JPH11177582A - パケット転送方法および該方法に用いる基地局 - Google Patents

パケット転送方法および該方法に用いる基地局

Info

Publication number
JPH11177582A
JPH11177582A JP22733798A JP22733798A JPH11177582A JP H11177582 A JPH11177582 A JP H11177582A JP 22733798 A JP22733798 A JP 22733798A JP 22733798 A JP22733798 A JP 22733798A JP H11177582 A JPH11177582 A JP H11177582A
Authority
JP
Japan
Prior art keywords
packet
terminal
network
address
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP22733798A
Other languages
English (en)
Other versions
JP3009876B2 (ja
Inventor
Takeo Ichikawa
武男 市川
Hidetoshi Kayama
英俊 加山
Hiroyuki Yamamoto
浩之 山本
Hitoshi Takanashi
斉 高梨
Masahiro Morikura
正博 守倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP22733798A priority Critical patent/JP3009876B2/ja
Publication of JPH11177582A publication Critical patent/JPH11177582A/ja
Application granted granted Critical
Publication of JP3009876B2 publication Critical patent/JP3009876B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 送信元アドレスの偽造によりユーザLANへ
不正にアクセスできる問題を解決し、予め登録した端末
のみ特定のユーザLANとのパケット転送だけを許可す
るパケット転送方法を提供する。 【解決手段】 ユーザLANを識別するVLAN−ID
を定義しておき、無線パケット網は端末アドレスとVL
AN−IDと端末認証に必要な情報を対応づけた端末情
報を予め記憶し、通信開始時においてまず無線パケット
端末の認証を行う。次に無線パケット端末は自身が属す
るユーザLANのVLAN−IDを付与した暗号化パケ
ットを送信し、無線パケット網は暗号の復号時に改竄を
調べ、改竄がない場合は送信元アドレスとVLAN−I
Dの対応を確認し、端末情報と一致する場合は宛先アド
レスに転送する。端末認証の結果が不正端末であった場
合,復号時に改竄がある場合,送信元アドレスとVLA
N−IDの対応が端末情報に不一致している場合はパケ
ットを廃棄する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、無線または有線の
パケット通信におけるパケット転送方法および該方法に
用いる基地局に関する。さらに詳しくは、コネクション
レス型のデータ通信において、パケット網に複数のLA
N(Local Area Network;ローカルエリアネットワー
ク)を接続して仮想LAN(VLAN)を構成したネッ
トワークにおけるパケット転送方法および該方法に用い
る基地局に関するものである。
【0002】
【従来の技術】インターネットでは、IP(Internet P
rotocol;インターネットプロトコル)がパケット転送
方法に採用され、このため各端末はIPアドレスを有す
る。IPアドレスは32bitで構成され、上位ビット
の一部はデータ網を識別するためのネットワークアドレ
スを示し、残りの下位ビットはデータ網に接続する端末
を識別するためのホストアドレスを示す。
【0003】端末は、データに宛先アドレスと送信元ア
ドレスを付与したパケットをIPネットワークに送信
し、IPネットワークは宛先アドレス中のネットワーク
アドレスで示されるデータ網にパケットを転送する。デ
ータ網は、パケットがユニキャストパケットの場合は宛
先アドレス中のホストアドレスで指定された端末に転送
し、パケットがブロードキャストパケットの場合はデー
タ網に接続する全ての端末に転送する(RFC791 I
nternet Protocol)。
【0004】しかしながら、このようなパケット転送方
法によると、送信元の端末が何者であるかを確認せずに
データ網へパケットを転送するため、未知の端末により
データ網が不正にアクセスされる危険性がある。また、
たとえ送信元端末が正規の端末であったとしても、宛先
アドレスを規制していないことから、送信元端末が属す
るデータ網以外の他のデータ網への不正アクセスを防止
できないという問題もある。
【0005】このような不都合を解消するために、パケ
ット転送時に宛先アドレスと送信元アドレスをチェック
するパケット転送方法が提案されている。
【0006】このアドレスチェック方法では、転送を許
可する宛先アドレスと送信元アドレスとの組合せをあら
かじめ許可テーブルとしてパケット転送装置に登録して
おく。パケット転送装置は、転送パケットの宛先アドレ
スと送信元アドレスをチェックして、これらアドレスが
許可テーブルに登録済みの場合は転送パケットを転送
し、未登録の場合は転送パケットを転送しない(石坂
隆宏、「ネットワーク・セキュリティ装置」,特開平2
−302139号公報)。
【0007】この方法によれば、送信元アドレスを確認
して、あらかじめ許可した端末アドレスの時にだけパケ
ットを転送することにより、データ網への不正アクセス
を防止している。しかし、この方法では送信元アドレス
を偽造することによってデータ網へ不正にアクセスでき
るという問題が生じる。
【0008】従来の他のパケット転送方法として強制転
送と呼ばれる方法が提案されている。この方法は、コネ
クションオリエンテッド型のパケット網(即ち、X.2
5に代表され、通信を開始する際にコネクションを設定
するパケット網)に複数のデータ網が接続していると
き、パケット網を通してアクセスしようとする呼をパケ
ット網がセキュリティチェック用のデータベースマシン
に強制転送する。そして、データベースマシンがアクセ
スの正当性をチェックして、正当な場合はアクセス呼を
データ網に転送して端末−データ網間にコネクションを
設定し、不当な場合はアクセス呼を切断するものである
(大吉 章次,「パケット交換網におけるセキュリティ
チェック方式」,特開平5−327773号公報)。
【0009】しかしながら、この方法では、パケットに
付与された宛先アドレスにより転送を行うコネクション
レス型のパケット網に適用した場合、セキュリティチェ
ック用のデータベースマシンに全ての転送パケットを強
制転送してアクセスの正当性をチェックする必要があ
る。そのために、セキュリティチェック用のデータベー
スマシンの負荷の増加とパケット転送遅延時間の増加と
いう問題が生じる。
【0010】さらに、従来の他のパケット転送方法とし
て、不特定多数の端末が接続するインターネット等のネ
ットワーク(以下、「中継ネットワーク」という)を経
由して、リモート端末がデータ網にアクセスすることを
可能にしつつ、データ網への不正アクセスを防止するカ
プセル化方法が提案されている。この方法では、データ
網がゲートウェイを介して中継ネットワークに接続す
る。ゲートウェイは通信開始時にまずリモート端末の認
証を行い、不正端末であることが判明した場合はパケッ
トを破棄する。次に、リモート端末は、宛先アドレスと
送信元アドレスが含まれた送信パケットを暗号化してゲ
ートウェイヘ送信する。この時、暗号化された送信パケ
ットは、ゲートウェイ宛のパケットのデータ部に格納さ
れ、宛先データ網に接続されたゲートウェイのアドレス
と送信元アドレスが付加されて中継ネットワークに転送
される。なおこのようにしてパケットを転送することを
カプセル化と呼んでいる。ゲートウェイは受信パケット
からデータ部を取り出して暗号化されたパケットを復号
する。この復号時に改竄を検出した場合はパケットを破
棄し、改竄されていない場合はパケットをデータ網へ転
送する。一方、データ網からリモート端末に宛てたパケ
ットは、送信元のデータ網に接続されたゲートウェイ
が、宛先アドレスと送信元アドレスを付加して暗号化し
たのち、これに宛先アドレスと自分のゲートウェイアド
レスをさらに付加し、カプセル化してリモート端末に転
送する。
【0011】この方法によれば、リモート端末を認証し
た後、ゲートウェイとリモート端末間にカプセル化によ
る暗号路を設定してデータ網への不正アクセスを防止し
ている。しかしながら、リモート端末が、中継ネットワ
ーク経由で接続している他のリモート端末にパケットを
送信する場合には、必ずゲートウェイを経由して転送さ
れるため、最適な経路選択が行われず、パケット転送遅
延時間が増加するという問題が生じる。また、ゲートウ
ェイは、自身に接続しているデータ網に属する全ての端
末についてカプセル化/デカプセル化処理を行う必要が
あり、ゲートウェイの処理負荷が増大してしまう。ま
た、この方法では、データ網またはリモート端末がブロ
ードキャストパケットやマルチキャストパケットを転送
する場合に、中継ネットワークに送られるパケットの宛
先アドレスにブロードキャストアドレスやマルチキャス
トアドレスを指定することができない。そのため、ゲー
トウェイはパケットを複製してから各リモート端末にユ
ニキャスト転送するしかなく、中継ネットワークのトラ
ヒック増加とパケット転送遅延時間の増加という問題が
生じるほか、ゲートウェイの負荷が増大するという問題
も生じる。さらに、送信元リモート端末から宛先リモー
ト端末へユニキャストパケットを転送する場合、たとえ
これらリモート端末が中継ネットワークに接続していて
も、必ず当該データ網に接続しているゲートウェイを経
由してから宛先端末にパケットが送られるため、転送遅
延時間が増加するという問題を生じる。
【0012】
【発明が解決しようとする課題】従って本発明の第1の
目的は、送信元アドレスを偽造することによりユーザL
ANへ不正にアクセスできてしまう問題を解決し、あら
かじめ登録した端末に対してだけ特定のデータ網とのパ
ケット転送を許可するパケット転送方法および該方法に
用いる基地局を提供することにある。
【0013】また、本発明の第2の目的は、パケットの
転送遅延時間,トラヒック,ゲートウェイの負荷が増加
する問題点を解決し、最適な経路選択が可能でなおかつ
効率的なパケット転送方法および該方法に用いる基地局
を提供することにある。
【0014】
【課題を解決するための手段】以上の課題を解決するた
めに、請求項1記載の発明は、パケット網が基地局と該
基地局を接続するパケットバックボーン網とから構成さ
れており、前記基地局が配下に複数のパケット端末を収
容しており、前記パケットバックボーン網がさらに複数
の他パケット網であるユーザLANに接続されているネ
ットワークを用いたパケット通信であり、前記各パケッ
ト端末は固有の端末アドレスを有すると共に宛先端末の
前記端末アドレスである宛先アドレスと自己の端末アド
レスである送信元アドレスとを付与したパケットを送信
し、前記ネットワークが前記宛先アドレスを用いて前記
パケットの転送を行うパケット転送方法であって、前記
パケット網は、前記パケット端末が前記基地局を介して
通信を開始する際に前記パケット端末の端末認証を行
い、認証に成功した前記パケット端末は、送信すべきデ
ータを暗号化して、前記宛先端末が属するユーザLAN
に割り当てられる識別子と前記宛先アドレスと前記送信
元アドレスを該暗号化データに付与したパケットを前記
パケット網へ送信し、前記パケット網は、前記パケット
を受信して該受信パケットに含まれる前記暗号化データ
を復号し、該受信パケットが改竄されていなければ、前
記受信パケットに含まれる前記送信元アドレス及び前記
識別子に基づいて、該識別子を持つユーザLANに対し
て前記パケット端末が通信を許可されている場合にだけ
前記受信パケットを該ユーザLANに転送し、該通信が
許可されていない場合には前記受信パケットを廃棄する
ことを特徴としている。
【0015】また、請求項2記載の発明は、パケット網
が基地局と該基地局を接続するパケットバックボーン網
とから構成されており、前記基地局が配下に複数のパケ
ット端末を収容しており、前記パケットバックボーン網
がさらに複数の他パケット網であるユーザLANに接続
されているネットワークを用いたパケット通信であり、
前記各パケット端末は固有の端末アドレスを有すると共
に宛先端末の前記端末アドレスである宛先アドレスと自
己の端末アドレスである送信元アドレスとを付与したパ
ケットを送信し、前記ネットワークが前記宛先アドレス
を用いて前記パケットの転送を行うパケット転送方法で
あって、前記ユーザLANを識別する識別子を前記各ユ
ーザLANにあらかじめ割り当てておき、前記パケット
網は、前記端末アドレスと通信を許されている1つ以上
のユーザLANにそれぞれ割り当てられた前記識別子と
端末認証に必要な情報とを対応づけた端末情報をあらか
じめ記憶し、前記パケット網は、前記パケット端末が前
記基地局を介して通信を開始する際に、前記情報を使用
して前記パケット端末の端末認証を行い、前記パケット
端末が正規の端末であれば前記パケット端末に対して通
信許可を通知し、前記パケット端末は、前記通信許可が
通知されたのであれば、1つ以上の前記ユーザLANの
中から通信するユーザLANを一つ選択し、送信すべき
データを暗号化して、該選択したユーザLANに割り当
てられた識別子と前記宛先アドレスと前記送信元アドレ
スを該暗号化データに付与したパケットを前記パケット
網へ送信し、前記パケット網は、前記パケットを受信し
て該受信パケットに含まれる前記暗号化データの復号時
に改竄の有無を判定し、改竄が検出されていれば前記受
信パケットを廃棄し、改竄されていない場合には、前記
受信パケットに含まれる前記送信元アドレスと前記識別
子との対応が前記端末情報に登録されているかどうかを
確認し、該対応が登録済みである場合には前記受信パケ
ットを前記宛先アドレスに転送し、該対応が未登録の場
合には前記受信パケットを廃棄することを特徴としてい
る。
【0016】また、請求項3記載の発明は、パケット網
が基地局と該基地局を接続するパケットバックボーン網
とから構成されており、前記基地局が配下に複数のパケ
ット端末を収容しており、前記パケットバックボーン網
がさらに複数の他パケット網であるユーザLANに接続
されているネットワークを用いたパケット通信であり、
前記各パケット端末は固有の端末アドレスを有すると共
に宛先端末の前記端末アドレスである宛先アドレスと自
己の端末アドレスである送信元アドレスとを付与したパ
ケットを送信し、前記ネットワークが前記宛先アドレス
を用いて前記パケットの転送を行うパケット転送方法で
あって、前記ユーザLAN毎にあらかじめ固有のユーザ
LAN名を割り当てておき、前記パケット網は、前記端
末アドレスと通信を許されている1つ以上のユーザLA
Nにそれぞれ割り当てられた前記ユーザLAN名と端末
認証に必要な情報を対応づけた端末情報をあらかじめ記
憶し、前記パケット端末は前記基地局を介して通信を開
始する際に、1つ以上の前記ユーザLANの中から通信
するユーザLANを一つ選択し、該選択したユーザLA
Nに割り当てられた前記ユーザLAN名を前記パケット
網へ通知し、前記パケット網は、前記情報を使用して前
記パケット端末の端末認証を行い、前記パケット端末が
正規の端末であれば、前記パケット端末から通知された
前記ユーザLAN名に対して前記ユーザLANを識別す
るための識別子を割り当てて前記パケット端末に通知
し、前記パケット端末は、送信すべきデータを暗号化し
て、前記選択したユーザLANに割り当てられた識別子
と前記宛先アドレスと前記送信元アドレスを該暗号化デ
ータに付与したパケットを前記パケット網へ送信し、前
記パケット網は、前記パケットを受信して該受信パケッ
トに含まれる前記暗号化データの復号時に改竄の有無を
判定し、改竄が検出されていれば前記受信パケットを廃
棄し、改竄されていない場合には、前記受信パケットに
含まれる識別子を割り当てたユーザLAN名と前記受信
パケットに含まれる送信元アドレスとの対応が前記端末
情報に登録されているかどうかを確認し、該対応が登録
済みである場合には前記受信パケットを前記宛先アドレ
スに転送し、該対応が未登録の場合には前記受信パケッ
トを廃棄し、前記パケット網は、その後に前記パケット
端末が通信を終了した時に前記ユーザLAN名に割り当
てた前記識別子を解放するようにしたことを特徴として
いる。
【0017】また、請求項4記載の発明は、請求項2記
載の発明において、前記パケットバックボーン網が、前
記パケットを中継する複数の中継ノードを有し、これら
各中継ノードが前記受信パケットを前記宛先アドレスに
転送するための経路選択の機能を有するネットワークを
用いたパケット転送方法であって、前記パケット網は、
前記経路選択のためのルーチング情報として前記受信パ
ケット中の前記宛先アドレスと前記識別子とを用い、ユ
ニキャストパケットを転送する場合、前記宛先端末が前
記パケット網に接続中であれば、前記宛先アドレスに応
じて前記中継ノードを順次選択しながら該パケットを前
記宛先端末まで転送し、前記宛先端末が前記パケット網
に接続中でなければ、前記識別子に応じて前記中継ノー
ドを順次選択しながら該パケットを前記ユーザLANま
で転送し、ブロードキャストパケット及びマルチキャス
トパケットを転送する場合は、前記識別子を用いて前記
中継ノードを順次選択して該中継ノードに該パケットを
順次転送してゆき、同じ識別子を用いて通信中の全ての
前記パケット端末及び該識別子により指定される前記ユ
ーザLANに該パケットを転送することを特徴としてい
る。また、請求項5記載の発明は、請求項2〜4の何れ
かの項記載の発明において、前記パケットバックボーン
網と前記複数のユーザLANの間をゲートウェイで接続
したネットワークを用いたパケット転送方法であって、
前記ユーザLANを介して前記受信パケットを前記宛先
アドレスへ転送する際、前記ゲートウェイが前記受信パ
ケットに含まれる前記識別子に応じて前記ユーザLAN
を選択して該選択されたユーザLANへ前記受信パケッ
トを転送することを特徴としている。
【0018】また、請求項6記載の発明は、パケット網
が基地局と該基地局を接続するパケットバックボーン網
とから構成されており、前記基地局が配下に複数のパケ
ット端末を収容しており、前記パケットバックボーン網
がさらに複数の他パケット網であるユーザLANにゲー
トウェイを介して接続されているネットワークを用いた
パケット通信であり、前記各パケット端末は固有の端末
アドレスを有すると共に宛先端末の前記端末アドレスで
ある宛先アドレスと自己の端末アドレスである送信元ア
ドレスとを付与したパケットを送信し、前記ネットワー
クが前記宛先アドレスを用いて前記パケットの転送を行
うパケット転送方法であって、前記パケット網は、前記
端末アドレスと端末認証に必要な情報とを対応づけた端
末情報をあらかじめ記憶し、前記ゲートウェイは、前記
パケット網と前記ユーザLANの間でパケットの転送を
許可する送信元の端末アドレスをあらかじめ記憶し、前
記パケット網は、前記パケット端末が前記基地局を介し
て通信を開始する際に、前記情報を使用して前記パケッ
ト端末の端末認証を行い、前記パケット端末が正規の端
末であれば前記パケット端末に通信許可を通知し、前記
パケット端末は、前記通信許可が通知されたのであれ
ば、送信すべきデータを暗号化して前記宛先アドレスと
前記送信元アドレスを付与したパケットを前記パケット
網へ送信し、前記パケット網は、前記パケットを受信し
て該受信パケットに含まれる前記暗号化データの復号時
に改竄の有無を判定し、改竄が検出されていれば前記受
信パケットを廃棄し、改竄されていない場合には前記受
信パケットを前記ゲートウェイに転送し、前記ゲートウ
ェイは、前記パケット網から転送されたパケットに含ま
れる前記送信元アドレスに対する転送が許可されている
場合は該転送パケットを前記ユーザLANから前記宛先
アドレスに転送し、該転送が許可されていない場合は該
転送パケットを廃棄するようにしたことを特徴としてい
る。
【0019】また、請求項7記載の発明は、請求項6記
載の発明において、前記パケットバックボーン網が、前
記パケットを中継する複数の中継ノードを有し、これら
各中継ノードが前記パケットを前記宛先アドレスに転送
するための経路選択機能を有するネットワークを用いた
パケット転送方法であって、前記ユーザLANを識別す
る識別子を前記各ユーザLANにあらかじめ割り当てて
おき、前記パケット端末は、前記パケットを前記パケッ
ト網へ送信する際に、複数の前記ユーザLANの中から
接続するユーザLANを一つ選択して、該選択したユー
ザLANの識別子を前記パケットにさらに付与して送信
し、前記パケット網は、前記経路選択のためのルーチン
グ情報として送信された前記パケットに含まれる前記宛
先アドレスと前記識別子とを用い、ユニキャストパケッ
トを転送する場合、前記宛先端末が前記パケット網に接
続中であれば、前記宛先アドレスに応じて前記中継ノー
ドを順次選択しながら該パケットを前記宛先端末まで転
送し、前記宛先端末が前記パケット網に接続中でなけれ
ば、前記識別子に応じて前記中継ノードを順次選択しな
がら該パケットを前記ゲートウェイに転送し、ブロード
キャストパケット及びマルチキャストパケットを転送す
る場合は、前記識別子を用いて前記中継ノードを順次選
択して該中継ノードに該パケットを順次転送してゆき、
同じ識別子を用いて通信中の全ての前記パケット端末
と、該識別子により指定される前記ゲートウェイとに転
送することを特徴としている。
【0020】また、請求項8記載の発明は、請求項4又
は7記載の発明において、前記暗号化及び前記復号化に
際し、前記ユニキャストパケットを転送する場合は、前
記各パケット端末毎に割り当てた暗号鍵を用い、前記ブ
ロードキャストパケット又は前記マルチキャストパケッ
トを転送する場合は、前記各識別子毎に割り当てた暗号
鍵を用いることを特徴としている。また、請求項9記載
の発明は、請求項4又は7記載の発明において、前記暗
号化及び前記復号化に際し、前記ユニキャストパケット
を転送する場合及び前記パケット端末が前記ブロードキ
ャストパケット又は前記マルチキャストパケットを送信
する場合は、前記各パケット端末毎に割り当てた暗号鍵
を用い、前記基地局が前記ブロードキャストパケット又
は前記マルチキャストパケットを送信する場合は、前記
各識別子毎に割り当てた暗号鍵を用いることを特徴とし
ている。また、請求項10記載の発明は、請求項4又は
7記載の発明において、前記暗号化及び前記復号化に際
し、暗号鍵として前記各識別子毎に割り当てた暗号鍵を
用いることを特徴としている。
【0021】また、請求項11記載の発明は、他パケッ
ト網であるユーザLANが複数接続されたパケットバッ
クボーン網に接続され、かつ、配下に複数のパケット端
末を収容する基地局であって、前記各パケット端末に付
与された固有の端末アドレスと、前記パケット端末が通
信を許されている1つ以上のユーザLANにそれぞれ割
り当てられた識別子と、端末認証に必要な情報を対応づ
けて記憶する端末情報記憶手段と、前記パケット端末か
らの通信開始要求に応じて前記情報を使用した端末認証
を行い、前記パケット端末に対して認証結果を通知する
端末認証手段と、前記パケットバックボーン網と前記パ
ケット端末の間で授受されるパケット中のデータ部を前
記情報を用いて暗号化して送信するパケット暗号化手段
と、宛先端末の前記端末アドレスである宛先アドレスと
前記パケット端末の端末アドレスである送信元アドレス
と前記ユーザLANに割り当てられた識別子が暗号化デ
ータに付与されたパケットを前記パケット端末から受信
して該暗号化データを復号するパケット復号化手段と、
前記復号されたデータから改竄を検出して該パケットを
廃棄するパケット改竄検出手段と、前記パケットに含ま
れている前記送信元アドレス及び前記識別子の組が、前
記端末情報記憶手段に記憶されている前記端末アドレス
及び前記識別子の組の中に登録されているかどうかを確
認する比較手段と、前記比較手段による確認結果に基づ
いて、前記登録があることを条件に前記宛先アドレスに
前記パケットを転送し、前記登録が無いことを条件に前
記パケットを廃棄するフィルタリング手段とを具備する
ことを特徴としている。
【0022】また、請求項12記載の発明は、他パケッ
ト網であるユーザLANが複数接続されたパケットバッ
クボーン網に接続され、かつ、配下に複数のパケット端
末を収容する基地局であって、前記各パケット端末に付
与された固有の端末アドレスと、前記パケット端末が通
信を許されている1つ以上のユーザLANにそれぞれ割
り当てられたユーザLAN名と、端末認証に必要な情報
を対応づけて記憶する端末情報記憶手段と、前記パケッ
ト端末からの通信開始要求に応じて前記情報を使用した
端末認証を行って、認証結果を前記パケット端末に通知
するとともに、正規のパケット端末に対しては、前記通
信開始要求に伴って前記パケット端末から通知されるユ
ーザLAN名に前記ユーザLANを識別するための識別
子を割り当てて通知し、前記パケット端末が通信を終了
したことを条件として前記ユーザLAN名に割り当てた
前記識別子を解放する端末認証手段と、前記パケットバ
ックボーン網と前記パケット端末の間で授受されるパケ
ット中のデータ部を前記情報を用いて暗号化して送信す
るパケット暗号化手段と、宛先端末の前記端末アドレス
である宛先アドレスと前記パケット端末の端末アドレス
である送信元アドレスと前記識別子が暗号化データに付
与されたパケットを前記パケット端末から受信して該暗
号化データを復号するパケット復号化手段と、前記復号
されたデータから改竄を検出して該パケットを廃棄する
パケット改竄検出手段と、前記受信したパケットに含ま
れる識別子を割り当てたユーザLAN名と前記受信した
パケットに含まれる送信元アドレスの組が、前記端末情
報記憶手段に記憶されている前記ユーザLAN名及び前
記端末アドレスの組の中に登録されているかどうかを確
認する比較手段と、前記比較手段による確認結果に基づ
いて、前記登録があることを条件に前記宛先アドレスに
前記パケットを転送し、前記登録が無いことを条件に前
記パケットを廃棄するフィルタリング手段とを具備する
ことを特徴としている。
【0023】また、請求項13記載の発明は、請求項1
1記載の発明において、前記パケット暗号化手段は、送
信するパケットがユニキャストパケットであれば、各パ
ケット端末毎に割り当てた暗号鍵を用いて暗号化し、前
記送信するパケットがブロードキャストパケット又はマ
ルチキャストパケットであれば、前記各識別子毎に割り
当てた暗号鍵を用いて暗号化し、前記パケット復号化手
段は、受信したパケットがユニキャストパケットであれ
ば、前記各パケット端末毎に割り当てた暗号鍵を用いて
復号化し、前記受信したパケットがブロードキャストパ
ケット又はマルチキャストパケットであれば、前記各識
別子毎に割り当てた暗号鍵を用いて復号化することを特
徴としている。また、請求項14記載の発明は、請求項
11記載の発明において、前記パケット暗号化手段は、
送信するパケットがユニキャストパケットであれば、各
パケット端末毎に割り当てた暗号鍵を用いて暗号化し、
前記送信するパケットがブロードキャストパケット又は
マルチキャストパケットであれば、前記各識別子毎に割
り当てた暗号鍵を用いて暗号化し、前記パケット復号化
手段は、前記各パケット端末毎に割り当てた暗号鍵を用
いて復号化することを特徴としている。また、請求項1
5記載の発明は、請求項11記載の発明において、前記
パケット暗号化手段は、前記各識別子毎に割り当てた暗
号鍵を用いて送信するパケットのデータ部を暗号化し、
前記パケット復号化手段は、前記各識別子毎に割り当て
た暗号鍵を用いて受信したパケットのデータ部を復号す
ることを特徴としている。
【0024】
【発明の実施の形態】以下、本発明の種々の実施形態に
ついて、図面を参照して説明する。なお、本発明は無線
パケット網,有線パケット網の何れに対しても適用する
ことができるが、以下では無線パケット網を中心にして
説明を行い、最後に有線パケット網へ適用する場合の実
施形態について説明する。
【0025】[第1実施形態]この第1実施形態は、請
求項1,2,5記載のパケット転送方法および請求項1
1記載の基地局を適用した場合に相当している。
【0026】図1は、本実施形態におけるパケット網の
ネットワーク構成を概略的に示している。同図におい
て、複数の無線基地局1−6と、これら無線基地局1−
6を接続する無線パケットバックボーン網1−5とで構
成されるものを無線パケット網とする。各無線基地局1
−6は配下に複数の無線パケット端末1−7を収容して
いる。ユーザLAN1−4は他パケット網であって、無
線パケットバックボーン網1−5はゲートウェイ1−1
〜1−3を介して複数のユーザLAN1−4に接続して
いる。ゲートウェイ1−3は後述するVLAN−IDに
応じて何れかのユーザLAN1−4を選択し、パケット
からVLAN−IDを削除したのち、選択したユーザL
ANへパケットを転送する。無線パケットバックボーン
網1−5とユーザLAN1−4との間の中継路1−10
としては、ATM(Asynchronous Transfer Mode;非同
期転送モード)網のバーチャルチャネルコネクション
(VCC),インターネット上のバーチャルプライベー
トネットワーク(VPN)等の各種のものが選択可能で
ある。また、無線パケットバックボーン網1−5は端末
認証サーバ1−8に接続されている。この端末認証サー
バ1−8は端末情報テーブルを記憶しており、無線パケ
ット端末1−7が通信を開始する時に無線基地局1−6
へ端末情報を与える。
【0027】本実施形態において、端末情報テーブルは
少なくとも端末アドレスと、後述するVLAN−ID
と、端末認証に必要な情報として各端末固有の暗号鍵と
を組にして持っている。端末アドレスとしてはイーサネ
ットにおけるMAC(Media Access Control)アドレス
を用いる。なお、無線パケット網はあらかじめ各無線パ
ケット端末に暗号鍵を通知しておく。
【0028】ここで、図2は本実施形態による無線基地
局1−6の構成を示している。無線基地局1−6に設け
られている各手段が有する機能については、これ以後の
説明の中で順次説明してゆく。なお、同図において、実
線は無線パケットバックボーン網1−5又は無線パケッ
ト端末1−7と無線基地局1−6との間で送受信される
パケット信号を意味しており、破線は無線基地局1−6
内の各部間の制御信号を意味している。
【0029】図3は、本実施形態における無線パケット
端末1−7の認証手順を示している。同図に示すよう
に、無線パケット端末1−7は通信を開始する時に通信
開始要求信号を無線基地局1−6へ送信する(2−
1)。無線基地局1−6では、端末認証手段10が通信
開始要求信号を受信して、端末認証サーバ1−8に端末
情報要求を行う(2−2)。この端末情報要求に対して
端末認証サーバ1−8が端末情報通知を無線基地局1−
6に行うと、端末認証手段10はこの端末情報通知を受
けて(2−3)、通知された端末情報を端末情報記憶手
段11に記憶させる。次に、端末認証手段10は端末認
証用の乱数を生成したのち、端末情報に含まれている暗
号鍵を用いて暗号化し、暗号化された乱数を認証要求信
号として無線パケット端末1−7に送信する(2−
4)。無線パケット端末1−7は無線パケット網から通
知されている暗号鍵で送信された乱数を復号化し、これ
を認証応答信号として無線基地局1−6に送り返す(2
−5)。無線基地局1−6では、端末認証手段10が認
証要求信号として送信した乱数と送り返された乱数を比
較する。両者が一致する場合、端末認証手段10は無線
パケット端末1−7を正規端末と判断し、認証受付信号
を用いて無線パケット端末1−7に通信許可を通知する
(2−6)。これ以後は、パケット暗号化手段12が端
末認証手段10から取得した暗号鍵を用いて、データパ
ケット中のヘッダ部を除いたデータ部だけを暗号化して
転送を行う。一方、上記2つの乱数が一致しない場合、
端末認証手段10は無線パケット端末1−7を不正端末
と判断し、認証受付信号を用いて無線パケット端末1−
7に通信拒否を通知する(2−6)。
【0030】図4は、本実施形態におけるデータパケッ
トの改竄検出手順を示している。無線パケット端末1−
7は、生起したデータに対する誤り検出符号を計算して
当該データに付与してから暗号化し、さらにヘッダ情報
を付与したデータパケットを無線基地局1−6に送信す
る(3−1)。無線基地局1−6では、パケット復号化
手段13がデータパケット中の暗号化されたデータ部を
復号してパケット改竄検出手段14に送出する。パケッ
ト改竄検出手段14は復号されたデータの誤り検出符号
を計算し、この計算された誤り検出符号と復号によって
パケットから得た誤り検出符号とを比較して、両者が一
致する場合は改竄無しと判断し、両者が一致しない場合
は改竄ありと判断する。
【0031】表1は、本実施形態における端末情報テー
ブルを示している。端末情報テーブルは、端末アドレス
と、VLAN−IDと、端末認証に必要な情報としての
暗号鍵とからなる端末情報で構成されている。なお、こ
の端末情報は端末認証手段10が端末情報記憶手段11
へ記憶させる(図2を参照)。
【0032】
【表1】
【0033】このVLAN−IDはユーザLAN1−4
を識別するための識別子として定義され、各ユーザLA
Nに固有の値があらかじめ割り当てられている。無線パ
ケット端末1−7は、自分の所属するユーザLAN1−
4のVLAN−IDをそれぞれ端末認証サーバ1−8に
あらかじめ登録している。
【0034】図5は、本実施形態における無線パケット
網が使用するパケットの信号フォーマットを示してい
る。同図に示すように、パケットはヘッダ情報として宛
先アドレス4−1,送信元アドレス4−2及びVLAN
−ID4−3を持っており、ユーザデータ4−4の部分
は暗号化されている。
【0035】以下に詳述するように、無線基地局1−6
は、無線パケット端末1−7から受信したパケットの
内、VLAN−ID4−3が当該無線パケット端末の所
属するユーザLAN1−4のVLAN−IDに一致する
パケットのみを転送し、これらVLAN−IDが一致し
ないパケットは廃棄する。
【0036】図6は、本実施形態におけるパケット転送
手順を示している。無線基地局1−6は通信開始時に図
3に示した認証を行い、無線パケット端末1−7が正規
端末であると判断された場合には通信を開始させる。次
に、無線基地局1−6は図4に示した改竄検出手順を行
い、無線パケット端末1−7から受信したデータパケッ
ト(5−1)の改竄を検出した場合はこのデータパケッ
トを廃棄する。一方で改竄が検出されない場合、無線基
地局1−6では、端末アドレス/VLAN−ID比較手
段15が端末情報記憶手段11に記憶してある端末情報
を参照し、VLAN−IDと送信元アドレス4−2との
対応を確認してその結果をフィルタリング手段16に送
出する。すなわち、端末アドレス/VLAN−ID比較
手段15は、表1に示す端末情報テーブルを検索して、
端末アドレス,VLAN−IDがそれぞれデータパケッ
ト中の送信元アドレス4−2,VLAN−ID4−3に
等しいものが存在すれば、上記対応が端末情報に一致し
ているものと判断する。フィルタリング手段16は送ら
れた確認結果に基づき、上記対応が端末情報に一致して
いれば宛先アドレス4−1で指定された宛先端末にデー
タパケットを転送する(5−2)。この時、宛先端末が
ユーザLAN1−4と接続していれば、データパケット
はゲートウェイ1−3からゲートウェイ1−1又はゲー
トウェイ1−2を介してユーザLAN1−4に転送され
る。また、宛先端末が無線パケット網と接続している場
合、データパケットはゲートウェイを介することなく宛
先端末に転送される。一方、VLAN−IDと送信元ア
ドレス4−2との対応が端末情報に一致していない場
合、フィルタリング手段16はデータパケットを廃棄す
る。
【0037】ここで、ユーザLAN1−4から無線パケ
ット端末1−7へパケットを転送する場合の手順につい
て簡単に説明しておく。ユーザLAN1−4が自身に接
続しているゲートウェイ1−1又はゲートウェイ1−2
にパケットを送信すると、これらゲートウェイは送信さ
れたパケットを中継路1−10からゲートウェイ1−3
に転送する。ゲートウェイ1−3は、パケットが送られ
てきた中継路1−10に応じて送信元のユーザLAN1
−4に割り当てられているVLAN−IDをパケットに
付与したのちに無線パケットバックボーン網1−5に転
送する。無線基地局1−6は転送されてきたパケットを
受信し、当該パケットのデータ部を暗号化して宛先アド
レスが示す無線パケット端末1−7へ送信し、無線パケ
ット端末1−7は暗号化されたパケットを受信して復号
する。
【0038】以上のように、本実施形態によれば、通信
開始時に端末認証することによって無線パケット端末を
特定可能であり、未知の端末や端末アドレスを偽造した
端末からの不正アクセスを防止することができる。ま
た、端末固有の暗号鍵により暗号化してパケットを転送
することにより、不正な端末が認証された正規の端末に
なりすますことを防止可能であり、なりすまし端末によ
る不正アクセスを防止することができる。さらに、暗号
の復号時に改竄を検出してパケットを廃棄することによ
り、改竄されたパケットの転送を防止可能であり、改竄
データによる通信の妨害と無線パケット網のトラヒック
増加を防止する効果が得られる。しかも、VLAN−I
Dと送信元アドレスの対応を確認することにより、認証
後の端末が自分の属していないユーザLANにアクセス
することを防止可能であり、他ユーザLANに所属して
いる端末からの不正アクセスを防止することができる。
【0039】[第2実施形態]この第2実施形態は、請
求項1,2,5記載のパケット転送方法および請求項1
1記載の基地局を適用した場合に相当している。
【0040】本実施形態において、パケット網のネット
ワーク構成,無線基地局の構成,無線パケット端末の認
証手順,データパケットの改竄検出手順及びパケットの
信号フォーマットは、それぞれ図1〜図5に示した第1
実施形態の場合と等しい。
【0041】第1実施形態と同様に、VLAN−IDは
各ユーザLAN1−4に固有の値があらかじめ割り当て
られている。
【0042】各無線パケット端末1−7は、接続を許可
されている複数のユーザLAN1−4のVLAN−ID
を端末認証サーバ1−8にあらかじめ登録している。
【0043】表2は、本実施形態における端末情報テー
ブルを示している。例えば、端末アドレスとしてアドレ
ス#1を持つ無線パケット端末は、VLAN−IDとし
てVLAN−ID#A又はVLAN−ID#Bを持つユ
ーザLAN1−4に接続が許可されている。
【0044】
【表2】
【0045】以下に詳述するように、無線基地局1−6
は、無線パケット端末1−7から受信したパケットの
内、当該無線パケット端末が接続を許可されているユー
ザLANのVLAN−IDの何れかとVLAN−ID4
−3が一致するパケットのみを転送し、何れのVLAN
−IDにも一致しないパケットは廃棄する。
【0046】図7は、本実施形態におけるパケット転送
手順を示している。無線基地局1−6では端末認証手段
10が無線パケット端末1−7に対する認証を行い、当
該無線パケット端末が正規の端末であれば暗号通信を開
始する。次に、無線基地局1−6ではパケット復号化手
段13が無線パケット端末1−7からのデータパケット
を復号(6−1)し、パケット改竄検出手段14は受信
データパケットの改竄を調べ、改竄が検出された場合は
パケットを廃棄する。なお、これまでの手順は第1実施
形態と同様である。一方、改竄が検出されない場合、無
線基地局1−6では、端末アドレス/VLAN−ID比
較手段15が端末情報記憶手段11に記憶してある端末
情報を参照し、VLAN−ID4−3と送信元アドレス
4−2との対応が端末情報に登録済みであるかどうか確
認してその結果をフィルタリング手段16に送出する。
すなわち、端末アドレス/VLAN−ID比較手段15
は、端末情報テーブル中の端末アドレスが送信元アドレ
ス4−2に一致し、かつ、当該端末アドレスに対応して
登録されている複数のVLAN−IDの中にVLAN−
ID4−3と一致するものが存在していれば、上記対応
が端末情報に登録済みであるものと判断する。そして、
フィルタリング手段16は送られた確認結果に基づい
て、上記対応が端末情報に登録済みであれば宛先アドレ
ス4−1で指定された宛先端末にデータパケットを転送
する(6−2)。この時、宛先端末がユーザLAN1−
4と接続しているならば、データパケットはゲートウェ
イ1−3からゲートウェイ1−1又はゲートウェイ1−
2を介してユーザLAN1−4に転送される。また、宛
先端末が無線パケット網と接続している場合、データパ
ケットはゲートウェイを介することなく宛先端末に転送
される。一方、VLAN−IDと送信元アドレスとの対
応が端末情報に未登録の場合、フィルタリング手段16
はデータパケットを廃棄する。
【0047】以上のように、本実施形態によれば、第1
実施形態から得られる効果のほかにさらに以下の効果が
得られる。すなわち、VLAN−IDと送信元アドレス
の対応を確認することにより、認証後の端末が接続の許
可されていないデータ網にアクセスすることを防止可能
であり、接続を許可されている端末から他データ網への
不正アクセスを防止することができる。また、1無線パ
ケット端末あたり複数のVLAN−IDを登録すること
により、1つの無線パケット端末で複数のデータ網にア
クセスすることが可能であり、ユーザヘのサービス性が
向上する。
【0048】[第3実施形態]この第3実施形態は、請
求項1,2,4,5,8記載のパケット転送方法および
請求項11,13記載の基地局を適用した場合に相当し
ている。
【0049】図8は、本実施形態におけるパケット網の
ネットワーク構成を概略的に示している。第1実施形態
と同様に、無線パケット網は、複数の無線基地局7−6
と、これら複数の無線基地局7−6を接続する無線パケ
ットバックボーン網7−5とで構成されている。各無線
基地局7−6はその配下に複数の無線パケット端末7−
7を収容している。無線パケットバックボーン網7−5
は、ゲートウェイ7−1〜7−3を介して、複数のユー
ザLAN7−4(他パケット網)に接続されている。こ
こで、ゲートウェイ7−3はVLAN−ID4−3に応
じて何れかのユーザLAN7−4を選択し、パケットか
らVLAN−IDを削除したのち、選択したユーザLA
Nへパケットを転送する。さらに、本実施形態における
無線パケットバックボーン網7−5はパケットを中継す
る複数の中継ノード7−9を有している。各中継ノード
7−9は、パケット中の宛先アドレス4−1及びVLA
N−ID4−3を用いたルーチング情報を有しており、
このルーチング情報に従って最適な経路を選択してパケ
ットを転送する。例えば、中継ノード7−9は、パケッ
トを受信した時に、受信パケット中の送信元アドレス4
−2が示す端末アドレスと当該パケットを受信したポー
ト、および、受信パケット中のVLAN−ID4−3と
当該パケットを受信したポートを対応づけて記憶する。
次に、中継ノード7−9は、受信パケットがユニキャス
トパケットならば、宛先アドレス4−1が示す端末アド
レスに対応するポートへ受信パケットを送信する。これ
に対し、受信パケットがブロードキャストパケット又は
マルチキャストパケットならば、中継ノード7−9はV
LAN−ID4−3に対応する全てのポートへ受信パケ
ットを送信する。なお、ここで言う“ポート”は、中継
ノード7−9が自身に隣接する中継ノード又は無線基地
局との間の通信路を接続するためのインタフェースであ
る。また、中継路7−10としては、図1に示した中継
路1−10と同様に各種のものが選択可能である。ま
た、無線パケットバックボーン網7−5は中継ノード7
−9を介して端末認証サーバ7−8に接続されている。
端末認証サーバ7−8は図1に示した端末認証サーバ1
−8と同じく表2に示した端末情報テーブルを記憶して
おり、無線パケット端末7−7が通信を開始する際に無
線基地局7−6に対して端末情報を与える。
【0050】本実施形態において、この端末情報テーブ
ルに登録された暗号鍵は端末認証及びユニキャストパケ
ットの暗号化に用いられ、以下ではこの暗号鍵を「端末
鍵」という。なお、無線パケット網は各無線パケット端
末7−7に端末鍵をあらかじめ通知しておく。
【0051】以上に加えて、端末認証サーバ7−8は表
3に示すVLAN情報テーブルにVLAN情報を持って
いる。
【0052】
【表3】
【0053】このVLAN情報テーブルは、VLAN−
IDと、同じVLAN−IDを持つ全ての端末で共通に
使用する暗号鍵(以下、「VLAN鍵」という)との対
応を記録している。このVLAN鍵はブロードキャスト
パケット及びマルチキャストパケットの暗号化に使用さ
れる。なお、無線パケット網は各無線パケット端末7−
7に対してVLAN鍵をあらかじめ通知しておく。
【0054】第1実施形態と同様に、VLAN−IDは
各ユーザLAN7−4に固有の値があらかじめ割り当て
られている。
【0055】無線パケット端末7−7は自分の所属する
ユーザLAN7−4のVLAN−IDをそれぞれ端末認
証サーバ7−8の端末情報テーブルにあらかじめ登録し
ている。
【0056】以下に詳述するように、無線基地局7−6
は、無線パケット端末7−7から受信したパケットの
内、当該無線パケット端末が接続を許可されているユー
ザLAN7−4のVLAN−IDの何れかとVLAN−
ID4−3が一致するパケットのみを転送し、何れのV
LAN−IDにも一致しないパケットは廃棄する。
【0057】本実施形態における無線基地局の構成,無
線パケット端末の認証手順,データパケットの改竄検出
手順及びパケットの信号フォーマットは、図2〜図5に
示した第1実施形態の場合とそれぞれ等しい。
【0058】図9は、本実施形態におけるパケット転送
手順を示している。第1実施形態と同様に、無線基地局
7−6では、端末認証手段10が通信開始時に無線パケ
ット端末7−7に対する認証を行い、当該無線パケット
端末が正規の端末であれば暗号通信を開始する。なお、
この認証に際して、端末認証手段10は端末認証サーバ
7−8から端末情報と共にVLAN情報を得て端末情報
記憶手段11に記憶させる。一方、無線パケット端末7
−7は、ユニキャストパケットを送信する時には端末鍵
を選択して暗号化を行い、暗号化されたデータパケット
を無線基地局7−6に送信する(8−1)。一方、無線
パケット端末7−7は、ブロードキャストパケット又は
マルチキャストパケットを送信する時にはVLAN鍵を
選択して暗号化を行い、暗号化されたデータパケットを
無線基地局7−6に送信する(8−1)。これらに対応
して、無線基地局7−6のパケット復号化手段13は、
ユニキャストパケットを受信した時には端末鍵を選択し
てデータパケットを復号し、また、ブロードキャストパ
ケット又はマルチキャストパケットを受信した時にはV
LAN鍵を選択してデータパケットを復号する。パケッ
ト改竄検出手段14は、図4に示した改竄検出手順に従
って復号されたデータパケットの改竄の有無を調べ、改
竄が検出された場合にはデータパケットを廃棄する。一
方、データパケットの改竄が検出されない場合、端末ア
ドレス/VLAN−ID比較手段15は、第2実施形態
と同様にしてVLAN−ID4−3と送信元アドレス4
−2の対応を確認し、これらの対応が端末情報に登録済
みであれば宛先アドレスで指定された宛先端末にデータ
パケットを転送する(8−2)。この時、本実施形態で
は、宛先端末がユーザLAN7−4と接続している場
合、各中継ノード7−9はデータパケット中の宛先アド
レス4−1に応じて次の送信ポートを選択してゲートウ
ェイ7−3へデータパケットを転送する。ゲートウェイ
7−3はVLAN−ID4−3に応じてゲートウェイ7
−1又はゲートウェイ7−2の何れかを選択してデータ
パケットをユーザLAN7−4に転送する。また、宛先
端末が無線パケット網と接続している場合、各中継ノー
ド7ー9は宛先アドレス4−1に応じて次の送信ポート
を選択してデータパケットを宛先端末へ転送する。した
がってこの場合はゲートウェイを介することなくデータ
パケットが転送される。一方、VLAN−IDと送信元
アドレスとの対応が端末情報に登録されていない場合、
フィルタリング手段16はデータパケットを廃棄する。
【0059】図10は、本実施形態におけるブロードキ
ャストパケットの転送手順を示している。送信元端末で
はデータが生起するとブロードキャストパケットを無線
基地局7−6に送信する(9−1)。無線基地局7−6
では、パケット暗号化手段12が端末認証手段10から
取得した暗号鍵のうちVLAN鍵を選択(9−2)して
ブロードキャストパケットを暗号化(9−3)し、全て
のパケット端末(同図では無線パケット端末#1,#
2)へブロードキャストパケットを送信する(9−
4)。各無線パケット端末#1,#2では、暗号鍵とし
てVLAN鍵を選択(9−5)し、暗号化されたブロー
ドキャストパケットを復号化する(9−6)。このよう
に本実施形態では、暗号化にVLAN鍵を用いているた
め、同じVLAN−IDを有するパケット端末がブロー
ドキャストパケット及びマルチキャストパケットを復号
化することが可能である。
【0060】図11は、ブロードキャストパケットがネ
ットワーク内を転送されてゆく様子を示している。同図
に示すように、ユーザLAN#Aに属する無線パケット
端末7−7a(送信端末)がブロードキャストパケット
を無線基地局7−6aに送信すると、このパケットは無
線パケットバックボーン網7−5に送出される。無線パ
ケットバックボーン網7−5は、VLAN−ID4−3
に応じて中継ノード7−9aからゲートウェイ7−3及
び中継ノード7−9bにブロードキャストパケットを転
送する。ここで、ゲートウェイ7−3はVLAN−ID
4−3を見て、ユーザLAN#Aに接続されたゲートウ
ェイ7−1へブロードキャストパケットを転送する。一
方、中継ノード7−9bはブロードキャストパケットを
さらに中継ノード7−9cと転送し、中継ノード7−9
cは、ユーザLAN#Aに属する無線パケット端末7−
7cが接続された無線基地局7−6cにブロードキャス
トパケットを転送する。
【0061】このように、VLAN−IDを用いたルー
チング情報によって経路が選択されてブロードキャスト
パケットが転送される。また、無線基地局7−6bには
ユーザLAN#Bに属する無線パケット端末7−7bの
みが接続されており、VLAN−ID4−3と同じVL
AN−IDを有する無線パケット端末を配下に持ってい
ない。したがって、中継ノード7−9bは無線基地局7
−6bに対してブロードキャストパケットを転送しな
い。
【0062】なお、上述した説明では第2実施形態を基
にしたパケット転送手順について説明したが、第1実施
形態を基にしても良い。そうした場合、端末情報テーブ
ルとしては表2の代わりに表1を使用することになるほ
か、VLAN−IDと送信元アドレスの対応が端末情報
に登録済みであるか確認する(図9における8−3)代
わりに、この対応が端末情報に一致するかどうか確認す
ることになる(図6における5−3)。
【0063】以上のように、本実施形態によれば第1〜
第2実施形態に加えて以下の効果が得られる。すなわ
ち、本実施形態では、宛先アドレスに応じて次の中継ノ
ードを選択してパケットを転送するため、無線パケット
端末が他の無線パケット端末にパケット転送する時に
は、ゲートウェイを経由することなく最適な経路を選択
して転送することが可能であって、転送遅延時間の増加
を防止することができる。
【0064】また、ブロードキャストパケット又はマル
チキャストパケットを転送する場合は、VLAN−ID
に応じて次の中継ノードを選択して転送するため、同じ
VLAN−IDを用いて通信している全ての無線パケッ
ト端末に対してゲートウェイからユニキャスト転送する
必要がない。したがって、最適な経路選択でパケットを
転送することが可能であり、転送遅延時間,トラヒッ
ク,ゲートウェイの処理負荷の増加をそれぞれ防止する
ことができる。
【0065】また、VLAN−IDが同じであれば共通
の暗号鍵を用いてブロードキャストパケット又はマルチ
キャストパケットを暗号化しているため、無線基地局
は、同一のVLAN−IDを持つ配下の全無線パケット
端末に対して、1回の送信でブロードキャストパケット
又はマルチキャストパケットを転送することが可能とな
る。したがって、各無線パケット端末の暗号鍵を用いて
暗号化したパケットを複数回送信する場合に比べて、ト
ラヒック,転送遅延時間,基地局の負荷を抑制すること
ができる。なお、VLAN鍵は端末固有の暗号鍵ではな
いが、異なるVLAN−IDを持つパケット端末は知り
えないため、なりすましによる不正アクセスは生じな
い。
【0066】[第4実施形態]この第4実施形態は、請
求項1,2,4,5,9記載のパケット転送方法および
請求項11,14記載の基地局を適用した場合に相当し
ている。
【0067】本実施形態におけるパケット網のネットワ
ーク構成は図8に示した第3実施形態の構成に等しい。
また、本実施形態における無線基地局の構成,無線パケ
ット端末の認証手順,デ一タパケットの改竄検出手順及
びパケットの信号フォーマットは、図2〜図5に示した
第1実施形態の場合とそれぞれ等しい。
【0068】第3実施形態と同様に、VLAN−IDは
各ユーザLAN7−4に固有の値があらかじめ割り当て
られている。
【0069】無線パケット端末7−7は、自分の所属す
るユーザLAN7−4のVLAN−IDをあらかじめ端
末認証サーバ7−8の端末情報テーブルに登録してい
る。
【0070】第3実施形態と同様に、無線基地局7−6
は、無線パケット端末7−7から受信したパケットの
内、当該無線パケット端末が接続を許可されているユー
ザLAN7−4のVLAN−IDの何れかとVLAN−
ID4−3が一致するパケットのみを転送し、何れのV
LAN−IDにも一致しないパケットは廃棄する。
【0071】また、端末認証サーバ7−8は表3に示し
た第3実施形態と同じVLAN情報テーブルを持ってお
り、VLAN鍵はブロードキャストパケット及びマルチ
キャストパケットの暗号化に使用される、無線パケット
網が各無線パケット端末7−7にVLAN鍵をあらかじ
め通知しておくことも第3実施形態と同じである。
【0072】本実施形態における端末情報テーブルは表
2に示した第2実施形態の端末情報テーブルと等しい。
この端末情報テーブルに登録された暗号鍵(端末鍵)
は、端末認証時,ユニキャストパケットの暗号化時,な
らびに,無線パケット端末によるブロードキャスト及び
マルチキャストパケットの暗号化時にそれぞれ用いられ
る。なお、無線パケット網は各無線パケット端末7−7
に端末鍵をあらかじめ通知しておく。
【0073】図12は、本実施形態におけるパケット転
送手順を示している。無線基地局7−6では、第3実施
形態と同様にして、端末認証手段10が通信開始時にお
いて無線パケット端末7−7に対する認証を行い、当該
パケット端末が正規の端末であれば暗号通信を開始す
る。なお、この認証に際して端末認証手段10が端末認
証サーバ7−8から端末情報と共にVLAN情報を得る
のも第3実施形態と同じである。次に、第3実施形態と
は異なって、無線パケット端末7−7はユニキャストパ
ケット/ブロードキャストパケット/マルチキャストパ
ケットの区別なく端末鍵を用いてデータパケットを暗号
化して無線基地局7−6に送信する(11−1)。無線
基地局7−6では、パケット復号化手段13がユニキャ
ストパケット/ブロードキャストパケット/マルチキャ
ストパケットを区別することなく端末鍵を用いてデータ
パケットを復号化する。そしてこれ以後の手順は第3実
施形態と同じである。無線基地局7−6は、受信したデ
ータパケットが改竄されていればデータパケットを廃棄
し、改竄されていなければVLAN−IDと送信元アド
レスとの対応が端末情報に登録済みであれば宛先アドレ
ス4−1で指定される宛先端末にデータパケットを転送
する(11−2)。このとき、データパケットは第3実
施形態と同様に転送されてゆく。一方、VLAN−ID
と送信元アドレスとの対応が端末情報に登録されていな
い場合、フィルタリング手段16はデータパケットを廃
棄する。
【0074】本実施形態では、無線基地局7−6が送信
するブロードキャストパケット及びマルチキャストパケ
ットの暗号化の際には第3実施形態と同様にVLAN鍵
を用いるため、同じVLAN−IDを有するパケット端
末はブロードキャストパケット及びマルチキャストパケ
ットの復号が可能である。一方、無線パケット端末7−
7が送信するブロードキャストパケット及びマルチキャ
ストパケットの暗号化には端末鍵を用いているため、無
線基地局7−6は第3実施形態のように2種類の暗号鍵
(端末鍵,VLAN鍵)を切り替えて暗号を復号化する
必要がない。
【0075】また、本実施形態においてブロードキャス
トパケットをパケット網で転送する様子は、図10〜図
11に示す第3実施形態の場合に等しい。すなわち、無
線基地局7−6がブロードキャスト又はマルチキャスト
パケットを送信する場合には、VLAN鍵を用いてパケ
ットの暗号化が行われることになる。
【0076】なお、上述した説明では第2実施形態を基
にしたパケット転送手順について説明したが、第1実施
形態を基にしても良い。その場合には、第3実施形態で
説明したように、表1に示す端末情報テーブルを使用す
るとともに、VLAN−IDと送信元アドレスの対応が
端末情報に一致するかどうか確認することになる。
【0077】以上のように、本実施形態によれば、第3
実施形態と同様に、無線パケット端末が他の無線パケッ
ト端末にパケット転送する時には、ゲートウェイを経由
することなく最適な経路を選択して転送することが可能
であって、転送遅延時間の増加を防止することができ
る。
【0078】これに加えて本実施形態では、無線基地局
がブロードキャストパケット又はマルチキャストパケッ
トを転送する際には、VLAN−IDに共通する暗号鍵
を用いて暗号化している。このため、無線基地局は同じ
VLAN−IDを持つ配下の全無線パケット端末に対し
て1回の送信でパケット転送することができる。したが
って、各無線パケット端末の暗号鍵を用いて暗号化して
複数回送信する場合に比べて、トラヒック,転送遅延時
間,基地局の負荷をそれぞれ抑制することができる。
【0079】また、無線パケット端末がブロードキャス
トパケット又はマルチキャストパケットを転送する際、
ユニキャストパケット用の暗号鍵を用いて暗号化してい
る。したがって、無線基地局は無線パケット端末からパ
ケットを受信した時に暗号鍵を切り替えることなく復号
することが可能となり、ブロードキャストパケット及び
マルチキャストパケット用の暗号鍵を用いて暗号化して
送信する場合に比べて、無線基地局にかかる負荷を抑制
することができる。
【0080】[第5実施形態]この第5実施形態は、請
求項1,2,4,5,10記載のパケット転送方法およ
び請求項11,15記載の基地局を適用した場合に相当
している。
【0081】本実施形態におけるパケット網のネットワ
ーク構成は、図8に示す第3実施形態の構成に等しい。
また、本実施形態における無線基地局の構成,無線パケ
ット端末の認証手順,データパケットの改竄検出手順及
びパケットの信号フォーマットは、図2〜図5に示した
第1実施形態の場合とそれぞれ等しい。
【0082】第3実施形態と同様に、VLAN−IDは
各ユーザLAN7−4に固有の値があらかじめ割り当て
られている。
【0083】端末認証サーバ7−8は第3実施形態と同
様に端末情報テーブル及びVLAN情報テーブルを有し
ている。
【0084】第3実施形態と同様に、無線基地局7−6
は、無線パケット端末7−7から受信したパケットの
内、当該無線パケット端末が接続を許可されているユー
ザLAN7−4のVLAN−IDの何れかとVLAN−
ID4−3が一致するパケットのみを転送し、何れのV
LAN−IDにも一致しないパケットは廃棄する。
【0085】本実施形態では、VLAN鍵はパケットを
暗号化するときに使用される。なお、無線パケット網は
各無線パケット端末7−7にVLAN鍵をあらかじめ通
知しておく。
【0086】本実施形態における端末情報テーブルは、
表2に示した第2実施形態の端末情報テーブルと等し
い。ここで、本実施形態ではこの端末情報テーブルに登
録する暗号鍵として、各パケット端末が所属するユーザ
LAN7−4のVLAN鍵を用いる。
【0087】図13は、本実施形態におけるパケット転
送手順を示している。第3実施形態と同様に、無線基地
局7−6では端末認証手段10が通信開始時に無線パケ
ット端末7−7に対する認証を行い、当該パケット端末
が正規の端末であれば暗号通信を開始する。なお、この
認証に際して端末認証サーバ7−8から端末情報と共に
VLAN情報を得るのも第3実施形態と同じである。次
に、第3実施形態及び第4実施形態とは異なって、無線
パケット端末7−7はユニキャストパケット/ブロード
キャストパケット/マルチキャストパケットの区別なく
VLAN鍵を用いてデータパケットを暗号化して無線基
地局7−6に送信する(12−1)。無線基地局7−6
では、パケット復号化手段13がユニキャストパケット
/ブロードキャストパケット/マルチキャストパケット
を区別することなくVLAN鍵を用いてデータパケット
を復号化する。そしてこれ以後の手順は第3実施形態と
同じである。無線基地局7−6は、受信したデータパケ
ットが改竄されていればパケットを廃棄し、改竄されて
いなければVLAN−IDと送信元アドレスとの対応が
端末情報に登録済みであれば宛先アドレス4−1で指定
される宛先端末にデータパケットを転送する(12−
2)。このとき、データパケットは第3実施形態と同様
に転送されてゆく。一方、VLAN−IDと送信元アド
レスとの対応が端末情報に登録されていない場合、フィ
ルタリング手段16はデータパケットを廃棄する。
【0088】本実施形態では、第3実施形態と違って暗
号化にVLAN鍵のみを用いるようにして端末鍵を用い
てないため、同じVLAN−IDを有する無線パケット
端末が、ブロードキャストパケット及びマルチキャスト
パケットに施された暗号を復号化することが可能であ
る。また、無線基地局及び無線パケット端末は2種類の
暗号鍵を切り替えて暗号化及び復号化を行う必要がない
ため、無線基地局及び無線パケット端末にかかる負荷を
抑制することができる。
【0089】なお、本実施形態においてブロードキャス
トパケットをパケット網で転送する様子は、図11に示
す第3実施形態の場合に等しい。また、上述した説明で
は第2実施形態を基にしたパケット転送手順について説
明したが、第1実施形態を基にしても良い。その場合に
は、第3実施形態で説明したように、表1に示す端末情
報テーブルを使用するとともに、VLAN−IDと送信
元アドレスの対応が端末情報に一致するかどうか確認す
ることになる。
【0090】以上のように、本実施形態によれば、第3
実施形態と同様に、無線パケット端末が他の無線パケッ
ト端末にパケット転送する時には、ゲートウェイを経由
することなく最適な経路を選択して転送することが可能
であって、転送遅延時間の増加を防止することができ
る。
【0091】これに加えて本実施形態では、パケットを
転送する際、VLAN−IDに共通する暗号鍵を用いて
暗号化しているため、無線基地局は同じVLAN−ID
を有する配下の全無線パケット端末に対して、1回の送
信でブロードキャストパケット及びマルチキャストパケ
ットを転送することができる。したがって、各無線パケ
ット端末の暗号鍵を用いて暗号化して複数回送信する場
合に比べて、トラヒック,転送遅延時間,基地局の負荷
をそれぞれ抑制することができる。
【0092】また、VLAN−IDに共通する暗号鍵を
用いているため、無線基地局及び無線パケット端末はパ
ケットを受信した時に暗号鍵を切り替えることなく復号
することが可能となる。したがって、2種類の暗号鍵を
用いる場合に比べて、無線基地局及び無線パケット端末
にかかる負荷を抑制することができる。なお、VLAN
鍵は端末固有の暗号鍵ではないが、異なるVLAN−I
Dを持つパケット端末は知りえないため、なりすましに
よる不正アクセスは生じない。
【0093】[第6実施形態]この第6実施形態は、請
求項1,3,5記載のパケット転送方法および請求項1
2記載の基地局を適用した場合に相当している。本実施
形態では第1実施形態に変形を加えて、VLAN−ID
を通信開始時において動的に割り当てるようにしたもの
である。本実施形態におけるパケット網のネットワーク
構成,無線基地局の構成,データパケットの改竄検出手
順及びパケットの信号フォーマットは、図1,図2,図
4及び図5に示した第1実施形態の場合とそれぞれ等し
い。
【0094】本実施形態では、VLAN−IDの動的割
り当てを実現するためにユーザLAN1−4の各々にあ
らかじめ固有の名称(以下、「ユーザLAN名」とい
う)を割り当てておく。例えば図1において、LAN#
Aには「ユーザLAN#A」を割り当て、LAN#Bに
は「ユーザLAN#B」を割り当てるようにする。ま
た、本実施形態ではユーザLAN名とVLAN−IDの
対応関係を保持するために、無線基地局1−6が表4に
示すVLAN−ID割当管理テーブルを記憶している。
さらに本実施形態において、端末認証サーバ1−8の保
持する端末情報テーブルは表5に示す通りであり、VL
AN−IDの代わりにユーザLAN名を使用する点が第
1実施形態(表1)と異なっている。
【0095】
【表4】
【0096】
【表5】
【0097】本実施形態では図3に示した認証手順に一
部変更を加えて図14に示す無線パケット端末の認証手
順を採用している。図14に示すように、無線パケット
端末1−7は通信開始要求信号を無線基地局1−6へ送
信する際に、自分の所属しているユーザLANに割り当
てられたユーザLAN名(例えば「ユーザLAN#
A」)を含めて送信している(18−1)。無線基地局
1−6では、端末認証手段10が送られたユーザLAN
名を内部に記憶しておく。次に、第1実施形態と同様
に、無線基地局1−6は端末認証サーバ1−8に要求
(2−2)を行って端末情報を取得(2−3)してこれ
を端末情報記憶手段11に記憶し、端末認証用の乱数を
暗号化して無線パケット端末1−7に認証要求信号を送
信(2−4)し、無線パケット端末1−7が送り返す認
証応答信号(2−5)に基づいて認証を行う。
【0098】この認証によって無線パケット端末1−7
が正規の端末と判断された場合、端末認証手段10は無
線パケット端末1−7から通知(18−1)されている
ユーザLAN名にVLAN−IDを割り当てる(18−
6)。いま、無線パケット端末1−7から通知された例
えばユーザLAN名が「ユーザLAN#A」である場
合、端末認証手段10はこのユーザLANに対して例え
ば「VLAN−ID#A」を割り当て、表4に示すよう
に「ユーザLAN#A」および「VLAN−ID#A」
の組をVLAN−ID割当管理テーブルに追加する。次
いで、端末認証手段10は認証受付信号を用いて無線パ
ケット端末1−7に通信許可を通知するが、このとき端
末認証手段10はいま割り当てたVLAN−ID#Aを
無線パケット端末1−7に通知する(18−7)。な
お、無線パケット端末1−7が不正端末と判断された場
合の処理は第1実施形態と同じである。
【0099】一方、図15は本実施形態におけるパケッ
ト転送手順を示している。まず、本実施形態では認証手
順として図14に示した認証手順を実行する(19−
1)。次に、無線パケット端末1−7はデータパケット
を無線基地局1−6に送信するが、その際、VLAN−
ID4−3としては先に通知されたVLAN−ID(図
14の18−7)を用いる。この後は、第1実施形態と
同様にして宛先端末へのデータパケットの転送(5−
2)の処理までを行うが、データパケットが改竄されて
おらず、ユーザLAN名と送信元アドレスの対応が端末
情報に一致するかどうか確認する際(19−2)には次
に述べる処理を行う。すなわち、無線基地局1−6で
は、端末アドレス/VLAN−ID比較手段15が、送
信元アドレス4−2に対応するユーザLAN名を表5に
示す端末情報テーブルから取得し、取得したユーザLA
N名に対応するVLAN−IDを表4に示すVLAN−
ID割当管理テーブルから検索し、検索されたVLAN
−IDとデータパケット中のVLAN−ID4−3が一
致するかどうか判定する。フィルタリング手段16はこ
の判定結果に基づいて、両者が一致していれば宛先アド
レス4−1で指定された宛先端末にデータパケットを転
送(5−2)し、両者が一致していなければデータパケ
ットを廃棄する。その後に、無線パケット端末1−7と
宛先端末との間で通信が終了したならば、無線基地局1
−6では端末認証手段10が表4に示したVLAN−I
D割当管理テーブルから「ユーザLAN#A」および
「VLAN−ID#A」の組を削除しそれによって、無
線パケット端末1−7に割り当てたVLAN−IDを解
放する(19−3)。
【0100】以上のように、本実施形態では無線パケッ
ト端末1−7に対してVLAN−IDを動的に割り当て
ているため、限られたVLAN−IDを効率的に再利用
することができ、より多くのユーザLANを収容するこ
とができる。
【0101】[第7実施形態]この第7実施形態は、請
求項1,3,5記載のパケット転送方法および請求項1
2記載の基地局を適用した場合に相当している。本実施
形態は、第6実施形態で説明したVLAN−IDの動的
割り当てを第2実施形態に適用したものである。したが
って、本実施形態におけるパケット網のネットワーク構
成,無線基地局の構成,データパケットの改竄検出手順
及びパケットの信号フォーマットは、図1,図2,図4
及び図5に示した第1実施形態の場合とそれぞれ等し
い。
【0102】本実施形態では、端末認証サーバ1−8が
表6に示す端末情報テーブルを記憶している。表5(第
6実施形態)と比較した場合、一つの端末アドレスにつ
いて、当該端末アドレスを持つパケット端末に通信を許
可するユーザLAN名が複数登録されている。
【0103】
【表6】
【0104】本実施形態における無線パケット端末の認
証手順は図16に示すものとなる。図16に示す認証手
順と図14(第6実施形態)との相違は、無線パケット
端末1−7が通信開始要求信号を無線基地局1−6へ送
信する際に、通信相手のユーザLAN名を指定して無線
基地局1−6に通知する(20−1)点である。したが
って、この後に行われる認証手順は第6実施形態と同じ
である。
【0105】一方、図17は本実施形態におけるパケッ
ト転送手順を示している。本実施形態では、まず認証手
順として図16に示した手順を実行する(21−1)。
次に、無線パケット端末1−7はデータパケットを無線
基地局1−6に送信するが、その際、VLAN−ID4
−3としては先に通知されたVLAN−ID(図16の
18−7)を用いる。この後は、第2実施形態と同様に
して宛先端末へのデータパケットの転送(6−2)の処
理までを行うが、データパケットが改竄されておらず、
ユーザLAN名と送信元アドレスの対応が端末情報に登
録済みかどうか確認する際(21−2)には次に述べる
処理を行う。すなわち、無線基地局1−6において、端
末アドレス/VLAN−ID比較手段15は、受信パケ
ットに含まれるVLAN−ID4−3に対応するユーザ
LAN名を表4に示すVLAN−ID割当管理テーブル
から検索し、検索されたユーザLAN名と受信パケット
に含まれる送信元アドレス4−2の組が、表6に示す端
末情報テーブル中の端末アドレスとユーザLAN名の複
数の組の中に存在するかどうかを調べ、この組が端末情
報テーブルに存在していなければ上記対応が端末情報に
未登録であると判断する。一方、この組が端末情報テー
ブルに存在する場合、端末アドレス/VLAN−ID比
較手段15は当該ユーザLAN名に割り当ててあるVL
AN−IDを表4に示すVLAN−ID割当管理テーブ
ルから取得し、取得したVLAN−IDとパケット中の
VLAN−ID4−3が一致するかどうか調べ、一致し
ていれば上記対応が端末情報に登録済みであると判断
し、一致していなければ上記対応が端末情報に未登録で
あると判断する。フィルタリング手段16は、この判断
結果に基づいて上記対応が端末情報に登録済みであれば
宛先アドレス4−1で指定された宛先端末にデータパケ
ットを転送(6−2)し、上記対応が端末情報に未登録
であればデータパケットを廃棄する。その後、無線パケ
ット端末1−7と宛先端末の間で通信が終了したなら
ば、第6実施形態と同様にして、端末認証手段10は無
線パケット端末1−7に割り当てたVLAN−IDを解
放する(21−3)。
【0106】[第8実施形態]この第8実施形態は、請
求項1,2,5記載のパケット転送方法および請求項1
1記載の基地局を適用した場合に相当している。これま
で説明した各実施形態では、端末アドレスとしてMAC
アドレスを用い、ユーザLANに対してVLAN−ID
を割り当てるようにしていた。これに対して、本実施形
態では端末アドレスとしてIPアドレスを用いるととも
に、ユーザLANには各ユーザLAN1−4に対して固
有のネットワークアドレスをあらかじめ割り当ててお
く。前述したようにIPアドレスは図18に示す構成を
しているが、本実施形態ではこのIPアドレスに含まれ
るネットワークアドレス部をVLAN−IDの代わりに
用いる。つまり、本実施形態においてはデータパケット
中の宛先アドレス4−1の上位ビットを抽出することで
ネットワークアドレスが得られることになる。したがっ
て、図5に示したVLAN−ID4−3は不要となり、
本実施形態における信号フォーマットは図19に示すも
のとなる。
【0107】また、本実施形態における端末情報テーブ
ルは表7に示すものとなり、表1で使用されていたVL
AN−IDの代わりにネットワークアドレスが使用され
る。さらに、本実施形態における無線パケット端末1−
7は、自分の所属するユーザLAN1−4のネットワー
クアドレスをそれぞれ端末認証サーバ1−8にあらかじ
め登録している。なお、本実施形態におけるパケット網
のネットワーク構成,,無線基地局の構成,無線パケッ
ト端末の認証手順及びデータパケットの改竄検出手順
は、図1〜図4に示した第1実施形態の場合とそれぞれ
等しい。
【0108】
【表7】
【0109】図20は本実施形態におけるパケット転送
手順を示しており、図6(第1実施形態)に示したパケ
ット転送手順とは以下の点が相違する。すなわち、無線
基地局1−6では、パケット改竄検出手段14が受信し
たデータパケット(5−1)の改竄を検出しなかった場
合、端末アドレス/VLAN−ID比較手段15は、受
信したデータパケットの宛先アドレス4−1からネット
ワークアドレス部を抽出し、送信元アドレス4−2に基
づいて表7に示した端末情報テーブルから無線パケット
端末1−7の所属するユーザLANのネットワークアド
レスを取得して、これら2つのネットワークアドレスが
一致するかどうかを確認する(24−1)。その後、フ
ィルタリング手段16は送られた確認結果に基づいて、
両ネットワークアドレスが一致していれば第1実施形態
と同様に宛先アドレス4−1で指定された宛先端末にデ
ータパケットを転送する(5−2)。一方、両ネットワ
ークアドレスが一致していなければ、フィルタリング手
段16はデータパケットを廃棄する。
【0110】以上のように、本実施形態では、第1実施
形態のようにデータパケット中にVLAN−IDのよう
な余分なフィールドを設ける必要がない。
【0111】[第9実施形態]この第9実施形態は、請
求項1,2,5記載のパケット転送方法および請求項1
1記載の基地局を適用した場合に相当している。本実施
形態は、第8実施形態で説明したネットワークアドレス
の使用を第2実施形態に適用したものである。本実施形
態においても、ユーザLAN1−4に対して各ユーザL
ANに固有のネットワークアドレスをあらかじめ割り当
てておく。また、本実施形態における端末情報テーブル
は表8に示す通りであって、表2で使用されていたVL
AN−IDの代わりにネットワークアドレスが使用され
ている。なお、本実施形態におけるパケット網のネット
ワーク構成,無線基地局の構成,無線パケット端末の認
証手順,データパケットの改竄検出手順及びパケットの
信号フォーマットは、図1〜図4及び図19に示したも
のとそれぞれ等しい。
【0112】
【表8】
【0113】図21は本実施形態におけるパケット転送
手順を示しており、図7(第2実施形態)に示したパケ
ット転送手順とは以下の点が相違する。すなわち、無線
基地局1−6では、パケット改竄検出手段14が受信し
たデータパケット(6−1)の改竄を検出しなかった場
合、端末アドレス/VLAN−ID比較手段15は、受
信したデータパケットの宛先アドレス4−1からネット
ワークアドレス部を抽出し、送信元アドレス4−2に基
づいて無線パケット端末1−7が通信を許されているユ
ーザLANに割り当てられている全てのネットワークア
ドレスを表8に示した端末情報テーブルから取得する。
次いで、端末アドレス/VLAN−ID比較手段15
は、取得したネットワークアドレスの中に宛先アドレス
4−1から抽出されたネットワークアドレスと一致する
ものが登録されているかどうか確認する。フィルタリン
グ手段16は送られた確認結果に基づいて、一致するネ
ットワークアドレスが存在していれば宛先アドレス4−
1で指定された宛先端末にデータパケットを転送(6−
2)し、一致するネットワークが全く無ければデータパ
ケットを廃棄する。
【0114】以上のように、本実施形態においても、第
1実施形態のようにデータパケット中にVLAN−ID
のような余分なフィールドを設ける必要がない。
【0115】[第10実施形態]この第10実施形態
は、請求項1,2,4,5,8記載のパケット転送方法
および請求項11,13記載の基地局を適用した場合に
相当している。本実施形態は、第8実施形態で説明した
ネットワークアドレスの使用を第3実施形態に適用した
ものである。本実施形態においても、ユーザLAN1−
4には各ユーザLANに固有のネットワークアドレスを
あらかじめ割り当てておく。本実施形態におけるパケッ
ト網のネットワーク構成は図8に示した第3実施形態の
場合と等しい。また、本実施形態における無線基地局の
構成,無線パケット端末の認証手順,データパケットの
改竄検出手順及びパケットの信号フォーマットは、図2
〜図4及び図19に示したものとそれぞれ等しい。ま
た、端末認証サーバ7−8には表9に示すVLAN情報
テーブルが設けられており、VLAN−IDの代わりに
ネットワークアドレスを使用している点で表3(第3実
施形態)と相違している。なお、本実施形態において
も、第3実施形態と同様に、無線パケット網が各無線パ
ケット端末7−7にVLAN鍵をあらかじめ通知してお
く。
【0116】
【表9】
【0117】図22は本実施形態におけるパケット転送
手順を示しており、図9に示した第3実施形態の手順と
は以下の点が相違する。まず、受信したデータパケット
(8−1)の改竄が検出されなかった場合、第9実施形
態と同様にして、端末アドレス/VLAN−ID比較手
段15は、受信したデータパケットの宛先アドレス4−
1から抽出されるネットワークアドレスが、無線パケッ
ト端末7−7に対して通信が許可されている複数のユー
ザLAN1−4に割り当てたネットワークアドレスの中
に登録されているかどうかを確認する(26−1)。そ
してフィルタリング手段16はこの確認結果に応じてパ
ケットを転送する(8−2)か廃棄するかを決定する。
【0118】ここで、データパケットを転送する際(8
−2)に、宛先端末がユーザLAN7−4と接続してい
る場合、各中継ノード7−9はデータパケット中の宛先
アドレス4−1に応じて次の送信ポートを選択してゲー
トウェイ7−3へデータパケットを転送する。ゲートウ
ェイ7−3は宛先アドレス4−1から抽出されるネット
ワークアドレスに応じてゲートウェイ7−1又はゲート
ウェイ7−2を選択して、データパケットをユーザLA
N7−4から宛先端末に転送する。一方、宛先端末が無
線パケット網と接続している場合は、第3実施形態と同
様に、各中継ノード7−9は宛先アドレス4−1に応じ
て次の送信ポートを選択して、ゲートウェイを介するこ
となくパケットを宛先端末へ転送する。
【0119】本実施形態におけるブロードキャストパケ
ットの転送手順は基本的に第3実施形態(図10)と同
様であって、VLAN−IDの代わりに宛先アドレスか
ら抽出されるネットワークアドレスを用いて経路選択が
行われる点が相違している。
【0120】以上のように、本実施形態においても、第
1実施形態のようにデータパケット中にVLAN−ID
のような余分なフィールドを設ける必要がない。なお、
ここではネットワークアドレスの使用を第3実施形態へ
適用した場合について説明したが、第3実施形態と第4
〜第5実施形態とでは無線パケット端末7−7から無線
基地局7−6へデータパケットを送信する際の暗号鍵の
使い方が異なるだけである。したがって、これら第4〜
第5実施形態においてもVLAN−IDの代わりにネッ
トワークアドレスを使用することができる。
【0121】[第11実施形態]この第11実施形態
は、請求項1,6記載のパケット転送方法を適用した場
合に相当している。
【0122】本実施形態におけるパケット網の構成,無
線基地局の構成,無線パケット端末の認証手順及びデー
タパケットの改竄検出手順は、図1〜図4に示した第1
実施形態の場合とそれぞれ等しい。
【0123】表10は、本実施形態における端末情報テ
ーブルを示しており、端末アドレスと、端末認証に必要
な情報としての暗号鍵とで構成されている。
【0124】
【表10】
【0125】各ユーザLAN1−4に接続するゲートウ
ェイ1−1,1−2は、それぞれ許可アドレス情報を許
可アドレステーブルに持っている。表11はゲートウェ
イ1−1の許可アドレステーブルを示しており、表12
はゲートウェイ1−2の許可アドレステーブルを示して
いる。ゲートウェイ1−1,1−2は、送信元アドレス
4−2が各ゲートウェイの許可アドレステーブルに登録
されているデータパケットだけをユーザLAN1−4に
転送する。
【0126】
【表11】
【0127】
【表12】
【0128】また、本実施形態における無線パケット網
のパケットの信号フォーマットは、第8実施形態で説明
した図19のものと同じであって、宛先アドレス4−1
と送信元アドレス4−2をヘッダ情報として持ってお
り、ユーザデータ4−4は暗号化される。
【0129】図23は、本実施形態におけるパケット転
送手順を示している。無線基地局1−6では、端末認証
手段10が通信開始時に無線パケット端末1−7に対す
る認証を行い、当該パケット端末が正規の端末の場合は
暗号通信を開始する。なお、この認証に際して端末認証
手段10は端末認証サーバ1−8から端末情報を得る。
次に、無線パケット端末1−7は暗号化されたデータパ
ケットを無線基地局1−6に送信する(14−1)。無
線基地局1−6ではパケット復号化手段13がデータパ
ケットを復号化して、パケット改竄検出手段14が受信
データパケット(14−1)の改竄を検出した場合はこ
の受信データパケットを廃棄する。なお、これまでの手
順は第1実施形態(図6)と同じである。一方、改竄が
検出されない場合、端末アドレス/VLAN−ID比較
手段15は第1実施形態のようにVLAN−IDと送信
元アドレスとの対応を確認することはせず、受信データ
パケットをそのままフィルタリング手段16に送出し、
フィルタリング手段16は宛先アドレス4−1で指定さ
れた宛先端末にデータパケットを転送する(14−
2)。この時、宛先端末がユーザLAN1−4と接続し
ていれば、データパケットはゲートウェイ1−3からゲ
ートウェイ1−1又はゲートウェイ1−2を介してユー
ザLAN1−4に転送される。その際、選択されたゲー
トウェイはデータパケット中の送信元アドレス4−2を
確認し、当該アドレスが選択されたゲートウェイの許可
アドレステーブルに登録済みであればデータパケットを
ユーザLAN1−4に転送し、未登録であれば当該デー
タパケットを廃棄する。一方、宛先端末が無線パケット
網と接続している場合、データパケットはゲートウェイ
を介することなく宛先端末に転送される。
【0130】以上のように、本実施形態では、通信開始
時に端末認証することによって、無線パケット端末を特
定可能であり、未知の端末や端末アドレスを偽造した端
末からの不正アクセスを防止することができる。また、
暗号化してパケットを転送することにより、不正な端末
が認証された正規の端末になりすますことを防止可能で
あり、なりすまし端末による不正アクセスを防止するこ
とができる。さらに、暗号の復号時に改竄を検出してパ
ケットを廃棄することにより、改竄されたパケットの転
送を防止可能であり、改竄データによる通信の妨害と無
線パケット網のトラヒック増加を防止することができ
る。加えて、ゲートウェイが宛先アドレスと送信元アド
レスに応じてパケットの転送を許可することで、認証さ
れたパケット端末が通信の許可されていないユーザLA
Nにアクセスするのを防止可能であり、他ユーザLAN
に所属している端末からの不正アクセスを防止すること
ができる。
【0131】〔第12実施形態〕この第12実施形態
は、請求項1,7,8記載のパケット転送方法を適用し
た場合に相当している。
【0132】本実施形態におけるパケット網の構成は図
8に示す第3実施形態の構成に等しい。また、本実施形
態における無線基地局の構成,無線パケット端末の認証
手順,データパケットの改竄検出手順及びパケットの信
号フォーマットは、図2〜図5に示した第1実施形態の
場合とそれぞれ等しい。
【0133】第3実施形態と同様に、VLAN−IDは
各ユーザLAN7−4に固有の値があらかじめ割り当て
られている。
【0134】端末認証サーバ7−8は第3実施形態と同
様に端末情報テーブルとVLAN情報テーブルを有して
いる。本実施形態におけるVLAN情報テーブルは、表
3に示す第3実施形態におけるVLAN情報テーブルに
等しい。本実施形態では、VLAN鍵がブロードキャス
トパケット及びマルチキャストパケットの暗号化に使用
される。なお、無線パケット網は各無線パケット端末7
−7にVLAN鍵をあらかじめ通知しておく。
【0135】本実施形態における端末情報テーブルは、
表10に示す第11実施形態における情報テーブルと等
しい。この端末情報テーブルに登録した暗号鍵(端末
鍵)は、端末認証及びユニキャストパケットの暗号化に
用いられる。なお、無線パケット網は各無線パケット端
末7−7に端末鍵をあらかじめ通知しておく。
【0136】各ユーザLAN7−4に接続するゲートウ
ェイ7−1,7−2は、第11実施形態におけるゲート
ウェイ1−1,1−2と同様に、許可アドレス情報を表
11,表12に示した許可アドレステーブルに持ってい
る。
【0137】図24は、本実施形態におけるパケット転
送手順を示している。第3実施形態と同様に、無線基地
局7−6では端末認証手段10が通信開始時に無線パケ
ット端末7−7に対する認証を行い、当該パケット端末
が正規の端末であれば暗号通信を開始する。なお、この
認証に際して端末認証手段10が端末認証サーバ7−8
から端末情報と共にVLAN情報を得るのも第3実施形
態と同じである。次に、無線パケット端末7−7は第3
実施形態と同様にパケットに応じた暗号鍵としてVLA
N鍵又は端末鍵を選択し、暗号化されたデータパケット
を無線基地局7−6に送信する(15−1)。無線基地
局7−6は第3実施形態と同様にパケットに応じた復号
鍵を選択してデータパケットを復号化する。そして、パ
ケット改竄検出手段14が受信データパケット(15−
1)の改竄を検出した場合はこの受信データパケットを
廃棄する。一方、改竄が検出されない場合、端末アドレ
ス/VLAN−ID比較手段15は第3実施形態のよう
にVLAN−IDと送信元アドレスとの対応を確認する
ことはせず、受信データパケットをそのままフィルタリ
ング手段16に送出し、フィルタリング手段16は宛先
アドレス4−1で指定される宛先端末に転送するために
データパケットを無線パケット網へ送信する(15−
2)。この時、宛先端末がユーザLAN7−4と接続し
ている場合、各中継ノード7−9はデータパケット中の
宛先アドレス4−1に応じて次の送信ポートを選択して
ゲートウェイ7−3へデータパケットを転送する。ゲー
トウェイ7−3は宛先アドレス4−1から抽出されるネ
ットワークアドレスに応じてゲートウェイ7−1又はゲ
ートウェイ7−2を選択し、選択されたゲートウェイに
接続するユーザLAN7−4から宛先端末にデータパケ
ットを転送する(15−3)。その際、選択されたゲー
トウェイはデータパケット中の送信元アドレス4−2を
確認し、当該アドレスが選択されたゲートウェイの許可
アドレステーブルに登録済みであればデータパケットを
ユーザLAN7−4に転送し、未登録であれば当該デー
タパケットを廃棄する。一方、宛先端末が無線パケット
網と接続している場合は、第3実施形態と同様に、各中
継ノード7−9は宛先アドレス4−1に応じて次の送信
ポートを選択して、ゲートウェイを介することなくデー
タパケットを宛先端末へ転送する。
【0138】本実施形態におけるブロードキャストパケ
ットの転送手順は、図10に示す第3実施形態の場合と
等しい。本実施形態では、暗号化にVLAN鍵を用いて
いるため、第3実施形態と同様に、VLAN−IDの同
じパケット端末は、ブロードキャストパケット及びマル
チキャストパケットの復号が可能である。
【0139】また、本実施形態においてブロードキャス
トパケットをパケット網が転送する様子は、図11に示
す第3実施形態の場合と等しい。
【0140】以上のように、本実施形態によれば、第1
1実施形態によって得られる効果に加えて次に述べる効
果が得られる。すなわち、宛先アドレスに応じて次の中
継ノードを選択してパケットを転送するため、無線パケ
ット端末が他の無線パケット端末にパケット転送する時
には、ゲートウェイを経由することなく最適な経路を選
択して転送することが可能であって、転送遅延時間の増
加を防止することができる。また、ブロードキャストパ
ケット及びマルチキャストパケットを転送する場合は、
VLAN−IDにより次の中継ノードを選択してパケッ
トを転送するため、同じVLAN−IDを用いて通信中
の全ての無線パケット端末に対してゲートウェイがユニ
キャスト転送する必要がなくなり、最適な経路選択で転
送することが可能であって、転送遅延時間,トラヒッ
ク,ゲートウェイの処理負荷の増加を防止することがで
きる。また、ブロードキャストパケット又はマルチキャ
ストパケットを転送する際は、VLAN−IDに共通す
る暗号鍵を用いて暗号化しているため、無線基地局は同
じVLAN−IDを持つ配下の全無線パケット端末に対
して1回の送信でこれらパケットを転送することができ
る。したがって、各無線パケット端末の暗号鍵を用いて
暗号化して複数回送信する場合に比べて、トラヒック,
転送遅延時間,基地局の負荷をそれぞれ抑制することが
できる。なお、VLAN鍵は端末固有の暗号鍵ではない
が、異なるVLAN−IDを持つパケット端末は知りえ
ないため、なりすましによる不正アクセスは生じない。
【0141】〔第13実施形態〕この第13実施形態
は、請求項1,7,9記載のパケット転送方法を適用し
た場合に相当している。
【0142】本実施形態におけるパケット網の構成は図
8に示す第3実施形態の構成に等しい。また、本実施形
態における無線基地局の構成,無線パケット端末の認証
手順,データパケットの改竄検出手順及びパケットの信
号フォーマットは、図2〜図5に示した第1実施形態の
場合とそれぞれ等しい。
【0143】第3実施形態と同様に、VLAN−IDは
各ユーザLANに固有の値があらかじめ割り当てられて
いる。端末認証サーバ7−8は第3実施形態と同様に端
末情報テーブルとVLAN情報テーブルを有している。
本実施形態におけるVLAN情報テーブルは、表3に示
す第3実施形態におけるVLAN情報テーブルに等し
い。
【0144】本実施形態において、VLAN鍵は無線基
地局7−6がブロードキャストパケット及びマルチキャ
ストパケットを暗号化するときに使用される。なお、無
線パケット網は各無線パケット端末7−7にVLAN鍵
をあらかじめ通知しておく。
【0145】また、本実施形態における端末情報テーブ
ルは表10に示す第11実施形態の端末情報テーブルと
等しい。この端末情報テーブルに登録した暗号鍵(端末
鍵)は、端末認証時,ユニキャストパケットの暗号化
時,ならびに,無線パケット端末7−7によるブロード
キャスト及びマルチキャストパケットの暗号化時におい
てそれぞれ用いられる。なお、無線パケット網は各無線
パケット端末7−7に端末鍵をあらかじめ通知してお
く。
【0146】ゲートウェイ7−1,7−2は第11実施
形態におけるゲートウェイ1−1,1−2と同様に、表
11,表12に示す許可アドレステーブルをそれぞれ有
している。
【0147】図25は、本実施形態におけるパケット転
送手順を示している。第3実施形態と同様に、無線基地
局7−6では端末認証手段10が通信開始時に無線パケ
ット端末7−7に対する認証を行い、当該パケット端末
が正規の端末であれば暗号通信を開始する。なお、この
認証に際して端末認証手段10が端末認証サーバ7−8
から端末情報と共にVLAN情報を得るのも第3実施形
態と同じである。次に、無線パケット端末7−7は第4
実施形態と同様にユニキャストパケット/ブロードキャ
ストパケット/マルチキャストパケットの区別なく端末
鍵を用いてデータパケットを暗号化して無線基地局7−
6に送信する(16−1)。無線基地局7−6では、パ
ケット復号化手段13がユニキャストパケット/ブロー
ドキャストパケット/マルチキャストパケットを区別す
ることなく端末鍵を用いてデータパケットを復号化す
る。これ以後は、第12実施形態と同様に、無線基地局
7−6は受信したデータパケットが改竄されていればパ
ケットを廃棄し、改竄されていない場合は、VLAN−
IDと送信元アドレスとの対応を確認することなく、第
12実施形態と同様にして宛先アドレス4−1で指定さ
れる宛先端末までデータパケットを転送する(16−
3)。すなわち、宛先端末がユーザLAN7−4と接続
しているならば、データパケットは各中継ノード7−
9,ゲートウェイ7−3,ゲートウェイ7−1又はゲー
トウェイ7−2,ユーザLAN7−4を経て宛先端末に
転送される。その際、ゲートウェイ7−1又は7−2は
データパケット(16−2)の送信元アドレス4−2が
許可アドレステーブルに登録済みであればデータパケッ
トをユーザLAN7−4に転送し、未登録であれば当該
データパケットを廃棄する。一方、宛先端末が無線パケ
ット網と接続している場合、データパケットはゲートウ
ェイを介することなく宛先端末へ転送される。
【0148】また、本実施形態においてブロードキャス
トパケットをパケット網が転送する様子は図11に示す
第3実施形態の場合に等しい。
【0149】本実施形態によれば、第11実施形態によ
って得られる効果に加えて次に述べる効果が得られる。
すなわち、宛先アドレスに応じて次の中継ノードを選択
してパケットを転送するため、無線パケット端末が他の
無線パケット端末にパケット転送する時には、ゲートウ
ェイを経由することなく最適な経路を選択して転送する
ことが可能であって、転送遅延時間の増加を防止するこ
とができる。また、ブロードキャストパケット及びマル
チキャストパケットを転送する場合は、VLAN−ID
により次の中継ノードを選択してパケットを転送するた
め、同じVLAN−IDを用いて通信中の全ての無線パ
ケット端末に対してゲートウェイがユニキャスト転送す
る必要がなくなり、最適な経路選択で転送することが可
能であって、転送遅延時間,トラヒック,ゲートウェイ
の処理負荷の増加を防止することができる。また、無線
基地局が送信するブロードキャストパケット及びマルチ
キャストパケットの暗号化の際にはVLAN鍵を用いる
ため、VLAN−IDの同じパケット端末は暗号の復号
が可能である。また、無線基地局がブロードキャストパ
ケット又はマルチキャストパケットを転送する際は、V
LAN−IDに共通する暗号鍵を用いて暗号化している
ため、無線基地局は同じVLAN−IDを持つ配下の全
無線パケット端末に対して1回の送信でこれらパケット
を転送することができる。したがって、各無線パケット
端末の暗号鍵を用いて暗号化して複数回送信する場合に
比べて、トラヒック,転送遅延時間,基地局の負荷をそ
れぞれ抑制することができる。さらに、無線パケット端
末は、送信するブロードキャストパケット及びマルチキ
ャストパケットの暗号化に際して、ユニキャストパケッ
ト用の暗号鍵である端末鍵を用いている。そのため、第
12実施形態などとは異なり、無線基地局はパケットの
受信時に2種類の暗号鍵を切り替えることなく暗号を復
号することが可能となる。したがって、ブロードキャス
トパケット及びマルチキャストパケット用の暗号鍵を用
いて暗号化して送信する場合に比べて、無線基地局の負
荷を抑制することができる。
【0150】〔第14実施形態〕この第14実施形態
は、請求項1,7,10記載のパケット転送方法を適用
した場合に相当している。
【0151】本実施形態におけるパケット網の構成は図
8に示す第3実施形態の構成に等しい。また、本実施形
態における無線基地局の構成,無線パケット端末の認証
手順,データパケットの改竄検出手順及びパケットの信
号フォーマットは、図2〜図5に示した第1実施形態の
場合とそれぞれ等しい。
【0152】第3実施形態と同様に、VLAN−IDは
各ユーザLANに対して固有の値があらかじめ割り当て
られている。端末認証サーバ7−8は第3実施形態と同
様に端末情報テーブルとVLAN情報テーブルを有して
いる。本実施形態におけるVLAN情報テーブルは、表
3に示す第3実施形態におけるVLAN情報テーブルに
等しい。本実施形態では、第5実施形態と同様に、VL
AN鍵はパケットを暗号化するときに使用される。な
お、無線パケット網は各無線パケット端末7−7にVL
AN鍵をあらかじめ通知しておく。
【0153】本実施形態における端末情報テーブルは表
10に示した第11実施形態の端末情報テーブルと等し
い。また、端末情報テーブルに登録した暗号鍵として
は、各端末が所属するユーザLAN7−4のVLAN鍵
を用いる。
【0154】ゲートウェイ7−1,7−2は第11実施
形態におけるゲートウェイ1−1,1−2と同様に、そ
れぞれ表11,表12に示す許可アドレステーブルを有
している。
【0155】図26は、本実施形態におけるパケット転
送手順を示している。第3実施形態と同様に、無線基地
局7−6では端末認証手段10が通信開始時に無線パケ
ット端末7−7に対する認証を行い、当該パケット端末
が正規の端末であれば暗号通信を開始する。なお、この
認証に際して端末認証手段10が端末認証サーバ7−8
から端末情報と共にVLAN情報を得るのも第3実施形
態と同じである。次に、無線パケット端末7−7は第5
実施形態と同様にユニキャストパケット/ブロードキャ
ストパケット/マルチキャストパケットの区別なくVL
AN鍵を用いてデータパケットを暗号化して無線基地局
7−6に送信する(17−1)。無線基地局7−6で
は、パケット復号化手段13がユニキャストパケット/
ブロードキャストパケット/マルチキャストパケットを
区別することなくVLAN鍵を用いてデータパケットを
復号化する。これ以後は、第12実施形態と同様に、無
線基地局7−6は受信したデータパケットが改竄されて
いればパケットを廃棄し、改竄されていない場合は、V
LAN−IDと送信元アドレスとの対応を確認すること
なく、第12実施形態と同様にして宛先アドレス4−1
で指定される宛先端末までデータパケットを転送する
(17−3)。すなわち、宛先端末がユーザLAN7−
4と接続しているならば、データパケットは各中継ノー
ド7−9,ゲートウェイ7−3,ゲートウェイ7−1又
はゲートウェイ7−2,ユーザLAN7−4を経て宛先
端末に転送される。その際、ゲートウェイ7−1又は7
−2はデータパケット(17−2)の送信元アドレス4
−2が許可アドレステーブルに登録済みであればデータ
パケットをユーザLAN7−4に転送し、未登録であれ
ば当該データパケットを廃棄する。一方、宛先端末が無
線パケット網と接続している場合、データパケットはゲ
ートウェイを介することなく宛先端末へ転送される。
【0156】本実施形態においてブロードキャストパケ
ットをパケット網が転送する様子は、図11に示す第3
実施形態の場合と等しい。
【0157】以上のように、本実施形態によれば、第1
1実施形態によって得られる効果に加えて次に述べる効
果が得られる。すなわち、宛先アドレスに応じて次の中
継ノードを選択してパケットを転送するため、無線パケ
ット端末が他の無線パケット端末にパケット転送する時
には、ゲートウェイを経由することなく最適な経路を選
択して転送することが可能であって、転送遅延時間の増
加を防止することができる。また、ブロードキャストパ
ケット及びマルチキャストパケットを転送する場合は、
VLAN−IDにより次の中継ノードを選択してパケッ
トを転送するため、同じVLAN−IDを用いて通信中
の全ての無線パケット端末に対してゲートウェイがユニ
キャスト転送する必要がなくなり、最適な経路選択で転
送することが可能であって、転送遅延時間,トラヒッ
ク,ゲートウェイの処理負荷の増加を防止することがで
きる。また、本実施形態では、暗号化にVLAN鍵のみ
を用いるようにして端末鍵を用いないため、VLAN−
IDの同じパケット端末はブロードキャスト及びマルチ
キャストパケットの暗号を復号することが可能である。
また、VLAN−IDに共通する暗号鍵を用いているた
め、無線基地局及び無線パケット端末はパケット受信時
に2種類の暗号鍵を切り替えて暗号化及び復号する必要
がない。したがって、2種類の暗号鍵を用いる場合に比
べて、無線基地局及び無線パケット端末の負荷を抑制す
ることができる。また、パケットを転送する際は、VL
AN−IDに共通する暗号鍵を用いて暗号化しているた
め、無線基地局は同じVLAN−IDを持つ配下の全無
線パケット端末に対して1回の送信でこれらパケットを
転送することができる。したがって、各無線パケット端
末の暗号鍵を用いて暗号化して複数回送信する場合に比
べて、トラヒック,転送遅延時間,基地局の負荷をそれ
ぞれ抑制することができる。なお、VLAN鍵は端末固
有の暗号鍵ではないが、異なるVLAN−IDを持つパ
ケット端末は知りえないため、なりすましによる不正ア
クセスは生じない。
【0158】[第15実施形態]上述した各実施形態で
は本発明を無線パケット網へ適用した場合について説明
してきたが、本発明は無線パケット網に限らず有線パケ
ット網に適用しても良い。図27は、前述した第1実施
形態を有線パケット網で実現した場合のネットワーク構
成を示している。同図では、無線パケットバックボーン
網1−5と同等の機能を有するパケットバックボーン網
27−5,無線/有線の違いを除いて無線基地局1−6
と同等の機能を有するアクセスサーバ(有線接続装置)
27−6,および無線/有線の違いを除いて無線パケッ
ト端末1−7と同等の機能を有するパケット端末27−
7がそれぞれ設けられている。これら以外の構成は全て
第1実施形態(図1)と同じである。本実施形態による
パケット転送手順は、アクセスサーバ27−6とパケッ
ト端末27−7の間を含めた全ての通信が有線で行われ
る点を除けば、第1実施形態と全く同じになる。また、
図8に示したネットワーク構成を用いる場合にも、無線
パケットバックボーン網7−5,無線基地局7−6,無
線パケット端末7−7をそれぞれパケットバックボーン
網27−5,アクセスサーバ27−6,パケット端末2
7−7に置き換えれば良い。したがって、上述した全て
の実施形態に対して有線パケット網のネットワーク構成
を適用することができる。
【0159】以上述べた実施形態は全て本発明を例示的
に示すものであって限定的に示すものではなく、本発明
は他の種々の変形態様及び変更態様で実施することがで
きる。従って本発明の範囲は特許請求の範囲及びその均
等範囲によってのみ規定されるものである。
【0160】例えば、上記各実施形態では、パケット網
への入口である無線基地局(あるいはアクセスサーバ)
が端末認証やパケット改竄検出などを行うことによっ
て、最も効率的な転送を実現することができる。しかし
ながら、パケット網の構成によっては無線基地局を統括
する制御局などが設けられている場合もあり、そうした
場合には、この制御局が端末認証やパケット改竄検出を
行うようにしても良い。
【0161】
【発明の効果】以上説明したように、本発明によれば、
通信開始時に端末認証することによってパケット端末を
特定可能であり、未知の端末や端末アドレスを偽造した
端末からの不正アクセスを防止する効果が得られる。ま
た、暗号化してパケットを転送することにより、不正な
端末が認証された正規の端末になりすますことを防止可
能であり、なりすまし端末による不正アクセスを防止す
る効果が得られる。さらに、暗号の復号時に改竄を検出
してパケットを廃棄することにより、改竄されたパケッ
トの転送を防止可能であり、改竄データによる通信の妨
害とパケット網のトラヒック増加を防止する効果が得ら
れる。
【0162】従って、送信元アドレスを偽造することに
よりデータ網(ユーザLAN)へ不正にアクセスできる
問題を解決し、あらかじめ登録した端末に対してだけ特
定のデータ網との通信を許可するパケット転送方法を提
供することが可能となる。また、パケットの転送遅延時
間,トラヒック,ゲートウェイの負荷が増加する問題を
解決し、最適な経路選択が可能でなおかつ効率的なパケ
ット転送方法を提供することが可能となる。
【0163】また、請求項2,3,11又は12記載の
発明によれば、識別子又はユーザLAN名と送信元アド
レスの対応を確認することにより、認証された端末が自
分が接続の許可されていない(あるいは自分の属してい
ない)データ網にアクセスすることを防止可能であり、
あるデータ網に接続を許可されている(あるいは所属し
ている)端末から他データ網への不正アクセスを防止す
る効果が得られる。さらにまた、1パケット端末あたり
複数の識別子又はユーザLAN名を登録することによ
り、1つのパケット端末で複数のデータ網にアクセスす
ることが可能であり、ユーザヘのサービス性が向上する
という効果が得られる。
【0164】また、請求項4又は7記載の発明によれ
ば、宛先アドレスに応じて次の中継ノードを選択してパ
ケットを転送するため、パケット端末が他のパケット端
末にパケット転送する時には、ゲートウェイを経由する
ことなく最適な経路を選択して転送することが可能であ
り、転送遅延時間の増加を防止する効果が得られる。ま
た、ブロードキャストパケット及びマルチキャストパケ
ットを転送する場合は、識別子に応じて次の中継ノード
を選択してパケットを転送するため、同じ識別子を用い
て通信している全てのパケット端末に対してゲートウェ
イからユニキャスト転送する必要がない。したがって、
最適な経路選択でパケットを転送することが可能であ
り、転送遅延時間,トラヒック,ゲートウェイの処理負
荷の増加をそれぞれ防止する効果が得られる。
【0165】また、請求項6記載の発明によれば、ゲー
トウェイが宛先アドレスと送信元アドレスに応じてパケ
ットの転送を許可することで、認証されたパケット端末
が通信の許可されていないユーザLANにアクセスする
ことを防止可能であり、他ユーザLANに所属している
パケット端末からの不正アクセスを防止する効果が得ら
れる。
【0166】また、請求項8又は13記載の発明によれ
ば、識別子が同じであれば共通の暗号鍵を用いてブロー
ドキャストパケット及びマルチキャストパケットを暗号
化しているため、基地局は同一の識別子を持つ配下の全
パケット端末に対して1回の送信でこれらパケットを転
送することが可能となる。したがって、各パケット端末
の暗号鍵を用いて暗号化して複数回送信する場合に比べ
て、トラヒック,転送遅延時間,基地局の負荷を抑制す
る効果が得られる。
【0167】また、請求項9又は14記載の発明によれ
ば、基地局がブロードキャストパケット及びマルチキャ
ストパケットを転送する際には、識別子に共通する暗号
鍵を用いて暗号化している。このため、基地局は同じ識
別子を持つ配下の全パケット端末に対して1回の送信で
これらパケットを転送することが可能となる。したがっ
て、各パケット端末の暗号鍵を用いて暗号化して複数回
送信する場合に比べて、トラヒック,転送遅延時間,基
地局の負荷をそれぞれ抑制する効果が得られる。また、
パケット端末がブロードキャストパケット及びマルチキ
ャストパケットを転送する際には、ユニキャストパケッ
ト用の暗号鍵を用いて暗号化している。したがって、基
地局はパケット端末からパケットを受信した時に暗号鍵
を切り替えることなく復号することが可能となり、ブロ
ードキャストパケット及びマルチキャストパケット用の
暗号鍵を用いて暗号化して送信する場合に比べて、基地
局にかかる負荷を抑制する効果が得られる。
【0168】また、請求項10又は15記載の発明によ
れば、パケットを転送する際、識別子に共通の暗号鍵を
用いて暗号化しているため、基地局は同じ識別子を有す
る配下の全パケット端末に対して1回の送信でブロード
キャストパケット及びマルチキャストパケットを転送す
ることが可能となる。したがって、各パケット端末の暗
号鍵を用いて暗号化して複数回送信する場合に比べて、
トラヒック,転送遅延時間,基地局の負荷をそれぞれ抑
制する効果が得られる。また、識別子に共通する暗号鍵
を用いているため、基地局及びパケット端末はパケット
の受信時において暗号鍵を切り替えることなく復号する
ことが可能となる。したがって、2種類の暗号鍵を用い
る場合に比べて、基地局及びパケット端末にかかる負荷
を抑制する効果が得られる。
【図面の簡単な説明】
【図1】 本発明の第1実施形態における無線パケット
通信のネットワーク構成を示すブロック図である。
【図2】 本発明の各実施形態における無線基地局の構
成を示すブロック図である。
【図3】 本発明の第1実施形態における無線パケット
通信の認証手順を示す図である。
【図4】 同実施形態におけるデータパケットの改竄検
出手順を示す図である。
【図5】 同実施形態におけるパケットの信号フォーマ
ットを示す図である。
【図6】 同実施形態におけるパケット転送手順を示す
図である。
【図7】 本発明の第2実施形態におけるパケット転送
手順を示す図である。
【図8】 本発明の第3実施形態における無線パケット
通信のネットワーク構成を示すブロック図である。
【図9】 同実施形態におけるパケット転送手順を示す
図である。
【図10】 同実施形態におけるブロードキャストパケ
ットの転送手順を示す図である。
【図11】 同実施形態におけるブロードキャストパケ
ットの転送の様子を示す図である。
【図12】 本発明の第4実施形態におけるパケット転
送手順を示す図である。
【図13】 本発明の第5実施形態におけるパケット転
送手順を示す図である。
【図14】 本発明の第6実施形態における無線パケッ
ト通信の認証手順を示す図である。
【図15】 同実施形態におけるパケット転送手順を示
す図である。
【図16】 本発明の第7実施形態における無線パケッ
ト通信の認証手順を示す図である。
【図17】 同実施形態におけるパケット転送手順を示
す図である。
【図18】 IPアドレスの構成を示す図である。
【図19】 本発明の第8実施形態におけるパケットの
信号フォーマットを示す図である。
【図20】 同実施形態におけるパケット転送手順を示
す図である。
【図21】 本発明の第9実施形態におけるパケット転
送手順を示す図である。
【図22】 本発明の第10実施形態におけるパケット
転送手順を示す図である。
【図23】 本発明の第11実施形態におけるパケット
転送手順を示す図である。
【図24】 本発明の第12実施形態におけるパケット
転送手順を示す図である。
【図25】 本発明の第13実施形態におけるパケット
転送手順を示す図である。
【図26】 本発明の第14実施形態におけるパケット
転送手順を示す図である。
【図27】 本発明の第15実施形態における有線パケ
ット通信のネットワーク構成を示すブロック図である。
【符号の説明】
1−1、1−2、1−3、7−1、7ー2、7−3 ゲ
ートウェイ 1−4、7−4 ユーザLAN 1−5、7−5 無線パケットバックボーン網 1−6、7−6、7−6a〜7−6c 無線基地局 1−7、7−7、7−7a〜7−7c 無線パケット端
末 1−8、7−8 端末認証サーバ 1−10、7−10 中継路 4−1 宛先アドレス 4−2 送信元アドレス 4−3 VLAN−ID 4−4 ユーザデータ 7−9、7−9a〜7−9c 中継ノード 10 端末認証手段 11 端末情報記憶手段 12 パケット暗号化手段 13 パケット復号化手段 14 パケット改竄検出手段 15 端末アドレス/VLAN−ID比較手段 16 フィルタリング手段 27−5 パケットバックボーン網 27−6 アクセスサーバ(有線接続装置) 27−7 パケット端末
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 12/66 H04L 9/00 673C 12/56 11/20 B 102Z (72)発明者 高梨 斉 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 (72)発明者 守倉 正博 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 パケット網が基地局と該基地局を接続す
    るパケットバックボーン網とから構成されており、前記
    基地局が配下に複数のパケット端末を収容しており、前
    記パケットバックボーン網がさらに複数の他パケット網
    であるユーザLANに接続されているネットワークを用
    いたパケット通信であり、前記各パケット端末は固有の
    端末アドレスを有すると共に宛先端末の前記端末アドレ
    スである宛先アドレスと自己の端末アドレスである送信
    元アドレスとを付与したパケットを送信し、前記ネット
    ワークが前記宛先アドレスを用いて前記パケットの転送
    を行うパケット転送方法であって、 前記パケット網は、前記パケット端末が前記基地局を介
    して通信を開始する際に前記パケット端末の端末認証を
    行い、 認証に成功した前記パケット端末は、送信すべきデータ
    を暗号化して、前記宛先端末が属するユーザLANに割
    り当てられる識別子と前記宛先アドレスと前記送信元ア
    ドレスを該暗号化データに付与したパケットを前記パケ
    ット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケ
    ットに含まれる前記暗号化データを復号し、該受信パケ
    ットが改竄されていなければ、前記受信パケットに含ま
    れる前記送信元アドレス及び前記識別子に基づいて、該
    識別子を持つユーザLANに対して前記パケット端末が
    通信を許可されている場合にだけ前記受信パケットを該
    ユーザLANに転送し、該通信が許可されていない場合
    には前記受信パケットを廃棄することを特徴とするパケ
    ット転送方法。
  2. 【請求項2】 パケット網が基地局と該基地局を接続す
    るパケットバックボーン網とから構成されており、前記
    基地局が配下に複数のパケット端末を収容しており、前
    記パケットバックボーン網がさらに複数の他パケット網
    であるユーザLANに接続されているネットワークを用
    いたパケット通信であり、前記各パケット端末は固有の
    端末アドレスを有すると共に宛先端末の前記端末アドレ
    スである宛先アドレスと自己の端末アドレスである送信
    元アドレスとを付与したパケットを送信し、前記ネット
    ワークが前記宛先アドレスを用いて前記パケットの転送
    を行うパケット転送方法であって、 前記ユーザLANを識別する識別子を前記各ユーザLA
    Nにあらかじめ割り当てておき、 前記パケット網は、前記端末アドレスと通信を許されて
    いる1つ以上のユーザLANにそれぞれ割り当てられた
    前記識別子と端末認証に必要な情報とを対応づけた端末
    情報をあらかじめ記憶し、 前記パケット網は、前記パケット端末が前記基地局を介
    して通信を開始する際に、前記情報を使用して前記パケ
    ット端末の端末認証を行い、前記パケット端末が正規の
    端末であれば前記パケット端末に対して通信許可を通知
    し、 前記パケット端末は、前記通信許可が通知されたのであ
    れば、1つ以上の前記ユーザLANの中から通信するユ
    ーザLANを一つ選択し、送信すべきデータを暗号化し
    て、該選択したユーザLANに割り当てられた識別子と
    前記宛先アドレスと前記送信元アドレスを該暗号化デー
    タに付与したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケ
    ットに含まれる前記暗号化データの復号時に改竄の有無
    を判定し、改竄が検出されていれば前記受信パケットを
    廃棄し、改竄されていない場合には、前記受信パケット
    に含まれる前記送信元アドレスと前記識別子との対応が
    前記端末情報に登録されているかどうかを確認し、該対
    応が登録済みである場合には前記受信パケットを前記宛
    先アドレスに転送し、該対応が未登録の場合には前記受
    信パケットを廃棄することを特徴とするパケット転送方
    法。
  3. 【請求項3】 パケット網が基地局と該基地局を接続す
    るパケットバックボーン網とから構成されており、前記
    基地局が配下に複数のパケット端末を収容しており、前
    記パケットバックボーン網がさらに複数の他パケット網
    であるユーザLANに接続されているネットワークを用
    いたパケット通信であり、前記各パケット端末は固有の
    端末アドレスを有すると共に宛先端末の前記端末アドレ
    スである宛先アドレスと自己の端末アドレスである送信
    元アドレスとを付与したパケットを送信し、前記ネット
    ワークが前記宛先アドレスを用いて前記パケットの転送
    を行うパケット転送方法であって、 前記ユーザLAN毎にあらかじめ固有のユーザLAN名
    を割り当てておき、 前記パケット網は、前記端末アドレスと通信を許されて
    いる1つ以上のユーザLANにそれぞれ割り当てられた
    前記ユーザLAN名と端末認証に必要な情報を対応づけ
    た端末情報をあらかじめ記憶し、 前記パケット端末は前記基地局を介して通信を開始する
    際に、1つ以上の前記ユーザLANの中から通信するユ
    ーザLANを一つ選択し、該選択したユーザLANに割
    り当てられた前記ユーザLAN名を前記パケット網へ通
    知し、 前記パケット網は、前記情報を使用して前記パケット端
    末の端末認証を行い、前記パケット端末が正規の端末で
    あれば、前記パケット端末から通知された前記ユーザL
    AN名に対して前記ユーザLANを識別するための識別
    子を割り当てて前記パケット端末に通知し、 前記パケット端末は、送信すべきデータを暗号化して、
    前記選択したユーザLANに割り当てられた識別子と前
    記宛先アドレスと前記送信元アドレスを該暗号化データ
    に付与したパケットを前記パケット網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケ
    ットに含まれる前記暗号化データの復号時に改竄の有無
    を判定し、改竄が検出されていれば前記受信パケットを
    廃棄し、改竄されていない場合には、前記受信パケット
    に含まれる識別子を割り当てたユーザLAN名と前記受
    信パケットに含まれる送信元アドレスとの対応が前記端
    末情報に登録されているかどうかを確認し、該対応が登
    録済みである場合には前記受信パケットを前記宛先アド
    レスに転送し、該対応が未登録の場合には前記受信パケ
    ットを廃棄し、 前記パケット網は、その後に前記パケット端末が通信を
    終了した時に前記ユーザLAN名に割り当てた前記識別
    子を解放するようにしたことを特徴とするパケット転送
    方法。
  4. 【請求項4】 前記パケットバックボーン網が、前記パ
    ケットを中継する複数の中継ノードを有し、これら各中
    継ノードが前記受信パケットを前記宛先アドレスに転送
    するための経路選択の機能を有するネットワークを用い
    たパケット転送方法であって、 前記パケット網は、前記経路選択のためのルーチング情
    報として前記受信パケット中の前記宛先アドレスと前記
    識別子とを用い、 ユニキャストパケットを転送する場合、前記宛先端末が
    前記パケット網に接続中であれば、前記宛先アドレスに
    応じて前記中継ノードを順次選択しながら該パケットを
    前記宛先端末まで転送し、前記宛先端末が前記パケット
    網に接続中でなければ、前記識別子に応じて前記中継ノ
    ードを順次選択しながら該パケットを前記ユーザLAN
    まで転送し、 ブロードキャストパケット及びマルチキャストパケット
    を転送する場合は、前記識別子を用いて前記中継ノード
    を順次選択して該中継ノードに該パケットを順次転送し
    てゆき、同じ識別子を用いて通信中の全ての前記パケッ
    ト端末及び該識別子により指定される前記ユーザLAN
    に該パケットを転送することを特徴とする請求項2記載
    のパケット転送方法。
  5. 【請求項5】 前記パケットバックボーン網と前記複数
    のユーザLANの間をゲートウェイで接続したネットワ
    ークを用いたパケット転送方法であって、 前記ユーザLANを介して前記受信パケットを前記宛先
    アドレスへ転送する際、前記ゲートウェイが前記受信パ
    ケットに含まれる前記識別子に応じて前記ユーザLAN
    を選択して該選択されたユーザLANへ前記受信パケッ
    トを転送することを特徴とする請求項2〜4の何れかの
    項記載のパケット転送方法。
  6. 【請求項6】 パケット網が基地局と該基地局を接続す
    るパケットバックボーン網とから構成されており、前記
    基地局が配下に複数のパケット端末を収容しており、前
    記パケットバックボーン網がさらに複数の他パケット網
    であるユーザLANにゲートウェイを介して接続されて
    いるネットワークを用いたパケット通信であり、前記各
    パケット端末は固有の端末アドレスを有すると共に宛先
    端末の前記端末アドレスである宛先アドレスと自己の端
    末アドレスである送信元アドレスとを付与したパケット
    を送信し、前記ネットワークが前記宛先アドレスを用い
    て前記パケットの転送を行うパケット転送方法であっ
    て、 前記パケット網は、前記端末アドレスと端末認証に必要
    な情報とを対応づけた端末情報をあらかじめ記憶し、 前記ゲートウェイは、前記パケット網と前記ユーザLA
    Nの間でパケットの転送を許可する送信元の端末アドレ
    スをあらかじめ記憶し、 前記パケット網は、前記パケット端末が前記基地局を介
    して通信を開始する際に、前記情報を使用して前記パケ
    ット端末の端末認証を行い、前記パケット端末が正規の
    端末であれば前記パケット端末に通信許可を通知し、 前記パケット端末は、前記通信許可が通知されたのであ
    れば、送信すべきデータを暗号化して前記宛先アドレス
    と前記送信元アドレスを付与したパケットを前記パケッ
    ト網へ送信し、 前記パケット網は、前記パケットを受信して該受信パケ
    ットに含まれる前記暗号化データの復号時に改竄の有無
    を判定し、改竄が検出されていれば前記受信パケットを
    廃棄し、改竄されていない場合には前記受信パケットを
    前記ゲートウェイに転送し、 前記ゲートウェイは、前記パケット網から転送されたパ
    ケットに含まれる前記送信元アドレスに対する転送が許
    可されている場合は該転送パケットを前記ユーザLAN
    から前記宛先アドレスに転送し、該転送が許可されてい
    ない場合は該転送パケットを廃棄するようにしたことを
    特徴とするパケット転送方法。
  7. 【請求項7】 前記パケットバックボーン網が、前記パ
    ケットを中継する複数の中継ノードを有し、これら各中
    継ノードが前記パケットを前記宛先アドレスに転送する
    ための経路選択機能を有するネットワークを用いたパケ
    ット転送方法であって、 前記ユーザLANを識別する識別子を前記各ユーザLA
    Nにあらかじめ割り当てておき、 前記パケット端末は、前記パケットを前記パケット網へ
    送信する際に、複数の前記ユーザLANの中から接続す
    るユーザLANを一つ選択して、該選択したユーザLA
    Nの識別子を前記パケットにさらに付与して送信し、 前記パケット網は、前記経路選択のためのルーチング情
    報として送信された前記パケットに含まれる前記宛先ア
    ドレスと前記識別子とを用い、 ユニキャストパケットを転送する場合、前記宛先端末が
    前記パケット網に接続中であれば、前記宛先アドレスに
    応じて前記中継ノードを順次選択しながら該パケットを
    前記宛先端末まで転送し、前記宛先端末が前記パケット
    網に接続中でなければ、前記識別子に応じて前記中継ノ
    ードを順次選択しながら該パケットを前記ゲートウェイ
    に転送し、 ブロードキャストパケット及びマルチキャストパケット
    を転送する場合は、前記識別子を用いて前記中継ノード
    を順次選択して該中継ノードに該パケットを順次転送し
    てゆき、同じ識別子を用いて通信中の全ての前記パケッ
    ト端末と、該識別子により指定される前記ゲートウェイ
    とに転送することを特徴とする請求項6記載のパケット
    転送方法。
  8. 【請求項8】 前記暗号化及び前記復号化に際し、前記
    ユニキャストパケットを転送する場合は、前記各パケッ
    ト端末毎に割り当てた暗号鍵を用い、前記ブロードキャ
    ストパケット又は前記マルチキャストパケットを転送す
    る場合は、前記各識別子毎に割り当てた暗号鍵を用いる
    ことを特徴とする請求項4又は7記載のパケット転送方
    法。
  9. 【請求項9】 前記暗号化及び前記復号化に際し、前記
    ユニキャストパケットを転送する場合及び前記パケット
    端末が前記ブロードキャストパケット又は前記マルチキ
    ャストパケットを送信する場合は、前記各パケット端末
    毎に割り当てた暗号鍵を用い、前記基地局が前記ブロー
    ドキャストパケット又は前記マルチキャストパケットを
    送信する場合は、前記各識別子毎に割り当てた暗号鍵を
    用いることを特徴とする請求項4又は7記載のパケット
    転送方法。
  10. 【請求項10】 前記暗号化及び前記復号化に際し、暗
    号鍵として前記各識別子毎に割り当てた暗号鍵を用いる
    ことを特徴とする請求項4又は7記載のパケット転送方
    法。
  11. 【請求項11】 他パケット網であるユーザLANが複
    数接続されたパケットバックボーン網に接続され、か
    つ、配下に複数のパケット端末を収容する基地局であっ
    て、 前記各パケット端末に付与された固有の端末アドレス
    と、前記パケット端末が通信を許されている1つ以上の
    ユーザLANにそれぞれ割り当てられた識別子と、端末
    認証に必要な情報を対応づけて記憶する端末情報記憶手
    段と、 前記パケット端末からの通信開始要求に応じて前記情報
    を使用した端末認証を行い、前記パケット端末に対して
    認証結果を通知する端末認証手段と、 前記パケットバックボーン網と前記パケット端末の間で
    授受されるパケット中のデータ部を前記情報を用いて暗
    号化して送信するパケット暗号化手段と、 宛先端末の前記端末アドレスである宛先アドレスと前記
    パケット端末の端末アドレスである送信元アドレスと前
    記ユーザLANに割り当てられた識別子が暗号化データ
    に付与されたパケットを前記パケット端末から受信して
    該暗号化データを復号するパケット復号化手段と、 前記復号されたデータから改竄を検出して該パケットを
    廃棄するパケット改竄検出手段と、 前記パケットに含まれている前記送信元アドレス及び前
    記識別子の組が、前記端末情報記憶手段に記憶されてい
    る前記端末アドレス及び前記識別子の組の中に登録され
    ているかどうかを確認する比較手段と、 前記比較手段による確認結果に基づいて、前記登録があ
    ることを条件に前記宛先アドレスに前記パケットを転送
    し、前記登録が無いことを条件に前記パケットを廃棄す
    るフィルタリング手段とを具備することを特徴とする基
    地局。
  12. 【請求項12】 他パケット網であるユーザLANが複
    数接続されたパケットバックボーン網に接続され、か
    つ、配下に複数のパケット端末を収容する基地局であっ
    て、 前記各パケット端末に付与された固有の端末アドレス
    と、前記パケット端末が通信を許されている1つ以上の
    ユーザLANにそれぞれ割り当てられたユーザLAN名
    と、端末認証に必要な情報を対応づけて記憶する端末情
    報記憶手段と、 前記パケット端末からの通信開始要求に応じて前記情報
    を使用した端末認証を行って、認証結果を前記パケット
    端末に通知するとともに、正規のパケット端末に対して
    は、前記通信開始要求に伴って前記パケット端末から通
    知されるユーザLAN名に前記ユーザLANを識別する
    ための識別子を割り当てて通知し、前記パケット端末が
    通信を終了したことを条件として前記ユーザLAN名に
    割り当てた前記識別子を解放する端末認証手段と、 前記パケットバックボーン網と前記パケット端末の間で
    授受されるパケット中のデータ部を前記情報を用いて暗
    号化して送信するパケット暗号化手段と、 宛先端末の前記端末アドレスである宛先アドレスと前記
    パケット端末の端末アドレスである送信元アドレスと前
    記識別子が暗号化データに付与されたパケットを前記パ
    ケット端末から受信して該暗号化データを復号するパケ
    ット復号化手段と、 前記復号されたデータから改竄を検出して該パケットを
    廃棄するパケット改竄検出手段と、 前記受信したパケットに含まれる識別子を割り当てたユ
    ーザLAN名と前記受信したパケットに含まれる送信元
    アドレスの組が、前記端末情報記憶手段に記憶されてい
    る前記ユーザLAN名及び前記端末アドレスの組の中に
    登録されているかどうかを確認する比較手段と、 前記比較手段による確認結果に基づいて、前記登録があ
    ることを条件に前記宛先アドレスに前記パケットを転送
    し、前記登録が無いことを条件に前記パケットを廃棄す
    るフィルタリング手段とを具備することを特徴とする基
    地局。
  13. 【請求項13】 前記パケット暗号化手段は、送信する
    パケットがユニキャストパケットであれば、各パケット
    端末毎に割り当てた暗号鍵を用いて暗号化し、前記送信
    するパケットがブロードキャストパケット又はマルチキ
    ャストパケットであれば、前記各識別子毎に割り当てた
    暗号鍵を用いて暗号化し、 前記パケット復号化手段は、受信したパケットがユニキ
    ャストパケットであれば、前記各パケット端末毎に割り
    当てた暗号鍵を用いて復号化し、前記受信したパケット
    がブロードキャストパケット又はマルチキャストパケッ
    トであれば、前記各識別子毎に割り当てた暗号鍵を用い
    て復号化することを特徴とする請求項11記載の基地
    局。
  14. 【請求項14】 前記パケット暗号化手段は、送信する
    パケットがユニキャストパケットであれば、各パケット
    端末毎に割り当てた暗号鍵を用いて暗号化し、前記送信
    するパケットがブロードキャストパケット又はマルチキ
    ャストパケットであれば、前記各識別子毎に割り当てた
    暗号鍵を用いて暗号化し、 前記パケット復号化手段は、前記各パケット端末毎に割
    り当てた暗号鍵を用いて復号化することを特徴とする請
    求項11記載の基地局。
  15. 【請求項15】 前記パケット暗号化手段は、前記各識
    別子毎に割り当てた暗号鍵を用いて送信するパケットの
    データ部を暗号化し、 前記パケット復号化手段は、前記各識別子毎に割り当て
    た暗号鍵を用いて受信したパケットのデータ部を復号す
    ることを特徴とする請求項11記載の基地局。
JP22733798A 1997-08-12 1998-08-11 パケット転送方法および該方法に用いる基地局 Expired - Fee Related JP3009876B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP22733798A JP3009876B2 (ja) 1997-08-12 1998-08-11 パケット転送方法および該方法に用いる基地局

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP9-228966 1997-08-12
JP22896697 1997-08-12
JP22733798A JP3009876B2 (ja) 1997-08-12 1998-08-11 パケット転送方法および該方法に用いる基地局

Publications (2)

Publication Number Publication Date
JPH11177582A true JPH11177582A (ja) 1999-07-02
JP3009876B2 JP3009876B2 (ja) 2000-02-14

Family

ID=26527620

Family Applications (1)

Application Number Title Priority Date Filing Date
JP22733798A Expired - Fee Related JP3009876B2 (ja) 1997-08-12 1998-08-11 パケット転送方法および該方法に用いる基地局

Country Status (1)

Country Link
JP (1) JP3009876B2 (ja)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004504765A (ja) * 2000-07-14 2004-02-12 イルデト・アクセス・ベスローテン・フェンノートシャップ 安全なパケット・ベースのデータ・ブロードキャスティング・アーキテクチャ
JP2004519117A (ja) * 2000-09-08 2004-06-24 リーフエッジ,インコーポレイテッド 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP2004523143A (ja) * 2000-09-26 2004-07-29 ランダラ ナット アクチボラゲット パケット・ベースの網でのモバイル装置用アクセス・ポイントと前記網での課金方法とシステム
JP2005295509A (ja) * 2004-04-02 2005-10-20 Microsoft Corp 電子メールを使用した公開情報の認証された交換
WO2005117359A1 (ja) * 2004-05-31 2005-12-08 Hewlett-Packard Development Company, L.P. 伝送装置およびその方法
JP2006518967A (ja) * 2003-02-06 2006-08-17 シンボル テクノロジーズ インコーポレイテッド 仮想無線ローカルエリアネットワーク
JP2006229274A (ja) * 2005-02-15 2006-08-31 Matsushita Electric Ind Co Ltd 通信システム、情報処理装置、サーバ装置、及び情報処理方法
JP2007074210A (ja) * 2005-09-06 2007-03-22 Nippon Telegr & Teleph Corp <Ntt> 無線lan基地局の制御方法およびその基地局
JP2007243499A (ja) * 2006-03-08 2007-09-20 Tokyo Univ Of Agriculture & Technology 通信システム
JP2007259507A (ja) * 1999-12-22 2007-10-04 Nokia Corp テレコミュニケーションシステムにおけるなりすましの防止
JP2007267301A (ja) * 2006-03-30 2007-10-11 Fujitsu Access Ltd 暗号化通信システム及び暗号鍵更新方法
US7352773B2 (en) 2002-07-29 2008-04-01 Kabushiki Kaisha Toshiba Relay apparatus and network relay method
US7444511B2 (en) 2000-10-05 2008-10-28 Nec Corporation LAN that allows non-authenticated external terminal station to access a predetermined device in LAN
US7680110B2 (en) 2004-09-28 2010-03-16 Kabushiki Kaisha Toshiba Communication device, communication system, and communication method
JP2011023958A (ja) * 2009-07-15 2011-02-03 Yokogawa Electric Corp ネットワークスイッチ
JP2011078135A (ja) * 2001-05-14 2011-04-14 Nortel Networks Ltd データストリームフィルタリング装置及び方法
JP2011205642A (ja) * 2000-04-26 2011-10-13 Virnet X Inc 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
JP2016019031A (ja) * 2014-07-04 2016-02-01 トヨタ自動車株式会社 フィルタリング装置およびフィルタリング方法
WO2022003975A1 (ja) * 2020-07-03 2022-01-06 日本電信電話株式会社 通信装置、方法、およびプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3912609B2 (ja) 2003-07-04 2007-05-09 日本電信電話株式会社 リモートアクセスvpn仲介方法及び仲介装置

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007259507A (ja) * 1999-12-22 2007-10-04 Nokia Corp テレコミュニケーションシステムにおけるなりすましの防止
JP2011205642A (ja) * 2000-04-26 2011-10-13 Virnet X Inc 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
JP4813006B2 (ja) * 2000-07-14 2011-11-09 イルデト・アクセス・ベスローテン・フェンノートシャップ 安全なパケット・ベースのデータ・ブロードキャスティング・アーキテクチャ
JP2004504765A (ja) * 2000-07-14 2004-02-12 イルデト・アクセス・ベスローテン・フェンノートシャップ 安全なパケット・ベースのデータ・ブロードキャスティング・アーキテクチャ
JP2004519117A (ja) * 2000-09-08 2004-06-24 リーフエッジ,インコーポレイテッド 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
JP2004523143A (ja) * 2000-09-26 2004-07-29 ランダラ ナット アクチボラゲット パケット・ベースの網でのモバイル装置用アクセス・ポイントと前記網での課金方法とシステム
US8229813B2 (en) 2000-09-26 2012-07-24 Landala Nat Access point for mobile devices in a packet based network and a method and a system for billing in such a network
JP2012090335A (ja) * 2000-09-26 2012-05-10 Landala Nat Ab パケット・ベースの網でのモバイル装置用アクセス・ポイントと前記網での課金方法とシステム
US7444511B2 (en) 2000-10-05 2008-10-28 Nec Corporation LAN that allows non-authenticated external terminal station to access a predetermined device in LAN
JP2011078135A (ja) * 2001-05-14 2011-04-14 Nortel Networks Ltd データストリームフィルタリング装置及び方法
JP2013153526A (ja) * 2001-05-14 2013-08-08 Nortel Networks Ltd データストリームフィルタリング装置及び方法
US7352773B2 (en) 2002-07-29 2008-04-01 Kabushiki Kaisha Toshiba Relay apparatus and network relay method
JP2006518967A (ja) * 2003-02-06 2006-08-17 シンボル テクノロジーズ インコーポレイテッド 仮想無線ローカルエリアネットワーク
JP2005295509A (ja) * 2004-04-02 2005-10-20 Microsoft Corp 電子メールを使用した公開情報の認証された交換
WO2005117359A1 (ja) * 2004-05-31 2005-12-08 Hewlett-Packard Development Company, L.P. 伝送装置およびその方法
US7680110B2 (en) 2004-09-28 2010-03-16 Kabushiki Kaisha Toshiba Communication device, communication system, and communication method
JP4507904B2 (ja) * 2005-02-15 2010-07-21 パナソニック株式会社 通信システム、情報処理装置、サーバ装置、及び情報処理方法
JP2006229274A (ja) * 2005-02-15 2006-08-31 Matsushita Electric Ind Co Ltd 通信システム、情報処理装置、サーバ装置、及び情報処理方法
JP4545662B2 (ja) * 2005-09-06 2010-09-15 日本電信電話株式会社 無線lan基地局の制御方法およびその基地局
JP2007074210A (ja) * 2005-09-06 2007-03-22 Nippon Telegr & Teleph Corp <Ntt> 無線lan基地局の制御方法およびその基地局
JP2007243499A (ja) * 2006-03-08 2007-09-20 Tokyo Univ Of Agriculture & Technology 通信システム
JP2007267301A (ja) * 2006-03-30 2007-10-11 Fujitsu Access Ltd 暗号化通信システム及び暗号鍵更新方法
JP2011023958A (ja) * 2009-07-15 2011-02-03 Yokogawa Electric Corp ネットワークスイッチ
JP2016019031A (ja) * 2014-07-04 2016-02-01 トヨタ自動車株式会社 フィルタリング装置およびフィルタリング方法
WO2022003975A1 (ja) * 2020-07-03 2022-01-06 日本電信電話株式会社 通信装置、方法、およびプログラム

Also Published As

Publication number Publication date
JP3009876B2 (ja) 2000-02-14

Similar Documents

Publication Publication Date Title
JP3009876B2 (ja) パケット転送方法および該方法に用いる基地局
US6307837B1 (en) Method and base station for packet transfer
EP0924900B1 (en) Secure virtual LANS
US20040213237A1 (en) Network authentication apparatus and network authentication system
KR100999761B1 (ko) Wlan 상호접속에서의 서비스 및 어드레스 관리 시스템및 방법
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
US7509491B1 (en) System and method for dynamic secured group communication
US9112909B2 (en) User and device authentication in broadband networks
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
JP4727126B2 (ja) 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供
US7725707B2 (en) Server, VPN client, VPN system, and software
US7644437B2 (en) Method and apparatus for local area networks
US7945777B2 (en) Identification information protection method in WLAN inter-working
EP1484856A1 (en) The method for distributes the encrypted key in wireless lan
US20040054905A1 (en) Local private authentication for semi-public LAN
US20020076054A1 (en) Session shared key sharing method, wireless terminal authentication method, wireless terminal, and base station device
US20140181967A1 (en) Providing-replay protection in systems using group security associations
WO2011041967A1 (zh) 匿名通信的方法、注册方法、信息收发方法及系统
WO2011044808A1 (zh) 一种匿名通信的溯源方法及系统
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
WO2011050676A1 (zh) 一种匿名通信的方法及注册、取消方法及接入节点
JPH10112709A (ja) 認証方法
JP4253520B2 (ja) ネットワーク認証装置及びネットワーク認証システム
JPH06318939A (ja) 暗号通信システム
WO2011041964A1 (zh) 一种网络设备管理的方法、网络系统及网络接入节点

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071203

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081203

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees