内部セッション管理部1005ヘ、端末1003が
内部ネットワークの他のサブネットに移動したこと、移
動後のアドレスがI2’であること、移動前アドレスが
I2であることを通知する。
ション管理部1007は、互いに通信し、端末1003
の認証と鍵交換をする。内部セッション管理部1007
は、内部セッション管理部1005ヘ、端末1003が
内部ネットワークの他のサブネットに移動したこと、移
動後のアドレスがI2’であること、移動前アドレスが
I2であることを通知する。
【0166】トンネリング処理部1006は、内部セッ
ション管理部1005が交換した鍵を使用して、端末1
003宛てのパケットを暗号処理してカプセル化する。
ション管理部1005が交換した鍵を使用して、端末1
003宛てのパケットを暗号処理してカプセル化する。
【0167】また、トンネリング処理部1006は、外
部セッション管理部1004が交換した鍵を使用して、
外部ネットワークへ移動した端末宛てのパケットを暗号
処理してカプセル化する。トンネリング処理部1006
は、内部ホスト1001宛てのパケットを脱カプセル化
し復号処理する。
部セッション管理部1004が交換した鍵を使用して、
外部ネットワークへ移動した端末宛てのパケットを暗号
処理してカプセル化する。トンネリング処理部1006
は、内部ホスト1001宛てのパケットを脱カプセル化
し復号処理する。
【0168】トンネリング処理部1010は、内部セッ
ション管理部1007が交換した鍵を使用して、内部ホ
スト1001宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1010は、外部セッシ
ョン管理部1008が交換した鍵を使用して、内部ホス
ト1001宛てのパケットを暗号処理しカプセル化す
る。トンネリング処理部1010は、端末1003宛て
のパケットを脱カプセル化し復号処理する。
ション管理部1007が交換した鍵を使用して、内部ホ
スト1001宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1010は、外部セッシ
ョン管理部1008が交換した鍵を使用して、内部ホス
ト1001宛てのパケットを暗号処理しカプセル化す
る。トンネリング処理部1010は、端末1003宛て
のパケットを脱カプセル化し復号処理する。
【0169】(G−2)第6の実施形態の動作 続いて、図10に示す通信システムによって実現される
通信動作を説明する。
通信動作を説明する。
【0170】(G−2−1)通信開始前の動作 まず、内部ホスト1001と端末1003の通信の開始
における動作を説明する。
における動作を説明する。
【0171】内部セッション管理部1005と内部セッ
ション管理部1007は、互いに通信し、端末1003
の認証と鍵交換をする。
ション管理部1007は、互いに通信し、端末1003
の認証と鍵交換をする。
【0172】内部セッション管理部1007は、内部セ
ッション管理部1005に、端末1003が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
ッション管理部1005に、端末1003が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
【0173】(G−2−2)通信開始後の動作 次に、内部ホスト1001と端末1003が通信をする
時の動作を説明する。
時の動作を説明する。
【0174】なお、内部ホスト1001から端末100
3へ伝送されるパケット1012の受信先アドレスはI
2、送信元アドレスはI1となる。また、このパケット
10012をカプセル化したパケット1013の受信先
アドレスはI2’、送信元アドレスはI1である。パケ
ット1014は、パケット1012と同一である。
3へ伝送されるパケット1012の受信先アドレスはI
2、送信元アドレスはI1となる。また、このパケット
10012をカプセル化したパケット1013の受信先
アドレスはI2’、送信元アドレスはI1である。パケ
ット1014は、パケット1012と同一である。
【0175】一方、端末1003から内部ホスト100
1へ伝送されるパケット1015の受信先アドレスはI
1、送信元アドレスはI2となる。パケット1016
は、このパケット1015をカプセル化したパケットで
あり、その受信先アドレスはI1、送信元アドレスはI
2’となる。パケット1017は、パケット1015と
同一である。
1へ伝送されるパケット1015の受信先アドレスはI
1、送信元アドレスはI2となる。パケット1016
は、このパケット1015をカプセル化したパケットで
あり、その受信先アドレスはI1、送信元アドレスはI
2’となる。パケット1017は、パケット1015と
同一である。
【0176】(G−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト1001から端末1003へパケット
を送信する場合の動作を説明する。
の送信 まず、内部ホスト1001から端末1003へパケット
を送信する場合の動作を説明する。
【0177】内部ホスト1001は、トンネリング処理
部1006にパケット1012を入力する。トンネリン
グ処理部1006は、パケット1012を暗号処理しカ
プセル化しパケット1013を得る。この時、パケット
1012の受信先アドレスがI2であるので、パケット
1013の受信先アドレスを12’にする。トンネリン
グ処理部1006は、「通信路C」1002にパケット
1013を送信する。トンネリング処理部1010は、
「通信路C」1002からパケット1013を受信す
る。
部1006にパケット1012を入力する。トンネリン
グ処理部1006は、パケット1012を暗号処理しカ
プセル化しパケット1013を得る。この時、パケット
1012の受信先アドレスがI2であるので、パケット
1013の受信先アドレスを12’にする。トンネリン
グ処理部1006は、「通信路C」1002にパケット
1013を送信する。トンネリング処理部1010は、
「通信路C」1002からパケット1013を受信す
る。
【0178】トンネリング処理部1010は、パケット
1013を脱カプセル化し復号処理しパケット1014
を得る。
1013を脱カプセル化し復号処理しパケット1014
を得る。
【0179】(G−2−2−2)端末から内部ホストへ
の送信 逆に、端末1003から内部ホスト1001へパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1003から内部ホスト1001へパケット
を送信する場合の動作を説明する。
【0180】端末1003は、トンネリング処理部10
10にパケット1015を入力する。トンネリング処理
部1010は、パケット1015を暗号処理しカプセル
化しパケット1016を得る。この時、パケット101
5の受信先アドレスがI1であるので、パケット101
6の受信先アドレスをI1とする。トンネリング処理部
1010は、「通信路C」1002にパケット1016
を送信する。トンネリング処理部1006は、「通信路
C」1002からパケット1016を受信する。トンネ
リング処理部1006は、パケット1016を脱カプセ
ル化し復号処理しパケット1017を得る。
10にパケット1015を入力する。トンネリング処理
部1010は、パケット1015を暗号処理しカプセル
化しパケット1016を得る。この時、パケット101
5の受信先アドレスがI1であるので、パケット101
6の受信先アドレスをI1とする。トンネリング処理部
1010は、「通信路C」1002にパケット1016
を送信する。トンネリング処理部1006は、「通信路
C」1002からパケット1016を受信する。トンネ
リング処理部1006は、パケット1016を脱カプセ
ル化し復号処理しパケット1017を得る。
【0181】内部ホスト1001は、パケット1017
を得る。
を得る。
【0182】(G−3)第6の実施形態の効果 以上のように、第6の実施形態によれば、内部ネットワ
ークの他のサブネットへ移動した端末と内部ホストの間
にトンネルを設けるので、端末を内部ネットワークの他
のサブネットへ移動しても、端末は移動前のサービス利
用権限で内部ホストが提供するサービスを利用できると
いう効果が得られる。
ークの他のサブネットへ移動した端末と内部ホストの間
にトンネルを設けるので、端末を内部ネットワークの他
のサブネットへ移動しても、端末は移動前のサービス利
用権限で内部ホストが提供するサービスを利用できると
いう効果が得られる。
【0183】勿論、第6の実施形態では、複数の内部ホ
ストと複数の端末が同時に通信可能である。
ストと複数の端末が同時に通信可能である。
【0184】(H)第7の実施形態 続いて、第7の実施形態を説明する。ところで、第2、
第3、第4、第5、第6の実施形態では、内部ホストご
とに、端末までトンネルを設ける機能を備える必要があ
る。そこで、次の構成を考える。
第3、第4、第5、第6の実施形態では、内部ホストご
とに、端末までトンネルを設ける機能を備える必要があ
る。そこで、次の構成を考える。
【0185】(H−1)第7の実施形態の構成 図11は、第7の実施形態の構成図である。本実施形態
に係る通信システムは、内部ホスト1101、「通信路
A」1102、サブネット管理サーバ1103、「通信
路B」1104、ファイアウォール1105、「通信路
C」1106、端末1107からなる。
に係る通信システムは、内部ホスト1101、「通信路
A」1102、サブネット管理サーバ1103、「通信
路B」1104、ファイアウォール1105、「通信路
C」1106、端末1107からなる。
【0186】本実施形態に係るサブネット管理サーバ1
103は、セッション管理部1108、トンネリング処
理部1109を構成要素とする。
103は、セッション管理部1108、トンネリング処
理部1109を構成要素とする。
【0187】本実施形態に係るファイアウォール110
5は、セッション管理部1110、アクセス制御部11
11を構成要素とする。
5は、セッション管理部1110、アクセス制御部11
11を構成要素とする。
【0188】本実施形態に係る端末1107は、セッシ
ョン管理部1112、移動前情報記憶部1113、トン
ネリング処理部1114を構成要素とする。
ョン管理部1112、移動前情報記憶部1113、トン
ネリング処理部1114を構成要素とする。
【0189】「通信路A」1102は、内部ホスト11
01とサブネット管理サーバ1103の間の通信路であ
る。すなわち、「通信路A」1102は、内部ネットワ
ークの通信路である。「通信路B」1104は、サブネ
ット管理サーバ1103とファイアウォール1105の
間の通信路である。すなわち、「通信路B」1104
は、内部ネットワークの通信路である。「通信路C」1
106は、ファイアウォール1105と端末1107の
間の通信路である。すなわち、「通信路C」1106
は、外部ネットワークの通信路である。
01とサブネット管理サーバ1103の間の通信路であ
る。すなわち、「通信路A」1102は、内部ネットワ
ークの通信路である。「通信路B」1104は、サブネ
ット管理サーバ1103とファイアウォール1105の
間の通信路である。すなわち、「通信路B」1104
は、内部ネットワークの通信路である。「通信路C」1
106は、ファイアウォール1105と端末1107の
間の通信路である。すなわち、「通信路C」1106
は、外部ネットワークの通信路である。
【0190】サブネット管理サーバ1103とファイア
ウォール1105の間にはトンネル1115を設ける。
ファイアウォール1105と端末1107の間にはトン
ネル1116を設ける。
ウォール1105の間にはトンネル1115を設ける。
ファイアウォール1105と端末1107の間にはトン
ネル1116を設ける。
【0191】サブネット管理サーバ1103は、サブネ
ットごとに設ける。サブネット管理サーバ1103が位
置するサブネットは、サブネットAである。なお、端末
1107は、外部ネットワークへ移動する前にはサブネ
ットAに位置していたものとする。
ットごとに設ける。サブネット管理サーバ1103が位
置するサブネットは、サブネットAである。なお、端末
1107は、外部ネットワークへ移動する前にはサブネ
ットAに位置していたものとする。
【0192】端末1107が外部ネットワークへ移動し
た後で内部ホスト1101と通信する場合に、サブネッ
ト管理サーバ1103と端末1107の間のトンネルを
抜ける。
た後で内部ホスト1101と通信する場合に、サブネッ
ト管理サーバ1103と端末1107の間のトンネルを
抜ける。
【0193】サブネット管理サーバ1103は、内部ホ
スト1101から端末1107宛てのパケットを受信
し、そのパケットを暗号処理しカプセル化して、トンネ
ルを通して端末1107へ送信する。また、サブネット
管理サーバ1103は、トンネルを通して端末1107
から内部ホスト1101宛てのパケットを受信し、その
パケットを脱カプセル化し復号処理して、内部ホスト1
101へ送信する。サブネット管理サーバ1103のア
ドレスは、Sである。
スト1101から端末1107宛てのパケットを受信
し、そのパケットを暗号処理しカプセル化して、トンネ
ルを通して端末1107へ送信する。また、サブネット
管理サーバ1103は、トンネルを通して端末1107
から内部ホスト1101宛てのパケットを受信し、その
パケットを脱カプセル化し復号処理して、内部ホスト1
101へ送信する。サブネット管理サーバ1103のア
ドレスは、Sである。
【0194】内部ホスト1101は、端末1107のア
ドレスとして移動前アドレスI2を使用して、パケット
を「通信路A」1102と送受信する。端末1107
は、端末1107のアドレスとして移動前アドレスI2
を使用して、パケットをトンネリング処理部1114と
入出力する。
ドレスとして移動前アドレスI2を使用して、パケット
を「通信路A」1102と送受信する。端末1107
は、端末1107のアドレスとして移動前アドレスI2
を使用して、パケットをトンネリング処理部1114と
入出力する。
【0195】セッション管理部1110とセッション管
理部1112は、互いに通信し、端末1107の認証と
鍵交換をする。セッション管理部1112は、セッショ
ン管理部1110へ、端末1107が外部ネットワーク
へ移動したこと、移動後のアドレスがEであること、移
動前アドレスがI2であること、サブネット管理サーバ
1103のアドレスがSであることを通知する。セッシ
ョン管理部1110は、セッション管理部1108へ、
端末1107が外部ネットワークへ移動したこと、移動
後のアドレスがEであること、移動前アドレスがI2で
あること、鍵を通知する。
理部1112は、互いに通信し、端末1107の認証と
鍵交換をする。セッション管理部1112は、セッショ
ン管理部1110へ、端末1107が外部ネットワーク
へ移動したこと、移動後のアドレスがEであること、移
動前アドレスがI2であること、サブネット管理サーバ
1103のアドレスがSであることを通知する。セッシ
ョン管理部1110は、セッション管理部1108へ、
端末1107が外部ネットワークへ移動したこと、移動
後のアドレスがEであること、移動前アドレスがI2で
あること、鍵を通知する。
【0196】トンネリング処理部1109は、セッショ
ン管理部1110が交換した鍵を使用して、端末110
7宛てのパケットを暗号処理してカプセル化する。ま
た、トンネリング処理部1109は、内部ホスト110
1宛てのパケットを脱カプセル化し復号処理する。
ン管理部1110が交換した鍵を使用して、端末110
7宛てのパケットを暗号処理してカプセル化する。ま
た、トンネリング処理部1109は、内部ホスト110
1宛てのパケットを脱カプセル化し復号処理する。
【0197】トンネリング処理部1114は、セッショ
ン管理部1112が交換した鍵を使用して、内部ホスト
1101宛てのパケットを暗号処理してカプセル化す
る。
ン管理部1112が交換した鍵を使用して、内部ホスト
1101宛てのパケットを暗号処理してカプセル化す
る。
【0198】また、トンネリング処理部1114は、端
末1107宛てのパケットを脱カプセル化し復号処理す
る。
末1107宛てのパケットを脱カプセル化し復号処理す
る。
【0199】移動前情報記憶部1113は、端末110
7の移動前アドレスI2と、サブネット管理サーバ11
03のアドレスSを、記憶する。
7の移動前アドレスI2と、サブネット管理サーバ11
03のアドレスSを、記憶する。
【0200】アクセス制御部1111は、受信するパケ
ットが、サブネット管理サーバ1103と端末1107
の間の通信のパケットであるかを判定する。アクセス制
御部1111は、サブネット管理サーバ1103と端末
1107の間の通信のパケットを、中継する。アクセス
制御部1111は、サブネット管理サーバ1103と端
末1107の間の通信ではないパケットを、中継しな
い。
ットが、サブネット管理サーバ1103と端末1107
の間の通信のパケットであるかを判定する。アクセス制
御部1111は、サブネット管理サーバ1103と端末
1107の間の通信のパケットを、中継する。アクセス
制御部1111は、サブネット管理サーバ1103と端
末1107の間の通信ではないパケットを、中継しな
い。
【0201】(H−2)第7の実施形態の動作 続いて、図11に示す通信システムによって実現される
通信動作を説明する。
通信動作を説明する。
【0202】(H−2−1)通信開始前の動作 まず、内部ホスト1101と端末1107が通信を開始
するまでの動作を説明する。
するまでの動作を説明する。
【0203】セッション管理部1110とセッション管
理部1112が通信し、端末1107の認証と鍵交換を
する。セッション管理部1112は、セッション管理部
1110へ、端末1107が外部ネットワークへ移動し
たこと、移動後のアドレスがEであること、移動前アド
レスがI2であること、サブネット管理サーバ1103
のアドレスがSであることを通知する。セッション管理
部1110は、セッション管理部1108へ、端末11
07が外部ネットワークへ移動したこと、移動後のアド
レスがEであること、移動前アドレスがI2であるこ
と、鍵を通知する。
理部1112が通信し、端末1107の認証と鍵交換を
する。セッション管理部1112は、セッション管理部
1110へ、端末1107が外部ネットワークへ移動し
たこと、移動後のアドレスがEであること、移動前アド
レスがI2であること、サブネット管理サーバ1103
のアドレスがSであることを通知する。セッション管理
部1110は、セッション管理部1108へ、端末11
07が外部ネットワークへ移動したこと、移動後のアド
レスがEであること、移動前アドレスがI2であるこ
と、鍵を通知する。
【0204】(H−2−2)通信開始後の動作 次に、内部ホスト1101と端末1107が、通信をす
る時の動作を説明する。なお、内部ホスト1101から
端末1107へ伝送されるパケット1117の受信先ア
ドレスはI2、送信元アドレスはI1となる。また、パ
ケット1118は、このパケット1117をカプセル化
したパケットであり、その受信先アドレスはE、送信元
アドレスはSとなる。パケット1119は、パケット1
118と同一である。パケット1120は、パケット1
117と同一である。
る時の動作を説明する。なお、内部ホスト1101から
端末1107へ伝送されるパケット1117の受信先ア
ドレスはI2、送信元アドレスはI1となる。また、パ
ケット1118は、このパケット1117をカプセル化
したパケットであり、その受信先アドレスはE、送信元
アドレスはSとなる。パケット1119は、パケット1
118と同一である。パケット1120は、パケット1
117と同一である。
【0205】一方、端末1107から内部ホスト110
1へ伝送されるパケット1121の受信先アドレスはI
1、送信元アドレスはI2となる。パケット1122
は、このパケット1121をカプセル化したパケットで
あり、その受信先アドレスはS、送信元アドレスはEと
なる。パケット1123は、パケット1122と同一で
ある。パケット1124は、パケット1121と同一で
ある。
1へ伝送されるパケット1121の受信先アドレスはI
1、送信元アドレスはI2となる。パケット1122
は、このパケット1121をカプセル化したパケットで
あり、その受信先アドレスはS、送信元アドレスはEと
なる。パケット1123は、パケット1122と同一で
ある。パケット1124は、パケット1121と同一で
ある。
【0206】(H−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト1101から端末1107にパケット
を送信する場合の動作を説明する。
の送信 まず、内部ホスト1101から端末1107にパケット
を送信する場合の動作を説明する。
【0207】内部ホスト1101は、「通信路A」11
02にパケット1117を送信する。
02にパケット1117を送信する。
【0208】サブネット管理サーバ1103のトンネリ
ング処理部1109は、「通信路A」1102からパケ
ット1117を受信する。トンネリング処理部1109
は、パケット1117を暗号処理しカプセル化しパケッ
ト1118を得る。この時、パケット1117の受信先
アドレスがI2であるので、パケット1118の受信先
アドレスをEにする。トンネリング処理部1109は、
パケット1118を「通信路B」1104に送信する。
アクセス制御部1111は、「通信路B」1104から
パケット1118を受信する。
ング処理部1109は、「通信路A」1102からパケ
ット1117を受信する。トンネリング処理部1109
は、パケット1117を暗号処理しカプセル化しパケッ
ト1118を得る。この時、パケット1117の受信先
アドレスがI2であるので、パケット1118の受信先
アドレスをEにする。トンネリング処理部1109は、
パケット1118を「通信路B」1104に送信する。
アクセス制御部1111は、「通信路B」1104から
パケット1118を受信する。
【0209】ファイアウォール1105のアクセス制御
部1111は、パケット1118がサブネット管理サー
バ1103と端末1107の間の通信のパケットである
と判定する。アクセス制御部1111は、パケット11
18を「通信路C」1106へ送信する。
部1111は、パケット1118がサブネット管理サー
バ1103と端末1107の間の通信のパケットである
と判定する。アクセス制御部1111は、パケット11
18を「通信路C」1106へ送信する。
【0210】端末1107がパケット1120を得るま
での動作は、実施形態2の動作と同様である。
での動作は、実施形態2の動作と同様である。
【0211】(H−2−2−2)端末から内部ホストへ
の送信 逆に、端末1107から内部ホスト1101にパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1107から内部ホスト1101にパケット
を送信する場合の動作を説明する。
【0212】端末1107は、パケット1121をトン
ネリング処理部1114へ入力する。トンネリング処理
部1114は、パケット1121を暗号処理しカプセル
化しパケット1122を得る。この時、サブネット管理
サーバ1103のアドレスがSであるので、パケット1
122の受信先アドレスをSにする。トンネリング処理
部1114は、パケット1122を「通信路C」110
6へ送信する。アクセス制御部1111は、「通信路
C」1106からパケット1122を受信する。ファイ
アウォール1105のアクセス制御部1111は、パケ
ット1122がサブネット管理サーバ1103と端末1
107の間の通信のパケットであると判定する。アクセ
ス制御部1111は、パケット1122を「通信路B」
1104へ送信する。
ネリング処理部1114へ入力する。トンネリング処理
部1114は、パケット1121を暗号処理しカプセル
化しパケット1122を得る。この時、サブネット管理
サーバ1103のアドレスがSであるので、パケット1
122の受信先アドレスをSにする。トンネリング処理
部1114は、パケット1122を「通信路C」110
6へ送信する。アクセス制御部1111は、「通信路
C」1106からパケット1122を受信する。ファイ
アウォール1105のアクセス制御部1111は、パケ
ット1122がサブネット管理サーバ1103と端末1
107の間の通信のパケットであると判定する。アクセ
ス制御部1111は、パケット1122を「通信路B」
1104へ送信する。
【0213】サブネット管理サーバ1103のトンネリ
ング処理部1109は、「通信路B」1104からパケ
ット1123を受信する。トンネリング処理部1109
は、パケット1123を脱カプセル化し復号処理し、パ
ケット1124を得る。トンネリング処理部1109
は、「通信路A」1102へパケット1124を送信す
る。
ング処理部1109は、「通信路B」1104からパケ
ット1123を受信する。トンネリング処理部1109
は、パケット1123を脱カプセル化し復号処理し、パ
ケット1124を得る。トンネリング処理部1109
は、「通信路A」1102へパケット1124を送信す
る。
【0214】内部ホスト1101は、パケット1124
を受信する。
を受信する。
【0215】(H−3)第7の実施形態の効果 以上のように、第7の実施形態によれば、端末との間に
トンネルを設けるコンピュータ(サブネット管理サー
バ)をサブネットごとに設けるので、内部ホストごと
に、端末までトンネルを設ける機能を備える必要がなく
なるという効果が得られる。
トンネルを設けるコンピュータ(サブネット管理サー
バ)をサブネットごとに設けるので、内部ホストごと
に、端末までトンネルを設ける機能を備える必要がなく
なるという効果が得られる。
【0216】また、第7の実施形態では、あるサブネッ
ト管理サーバ1103と複数の端末1107が同時に通
信可能である。また、複数の内部ホスト1101と複数
の端末1107が同時に通信可能である。
ト管理サーバ1103と複数の端末1107が同時に通
信可能である。また、複数の内部ホスト1101と複数
の端末1107が同時に通信可能である。
【0217】さらに、移動前情報記憶部1113がサブ
ネット管理サーバ1103のアドレスSを記憶すること
と、セッション管理部1112がセッション管理部11
10にサブネット管理サーバ1103のアドレスがSで
あることを通知することの代わりに、セッション管理部
1110が、端末1107の移動前アドレスからサブネ
ット管理サーバ1103のアドレスを求める方式も実施
可能である。
ネット管理サーバ1103のアドレスSを記憶すること
と、セッション管理部1112がセッション管理部11
10にサブネット管理サーバ1103のアドレスがSで
あることを通知することの代わりに、セッション管理部
1110が、端末1107の移動前アドレスからサブネ
ット管理サーバ1103のアドレスを求める方式も実施
可能である。
【0218】(I)第8の実施形態 続いて、第8の実施形態を説明する。ところで、第7の
実施形態では、外部ネットワークで、ヘッダにサブネッ
ト管理サーバのアドレスを含むパケットを伝送している
ため、外部ネットワークに、サブネット管理サーバのア
ドレスを隠蔽できない。そこで、次の構成を考える。
実施形態では、外部ネットワークで、ヘッダにサブネッ
ト管理サーバのアドレスを含むパケットを伝送している
ため、外部ネットワークに、サブネット管理サーバのア
ドレスを隠蔽できない。そこで、次の構成を考える。
【0219】(I−1)第8の実施形態の構成 図12は、第8の実施形態の構成図である。図12は、
図11との対応部分に対応符号を付して示したものであ
る。従って、内部ホスト1201〜トンネル1216ま
での構成は、図11の内部ホスト1101〜トンネル1
116までと同様である。また、パケットのうち、12
17、1220、1221、1224は、それぞれ、図
11のパケット、1117、1120、1121、11
24と同様である。
図11との対応部分に対応符号を付して示したものであ
る。従って、内部ホスト1201〜トンネル1216ま
での構成は、図11の内部ホスト1101〜トンネル1
116までと同様である。また、パケットのうち、12
17、1220、1221、1224は、それぞれ、図
11のパケット、1117、1120、1121、11
24と同様である。
【0220】相違点は、ファイアウォール1205にア
ドレス変換部1225が設けられている点である。この
アドレス変換部1225は、ファイアウォール1205
のアクセス制御部1211が中継するパケットのヘッダ
のアドレスを書き換える。
ドレス変換部1225が設けられている点である。この
アドレス変換部1225は、ファイアウォール1205
のアクセス制御部1211が中継するパケットのヘッダ
のアドレスを書き換える。
【0221】(I−2)第8の実施形態の動作 ここでは、第8の実施形態の動作のうち、第7の実施形
態の動作とは異なる動作を説明する。
態の動作とは異なる動作を説明する。
【0222】(I−2−1)通信開始前の動作 まず、内部ホスト1201と端末1207が通信を開始
するまでの動作を説明する。
するまでの動作を説明する。
【0223】この場合も、各セッション管理部120
8、1210、1212が通信し、認証と鍵交換、ま
た、移動情報やアドレスを確認し合う。
8、1210、1212が通信し、認証と鍵交換、ま
た、移動情報やアドレスを確認し合う。
【0224】パケット1218は、内部ホスト1201
から端末1207へ送信されるパケット1217をカプ
セル化したパケットであり、その受信先アドレスはF
i、送信元アドレスはSとなる。パケット1219は、
このパケット1218のヘッダのアドレスを書き換えた
パケットであり、その受信先アドレスはE、送信元アド
レスはFeとなる。
から端末1207へ送信されるパケット1217をカプ
セル化したパケットであり、その受信先アドレスはF
i、送信元アドレスはSとなる。パケット1219は、
このパケット1218のヘッダのアドレスを書き換えた
パケットであり、その受信先アドレスはE、送信元アド
レスはFeとなる。
【0225】一方、パケット1222は、端末1207
から内部ホスト1201へ送信されるパケット1221
をカプセル化したパケットであり、その受信先アドレス
はFe、送信元アドレスはEとなる。パケット1223
は、このパケット1222のヘッダアドレスを書き換え
たパケットであり、その受信先アドレスはS、送信元ア
ドレスはFiとなる。
から内部ホスト1201へ送信されるパケット1221
をカプセル化したパケットであり、その受信先アドレス
はFe、送信元アドレスはEとなる。パケット1223
は、このパケット1222のヘッダアドレスを書き換え
たパケットであり、その受信先アドレスはS、送信元ア
ドレスはFiとなる。
【0226】(I−2−2)通信開始後の動作 (I−2−2−1)内部ホストから端末への送信 まず、内部ホスト1201から端末1207にパケット
を送信する場合の動作を説明する。
を送信する場合の動作を説明する。
【0227】アクセス制御部1211は、パケット12
18をアドレス変換部1225に入力する。アドレス変
換部1225は、パケット1218のヘッダのアドレス
を書き換えパケット1219を得る。この時、パケット
1218の送信元アドレスがSであるので、パケット1
219の受信先アドレスをEにする。
18をアドレス変換部1225に入力する。アドレス変
換部1225は、パケット1218のヘッダのアドレス
を書き換えパケット1219を得る。この時、パケット
1218の送信元アドレスがSであるので、パケット1
219の受信先アドレスをEにする。
【0228】アドレス変換部1225は、パケット12
19をアクセス制御部1211へ出カする。
19をアクセス制御部1211へ出カする。
【0229】(I−2−2−2)端末から内部ホストへ
の送信 逆に、端末1207から内部ホスト1201にパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1207から内部ホスト1201にパケット
を送信する場合の動作を説明する。
【0230】アクセス制御部1211は、パケット12
22をアドレス変換部1225に入力する。アドレス変
換部1225は、パケット1222のヘッダのアドレス
を書き換え、パケット1223を得る。この時、パケッ
ト1222の送信元アドレスがEであるので、パケット
1223の受信先アドレスをSにする。
22をアドレス変換部1225に入力する。アドレス変
換部1225は、パケット1222のヘッダのアドレス
を書き換え、パケット1223を得る。この時、パケッ
ト1222の送信元アドレスがEであるので、パケット
1223の受信先アドレスをSにする。
【0231】アドレス変換部1225は、パケット12
23をアクセス制御部1211に出カする。
23をアクセス制御部1211に出カする。
【0232】(I−3)第8の実施形態の効果 以上のように、第8の実施形態によれば、ファイアウォ
ールにアドレスを変換する機能を備えたので、外部ネッ
トワークに、サブネット管理サーバのアドレスを隠蔽で
きるという効果が得られる。
ールにアドレスを変換する機能を備えたので、外部ネッ
トワークに、サブネット管理サーバのアドレスを隠蔽で
きるという効果が得られる。
【0233】(J)第9の実施形態 続いて、第9の実施形態を説明する。ところで、第8の
実施形態では、あるサブネット管理サーバ1203とは
同時に一つの端末しか通信できない。そこで、次の構成
を考える。
実施形態では、あるサブネット管理サーバ1203とは
同時に一つの端末しか通信できない。そこで、次の構成
を考える。
【0234】(J−1)第9の実施形態の構成 図13は、第9の実施形態の構成図である。図13は、
図12との対応部分に対応符号を付したものであり、基
本構成は同様である。異なるのは、ファイアウォール1
305の有するアドレスである。
図12との対応部分に対応符号を付したものであり、基
本構成は同様である。異なるのは、ファイアウォール1
305の有するアドレスである。
【0235】本実施形態におけるファイアウォール13
05が、外部ネットワークに接続しているネットワーク
・インターフェースのアドレスは一つ、すなわち、アド
レスFeである。一方、ファイアウォール1305が、
内部ネットワークに接続しているネットワーク・インタ
ーフェースのアドレスは、複数のアドレスFi1〜Fi
m(m>1)である。
05が、外部ネットワークに接続しているネットワーク
・インターフェースのアドレスは一つ、すなわち、アド
レスFeである。一方、ファイアウォール1305が、
内部ネットワークに接続しているネットワーク・インタ
ーフェースのアドレスは、複数のアドレスFi1〜Fi
m(m>1)である。
【0236】セッション管理部1310とセッション管
理部1312は、互いに通信し、端末1307の認証と
鍵交換をする。
理部1312は、互いに通信し、端末1307の認証と
鍵交換をする。
【0237】セッション管理部1312は、セッション
管理部1310へ、端末1307が外部ネットワークへ
移動したこと、移動後のアドレスがEであること、移動
前アドレスがI2であること、サブネット管理サーバ1
303のアドレスがSであることを通知する。
管理部1310へ、端末1307が外部ネットワークへ
移動したこと、移動後のアドレスがEであること、移動
前アドレスがI2であること、サブネット管理サーバ1
303のアドレスがSであることを通知する。
【0238】セッション管理部1310は、Fi1〜F
imのうち、その時点で使用していないアドレスFij
を求める。セッション管理部1310は、セッション管
理部1308へ、端末1307が外部ネットワークへ移
動したこと、移動前アドレスがI2であること、内部ホ
スト1301と端末1307の通信で使用するファイア
ウォール1305の内部アドレスがFijであること、
鍵を通知する。
imのうち、その時点で使用していないアドレスFij
を求める。セッション管理部1310は、セッション管
理部1308へ、端末1307が外部ネットワークへ移
動したこと、移動前アドレスがI2であること、内部ホ
スト1301と端末1307の通信で使用するファイア
ウォール1305の内部アドレスがFijであること、
鍵を通知する。
【0239】(J−2)第9の実施形態の動作 次に、第9の実施形態の動作を説明する。
【0240】(J−2−1)通信開始前の動作 まず、内部ホスト1301と端末1307が通信を開始
するまでの動作を説明する。
するまでの動作を説明する。
【0241】セッション管理部1310とセッション管
理部1312は、互いに通信し、端末1307の認証と
鍵交換をする。
理部1312は、互いに通信し、端末1307の認証と
鍵交換をする。
【0242】端末1307のセッション管理部1312
は、セッション管理部1310へ、端末1307が外部
ネットワークへ移動したこと、移動後のアドレスがEで
あること、移動前アドレスがI2であること、サブネッ
ト管理サーバ1303のアドレスがSであることを通知
する。
は、セッション管理部1310へ、端末1307が外部
ネットワークへ移動したこと、移動後のアドレスがEで
あること、移動前アドレスがI2であること、サブネッ
ト管理サーバ1303のアドレスがSであることを通知
する。
【0243】ファイアウォール1305のセッション管
理部1310は、Fi1〜Fimのうち、その時点で使
用していないアドレスFijを求める。セッション管理
部1310は、セッション管理部1308へ、端末13
07が外部ネットワークへ移動したこと、移動前アドレ
スがI2であること、内部ホスト1301と端末130
7の通信で使用するファイアウォール1305の内部ア
ドレスがFijであること、鍵を通知する。
理部1310は、Fi1〜Fimのうち、その時点で使
用していないアドレスFijを求める。セッション管理
部1310は、セッション管理部1308へ、端末13
07が外部ネットワークへ移動したこと、移動前アドレ
スがI2であること、内部ホスト1301と端末130
7の通信で使用するファイアウォール1305の内部ア
ドレスがFijであること、鍵を通知する。
【0244】(J−2−2)通信開始後の動作 内部ホスト1301と端末1307が通信する場合の動
作を説明する。第9の実施形態の動作のうち、第8の実
施形態の動作とは異なる動作を説明する。
作を説明する。第9の実施形態の動作のうち、第8の実
施形態の動作とは異なる動作を説明する。
【0245】パケット1318は、内部ホスト1301
から端末1307へ伝送されるパケット1317をカプ
セル化したパケットであり、その受信先アドレスはFi
j、送信元アドレスはSとなる。パケット1319は、
このパケット1318のヘッダアドレスを書き換えたパ
ケットであり、その受信先アドレスはE、送信元アドレ
スはFeとなる。
から端末1307へ伝送されるパケット1317をカプ
セル化したパケットであり、その受信先アドレスはFi
j、送信元アドレスはSとなる。パケット1319は、
このパケット1318のヘッダアドレスを書き換えたパ
ケットであり、その受信先アドレスはE、送信元アドレ
スはFeとなる。
【0246】パケット1322は、端末1307から内
部ホスト1301へ伝送されるパケット1321をカプ
セル化したパケットであり、その受信先アドレスはF
e、送信元アドレスはEとなる。パケット1323は、
このパケット1322のへッダアドレスを書き換えたパ
ケットであり、その受信先アドレスはS、送信元アドレ
スはFijとなる。
部ホスト1301へ伝送されるパケット1321をカプ
セル化したパケットであり、その受信先アドレスはF
e、送信元アドレスはEとなる。パケット1323は、
このパケット1322のへッダアドレスを書き換えたパ
ケットであり、その受信先アドレスはS、送信元アドレ
スはFijとなる。
【0247】(J−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト1301から端末1307にパケット
を送信する場合の動作を説明する。
の送信 まず、内部ホスト1301から端末1307にパケット
を送信する場合の動作を説明する。
【0248】トンネリング処理部1309は、パケット
1317を暗号処理しカプセル化しパケット1318を
得る。この時、パケット1317の受信先アドレスがI
2であるので、パケット1318の受信先アドレスをF
ijにする。
1317を暗号処理しカプセル化しパケット1318を
得る。この時、パケット1317の受信先アドレスがI
2であるので、パケット1318の受信先アドレスをF
ijにする。
【0249】アドレス変換部1325は、パケット13
18のヘッダのアドレスを書き換えパケット1319を
得る。この時、パケット1318の受信先アドレスがF
ijであるので、パケット1319の受信先アドレスを
Eにする。
18のヘッダのアドレスを書き換えパケット1319を
得る。この時、パケット1318の受信先アドレスがF
ijであるので、パケット1319の受信先アドレスを
Eにする。
【0250】(J−2−2−2)端末から内部ホストへ
の送信 逆に、端末1307から内部ホスト1301にパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1307から内部ホスト1301にパケット
を送信する場合の動作を説明する。
【0251】アドレス変換部1325は、パケット13
22のヘッダのアドレスを書き換え、パケット1323
を得る。この時、パケット1322の送信元アドレスが
Eであるので、パケット1323の受信先アドレスをS
にする。
22のヘッダのアドレスを書き換え、パケット1323
を得る。この時、パケット1322の送信元アドレスが
Eであるので、パケット1323の受信先アドレスをS
にする。
【0252】(J−3)第9の実施形態の効果 以上のように、第9の実施形態によれば、ファイアウォ
ール1305に、複数の内部アドレスを割り当てるよう
にしたので、あるサブネット管理サーバ1303と同時
に複数の端末1307が通信できるという効果が得られ
る。
ール1305に、複数の内部アドレスを割り当てるよう
にしたので、あるサブネット管理サーバ1303と同時
に複数の端末1307が通信できるという効果が得られ
る。
【0253】(K)第10の実施形態 続いて、第10の実施形態を説明する。ところで、第9
の実施形態では、ファイアウォールに、複数の内部アド
レスを割り当てる必要がある。そこで、第10の実施形
態においては、パケットがサブネット管理サーバとどの
端末の間の通信のパケットであるかをSPIにより表す
ことにする。
の実施形態では、ファイアウォールに、複数の内部アド
レスを割り当てる必要がある。そこで、第10の実施形
態においては、パケットがサブネット管理サーバとどの
端末の間の通信のパケットであるかをSPIにより表す
ことにする。
【0254】(K−1)第10の実施形態の構成 図14は、第10の実施形態の構成図である。図14
は、第8の実施形態の説明に用いた図12との対応部分
に対応符号を付して示したものであり、基本的な構成は
同じである。
は、第8の実施形態の説明に用いた図12との対応部分
に対応符号を付して示したものであり、基本的な構成は
同じである。
【0255】セッション管理部1410とセッション管
理部1412は、互いに通信し、端末1407の認証と
鍵交換をする。
理部1412は、互いに通信し、端末1407の認証と
鍵交換をする。
【0256】端末1407のセッション管理部1412
は、サブネット管理サーバ1403が端末1407へ送
信するパケットのSPI(ここではBとする。)を求め
る。セッション管理部1412は、セッション管理部1
410へ、端末1407が外部ネットワークへ移動した
こと、移動後のアドレスがEであること、移動前アドレ
スがI2であること、サブネット管理サーバ1403の
アドレスがSであること、サブネット管理サーバ140
3が端末1407へ送信するパケットのSPIがBであ
ることを、通知する。
は、サブネット管理サーバ1403が端末1407へ送
信するパケットのSPI(ここではBとする。)を求め
る。セッション管理部1412は、セッション管理部1
410へ、端末1407が外部ネットワークへ移動した
こと、移動後のアドレスがEであること、移動前アドレ
スがI2であること、サブネット管理サーバ1403の
アドレスがSであること、サブネット管理サーバ140
3が端末1407へ送信するパケットのSPIがBであ
ることを、通知する。
【0257】ファイアウォール1405のセッション管
理部1410は、セッション管理部1408ヘ、端末1
407が外部ネットワークへ移動したこと、移動前アド
レスがI2であること、サブネット管理サーバ1403
が端末1407へ送信するパケットのSPIがBである
こと、鍵を通知する。
理部1410は、セッション管理部1408ヘ、端末1
407が外部ネットワークへ移動したこと、移動前アド
レスがI2であること、サブネット管理サーバ1403
が端末1407へ送信するパケットのSPIがBである
こと、鍵を通知する。
【0258】セッション管理部1408は、端末140
7が内部ホスト1401へ送信するパケットSPI(こ
こでは、Aとする。)を求める。セッション管理部14
08は、セッション管理部1410へ、端末1407が
内部ホスト1401へ送信するパケットのSPIがAで
あることを通知する。セッション管理部1410はセッ
ション管理部1412へ、端末1407が内部ホスト1
401へ送信するパケットのSPIがAであることを通
知する。
7が内部ホスト1401へ送信するパケットSPI(こ
こでは、Aとする。)を求める。セッション管理部14
08は、セッション管理部1410へ、端末1407が
内部ホスト1401へ送信するパケットのSPIがAで
あることを通知する。セッション管理部1410はセッ
ション管理部1412へ、端末1407が内部ホスト1
401へ送信するパケットのSPIがAであることを通
知する。
【0259】サブネット管理サーバ1403のトンネリ
ング処理部1409は、パケット1417をカプセル化
する時に、SPIをBにする。
ング処理部1409は、パケット1417をカプセル化
する時に、SPIをBにする。
【0260】端末1407のトンネリング処理部141
4は、パケット1421をカプセル化するときに、SP
IをAにする。
4は、パケット1421をカプセル化するときに、SP
IをAにする。
【0261】ファイアウォール1405のアドレス変換
部1425は、SPIにより、パケットのヘッダのアド
レスを書き換える。
部1425は、SPIにより、パケットのヘッダのアド
レスを書き換える。
【0262】(K−2)第10の実施形態の動作 次に、第10の実施形態の動作を説明する。なお、第1
0の実施形態の動作のうち、第8の実施形態の動作とは
異なる動作のみを説明する。
0の実施形態の動作のうち、第8の実施形態の動作とは
異なる動作のみを説明する。
【0263】(K−2−1)通信開始後の動作 内部ホスト1401と端末1407が通信する場合の動
作を説明する。
作を説明する。
【0264】パケット1418は、内部ホスト1401
から端末1407へ伝送されるパケット1417をカプ
セル化したパケットであり、その受信先アドレスはF
i、送信元アドレスはS、SPIはBとなる。パケット
1419は、このパケット1418のヘッダアドレスを
書き換えたパケットであり、その受信先アドレスはE、
送信元アドレスはFe、SPIはBとなる。
から端末1407へ伝送されるパケット1417をカプ
セル化したパケットであり、その受信先アドレスはF
i、送信元アドレスはS、SPIはBとなる。パケット
1419は、このパケット1418のヘッダアドレスを
書き換えたパケットであり、その受信先アドレスはE、
送信元アドレスはFe、SPIはBとなる。
【0265】パケット1422は、端末1407から内
部ホスト1401へ伝送されるパケット1421をカプ
セル化したパケットであり、その受信先アドレスはF
e、送信元アドレスはE、SPIはAとなる。パケット
1423は、パケット1422のヘッダのアドレスを書
き換えたパケットであり、受信先アドレスはS、送信元
アドレスはFi、SPIはAとなる。
部ホスト1401へ伝送されるパケット1421をカプ
セル化したパケットであり、その受信先アドレスはF
e、送信元アドレスはE、SPIはAとなる。パケット
1423は、パケット1422のヘッダのアドレスを書
き換えたパケットであり、受信先アドレスはS、送信元
アドレスはFi、SPIはAとなる。
【0266】(K−2−1−1)内部ホストから端末へ
の送信 まず、内部ホスト1401から端末1407にパケット
を送信する場合の動作を説明する。
の送信 まず、内部ホスト1401から端末1407にパケット
を送信する場合の動作を説明する。
【0267】トンネリング処理部1409は、パケット
1417を暗号処理しカプセル化しパケット1418を
得る。この時、パケット1417の受信先アドレスがI
2であるので、SPIをBにする。アドレス変換部14
25は、パケット1418のヘッダのアドレスを書き換
え、パケット1419を得る。この時、パケット141
8のSPIがBであるので、パケット1419の受信先
アドレスをEとする。
1417を暗号処理しカプセル化しパケット1418を
得る。この時、パケット1417の受信先アドレスがI
2であるので、SPIをBにする。アドレス変換部14
25は、パケット1418のヘッダのアドレスを書き換
え、パケット1419を得る。この時、パケット141
8のSPIがBであるので、パケット1419の受信先
アドレスをEとする。
【0268】(K−2−1−2)端末から内部ホストへ
の送信 逆に、端末1407から内部ホスト1401にパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1407から内部ホスト1401にパケット
を送信する場合の動作を説明する。
【0269】アドレス変換部1425は、パケット14
22のヘッダのアドレスを書き換え、パケット1423
を得る。この時、パケット1422の送信元アドレスが
Eであるので、パケット1423の受信先アドレスをS
とする。
22のヘッダのアドレスを書き換え、パケット1423
を得る。この時、パケット1422の送信元アドレスが
Eであるので、パケット1423の受信先アドレスをS
とする。
【0270】(K−3)第10の実施形態の効果 以上のように、第10の実施形態によれば、パケットの
ヘッダに書き込まれているSPIにより、パケットがど
のサブネット管理サーバとどの端末の間の通信のパケッ
トであるかを表すようにしたので、ファイアウォールに
複数の内部アドレスを割り当てなくても、あるサブネッ
ト管理サーバと複数の端末が同時に通信できるようにな
るという効果が得られる。
ヘッダに書き込まれているSPIにより、パケットがど
のサブネット管理サーバとどの端末の間の通信のパケッ
トであるかを表すようにしたので、ファイアウォールに
複数の内部アドレスを割り当てなくても、あるサブネッ
ト管理サーバと複数の端末が同時に通信できるようにな
るという効果が得られる。
【0271】(L)第11の実施形態 続いて、第11の実施形態を説明する。ところで、第
7、第8、第9、第10の実施形態では、内部ネットワ
ークのあるサブネットに位置する端末を、内部ネットワ
ークの他のサブネットへ移動すると、端末のアドレスが
変化するので、端末は移動前のサービス利用権限で内部
ホストが提供するサービスを利用できなくなる。そこ
で、次の構成を考える。なお、第11の実施形態では、
端末が外部ネットワークに移動する場合に係る構成及び
動作は、第7の実施形態の場合と同様である。
7、第8、第9、第10の実施形態では、内部ネットワ
ークのあるサブネットに位置する端末を、内部ネットワ
ークの他のサブネットへ移動すると、端末のアドレスが
変化するので、端末は移動前のサービス利用権限で内部
ホストが提供するサービスを利用できなくなる。そこ
で、次の構成を考える。なお、第11の実施形態では、
端末が外部ネットワークに移動する場合に係る構成及び
動作は、第7の実施形態の場合と同様である。
【0272】(L−1)第11の実施形態の構成 図15は、第11の実施形態の構成図である。図15に
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネットへ移動する場合
に係る構成要素を示している。また、図15には、端末
を外部ネットワークへ移動する場合に係る構成要素の一
部を示す。従って、図15に示されている、内部ホスト
1501、「通信路A」1502、サブネット管理サー
バ1503、「通信路D」1504、端末1505の他
に、不図示のファイアウォールがある。
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネットへ移動する場合
に係る構成要素を示している。また、図15には、端末
を外部ネットワークへ移動する場合に係る構成要素の一
部を示す。従って、図15に示されている、内部ホスト
1501、「通信路A」1502、サブネット管理サー
バ1503、「通信路D」1504、端末1505の他
に、不図示のファイアウォールがある。
【0273】本実施形態に係るサブネット管理サーバ1
503は、外部セッション管理部1506、内部セッシ
ョン管理部1507、トンネリング処理部1508を構
成要素としてもつ。
503は、外部セッション管理部1506、内部セッシ
ョン管理部1507、トンネリング処理部1508を構
成要素としてもつ。
【0274】本実施形態に係る端末1505は、内部セ
ッション管理部1509、外部セッション管理部151
0、移動前情報記憶部1511、トンネリング処理部1
512を構成要素としてもつ。
ッション管理部1509、外部セッション管理部151
0、移動前情報記憶部1511、トンネリング処理部1
512を構成要素としてもつ。
【0275】サブネット管理サーバ1503は、サブネ
ットAに位置する。
ットAに位置する。
【0276】端末1505は、内部ネットワークでの移
動前にサブネットAに位置し、内部ネットワークでの移
動後にサブネットBに位置する。
動前にサブネットAに位置し、内部ネットワークでの移
動後にサブネットBに位置する。
【0277】「通信路A」1502は、内部ホスト15
01とサブネット管理サーバ1503の間の通信路であ
る。すなわち、「通信路A」1502は、内部ネットワ
ークの通信路である。「通信路D」1504は、サブネ
ット管理サーバ1503と端末1505の間の通信路で
ある。すなわち、「通信路D」1504は、内部ネット
ワークの通信路である。
01とサブネット管理サーバ1503の間の通信路であ
る。すなわち、「通信路A」1502は、内部ネットワ
ークの通信路である。「通信路D」1504は、サブネ
ット管理サーバ1503と端末1505の間の通信路で
ある。すなわち、「通信路D」1504は、内部ネット
ワークの通信路である。
【0278】サブネット管理サーバ1503と端末15
05の間にはトンネル1513を設ける。
05の間にはトンネル1513を設ける。
【0279】内部セッション管理部1507と内部セッ
ション管理部1509は、互いに通信し、端末1505
の認証と鍵交換をする。
ション管理部1509は、互いに通信し、端末1505
の認証と鍵交換をする。
【0280】内部セッション管理部1509は、内部セ
ッション管理部1507へ、端末1505が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
ッション管理部1507へ、端末1505が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
【0281】トンネリング処理部1508は、内部セッ
ション管理部1507が交換した鍵を使用して、端末1
505宛てのパケットを暗号処理してカプセル化する。
ション管理部1507が交換した鍵を使用して、端末1
505宛てのパケットを暗号処理してカプセル化する。
【0282】また、トンネリング処理部1508は、外
部セッション管理部1506が交換した鍵を使用して、
外部ネットワークに移動した端末宛てのパケットを暗号
処理してカプセル化する。トンネリング処理部1508
は、内部ホスト1501宛てのパケットを脱カプセル化
し復号処理する。
部セッション管理部1506が交換した鍵を使用して、
外部ネットワークに移動した端末宛てのパケットを暗号
処理してカプセル化する。トンネリング処理部1508
は、内部ホスト1501宛てのパケットを脱カプセル化
し復号処理する。
【0283】トンネリング処理部1512は、内部セッ
ション管理部1509が交換した鍵を使用して、内部ホ
スト1501宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1512は、外部セッシ
ョン管理部1510が交換した鍵を使用して、内部ホス
ト1501宛てのパケットを暗号処理しカプセル化す
る。トンネリング処理部1512は、端末1505宛て
のパケットを脱カプセル化し復号処理する。
ション管理部1509が交換した鍵を使用して、内部ホ
スト1501宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1512は、外部セッシ
ョン管理部1510が交換した鍵を使用して、内部ホス
ト1501宛てのパケットを暗号処理しカプセル化す
る。トンネリング処理部1512は、端末1505宛て
のパケットを脱カプセル化し復号処理する。
【0284】移動前情報記憶部1511は、端末150
5の移動前アドレスI2とサブネット管理サーバ150
3のアドレスSを記憶する。
5の移動前アドレスI2とサブネット管理サーバ150
3のアドレスSを記憶する。
【0285】第7の実施形態と同様に、ファイアウォー
ルの構成要素は、セッション管理部とアクセス制御部で
ある。サブネット管理サーバ1503とファイアウォー
ルの間には、「通信路B」とトンネルがある。ファイア
ウォールと外部ネットワークに移動した端末の間には、
「通信路C」とトンネルがある。
ルの構成要素は、セッション管理部とアクセス制御部で
ある。サブネット管理サーバ1503とファイアウォー
ルの間には、「通信路B」とトンネルがある。ファイア
ウォールと外部ネットワークに移動した端末の間には、
「通信路C」とトンネルがある。
【0286】外部セッション管理部1510とファイア
ウォールのセッション管理部は、互いに通信し、外部ネ
ットワークに移動した端末の認証と鍵交換をする。外部
セッション管理部1510は、ファイアウォールのセッ
ション管理部へ、端末が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であることを、サブネット管理サーバ1503の
アドレスがSであることを通知する。
ウォールのセッション管理部は、互いに通信し、外部ネ
ットワークに移動した端末の認証と鍵交換をする。外部
セッション管理部1510は、ファイアウォールのセッ
ション管理部へ、端末が外部ネットワークへ移動したこ
と、移動後のアドレスがEであること、移動前アドレス
がI2であることを、サブネット管理サーバ1503の
アドレスがSであることを通知する。
【0287】ファイアウォールのセッション管理部は、
外部セッション管理部1506へ、端末が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、鍵を通知する。
外部セッション管理部1506へ、端末が外部ネットワ
ークへ移動したこと、移動後のアドレスがEであるこ
と、移動前アドレスがI2であること、鍵を通知する。
【0288】(L−2)第11の実施形態の動作 次に、第11の実施形態の動作を説明する。なお、第1
1の実施形態の動作のうち、第7の実施形態の動作とは
異なる動作のみを説明する。
1の実施形態の動作のうち、第7の実施形態の動作とは
異なる動作のみを説明する。
【0289】(L−2−1)通信開始前の動作 内部ホスト1501と端末1505の通信の開始におけ
る動作を説明する。
る動作を説明する。
【0290】内部セッション管理部1507と内部セッ
ション管理部1509は、互いに通信し、端末1505
の認証と鍵交換をする。
ション管理部1509は、互いに通信し、端末1505
の認証と鍵交換をする。
【0291】端末1505の内部セッション管理部15
09は、セッション管理部1507へ、端末1505が
内部ネットワークの他のサブネットに移動したこと、移
動後のアドレスがI2’であること、移動前アドレスが
I2であることを通知する。
09は、セッション管理部1507へ、端末1505が
内部ネットワークの他のサブネットに移動したこと、移
動後のアドレスがI2’であること、移動前アドレスが
I2であることを通知する。
【0292】(L−2−2)通信開始後の動作 次に、内部ホスト1501と端末1505が通信をする
時の動作を説明する。
時の動作を説明する。
【0293】内部ホスト1501から端末1505へ伝
送されるパケット1514の受信先アドレスはI2、送
信元アドレスはI1となる。このパケット1514をカ
プセル化したパケット1515の受信先アドレスはI
2’、送信元アドレスはSとなる。パケット1516
は、パケット1514と同一である。
送されるパケット1514の受信先アドレスはI2、送
信元アドレスはI1となる。このパケット1514をカ
プセル化したパケット1515の受信先アドレスはI
2’、送信元アドレスはSとなる。パケット1516
は、パケット1514と同一である。
【0294】端末1505から内部ホスト1501へ伝
送されるパケット1517の受信先アドレスはI1、送
信元アドレスはI2となる。このパケット1517をカ
プセル化したパケット1518の受信先アドレスはS、
送信元アドレスはI2’となる。パケット1519は、
パケット1517と同一である。
送されるパケット1517の受信先アドレスはI1、送
信元アドレスはI2となる。このパケット1517をカ
プセル化したパケット1518の受信先アドレスはS、
送信元アドレスはI2’となる。パケット1519は、
パケット1517と同一である。
【0295】(L−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト1501から端末1505へパケット
を送信する場合の動作を説明する。
の送信 まず、内部ホスト1501から端末1505へパケット
を送信する場合の動作を説明する。
【0296】サブネット管理サーバ1503のトンネリ
ング処理部1508は、パケット1514を暗号処理し
カプセル化しパケット1515を得る。この時、パケッ
ト1514の受信先アドレスがI2であるので、パケッ
ト1515の受信先アドレスをI2’にする。
ング処理部1508は、パケット1514を暗号処理し
カプセル化しパケット1515を得る。この時、パケッ
ト1514の受信先アドレスがI2であるので、パケッ
ト1515の受信先アドレスをI2’にする。
【0297】(L−2−2−2)端末から内部ホストへ
の送信 逆に、端末1505から内部ホスト1501へパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1505から内部ホスト1501へパケット
を送信する場合の動作を説明する。
【0298】端末1505のトンネリング処理部151
2は、パケット1517を暗号処理しカプセル化しパケ
ット1518を得る。この時、サブネット管理サーバ1
503のアドレスがSであるので、パケット1518の
受信先アドレスをSにする。
2は、パケット1517を暗号処理しカプセル化しパケ
ット1518を得る。この時、サブネット管理サーバ1
503のアドレスがSであるので、パケット1518の
受信先アドレスをSにする。
【0299】外部ネットワークに移動した端末と内部ホ
ストの通信に関しては、第7の実施形態の動作と同様で
ある。
ストの通信に関しては、第7の実施形態の動作と同様で
ある。
【0300】(L−3)第11の実施形態の効果 以上のように、第11の実施形態によれば、サブネット
管理サーバと、内部ネットワークの他のサブネットへ移
動した端末の間にトンネルを設けるので、端末が内部ネ
ットワークの他のサブネットに移動しても、内部ホスト
が提供するサービスを移動前のサービス利用権限で利用
できるという効果が得られる。
管理サーバと、内部ネットワークの他のサブネットへ移
動した端末の間にトンネルを設けるので、端末が内部ネ
ットワークの他のサブネットに移動しても、内部ホスト
が提供するサービスを移動前のサービス利用権限で利用
できるという効果が得られる。
【0301】また、第11の実施形態では、あるサブネ
ット管理サーバ1503と複数の端末1505が同時に
通信可能である。
ット管理サーバ1503と複数の端末1505が同時に
通信可能である。
【0302】(M)第12の実施形態 続いて、第12の実施形態を説明する。ところで、第1
1の実施形態では、端末1505がトンネリングの処理
をする必要がある。そこで、次の構成を考える。なお、
第12の実施形態では、端末が外部ネットワークに移動
する場合に係る構成、動作は、第7の実施形態と同じで
ある。
1の実施形態では、端末1505がトンネリングの処理
をする必要がある。そこで、次の構成を考える。なお、
第12の実施形態では、端末が外部ネットワークに移動
する場合に係る構成、動作は、第7の実施形態と同じで
ある。
【0303】(M−1)第12の実施形態の構成 図16は、第12の実施形態の構成図である。図16に
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネットへ移動する場合
に係る構成要素を示す。また、図16には、端末を外部
ネットワークへ移動する場合に係る構成要素の一部を示
す。従って、図16に示されている、内部ホスト160
1、「通信路A」1602、「サブネット管理サーバ
A」1603、「通信路E」1604、「サブネット管
理サーバB」1605、「通信路F」1606、端末1
607、他に、不図示のファイアウォールがある。
は、内部ネットワークのあるサブネットに位置する端末
を、内部ネットワークの他のサブネットへ移動する場合
に係る構成要素を示す。また、図16には、端末を外部
ネットワークへ移動する場合に係る構成要素の一部を示
す。従って、図16に示されている、内部ホスト160
1、「通信路A」1602、「サブネット管理サーバ
A」1603、「通信路E」1604、「サブネット管
理サーバB」1605、「通信路F」1606、端末1
607、他に、不図示のファイアウォールがある。
【0304】ここで、「サブネット管理サーバA」16
03は、サブネットAに位置する。「サブネット管理サ
ーバB」1605は、サブネットBに位置する。端末1
607が移動前に位置するサブネットは、サブネットA
である。端末1607が移動後に位置するサブネット
は、サブネットBである。
03は、サブネットAに位置する。「サブネット管理サ
ーバB」1605は、サブネットBに位置する。端末1
607が移動前に位置するサブネットは、サブネットA
である。端末1607が移動後に位置するサブネット
は、サブネットBである。
【0305】「サブネット管理サーバA」1603は、
外部セッション管理部1608、内部セッション管理部
1609、トンネリング処理部1610を構成要素とす
る。一方、「サブネット管理サーバB」1605は、内
部セッション管理部1611、外部セッション管理部1
612、トンネリング処理部1613を構成要素とす
る。
外部セッション管理部1608、内部セッション管理部
1609、トンネリング処理部1610を構成要素とす
る。一方、「サブネット管理サーバB」1605は、内
部セッション管理部1611、外部セッション管理部1
612、トンネリング処理部1613を構成要素とす
る。
【0306】端末1607は、内部セッション管理部1
614、外部セッション管理部1615、移動前情報記
憶部1616、トンネリング処理部1617を構成要素
とする。
614、外部セッション管理部1615、移動前情報記
憶部1616、トンネリング処理部1617を構成要素
とする。
【0307】内部ホスト1601と「サブネット管理サ
ーバA」1603の間には「通信路A」1602を設け
る。この「通信路A」1602は、内部ネットワークの
通信路である。「サブネット管理サーバA」1603と
「サブネット管理サーバB」1605の間には「通信路
E」1604を設ける。この「通信路E」1604は、
内部ネットワークの通信路である。「サブネット管理サ
ーバB」1605と端末1607の間には「通信路F」
1606を設ける。この「通信路F」1606は、内部
ネットワークの通信路である。
ーバA」1603の間には「通信路A」1602を設け
る。この「通信路A」1602は、内部ネットワークの
通信路である。「サブネット管理サーバA」1603と
「サブネット管理サーバB」1605の間には「通信路
E」1604を設ける。この「通信路E」1604は、
内部ネットワークの通信路である。「サブネット管理サ
ーバB」1605と端末1607の間には「通信路F」
1606を設ける。この「通信路F」1606は、内部
ネットワークの通信路である。
【0308】「サブネット管理サーバA」1603と
「サブネット管理サーバB」1605の間にはトンネル
1618を設ける。
「サブネット管理サーバB」1605の間にはトンネル
1618を設ける。
【0309】内部セッション管理部1609と内部セッ
ション管理部1614は、互いに通信し、端末1607
の認証と鍵交換をする。
ション管理部1614は、互いに通信し、端末1607
の認証と鍵交換をする。
【0310】内部セッション管理部1614は、内部セ
ッション管理部1609へ、端末1607が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
ッション管理部1609へ、端末1607が内部ネット
ワークの他のサブネットに移動したこと、移動後のアド
レスがI2’であること、移動前アドレスがI2である
ことを通知する。
【0311】内部セッション管理部1609は、端末1
607の移動後のアドレスI2’から、「サブネット管
理サーバB」のアドレスS2を求める。内部セッション
管理部1609は、内部セッション管理部1611へ、
端末1607がサブネットBへ移動したこと、端末16
07の移動前アドレスがI2であること、「サブネット
管理サーバA」のアドレスがS1であること、鍵を通知
する。
607の移動後のアドレスI2’から、「サブネット管
理サーバB」のアドレスS2を求める。内部セッション
管理部1609は、内部セッション管理部1611へ、
端末1607がサブネットBへ移動したこと、端末16
07の移動前アドレスがI2であること、「サブネット
管理サーバA」のアドレスがS1であること、鍵を通知
する。
【0312】トンネリング処理部1610は、内部セッ
ション管理部1609が交換した鍵を使用して、端末1
607宛てのパケットを暗号処理してカプセル化する。
ション管理部1609が交換した鍵を使用して、端末1
607宛てのパケットを暗号処理してカプセル化する。
【0313】また、トンネリング処理部1610は、フ
ァイアウォールのセッション管理部が外部セッション管
理部1608に通知した鍵を使用して、外部ネットワー
クへ移動した端末宛てのパケットを暗号処理してカプセ
ル化する。トンネリング処理部1610は、内部ホスト
1601宛てのパケットを脱カプセル化し復号処理す
る。
ァイアウォールのセッション管理部が外部セッション管
理部1608に通知した鍵を使用して、外部ネットワー
クへ移動した端末宛てのパケットを暗号処理してカプセ
ル化する。トンネリング処理部1610は、内部ホスト
1601宛てのパケットを脱カプセル化し復号処理す
る。
【0314】トンネリング処理部1613は、内部セッ
ション管理部1609が内部セッション管理部1611
に通知した鍵を使用して、内部ホスト1601宛てのパ
ケットを暗号処理しカプセル化する。また、トンネリン
グ処理部1613は、ファイアウォールのセッション管
理部が外部セッション管理部1612に通知した鍵を使
用して、外部ネットワークへ移動した端末宛てのパケッ
トを暗号処理しカプセル化する。トンネリング処理部1
613は、端末1607宛てのパケットを脱カプセル化
し復号処理する。
ション管理部1609が内部セッション管理部1611
に通知した鍵を使用して、内部ホスト1601宛てのパ
ケットを暗号処理しカプセル化する。また、トンネリン
グ処理部1613は、ファイアウォールのセッション管
理部が外部セッション管理部1612に通知した鍵を使
用して、外部ネットワークへ移動した端末宛てのパケッ
トを暗号処理しカプセル化する。トンネリング処理部1
613は、端末1607宛てのパケットを脱カプセル化
し復号処理する。
【0315】トンネリング処理部1617は、外部セッ
ション管理部1615が交換した鍵を使用して、内部ホ
スト1601宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1617は、外部ネット
ワークに移動した端末宛てのパケットを脱カプセル化し
復号処理する。
ション管理部1615が交換した鍵を使用して、内部ホ
スト1601宛てのパケットを暗号処理しカプセル化す
る。また、トンネリング処理部1617は、外部ネット
ワークに移動した端末宛てのパケットを脱カプセル化し
復号処理する。
【0316】移動前情報記憶部1616は、端末160
7の移動前アドレスI2と「サブネット管理サーバA」
1603のアドレスS1を記憶する。
7の移動前アドレスI2と「サブネット管理サーバA」
1603のアドレスS1を記憶する。
【0317】第7の実施形態と同様に、ファイアウォー
ルの構成要素は、セッション管理部とアクセス制御部で
ある。「サブネット管理サーバA」1603とファイア
ウォールの間には、「通信路B」とトンネルがある。
「サブネット管理サーバB」1605とファイアウォー
ルの間には別の通信路と別のトンネルがある。ファイア
ウォールと外部ネットワークに移動した端末の間には、
「通信路C」とトンネルがある。
ルの構成要素は、セッション管理部とアクセス制御部で
ある。「サブネット管理サーバA」1603とファイア
ウォールの間には、「通信路B」とトンネルがある。
「サブネット管理サーバB」1605とファイアウォー
ルの間には別の通信路と別のトンネルがある。ファイア
ウォールと外部ネットワークに移動した端末の間には、
「通信路C」とトンネルがある。
【0318】(M−2)第12の実施形態の動作 次に、第12の実施形態の動作を説明する。なお、第1
2の実施形態の動作のうち、第7の実施形態の動作とは
異なる動作のみを説明する。
2の実施形態の動作のうち、第7の実施形態の動作とは
異なる動作のみを説明する。
【0319】(M−2−1)通信開始前の動作 まず、内部ホスト1601と端末1607の通信の開始
における動作を説明する。
における動作を説明する。
【0320】「サブネット管理サーバA」1603の内
部セッション管理部1609と端末1607の内部セッ
ション管理部1614は、互いに通信し、端末1607
の認証と鍵交換をする。
部セッション管理部1609と端末1607の内部セッ
ション管理部1614は、互いに通信し、端末1607
の認証と鍵交換をする。
【0321】端末1607の内部セッション管理部16
14は、内部セッション管理部1609へ、端末160
7が内部ネットワークの他のサブネットに移動したこ
と、移動後のアドレスがI2’であること、移動前アド
レスがI2であることを通知する。
14は、内部セッション管理部1609へ、端末160
7が内部ネットワークの他のサブネットに移動したこ
と、移動後のアドレスがI2’であること、移動前アド
レスがI2であることを通知する。
【0322】「サブネット管理サーバA」1603の内
部セッション管理部1609は、端末1607の移動後
のアドレスI2’から、「サブネット管理サーバB」の
アドレスS2を求める。内部セッション管理部1609
は、内部セッション管理部1611へ、端末1607が
サブネットBへ移動したこと、端末1607の移動前ア
ドレスがI2であること、サブネット管理サーバA16
03のアドレスがS1であること、鍵を通知する。ここ
で、内部セッション管理部1609と内部セッション管
理部1614が通信する時に使用する通信路は、「通信
路E」1604と「通信路F」1606であっても、図
16に示さない別の通信路であってもよい。
部セッション管理部1609は、端末1607の移動後
のアドレスI2’から、「サブネット管理サーバB」の
アドレスS2を求める。内部セッション管理部1609
は、内部セッション管理部1611へ、端末1607が
サブネットBへ移動したこと、端末1607の移動前ア
ドレスがI2であること、サブネット管理サーバA16
03のアドレスがS1であること、鍵を通知する。ここ
で、内部セッション管理部1609と内部セッション管
理部1614が通信する時に使用する通信路は、「通信
路E」1604と「通信路F」1606であっても、図
16に示さない別の通信路であってもよい。
【0323】(M−2−2)通信開始後の動作 次に、内部ホスト1601と端末1607が通信をする
時の動作を説明する。
時の動作を説明する。
【0324】内部ホスト1601から端末1607へ伝
送されるパケット1619の受信先アドレスはI2、送
信元アドレスはI1となる。このパケット1619をカ
プセル化したパケット1620の受信先アドレスはS
2、送信元アドレスはS1となる。パケット1621
は、パケット1619と同一である。
送されるパケット1619の受信先アドレスはI2、送
信元アドレスはI1となる。このパケット1619をカ
プセル化したパケット1620の受信先アドレスはS
2、送信元アドレスはS1となる。パケット1621
は、パケット1619と同一である。
【0325】端末1607から内部ホスト1601へ伝
送されるパケット1622の受信先アドレスはI1、送
信元アドレスはI2となる。このパケット1622をカ
プセル化したパケット1623の受信先アドレスはS
1、送信元アドレスはS2となる。パケット1624
は、パケット1622と同一である。
送されるパケット1622の受信先アドレスはI1、送
信元アドレスはI2となる。このパケット1622をカ
プセル化したパケット1623の受信先アドレスはS
1、送信元アドレスはS2となる。パケット1624
は、パケット1622と同一である。
【0326】(M−2−2−1)内部ホストから端末へ
の送信 まず、内部ホスト1601から端末1607へパケット
を送信する場合の動作を説明する。トンネリング処理部
1610は、パケット1619を暗号処理しカプセル化
し、パケット1620を得る。この時、パケット161
9の受信先アドレスがI2であるので、パケット162
0の受信先アドレスをS2にする。
の送信 まず、内部ホスト1601から端末1607へパケット
を送信する場合の動作を説明する。トンネリング処理部
1610は、パケット1619を暗号処理しカプセル化
し、パケット1620を得る。この時、パケット161
9の受信先アドレスがI2であるので、パケット162
0の受信先アドレスをS2にする。
【0327】(M−2−2−2)端末から内部ホストへ
の送信 逆に、端末1607から内部ホスト1601ヘパケット
を送信する場合の動作を説明する。
の送信 逆に、端末1607から内部ホスト1601ヘパケット
を送信する場合の動作を説明する。
【0328】トンネリング処理部1613は、パケット
1622を暗号処理しカプセル化しパケット1623を
得る。この時、トンネリング処理部1613は、パケッ
ト1622の送信元アドレスがI2であるので、パケッ
ト1623の受信先アドレスをS1にする。
1622を暗号処理しカプセル化しパケット1623を
得る。この時、トンネリング処理部1613は、パケッ
ト1622の送信元アドレスがI2であるので、パケッ
ト1623の受信先アドレスをS1にする。
【0329】(M−3)第12の実施形態の効果 以上のように、第12の実施形態によれば、サブネット
管理サーバの間にトンネルを設けるので、端末がトンネ
リングの処理をしないので、端末の負荷を軽減できると
いう効果が得られる。
管理サーバの間にトンネルを設けるので、端末がトンネ
リングの処理をしないので、端末の負荷を軽減できると
いう効果が得られる。
【0330】また、第12の実施形態では、複数のサブ
ネット管理サーバどうしが同時に通信可能であり、ま
た、複数の内部ホスト1601と複数の端末1607と
も同時に通信可能である。
ネット管理サーバどうしが同時に通信可能であり、ま
た、複数の内部ホスト1601と複数の端末1607と
も同時に通信可能である。
【0331】(N)他の実施形態 (N-1) なお、上述の各実施形態においては、内部ネット
ワークに位置する端末を外部ネットワークに移動した場
合におけるサービスの利用権限について説明したが、内
部ネットワークに一度も位置しないが、内部ネットワー
ク上のアドレスが割り当てられており、かつ、そのアド
レスを記憶している端末についても本システムを適用す
ることができる。すなわち、かかる端末についても、内
部ホストのサービスを内部ネットワークでのアドレスに
基づくサービス利用権限で利用することができる。
ワークに位置する端末を外部ネットワークに移動した場
合におけるサービスの利用権限について説明したが、内
部ネットワークに一度も位置しないが、内部ネットワー
ク上のアドレスが割り当てられており、かつ、そのアド
レスを記憶している端末についても本システムを適用す
ることができる。すなわち、かかる端末についても、内
部ホストのサービスを内部ネットワークでのアドレスに
基づくサービス利用権限で利用することができる。
【0332】(N-2) また、上述の各実施形態において
は、端末が内部ホストのサービスを利用することを前提
として説明したが、内部ネットワークのいずれかのコン
ピュータが、端末の外部ネットワークでのアドレスを記
憶するならば、内部ホストが端末のサービスを利用する
こともできる。
は、端末が内部ホストのサービスを利用することを前提
として説明したが、内部ネットワークのいずれかのコン
ピュータが、端末の外部ネットワークでのアドレスを記
憶するならば、内部ホストが端末のサービスを利用する
こともできる。
【0333】(N-3) また、上述の各実施形態において
は、パケットを暗号処理する場合についてのみ述べた
が、パケットの暗号処理とパケットの認証処理をするこ
ともできる。また、パケットを暗号処理せず、パケット
の認証処理だけをすることもできる。パケットを認証す
る方式には、従来技術の上記文献に示されるAH(Auth
entication Header)がある。
は、パケットを暗号処理する場合についてのみ述べた
が、パケットの暗号処理とパケットの認証処理をするこ
ともできる。また、パケットを暗号処理せず、パケット
の認証処理だけをすることもできる。パケットを認証す
る方式には、従来技術の上記文献に示されるAH(Auth
entication Header)がある。
【0334】(N-4) また、上述の各実施形態において
は、パケットを暗号処理する場合について述べたが、ト
ンネリング処理部で複数の暗号処理のアルゴリズムを使
えるようにすると、パケットのヘッダのアドレスによ
り、暗号処理のアルゴリズムを変える通信方式、パケッ
トのヘッダのSPIにより、暗号処理のアルゴリズムを
変える通信方式も実施可能である。ここで、暗号処理の
アルゴリズムには、恒等写像を含むものとする。通信路
がセキュリティの面で安全であるとみなせる場合には、
暗号処理のアルゴリズムは恒等写像でよい。また、通信
する情報が既に暗号化されている場合も、暗号処理のア
ルゴリズムは恒等写像でよい。
は、パケットを暗号処理する場合について述べたが、ト
ンネリング処理部で複数の暗号処理のアルゴリズムを使
えるようにすると、パケットのヘッダのアドレスによ
り、暗号処理のアルゴリズムを変える通信方式、パケッ
トのヘッダのSPIにより、暗号処理のアルゴリズムを
変える通信方式も実施可能である。ここで、暗号処理の
アルゴリズムには、恒等写像を含むものとする。通信路
がセキュリティの面で安全であるとみなせる場合には、
暗号処理のアルゴリズムは恒等写像でよい。また、通信
する情報が既に暗号化されている場合も、暗号処理のア
ルゴリズムは恒等写像でよい。
【0335】(N-5) また、第5、第10の実施形態にお
いては、パケットのヘッダのSPI(使用する暗号アル
ゴリズムや鍵などのセキュリティに関係するバラメータ
を表す)を利用して、パケットのヘッダのアドレスを書
き換える場合について述べたが、パケットのへッダに、
パケットが通過するトンネルの両端のアドレスを表すフ
ィールドを設け、そのフィールドの値を利用するように
しても、パケットのヘッダのアドレスを書き換えること
ができる。
いては、パケットのヘッダのSPI(使用する暗号アル
ゴリズムや鍵などのセキュリティに関係するバラメータ
を表す)を利用して、パケットのヘッダのアドレスを書
き換える場合について述べたが、パケットのへッダに、
パケットが通過するトンネルの両端のアドレスを表すフ
ィールドを設け、そのフィールドの値を利用するように
しても、パケットのヘッダのアドレスを書き換えること
ができる。
【0336】(N-6) また、第2〜第12の実施形態にお
いては、トンネルの端に位置する内部ホスト又はサブネ
ット管理サーバで暗号処理と復号処理とを行っている
が、暗号処理と復号処理を、トンネル内部の端以外の位
置のコンピュータで行うこともできる。暗号処理と復号
処理を、トンネル内部の端以外の位置のコンピュータで
行うと、内部ホスト、サブネット管理サーバの負荷を下
げることができる。なお、第2〜第12の実施形態にお
いては、トンネル内部の端以外の位置のコンピュータ
は、ファイアウォールである。
いては、トンネルの端に位置する内部ホスト又はサブネ
ット管理サーバで暗号処理と復号処理とを行っている
が、暗号処理と復号処理を、トンネル内部の端以外の位
置のコンピュータで行うこともできる。暗号処理と復号
処理を、トンネル内部の端以外の位置のコンピュータで
行うと、内部ホスト、サブネット管理サーバの負荷を下
げることができる。なお、第2〜第12の実施形態にお
いては、トンネル内部の端以外の位置のコンピュータ
は、ファイアウォールである。
【0337】(N-7) また、第2〜第12の実施形態にお
いては、外部ネットワークに移動した端末の認証と鍵交
換を、ファイアウォールのセッション管理部が行ってい
るが、外部ネットワークに移動した端末の認証と鍵交換
を、内部ホスト又はサブネット管理サーバのセッション
管理部が行うこともできる。外部ネットワークに移動し
た端末の認証と鍵交換を、内部ホスト又はサブネット管
理サーバのセッション管理部が行うと、ファイアウォー
ルの負荷を下げることができる。
いては、外部ネットワークに移動した端末の認証と鍵交
換を、ファイアウォールのセッション管理部が行ってい
るが、外部ネットワークに移動した端末の認証と鍵交換
を、内部ホスト又はサブネット管理サーバのセッション
管理部が行うこともできる。外部ネットワークに移動し
た端末の認証と鍵交換を、内部ホスト又はサブネット管
理サーバのセッション管理部が行うと、ファイアウォー
ルの負荷を下げることができる。
【0338】(N-8) また、上述の各実施形態において
は、ファイアウォール、内部ホスト、サブネット管理サ
ーバのいずれかと端末が鍵交換をする場合を例に説明し
たが、鍵交換をする代わりに、固定の鍵を使用すること
もできる。
は、ファイアウォール、内部ホスト、サブネット管理サ
ーバのいずれかと端末が鍵交換をする場合を例に説明し
たが、鍵交換をする代わりに、固定の鍵を使用すること
もできる。
【0339】
【発明の効果】以上のように、第1の発明によれば、外
部ネットワークに位置する端末が、ファイアウォールを
介して内部ネットワークの内部ホストと通信する形態の
通信システムにおいて、端末に、移動前に又は予め内部
ネットワークにおいて割り当てられた端末アドレスを記
憶するアドレス記憶手段を備えるようにする。これによ
り、外部ネットワークに位置する端末であっても内部ネ
ットワークで割り当てられた端末アドレスを記憶する端
末については、内部ホスト側において、当該端末に提供
し得るサービスの利用権限を判別することが可能とな
る。その結果、特定の端末については、外部ネットワー
クに位置する場合にも、内部ネットワークに位置する場
合と同じ利用権限でのサービスを受けることができる通
信システムを実現できる。
部ネットワークに位置する端末が、ファイアウォールを
介して内部ネットワークの内部ホストと通信する形態の
通信システムにおいて、端末に、移動前に又は予め内部
ネットワークにおいて割り当てられた端末アドレスを記
憶するアドレス記憶手段を備えるようにする。これによ
り、外部ネットワークに位置する端末であっても内部ネ
ットワークで割り当てられた端末アドレスを記憶する端
末については、内部ホスト側において、当該端末に提供
し得るサービスの利用権限を判別することが可能とな
る。その結果、特定の端末については、外部ネットワー
クに位置する場合にも、内部ネットワークに位置する場
合と同じ利用権限でのサービスを受けることができる通
信システムを実現できる。
【0340】また、第2の発明によれば、内部ネットワ
ーク内のあるサブネットに位置する端末が、当該ネット
ワーク内で内部ホストと通信する形態の通信システムに
おいて、(1) 端末に、同じネットワーク内のあるサブネ
ットから他のサブネットへ移動した後も、移動前に割り
当てられた端末アドレスを記憶し続けるアドレス記憶手
段を備えると共に、(2) 端末及び内部ホストに、当該移
動があった場合に、アドレス記憶手段が記憶している移
動前の端末アドレスと同一のアドレスを有するパケット
を、カプセル化後、端末及び内部ホストの間に形成した
トンネルを介して入出力するトンネリング処理手段を備
えるようにする。これにより、端末が、内部ネットワー
ク内のあるサブネットから他のサブネットに端末が移動
した場合にも、移動前のサブネットで許容されていたの
と同じ利用権限でサービスを受けることができるように
なる。
ーク内のあるサブネットに位置する端末が、当該ネット
ワーク内で内部ホストと通信する形態の通信システムに
おいて、(1) 端末に、同じネットワーク内のあるサブネ
ットから他のサブネットへ移動した後も、移動前に割り
当てられた端末アドレスを記憶し続けるアドレス記憶手
段を備えると共に、(2) 端末及び内部ホストに、当該移
動があった場合に、アドレス記憶手段が記憶している移
動前の端末アドレスと同一のアドレスを有するパケット
を、カプセル化後、端末及び内部ホストの間に形成した
トンネルを介して入出力するトンネリング処理手段を備
えるようにする。これにより、端末が、内部ネットワー
ク内のあるサブネットから他のサブネットに端末が移動
した場合にも、移動前のサブネットで許容されていたの
と同じ利用権限でサービスを受けることができるように
なる。
【0341】さらに、第3の発明によれば、内部ネット
ワーク内のあるサブネットに位置する端末が、当該ネッ
トワーク内の内部ホストと通信する形態の通信システム
において、(1) 端末に、同一ネットワーク内のあるサブ
ネットから他のサブネットへ移動した後も、移動前に割
り当てられた端末アドレスを記憶し続けるアドレス記憶
手段を備えると共に、(2) 端末及び当該端末が移動前に
位置したサブネットのサブネット管理サーバは、当該移
動があった場合に、アドレス記憶手段が記憶している移
動前の端末アドレスと同一のアドレスを有するパケット
を、カプセル化後、端末及びサブネット管理サーバ間に
形成したトンネルを介して入出力するトンネリング処理
手段を備えるようにする。これにより、端末が、内部ホ
ストごとに各端末までのトンネルを設けなくて良くな
る。
ワーク内のあるサブネットに位置する端末が、当該ネッ
トワーク内の内部ホストと通信する形態の通信システム
において、(1) 端末に、同一ネットワーク内のあるサブ
ネットから他のサブネットへ移動した後も、移動前に割
り当てられた端末アドレスを記憶し続けるアドレス記憶
手段を備えると共に、(2) 端末及び当該端末が移動前に
位置したサブネットのサブネット管理サーバは、当該移
動があった場合に、アドレス記憶手段が記憶している移
動前の端末アドレスと同一のアドレスを有するパケット
を、カプセル化後、端末及びサブネット管理サーバ間に
形成したトンネルを介して入出力するトンネリング処理
手段を備えるようにする。これにより、端末が、内部ホ
ストごとに各端末までのトンネルを設けなくて良くな
る。
【0342】さらに、第4の発明によれば、内部ネット
ワーク内のあるサブネットに位置する端末が、当該ネッ
トワーク内の内部ホストと通信する形態の通信システム
において、(1) 端末に、同一ネットワーク内のあるサブ
ネットから他のサブネットへ移動した後も、移動前に割
り当てられた端末アドレスを記憶し続けるアドレス記憶
手段を備えると共に、(2) 端末の移動の前後に係る各サ
ブネットのサブネット管理サーバは、当該移動があった
場合に、アドレス記憶手段が記憶している移動前の端末
アドレスと同一のアドレスを有するパケットを、カプセ
ル化後、当該サブネット管理サーバ間に形成したトンネ
ルを介して入出力するトンネリング処理手段を備えるよ
うにする。これにより、端末がトンネリング処理をせず
に済み、その分、端末の負荷を軽減することができる。
ワーク内のあるサブネットに位置する端末が、当該ネッ
トワーク内の内部ホストと通信する形態の通信システム
において、(1) 端末に、同一ネットワーク内のあるサブ
ネットから他のサブネットへ移動した後も、移動前に割
り当てられた端末アドレスを記憶し続けるアドレス記憶
手段を備えると共に、(2) 端末の移動の前後に係る各サ
ブネットのサブネット管理サーバは、当該移動があった
場合に、アドレス記憶手段が記憶している移動前の端末
アドレスと同一のアドレスを有するパケットを、カプセ
ル化後、当該サブネット管理サーバ間に形成したトンネ
ルを介して入出力するトンネリング処理手段を備えるよ
うにする。これにより、端末がトンネリング処理をせず
に済み、その分、端末の負荷を軽減することができる。
【図1】第1の実施形態に係る通信システムの構成例を
示すブロック図である。
示すブロック図である。
【図2】従来のパケット構成を示す説明図である。
【図3】従来の通信システムの構成を示すブロック図で
ある。
ある。
【図4】各実施形態で使用するパケット構成を示す説明
図である。
図である。
【図5】一部の実施形態で使用するパケット構成を示す
説明図である。
説明図である。
【図6】第2の実施形態に係る通信システムの構成例を
示すブロック図である。
示すブロック図である。
【図7】第3の実施形態に係る通信システムの構成例を
示すブロック図である。
示すブロック図である。
【図8】第4の実施形態に係る通信システムの構成例を
示すブロック図である。
示すブロック図である。
【図9】第5の実施形態に係る通信システムの構成例を
示すブロック図である。
示すブロック図である。
【図10】第6の実施形態に係る通信システムの構成例
を示すブロック図である。
を示すブロック図である。
【図11】第7の実施形態に係る通信システムの構成例
を示すブロック図である。
を示すブロック図である。
【図12】第8の実施形態に係る通信システムの構成例
を示すブロック図である。
を示すブロック図である。
【図13】第9の実施形態に係る通信システムの構成例
を示すブロック図である。
を示すブロック図である。
【図14】第10の実施形態に係る通信システムの構成
例を示すブロック図である。
例を示すブロック図である。
【図15】第11の実施形態に係る通信システムの構成
例を示すブロック図である。
例を示すブロック図である。
【図16】第12の実施形態に係る通信システムの構成
例を示すブロック図である。
例を示すブロック図である。
501、601…内部ホスト、503、603〜90
3、1105、12051305、1405…ファイア
ウォール、505、605〜905、1003、110
7、1207〜1407、1505、1607…端末、
1103、1203〜1603、1605…サブネット
管理サーバ、510、611、711、811、91
1、1009、1113、1213、1313、141
3、1511、1616…移動前情報記憶部、100
5、1007、1507、1509、1609、161
1、1614…内部セッション管理部、1004、10
08、1506、1510、1608、1612、16
15…外部セッション管理部。
3、1105、12051305、1405…ファイア
ウォール、505、605〜905、1003、110
7、1207〜1407、1505、1607…端末、
1103、1203〜1603、1605…サブネット
管理サーバ、510、611、711、811、91
1、1009、1113、1213、1313、141
3、1511、1616…移動前情報記憶部、100
5、1007、1507、1509、1609、161
1、1614…内部セッション管理部、1004、10
08、1506、1510、1608、1612、16
15…外部セッション管理部。
Claims (22)
- 【請求項1】 外部ネットワークに位置する端末が、フ
ァイアウォールを介して内部ネットワークの内部ホスト
と通信する形態の通信システムにおいて、 上記端末は、移動前に又は予め内部ネットワークにおい
て割り当てられた端末アドレスを記憶するアドレス記憶
手段を備えることを特徴とする通信システム。 - 【請求項2】 上記端末及び上記ファイアウォールは、
当該端末が内部ネットワークから外部ネットワークへ移
動した場合に、上記アドレス記憶手段が記憶している端
末アドレスと同一のアドレスを有するパケットを、カプ
セル化後、上記端末及びファイアウォールの間に形成し
たトンネルを介して入出力するトンネリング処理手段を
備えることを特徴とする請求項1に記載の通信システ
ム。 - 【請求項3】 上記端末及び上記内部ホストは、当該端
末が内部ネットワークから外部ネットワークへ移動した
場合に、上記アドレス記憶手段が記憶している端末アド
レスと同一のアドレスを有するパケットを、カプセル化
後、上記端末及び内部ホスト間に形成したトンネルを介
して入出力するトンネリング処理手段を備えることを特
徴とする請求項1に記載の通信システム。 - 【請求項4】 上記内部ネットワークにおける各サブネ
ットのサブネット管理サーバは、上記端末が内部ネット
ワークから外部ネットワークへ移動した場合に、上記ア
ドレス記憶手段が記憶している端末アドレスと同一のア
ドレスを有するパケットを、カプセル化後、当該サブネ
ット管理サーバと上記端末との間に形成したトンネルを
介して入出力するトンネリング処理手段を備えることを
特徴とする請求項1に記載の通信システム。 - 【請求項5】 上記ファイアウォールはトンネルの内部
に位置し、当該ファイアウォールは、上記パケットのヘ
ッダのアドレスを書き換えるヘッダアドレス書換手段を
備えることを特徴とする請求項3又は4に記載の通信シ
ステム。 - 【請求項6】 上記ファイアウォールは、内部ネットワ
ークに接続しているネットワーク・インターフェースの
アドレスを複数有することを特徴とする請求項5に記載
の通信システム。 - 【請求項7】 上記ファイアウォールは、内部ネットワ
ークに接続しているネットワーク・インターフェースの
アドレスを複数有し、かつ、外部ネットワークに接続し
ているネットワーク・インターフェースのアドレスを複
数有することを特徴とする請求項5に記載の通信システ
ム。 - 【請求項8】 上記ファイアウォールは、パケットのへ
ッダに記録されているセキュリティ関連情報に基づい
て、上記パケットのヘッダのアドレスを書き換えること
を特徴とする請求項5に記載の通信システム。 - 【請求項9】 上記ファイアウォールは、パケットのへ
ッダに記録されている、パケットが通過するトンネルの
両端アドレスを表すフィールドの値に基づいて、上記パ
ケットのへッダのアドレスを書き換えることを特徴とす
る請求項5に記載の通信システム。 - 【請求項10】 内部ネットワーク内のあるサブネット
に位置する端末が、当該ネットワーク内で内部ホストと
通信する形態の通信システムにおいて、 上記端末は、同じネットワーク内のあるサブネットから
他のサブネットへ移動した後も、移動前に割り当てられ
た端末アドレスを記憶し続けるアドレス記憶手段を備
え、かつ、上記端末及び上記内部ホストは、当該移動が
あった場合に、上記アドレス記憶手段が記憶している移
動前の端末アドレスと同一のアドレスを有するパケット
を、カプセル化後、上記端末及び内部ホストの間に形成
したトンネルを介して入出力するトンネリング処理手段
を備えることを特徴とする通信システム。 - 【請求項11】 内部ネットワーク内のあるサブネット
に位置する端末が、当該ネットワーク内の内部ホストと
通信する形態の通信システムにおいて、 上記端末は、同一ネットワーク内のあるサブネットから
他のサブネットへ移動した後も、移動前に割り当てられ
た端末アドレスを記憶し続けるアドレス記憶手段を備
え、かつ、上記端末及び当該端末が移動前に位置したサ
ブネットのサブネット管理サーバは、当該移動があった
場合に、上記アドレス記憶手段が記憶している移動前の
端末アドレスと同一のアドレスを有するパケットを、カ
プセル化後、上記端末及びサブネット管理サーバ間に形
成したトンネルを介して入出力するトンネリング処理手
段を備えることを特徴とする通信システム。 - 【請求項12】 内部ネットワーク内のあるサブネット
に位置する端末が、当該ネットワーク内の内部ホストと
通信する形態の通信システムにおいて、 上記端末は、同一ネットワーク内のあるサブネットから
他のサブネットへ移動した後も、移動前に割り当てられ
た端末アドレスを記憶し続けるアドレス記憶手段を備
え、かつ、上記端末の移動の前後に係る各サブネットの
サブネット管理サーバは、当該移動があった場合に、上
記アドレス記憶手段が記憶している移動前の端末アドレ
スと同一のアドレスを有するパケットを、カプセル化
後、当該サブネット管理サーバ間に形成したトンネルを
介して入出力するトンネリング処理手段を備えることを
特徴とする通信システム。 - 【請求項13】 上記ファイアウォールは、内部ネット
ワークから外部ネットワークへ移動した端末に対して外
部ネットワークが割り当てた端末アドレスを記憶するア
ドレス記憶手段を備えることを特徴とする請求項1〜9
のいずれかに記載の通信システム。 - 【請求項14】 上記内部ネットワーク内のサブネット
管理サーバは、内部ネットワークから外部ネットワーク
へ移動した端末に対して外部ネットワークが割り当てた
端末アドレスを記憶するアドレス記憶手段を備えること
を特徴とする請求項1〜9のいずれかに記載の通信シス
テム。 - 【請求項15】 上記トンネルの両端位置に、上記パケ
ットを暗号処理する暗号処理手段を備えることを特徴と
する請求項1〜14のいずれかに記載の通信システム。 - 【請求項16】 上記トンネルの両端位置を除く内部位
置に、上記パケットを暗号処理する暗号処理手段を備え
ることを特徴とする請求項1〜14のいずれかに記載の
通信システム。 - 【請求項17】 上記暗号処理手段は、上記パケットの
ヘッダのアドレスに応じて、暗号処理のアルゴリズム
を、1つ以上の暗号処理のアルゴリズムと恒等写像のう
ちのいずれかに切り替えることを特徴とする請求項15
又は16に記載の通信システム。 - 【請求項18】 上記暗号処理手段は、上記パケットの
ヘッダに記憶されているセキュリティ関連情報に応じ
て、暗号処理のアルゴリズムを、1つ以上の暗号処理の
アルゴリズムと恒等写像のうちのどれかに切り替えるこ
とを特徴とする請求項15又は16に記載の通信システ
ム。 - 【請求項19】 上記トンネルの両端位置に、パケット
を認証処理する認証処理手段を備えることを特徴とする
請求項1〜14のいずれかに記載の通信システム。 - 【請求項20】 上記トンネルの両端位置を除く内部位
置に、パケットを認証処理する認証処理手段を備えるこ
とを特徴とする請求項1〜14のいずれかに記載の通信
システム。 - 【請求項21】 上記認証処理手段は、上記パケットの
ヘッダのアドレスに応じて、パケットの認証処理のアル
ゴリズムを変更することを特徴とする請求項19又は2
0に記載の通信システム。 - 【請求項22】 上記認証処理手段は、上記パケットの
ヘッダに記憶されているセキュリティ関連情報に応じ
て、パケットの認証処理のアルゴリズムを変更すること
を特徴とする請求項19又は20に記載の通信システ
ム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9024677A JPH10224409A (ja) | 1997-02-07 | 1997-02-07 | 通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9024677A JPH10224409A (ja) | 1997-02-07 | 1997-02-07 | 通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10224409A true JPH10224409A (ja) | 1998-08-21 |
Family
ID=12144784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9024677A Pending JPH10224409A (ja) | 1997-02-07 | 1997-02-07 | 通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10224409A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002047336A1 (fr) * | 2000-12-06 | 2002-06-13 | Nec Corporation | Reseau prive virtuel |
| JP2006229274A (ja) * | 2005-02-15 | 2006-08-31 | Matsushita Electric Ind Co Ltd | 通信システム、情報処理装置、サーバ装置、及び情報処理方法 |
| JP2008104237A (ja) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | データ転送装置 |
| JPWO2006093021A1 (ja) * | 2005-02-28 | 2008-08-07 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| JP2008541675A (ja) * | 2005-05-23 | 2008-11-20 | ▲ホア▼▲ウェイ▼技術有限公司 | ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム |
| JP2009038555A (ja) * | 2007-08-01 | 2009-02-19 | Yamaha Corp | ネットワーク機器 |
| WO2009078103A1 (ja) * | 2007-12-19 | 2009-06-25 | Fujitsu Limited | 暗号化実施制御システム |
| JP2010141917A (ja) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | データ転送装置 |
-
1997
- 1997-02-07 JP JP9024677A patent/JPH10224409A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002047336A1 (fr) * | 2000-12-06 | 2002-06-13 | Nec Corporation | Reseau prive virtuel |
| JP2006229274A (ja) * | 2005-02-15 | 2006-08-31 | Matsushita Electric Ind Co Ltd | 通信システム、情報処理装置、サーバ装置、及び情報処理方法 |
| JP4507904B2 (ja) * | 2005-02-15 | 2010-07-21 | パナソニック株式会社 | 通信システム、情報処理装置、サーバ装置、及び情報処理方法 |
| JPWO2006093021A1 (ja) * | 2005-02-28 | 2008-08-07 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| JP4826827B2 (ja) * | 2005-02-28 | 2011-11-30 | 日本電気株式会社 | 通信装置、通信システム、通信方法、及びプログラム |
| JP2008541675A (ja) * | 2005-05-23 | 2008-11-20 | ▲ホア▼▲ウェイ▼技術有限公司 | ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム |
| JP4705167B2 (ja) * | 2005-05-23 | 2011-06-22 | ▲ホア▼▲ウェイ▼技術有限公司 | ネットワークアドレス変換またはファイアウォール設備を越える方法及びシステム |
| JP2009038555A (ja) * | 2007-08-01 | 2009-02-19 | Yamaha Corp | ネットワーク機器 |
| WO2009078103A1 (ja) * | 2007-12-19 | 2009-06-25 | Fujitsu Limited | 暗号化実施制御システム |
| JP5316423B2 (ja) * | 2007-12-19 | 2013-10-16 | 富士通株式会社 | 暗号化実施制御システム |
| JP4508238B2 (ja) * | 2007-12-27 | 2010-07-21 | 株式会社日立製作所 | データ転送装置 |
| JP2008104237A (ja) * | 2007-12-27 | 2008-05-01 | Hitachi Ltd | データ転送装置 |
| JP2010141917A (ja) * | 2010-02-15 | 2010-06-24 | Hitachi Ltd | データ転送装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11283772B2 (en) | Method and system for sending a message through a secure connection | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| US8179890B2 (en) | Mobile IP over VPN communication protocol | |
| JP3457645B2 (ja) | ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法 | |
| US7647492B2 (en) | Architecture for routing and IPSec integration | |
| US7937581B2 (en) | Method and network for ensuring secure forwarding of messages | |
| JPH10178421A (ja) | パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法 | |
| KR20150020530A (ko) | 다중 터널 가상 사설 네트워크 | |
| EP1328105B1 (en) | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel | |
| WO2003096612A1 (fr) | Dispositif, procede et systeme de cryptage | |
| JP2001156841A (ja) | 暗号装置、暗号化器および復号器 | |
| JPH10224409A (ja) | 通信システム | |
| JP2001326695A (ja) | ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム | |
| JP2002232450A (ja) | ネットワーク中継装置、データ通信システム、データ通信方法およびその方法をコンピュータに実行させるプログラム | |
| JP5131118B2 (ja) | 通信システム、管理装置、中継装置、及びプログラム | |
| KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| CN115766063A (zh) | 数据传输方法、装置、设备及介质 | |
| JP2005252464A (ja) | 通信方法、通信端末装置およびゲートウェイ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040329 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040727 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041207 |