WO2007013584A1

WO2007013584A1 - データユニット転送装置及びアドレス変換装置並びに通信システム

Info

Publication number: WO2007013584A1
Application number: PCT/JP2006/314965
Authority: WO
Inventors: Yoshihiro Suzuki
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-07-28
Filing date: 2006-07-28
Publication date: 2007-02-01

Abstract

　通信端末のグローバルな接続性を維持しながら、通信端末のアドレスから類推可能な通信端末の接続位置に関する情報を隠蔽できるようにする技術が開示され、その技術によればＩＳＰネットワークに接続する通信端末に対して、ルーティング用アドレスをエンコードした通信端末用アドレスを割り当てる。ＩＳＰネットワーク内に配置されるルータ１００がパケットの転送を行う際に、まず、ヘッダ解析部１０３において、受信したパケットのあて先アドレスを抽出した後、アドレスデコーダ１０４において、抽出されたあて先アドレスをデコードする。ルーティングテーブル格納部１１０に格納されているルーティングテーブルはルーティング用アドレスに係るアドレス空間に基づいて構築されており、出力ポート決定部１０５は、このルーティングテーブルを参照し、デコードされたアドレスに基づいて、パケットの次の転送先の決定を行う。

Description

明細書

データユニット転送装置及びアドレス変換装置並びに通信システム技術分野

[0001] 本発明は、送信元アドレス（Source Address)及びあて先アドレス（Destination Addr ess)が設定されたデータユニットの伝送を行うデータユニット転送装置及びアドレス変換装置並びに通信システムに関し、特に、 IP (Internet Protocol :インターネットプロトコル)パケットの伝送を行うデータユニット転送装置及びアドレス変換装置並びに通信システムに関する。

背景技術

[0002] 従来の IPネットワークでは、基本的に各通信端末は、通信端末を一意に識別可能とする IPアドレス（以下、単にアドレスと記載することもある）を有しており、各通信端末が任意の通信端末と通信を行う場合には、自身の IPアドレスを送信元アドレス、通信相手となる通信端末の IPアドレスをあて先アドレスに設定した IPパケット（以下、単にパケットと記載することもある）の送信を行っている。これにより、 IPネットワークを通じて、特定の通信端末間でデータの交換が行われる。

[0003] IP通信にお!、て用いられる IPv6 (Internet Protocol version 6)のアドレス構造は、例えば、下記の非特許文献 1に記載されている。図 9は、従来の技術に係る IPv6のアドレス構造の一例を示す図である。図 9に示すように、 IPv6アドレスは、グローバルルーティングプレフィックス 901、サブネット ID902、インタフェース ID903により構成される。なお、 IPv6アドレスは 128ビットの識別子であり、通常のュ-キャストアドレスでは、例えば MAC (Media Access Control :媒体アクセス制御）アドレスなどから生成される各通信端末の識別子を含むインタフェース ID903を 64ビット固定長とし、残りの 64ビットをグローバルルーティングプレフィックス 901及びサブネット ID902に割り当てることが要請されている。

[0004] グローバルルーティングプレフィックス 901は、一般的に階層構造を有しており、サイト（サブネットの集合）に対して割り当てられている識別子である。なお、このグロ一ノルルーティングプレフィックス 901の値は、例えば NIR (National Internet Registry) から、 ISP (Internet Service Provider：インターネットサービスプロバイダ）などの LIR( Local Internet Registry)に対して与えられる。したがって、 IPv6アドレスのグローバルルーティングプレフィックス 901の値によって、この IPv6アドレスがどのサイトに属して V、るのか（どの ISPによって管理されて、るの力）を判別することが可能となる。

[0005] また、サブネット ID902は、サイト内のサブネットを識別するための識別子であり、サイト内におけるルーティングの際に参照される値が含まれる。なお、サブネット ID902 は、例えば ISPが、自身が管理する複数のサブネットのそれぞれを識別するために割り当てる。したがって、 IPv6アドレスのサブネット ID902の値によって、この IPv6アドレスがどのサブネットに属しているかを判別することが可能となる。なお、ここでは、 IP v6アドレスについて説明している力 IPv4アドレスに関しても基本的な概念は同一である。

[0006] し力しながら、各サブネットを配下に有するルータの物理的（地理的）な位置が固定されていることから、グローバルルーティングプレフィックス 901の値とサブネット ID90 2の値の組み合わせを参照することによって、その IPv6アドレスを有して!/、る端末の物理的な位置が特定できる場合がある。また、 IPv6が階層構造を有していることから、 ISPは、 IPアドレスの保守 ·管理やトラフィックの効率などの観点において、ネットヮーク上の位置が近いサブネット同士を、物理的な位置が近い地域に配置することが一般的であると考えられる。このこと力、通信端末の IPv6アドレスのサブネット ID90 2の値を参照することによって、その通信端末がどの地域の近くに存在して、るか (あるいは、どの地域からは離れて存在して、る力）を類推することが可能である。

[0007] このように、サブネット ID902の値は、通信端末のネットワーク上の位置に加えて、通信端末の物理的な位置とも密接に関連している。特に、通信端末が移動端末の場合には、その通信端末の IPv6アドレスのサブネット ID902の値から、ネットワーク上の接続ポイントや物理的な移動場所が特定可能となってしまう。このように、本来は隠蔽されるべき情報が、 IPv6アドレスによって漏洩してしまうことは、決して望ましいことではない。

[0008] 一方、下記の特許文献 1には、上述のような情報の漏洩を防止することを目的として、アドレス隠蔽を実現するための技術が開示されている。以下、図 10を参照しながら、特許文献 1に開示されている技術について説明する。図 10は、従来の技術に係るアドレス隠蔽技術を説明するための通信システムの構成の一例を示す図である。

[0009] 特許文献 1に開示されている技術の通信システムは、図 10に示すように、ネットヮーク A1000の中 ϋ装置 1001と、ネットワーク B1010の転送装置 1011とがパケットの交換を行うことによって、ネットワーク A1000とネットワーク B1010とが接続されている構成を有している。そして、ネットワーク A1000に接続している通信端末 1002と、ネットワーク B1010に接続している通信端末 1012とが通信を行う場合に、中継装置 10 01が、通信端末 1002のアドレスの特定領域の喑復号ィ匕を行う。具体的には、例えば、通信端末 1002から通信端末 1012へのパケットに関しては、送信元アドレスのサブネット IDの部分に対して鍵を用いた暗号ィ匕を行い、通信端末 1012から通信端末 1 002へのパケットに関しては、あて先アドレスのサブネット IDの部分に対して鍵を用いた復号を行う。

非特干文献 1 : R. Hinden, S. Deering and E. Nordmark, IPv6 Global Unicast Addres s Format", RFC 3587, August 2003

特許文献 1 :特開 2004— 282123号公報（図 1、 3、 4、 7)

[0010] し力しながら、特許文献 1に開示されている技術には、いくつかの問題点が存在する。まず、特許文献 1に開示されている技術には、中継装置 1001を介して接続されているネットワーク A1000とネットワーク B1010ではそれぞれ異なるルーティング方式に従ってパケットの転送が行われるという問題がある。ネットワーク A1000では、中継装置 1001による暗号ィ匕前のアドレス空間が使用されており、ネットワーク B1010 では、中継装置 1001による暗号後のアドレス空間が使用されている。この結果、異なるルールに基づ、て、全く異なる複数のルーティングテーブルを構築する必要があるとともに、アドレスの保守 '管理が面倒となる。特に、暗号後のアドレス空間の管理は、アドレスの隠蔽を考えずに構築された通信システムに係るアドレス空間の管理に比べて面倒であり、何らかの障害が発生した場合には、その復旧に時間及び労力を要してしまう可能性がある。

[0011] また、特許文献 1に開示されている技術には、アドレスの隠蔽が不完全であるという問題がある。例えば、ネットワーク A1000に接続している通信端末 1002から、同じくネットワーク A1000に接続している別の通信端末 1003に向けて送信されるパケットに関しては、アドレスの隠蔽が行われない。また、ネットワーク A1000に接続している通信端末 1002から、グローバルネットワーク 1020に接続している別の通信端末 102 1に向けて送信されるパケットに関しても同様に、アドレスの隠蔽が行われない。

[0012] なお、中継装置 1001をネットワーク A1000のデフォルトルータとして、通信端末 10 02からグローバルネットワーク 1020に接続している別の通信端末 1021に向けて送信されるすべてのパケットが中継装置 1001を経由して、アドレスの喑復号化が行われるように構成することも可能である。し力しながら、この場合には、ネットワーク A100 0の外部に出たパケットが別の通信端末 1021に転送されるように、 IPの階層構造にお、てネットワーク A1000の上位に存在する IPネットワークにお!/、て、中継装置 100 1の暗復号ィ匕に依存しないアドレスが使用される必要がある。したがって、この場合には、アドレス隠蔽が行われる範囲がサブネット IDのネットワーク A1000を表す箇所以下に限定され、アドレス隠蔽は不完全なものとなる。

[0013] また、特許文献 1には、例えば中継装置 1001に配置されている暗号ィ匕 Z復号ィ匕部力通信端末 1002や通信端末 1012に配置されていてもよいなどの示唆があるが、特許文献 1に示唆されているいずれの構成においても、暗号後のアドレス空間の使用や不完全なアドレス隠蔽などを始めとする上述の問題が発生する。

発明の開示

[0014] 本発明は、上述の問題に鑑み、通信端末がグローバルな接続性を維持しながら、通信端末のアドレス力類推可能な通信端末の接続位置に関する情報を隠蔽できるようにするデータユニット転送装置及びアドレス変換装置並びに通信システムを提供することを目的とする。

[0015] 上記目的を達成するため、本発明のデータユニット転送装置は、所定のネットヮークに接続されている通信端末から送信されるデータユニットを転送する前記所定のネットワーク内のデータユニット転送装置であって、

外部の伝送路力前記データユニットを受信するデータユニット受信手段と、前記データユニット受信手段で受信した前記データユニットにあて先アドレスとして設定されている前記通信端末の第 1アドレスを抽出し、所定のアドレス変換方法に基づいて第 2アドレスに変換するアドレス変換手段と、

前記第 2アドレスの属するアドレス空間に基づ、て構築されて、るルーティングテーブルを格納するルーティングテーブル格納手段と、

前記ルーティングテーブル格納手段に格納されている前記ルーティングテーブルを参照し、前記第 2アドレスに基づ、て前記データユニットの転送先を決定するデータユニット転送先決定手段と、

前記データユニット転送先決定手段で決定された前記データユニットの転送先に基づいて、前記データユニットを外部の伝送路に送出するデータユニット送信手段とを、

有する。

この構成により、通信端末に割り当てられるアドレスの値力ネットワーク内のルーテイングで参照されるアドレスの値とは異なる値となるようにすることが可能となり、通信端末のアドレス力類推可能な通信端末の接続位置に関する情報を隠蔽することが可能となる。

[0016] さらに、本発明のデータユニット転送装置は、上記の構成に加えて、前記アドレス変換手段力前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2アドレスを生成するように構成されている。

この構成により、所定のネットワーク内における接続位置に関する情報を隠蔽しながら、通信端末がグローバルな接続性を維持することが可能となる。

[0017] さらに、本発明のデータユニット転送装置は、上記の構成に加えて、計時機能を有しており、所定のタイミングで前記アドレス変換手段に対して、前記所定のアドレス変換方法の変更を指示するための指示情報を送出する計時手段を更に有する。

この構成により、所定のアドレス変換方法を適時変更することが可能となり、通信端末のアドレス力類推可能な通信端末の接続位置に関する情報をより効果的に隠蔽することが可能となる。

[0018] また、上記目的を達成するため、本発明のアドレス変換装置は、所定のネットワークに接続されている通信端末から送信されるデータユニットを転送する前記所定のネットワーク内のデータユニット転送装置に対応して配置され、前記データユニット転送装置に入出力される前記データユニットを捕捉するよう構成されているアドレス変換装置であって、

外部の伝送路力前記データユニット転送装置に到達する入力データユニットを捕捉する第 1データユニット受信手段と、

前記第 1データユニット受信手段で受信した前記入力データユニットにあて先アドレスとして設定されて、る前記通信端末の第 1アドレスを、所定のアドレス変換方法に基づいて第 2アドレスに変換する第 1アドレス変換手段と、

前記第 1アドレス変換手段で前記あて先アドレスが前記第 2アドレスに変換された前記入力データユニットを前記データユニット転送装置に送出する第 1データユニット送信手段と、

前記データユニット転送装置から前記外部の伝送路に送出される出力データュニットを捕捉する第 2データユニット受信手段と、

前記第 2データユニット受信手段で受信した前記出力データユニットにあて先アドレスとして設定されて、る前記通信端末の前記第 2アドレスを、前記所定のアドレス変換方法に基づいて前記第 1アドレスに変換する第 2アドレス変換手段と、

前記第 2アドレス変換手段で前記あて先アドレスが前記第 1アドレスに変換された前記出力データユニットを前記外部の伝送路に送出する第 2データユニット送信手段とを、

有する。

さらに、本発明のアドレス変換装置は、上記の構成に加えて、前記第 1アドレス変換手段力前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2アドレスを生成するように構成されており、前記第 2アドレス変換手段が、前記通信端末の前記第 2アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行つて、前記第 1アドレスを生成するように構成されている。

[0020] さらに、本発明のアドレス変換装置は、上記の構成に加えて、計時機能を有しており、所定のタイミングで前記第 1及び第 2アドレス変換手段に対して、前記所定のアドレス変換方法の変更を指示するための指示情報を送出する計時手段を更に有するこの構成により、所定のアドレス変換方法を適時変更することが可能となり、通信端末のアドレス力類推可能な通信端末の接続位置に関する情報をより効果的に隠蔽することが可能となる。

[0021] また、上記目的を達成するため、本発明の通信システムは、複数のデータユニット転送装置によって所定のネットワークが構成されている通信システムであって、前記所定のネットワークに接続する通信端末に対して、第 1アドレス空間に基づくァドレスを割り当てるように構成されて、るとともに、前記複数のデータユニット転送装置力前記第 1アドレス空間に対して所定のアドレス変換方法を施すことによって得られる第 2アドレス空間に基づいたルーティングテーブルを有しており、データユニットの転送を行う際に前記ルーティングテーブルを参照し、前記所定のアドレス変換方法によって変換された後のあて先アドレスに基づいて、前記データユニットの転送先を決定するように構成されて、る。

[0022] さらに、本発明の通信システムは、上記の構成に加えて、前記第 1アドレス空間に属するアドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行うことによって、前記第 2アドレス空間に属するアドレスが生成されるように構成されている。この構成により、所定のネットワーク内における接続位置に関する情報を隠蔽しながら、通信端末がグローバルな接続性を維持することが可能となる。

[0023] さらに、本発明の通信システムは、上記の構成に加えて、前記複数のデータュ-ット転送装置のすべてが、前記第 1アドレス空間と前記第 2アドレス空間との間の所定のアドレス変換方法を同調して変更するように構成されて、る。

この構成により、通信システム全体において、所定のアドレス変換方法を一斉に変更することが可能となり、通信端末のアドレス力類推可能な通信端末の接続位置に関する情報をより効果的に隠蔽することが可能となる。

[0024] 本発明は、上記の構成を有しており、通信端末のグロ一ノレな接続性を維持しながら、アドレス情報力類推される通信端末の情報を隠蔽できるようにするという効果を有している。また、アドレス空間の管理が容易であるとともに、特にアドレスの隠蔽を考えずに構築された通信システムを、アドレス隠蔽に対応した通信システムに拡張することが容易であると、う効果を有して、る。

図面の簡単な説明

[0025] [図 1]本発明の第 1及び第 2の実施の形態に共通する通信システムの一例を示す図 [図 2]本発明の第 1の実施の形態におけるルータの構成の一例を示す図

[図 3]本発明の第 1の実施の形態におけるアドレス変換方法の一例を示す図

[図 4]本発明の第 1の実施の形態において、ルータがパケットの転送を行う際の動作の一例を示すフローチャート

[図 5]本発明の第 2の実施の形態におけるルータ及びそのルータに付設されるァドレス変換装置の構成の一例を示す図

[図 6]本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータが受信するパケットに係る処理を行う際の一例を示すフローチャート

[図 7]本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータから送出されるパケットに係る処理を行う際の一例を示すフローチャート

[図 8]本発明の第 3の実施の形態におけるルータの構成の一例を示す図

[図 9]従来の技術に係る IPv6のアドレス構造の一例を示す図

[図 10]従来の技術に係るアドレス隠蔽技術を説明するための通信システムの構成の一例を示す図

発明を実施するための最良の形態

[0026] 以下、図面を参照しながら、本発明の第 1〜第 3の実施の形態について説明する。

まず、本発明の第 1及び第 2の実施の形態に共通するシステム構成について説明する。図 1は、本発明の第 1及び第 2の実施の形態に共通する通信システムの一例を示す図である。

[0027] 図 1には、インターネットや VoIP (Voice over IP)ネットワークなどのグローバルネットワーク 40、 ISP (あるいは、通信事業者）によって管理されている ISPネットワーク 30 が図示されている。なお、グローバルネットワーク 40には、多数の通信端末が接続可能である力図 1では、グローバルネットワーク 40に接続可能な通信端末を代表して、 1つの通信端末 45のみが図示されている。

[0028] さらに、図 1には、一例として、 ISPネットワーク 30内において、グローバルネットヮーク 40にそれぞれ接続するネットワーク A10、ネットワーク B20が相互に接続している状態が図示されている。なお、 ISPネットワーク 30は、 IPネットワークが取り得る任意の構成とすることが可能である。すなわち、 ISPネットワーク 30には、ネットワークの数やネットワークの接続形態（トポロジ）、グローバルネットワーク 40との接続ポイント数などの限定はなぐ IPネットワークが取り得るあらゆる構成が実現可能である。

[0029] また、図 1には、ネットワーク A10及びネットワーク B20力通常の IPネットワークと同様に、複数のルータによって構成されている様子が図示されている。なお、図 1に示すネットワーク A10に関して、ネットワーク A10を構成するルータをルータ 11 (図 1には、模式的に 1つのルータ 11のみが代表して図示されている）、ネットワーク B20との接続ポイントに位置するルータをルータ 12、グローバルネットワーク 40への出入り口に当たるルータをルータ 13、任意の通信端末 (例えば、通信端末 15)に対して接続ポイントを提供するルータをルータ 14とする。また、ネットワーク B20も同様に、ネットワーク B20内部を構成するルータをルータ 21、ネットワーク B20との接続ポイントに位置するルータをルータ 22、グローバルネットワーク 40への出入り口に当たるルータをルータ 23、任意の通信端末 (例えば、通信端末 25)に対して接続ポイントを提供するルータをルータ 24とする。なお、ルータ 11〜14、 21〜24は、通常、それぞれ異なるサブネット IDによって識別される。

[0030] 図 1に図示されている各装置のうち、通信端末 15、 25、 45は既存の通信端末が使用可能である。したがって、多数のユーザが有している通信端末 15、 25、 45としては、 PC (Personal Computer)や PDC (Personal Digital Cellular)端末、携帯電話機などを始めとして、 IP通信可能な任意の装置を使用することが可能であり、本発明に応じた機能の付加、改良が行われる必要はない。一方、本発明では、 ISPネットワーク 30 内に改良が施される。以下、本発明の第 1及び第 2の実施の形態において、 ISPネットワーク 30に係る改良について説明する。

[0031] <第 1の実施の形態 >

まず、本発明の第 1の実施の形態について説明する。図 2は、本発明の第 1の実施の形態におけるルータの構成の一例を示す図である。

[0032] 図 2に示すルータ 100は、パケット送受信部 101、パケットバッファ部 102、ヘッダ解析部 103、アドレスデコーダ 104、出力ポート決定部 105、ルーティングテーブル格納部 110を有している。なお、図 2に示すルータ 100は、図 1に示す各ルータ 11〜1 4、 21〜24に対応している。

[0033] 図 2に示すパケット送受信部 101は、伝送路に接続しており、パケットの受信及び送信を行う機能を有している。パケット送受信部 101は、受信したパケットをパケットバッファ部 102に格納するとともに、出力ポート決定部 105から渡される出力ポート指示情報に基づいて、パケットバッファ部 102からパケットを読み出して、指示された出力ポートから伝送路上に送信する。なお、このパケット送受信部 101には、 IPレイヤよりも下位のレイヤの各機能も含まれて、る。

[0034] また、図 2に示すパケットバッファ部 102は、パケット送受信部 101で受信したバケツトを一時的に格納する機能を有している。ルータ 100は、基本的に、通信端末間で送受信されるパケットの転送を行う機能を有しており、パケットバッファ部 102は、受信したパケットを別のルータに対して転送するまでの間、一時的にパケットの格納を行うためのものである。

[0035] また、図 2に示すヘッダ解析部 103は、パケット送受信部 101で受信したパケットのヘッダを解析して、ヘッダ内に含まれているパケットのあて先アドレスを抽出する機能を有している。ヘッダ解析部 103によって抽出されたあて先アドレスは、アドレスデコーダ 104に渡される。

[0036] また、図 2に示すアドレスデコーダ 104は、ヘッダ解析部 103で抽出されたあて先ァドレス (後述の通信端末用アドレス）に対して所定の変換処理を行って、変換処理後のあて先アドレス（後述のルーティング用アドレス）を生成する機能を有して!/、る。アドレスデコーダ 104による変換処理後のあて先アドレスは、出力ポート決定部 105に渡される。

[0037] また、図 2に示す出力ポート決定部 105は、ルーティングテーブル格納部 110に格納されて、るルーティングテーブルを参照して、アドレスデコーダ 104による変換処理後のあて先アドレスに対応するパケットの出力ポートを決定する機能を有している。出力ポート決定部 105によって決定された出力ポートに関する情報（出力ポート指示情報）は、パケット送受信部 101に渡される。なお、ここでは、出力ポート決定部 105 は、パケットのあて先アドレス（後述のルーティング用アドレス）のみに基づいて出力ポートの決定を行うが、さらに、その他の情報 (例えば、パケットの入力ポート番号や送信元アドレスなど）を参照して、出力ポートの決定を行うことも可能である。

[0038] また、図 2に示すルーティングテーブル格納部 110は、パケットのあて先アドレスに関する情報（例えば、グローバルルーティングプレフィックスやサブネット IDの値の範囲）と、ルータ 100の出力ポートとの対応関係が少なくとも含まれているルーティングテーブルを格納している。なお、このルーティングテーブルは、アドレスデコーダ 104 による変換処理後のアドレス (ルーティング用アドレス）に係るアドレス空間に基づいて作成されたものである。

[0039] 次に、図 3を参照しながら、本発明に係るアドレスの変換方法について説明する。

図 3は、本発明の第 1の実施の形態におけるアドレス変換方法の一例を示す図である。本発明では、図 3に示すルーティング用アドレスと通信端末用アドレスの 2種類のアドレスが使用される。

[0040] ルーティング用アドレスは、 ISPネットワーク 30におけるルーティング用に設計されたアドレス空間に基づくアドレスである。このルーティング用アドレスは、例えば、従来 ISPが、保守 ·管理などが容易になるように、自身の保持するネットワークに対して割り当てるものである。したがって、ルーティング用アドレスのアドレス空間は、例えば、近接した地域のサブネット IDの値が似ていたり（例えば、サブネット IDの上位ビットの値が同一）、一定の法則（例えば、北の地域ほどサブネット IDの値が小さぐ南の地域ほどサブネット IDの値が大き!/、）に基づ!/、てサブネット IDの値が定められて!/、たりするなど、そのサブネット IDの値力も物理的な位置が極めて容易に推測可能なものである。なお、上述のように、ルーティングテーブル格納部 110に格納されているル一ティングテーブルは、このルーティング用アドレスのアドレス空間に基づいて構築されている。

[0041] 一方、通信端末用アドレスは、所定のアドレス変換方法を用いて上記のルーティング用アドレスを変換した結果、生成されるアドレスである。通信端末用アドレスは、 IS Pネットワーク 30に接続している通信端末（図 1に示す通信端末 15、 25)によって使用される。なお、通信端末は、ルーティング用アドレスの値 (あるいは、ルーティング用アドレスの存在そのもの）に関して知る必要はない。

[0042] 上記のアドレス変換方法の一例としては、図 3に図示されているように、サブネット I Dの値を 1つずらす方法が挙げられる。この方法では、例えば、図 3に示すように、サブネット IDが 8ビットの領域を有しており、ルーティング用アドレスのサブネット IDの値力『10100110』である場合、サブネット IDの最上位ビットを最下位ビットの下に移動することによって生成される 8ビットの値『01001101』）を新たなサブネット IDの値とする。なお、通信端末用アドレスは、上述のように所定の変換方法によってサブネット IDの一部又は全部の領域のみが変換されたアドレスであり、グローバルルーティングプレフィックス及びインタフェース IDに関しては、ルーティング用アドレスと同一の値である。

[0043] なお、通信端末用アドレスからルーティング用アドレスを生成するためのアドレス変換方法としては、上述の方法のようにサブネット IDのすベてのビットを 1つずらす方法のほかに、所定の数だけビットをずらす、所定のビット位置を入れ替える、所定のビット領域の順序を逆にする、所定のビットの値を反転 (『0→1』又は『1→0』）させるなどの単純な方法や、鍵を用いた暗号ィ匕などの複雑な計算を伴う処理などを始めとして、任意のアドレス変換方法を採用することが可能である。また、通信端末用アドレスからルーティング用アドレスを生成するためのアドレス変換方法の逆変換によって、ルーティング用アドレス力通信端末用アドレスが生成される。

[0044] また、 ISPネットワーク 30の外部に対して、どのようなアドレス変換方法が利用されているかは通知される必要はないが、 ISPネットワーク 30内に存在するすべてのルータ（図 1に示すルータ 11〜14、 21〜24)のアドレスデコーダ 104が同一のアドレス変換方法に基づ、てアドレス変換処理 (アドレスのデコード)を行う必要がある。なお、本明細書では、ルーティング用アドレスを変換して通信端末用アドレスを生成する動作をエンコードと呼び、通信端末用アドレスを変換してルーティング用アドレスを生成する動作をデコードと呼ぶこともある。

[0045] 次に、図 1に図示されている通信システムにおいて、 ISPネットワーク 30に接続している通信端末同士が通信を行う場合について説明する。ここでは、具体例として、通信端末 15と通信端末 25との間の通信について説明する。

[0046] 通信端末 15が ISPネットワーク 30に接続して通信を行う場合、通信端末 15は、例えば、あら力じめ割り当てられているアドレスや、接続時に割り当てられるアドレスを用いて通信を行う。なお、通信端末 15は、接続するルータ 14から受信した RA (ルータ通知： Router Advertisement)内のプレフィックス情報（グローバルルーティングプレフイツタス及びサブネット IDの値）に基づ!/、て、自身のアドレスを自動構成（auto-config uration)することも可能である。この場合、ルータ 14が RAによって通知（アドバタイズ )する自身のサブネット IDは、通信端末用アドレスに係るアドレス空間に基づく値を有しており、通信端末 15は、通信端末用アドレスを自動構成する。

[0047] 以下では、通信端末 15に対して割り当てられる通信端末用アドレスを、 [a | b ( a )

I c]と記載する。なお、ここで、 aはグローバルルーティングプレフィックスの値（ISP ネットワーク 30を識別する値）、 b )は、通信端末用アドレスに係るアドレス空間に基づくサブネット IDの値、 cは通信端末 15に固有の識別子から生成されるインタフエース IDの値である。また、サブネット IDの値 b )は、通信端末 15が接続するルータ 14ごとにそれぞれ異なる値となる。

[0048] また、同様に、通信端末 15とは異なる別の通信端末 25も通信端末用アドレスが割り当てられ、この通信端末用アドレスを用いて通信を行う。なお、以下では、通信端末 25に対して割り当てられる通信端末用アドレスを、 [a | y( a ) | z]と記載する。なお、ここで、 y( α )は、通信端末用アドレスに係るアドレス空間に基づくサブネット IDの値、 zは通信端末 25に固有の識別子から生成されるインタフェース IDの値であり、グローバルルーティングプレフィックスの値は、同一の ISPネットワーク 30に接続していることから、上記の通信端末 15と同一の値 aとなる。

[0049] また、通信端末 15に割り当てられるサブネット ID (b ( a ) )が所定のアドレス変換方法に基づいてデコードされた値は、ルーティング用アドレスのアドレス空間に基づく値である。以下では、この値を b ( |8 )と記載する。また、通信端末 25に割り当てられるサブネット ID (y(ひ））に関しても同様に、所定のアドレス変換方法に基づいてデコードされた値（ι8 )と記載する。

[0050] 通信端末 15と通信端末 25とが通信を行う場合には、基本的に相互に通信相手のアドレスを交換する必要がある。通信端末 15と通信端末 25との間の通信の種類や目的などに応じて、通信アドレスの交換の態様は異なるが、本発明では、任意のァドレス交換方法が利用可能である。ここでは、通信端末 15が通信端末 25のアドレスを既に知っている状態であることを前提として説明を行う。

[0051] 通信端末 15が通信端末 25に対してパケットを送信する場合、通信端末 15は、送信元アドレスに通信端末 15のアドレス [a I b ) I c]、あて先アドレスに通信端末 2 5のアドレス [a I y ) I z]を設定したパケットを、自身が接続するルータ 14に向けて送信する。パケットを受信したルータ 14は、図 4に図示されているアルゴリズムに基づく動作を行うことによって、パケットの転送を行う。

[0052] 図 4は、本発明の第 1の実施の形態において、ルータがパケットの転送を行う際の動作の一例を示すフローチャートである。まず、ルータ 14は、伝送路を通じて、パケット送受信部 101において通信端末 15から送信されたパケットを受信する (ステップ S1001)。そして、ルータ 14は、このパケットをパケットバッファ部 102に格納する（ステツプ S1003)とともに、ヘッダ解析部 103において、ヘッダの解析を行ってパケットのあて先アドレスを抽出する（ステップ S 1005)。

[0053] ヘッダ解析部 103で抽出されたあて先アドレス (通信端末 25のアドレス [a | y )

I z])はアドレスデコーダ 104に渡される。アドレスデコーダ 104は、あて先アドレスに対して、所定の変換方法に基づいてアドレス変換処理を行って、あて先アドレスをデコードする（ステップ S 1007)。

[0054] ステップ S1007のデコード処理によって、通信端末 25のアドレスは、通信端末用ァドレス [a I y ) I z]からルーティング用アドレス [a | γ ( β ) | ζ]に変換される。なお、上述のように、本発明に係るアドレス変換処理は、サブネット IDの値に対して行われるものであり、アドレス変換処理の前後において、グローバルルーティングプレフィックス及びインタフェース IDの値は不変である。

[0055] アドレスデコーダ 104によって生成された通信端末 25のルーティング用アドレス [a

I y ( j8 ) I z]は、出力ポート決定部 105に渡される。出力ポート決定部 105は、ルーティングテーブル格納部 110に格納されて!、るルーティングテーブル (ルーティング用アドレスのアドレス空間に基づくルーティングテーブル）を参照して、このルーティング用アドレスに関連するパケットの次の転送先（出力ポート）を決定する (ステップ S 1009)。

[0056] ステップ S 1009で出力ポート決定部 105によって決定されたパケットの出力ポートに係る情報（出力ポート指示情報）は、パケット送受信部 101に渡される。パケット送受信部 101は、出力ポート指示情報に基づいてパケットバッファ部 102からパケットを読み出し、決定された出力ポートから伝送路上にパケットを送出する (ステップ S101 D oこれによつて、パケットバッファ部 102に格納されているパケット（通信端末 25のアドレス [a I y( a ) | z]があて先アドレスに設定されたパケット）力次の転送ルータに伝送される。

[0057] ルータ 14から送出されたパケットは、次の転送位置に配置されているネットワーク A 10内の任意の所定のルータ 11に到達する。このルータ 11においても、上述の図 4に図示されている動作と同一の動作が行われて、次のパケット転送先にパケットが転送される。さらに、ネットワーク A、 Bの接続ポイントに位置するルータ 12、 22、ネットヮーク B20内の任意のルータ 21、通信端末 25が接続するルータ 24においても同様の動作が行われて、パケットは通信端末 25に到達する。また、同様の転送処理を経て、通信端末 25から通信端末 15に向けて送信されたパケット (送信元アドレスに通信端末 25のアドレス [a I yU ) | z]、あて先アドレスに通信端末 15のアドレス [a | b ( a ) I c]が設定されたパケット)も、通信端末 15に到達可能となる。

[0058] さらに、 ISPネットワーク 30内のルータは、通信端末 15、 25と、グローバルネットヮーク 40を通じて接続されている任意の通信端末 45との間の通信に係るパケットに関しても、図 4に図示されているアルゴリズムに従って転送動作を行う。ここで、通信端末 45のアドレスを [p I q I r]と記載する。なお、通信端末 45は、例えば ISPネットヮーク 30とは異なる ISPに属しており、したがって、通信端末 45に係るグロ一ノレルーティングプレフィックスの値 pは、 ISPネットワーク 30を識別するグローバルルーティングプレフィックスの値 aとは異なって!/、る。

[0059] このとき、通信端末 15、 25から通信端末 45に対して送信されるパケットが ISPネットワーク 30内部で転送される場合には、主に、通信端末 45のアドレスのグローバルル一ティングプレフィックスの値 pが参照されることになる。すなわち、 ISPネットワーク 30 内部では、通信端末 15、 25から通信端末 45に対して送信されるパケットは、グロ一バルネットワーク 40に向けて送出されるように転送される。したがって、通信端末 15、 25から通信端末 45に対して送信されるパケットは、 ISPネットワーク 30内部ではグロ一バルネットワーク 40への出入り口に位置するルータ 13、 23に向けて転送され、ルータ 13、 23からグローバルネットワーク 40に送出される。このパケットのあて先ァドレスには、通信端末 45のアドレス [p I q I r]が設定されており、グローバルネットワーク 40では、従来通りの方法で、パケットは通信端末 45まで運ばれる。

[0060] 一方、例えば、通信端末 45から通信端末 15に対して送信されるパケットには、送信元アドレスとして通信端末 45のアドレス [p I q I r]力あて先アドレスとして通信端末 15のアドレス [a I b ( a ) I c]が設定される。このパケットが通信端末 45から送信された場合、グローバルネットワーク 40においては、主に、通信端末 15のアドレスのグローバルルーティングプレフィックスの値 aが参照されて、グローバルネットワーク 40との出入り口に位置する ISPネットワーク 30内のルータ（例えば、ルータ 13)に到達する。 ISPネットワーク 30内部では、各ルータは、このパケットのあて先アドレス [a I b ( a ) I c]をデコードした値 [a I b ( /3 ) I c]に基づいて転送を行い、その結果、このパケットは、通信端末 15に到達する。

[0061] 以上、説明したように、本発明の第 1の実施の形態では、 ISPネットワーク 30に接続する通信端末 (通信端末 15や通信端末 25)のアドレスのサブネット IDの値には、従来の技術で用いられてヽる通信端末の接続位置 (存在位置)の類推が可能となる値とは異なる値が使用される。この通信端末のアドレスのサブネット IDの値は、従来の技術で用いられて、るサブネット IDに対して所定のアドレス変換方法を用いてェンコードされた値であり、通信端末の接続位置を容易に類推することを不可能とする値である。この結果、 ISPネットワーク 30に接続する通信端末は、同一の ISPネットワーク 3 0に接続する通信相手や、 ISPネットワーク 30外部に接続されている通信相手に対して、その接続位置を隠蔽するアドレスを使用して通信を行うことが可能となる。

[0062] また、本発明の第 1の実施の形態では、ルーティングテーブルの改変は行われる必要はなぐ ISPネットワーク 30内のルータにアドレス変換処理を行うアドレスデコーダ 1 04のモジュールを追加するだけでよい。これにより、新たなルーティング環境の設定 •管理などを行うことなぐアドレスの隠蔽を想定せずに構築された従来の ISPネットヮークシステムを、アドレスの隠蔽を可能とする通信システムに容易に拡張することが可能となる。

[0063] <第 2の実施の形態 >

次に、本発明の第 2の実施の形態について説明する。図 5は、本発明の第 2の実施の形態におけるルータ及びそのルータに付設されるアドレス変換装置の構成の一例を示す図である。

[0064] 図 5には、ルータ 200及びアドレス変換装置 250が図示されている。なお、アドレス変換装置 250は、ルータ 200が伝送路に対して送受信するすべてのパケットをインタ一セプト (捕捉)することが可能な位置に配置されている。なお、図 5に示すルータ 20 0及びアドレス変換装置 250は 1セットであり、この 1セットが、図 1に示す各ルータ 11 〜14、 21〜24に対応している。

[0065] 図 5に示すルータ 200は、パケット送受信部 201、パケットバッファ部 202、ヘッダ解析部 203、出力ポート決定部 205、ルーティングテーブル格納部 210を有している。なお、図 5に示すパケット送受信部 201、パケットバッファ部 202、ヘッダ解析部 203 、出力ポート決定部 205、ルーティングテーブル格納部 210は、図 2に示すパケット送受信部 101、パケットバッファ部 102、ヘッダ解析部 103、出力ポート決定部 105、ルーティングテーブル格納部 110と同一である。したがって、ルータ 200は、単に、伝送路力受信したパケットの転送先を決定してパケット転送を行う装置であり、従来用 Vヽられて、るルータそのものである。

[0066] 一方、アドレス変換装置 250は、伝送路とルータ 200との間に配置されており、パケットのアドレス変換処理を行う機能を有している。アドレス変換装置 250は、伝送路から受信したパケットに対してデコード処理を行って、デコード後のあて先アドレス (ル一ティング用アドレス）が設定されたパケットをルータ 200に送出するとともに、ルータ 200から受信したパケットに対してエンコード処理を行って、エンコード後のあて先ァドレス (通信端末用アドレス)が設定されたパケットを伝送路に送出する機能を少なくとも有している。

[0067] 次に、図 5に示すルータ 200及びアドレス変換装置 250によって、パケット転送が行われる際の動作について説明する。図 6は、本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータが受信するパケットに係る処理を行う際の一例を示すフローチャートである。

[0068] アドレス変換装置 250は、セットとなって!/、るルータ（対応するルータ） 200が受信するパケットのインターセプトが可能な位置に配置されており、対応するルータ 200が受信すべきパケットを伝送路力も受信する (ステップ S 2001)。そして、アドレス変換装置 250は、このパケットのヘッダの解析を行ってパケットのあて先アドレス（通信端末用アドレス）を抽出し (ステップ S2003)、このあて先アドレスに対して、所定の変換方法に基づいてアドレス変換処理を行って、あて先アドレスをデコードする（ステップ S2 005)。そして、アドレス変換装置 250は、パケットのあて先アドレスをデコード後のァドレス（ルーティング用アドレス）で書き換え（ステップ S2007)、あて先アドレスの書き換えが行われたパケットを、対応するルータ 200に向けて送出する (ステップ S2009)

[0069] なお、ここでは、アドレス変換装置 250は、ルータ 200が受信すべきパケットのあて先アドレスを通信端末用アドレス力ルーティング用アドレスにデコードする動作のみを行っている力例えば、パケットの送信元アドレスに関しても通信端末用アドレスからルーティング用アドレスにデコードするなど、ルータ 200の転送動作に応じた他の必要な処理を行うことも可能である。

[0070] 上述のアドレス変換装置 250の動作により、伝送路上ではあて先アドレスとして設定されている通信端末用アドレスがルーティング用アドレスに変換された後に、変換処理後のパケットがルータ 200に供給されるようになる。ルータ 200は、ルーティング用アドレスに係るアドレス空間に基づ、て構築されたルーティングテーブルを有しており、このルーティングテーブルを参照して、ルーティング用アドレスがあて先アドレスに設定されているパケットに対して転送処理を行い、適切な出力ポートからパケットを伝送路に向けて送出する。

[0071] アドレス変換装置 250は、ルータ 200から伝送路に向けて送出されたパケットをインターセブトして、再びアドレス変換処理を行う。図 7は、本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータカゝら送出されるパケットに係る処理を行う際の一例を示すフローチャートである。

[0072] アドレス変換装置 250は、対応するルータ 200から送出されたパケットを受信し (ステツプ S2101)、このパケットのヘッダの解析を行ってパケットのあて先アドレス（ルーティング用アドレス）を抽出する (ステップ S2103)。そして、アドレス変換装置 250は、このあて先アドレスに対して、所定の変換方法に基づ、てアドレス変換処理を行って、あて先アドレスをエンコードする（ステップ S2105)。あて先アドレスのエンコード後、アドレス変換装置 250は、パケットのあて先アドレスをエンコード後のアドレス（通信端末用アドレス）で書き換え (ステップ S2107)、あて先アドレスの書き換えが行われたパケットを、伝送路に向けて送出する (ステップ S2109)。

[0073] 以上の動作によって、本発明の第 2の実施の形態では、本発明の第 1の実施の形態と同様に、 ISPネットワーク 30に接続する通信端末のアドレスのサブネット IDの値として、通信端末の接続位置を容易に類推することを不可能とする値が設定されるようになる。この結果、 ISPネットワーク 30に接続する通信端末は、同一の ISPネットヮーク 30に接続する通信相手や、 ISPネットワーク 30外部に接続されている通信相手に対して、その接続位置を隠蔽するアドレスを使用して通信を行うことが可能となる。

[0074] また、本発明の第 2の実施の形態では、ルーティングテーブルの改変に加えて、ルータ 200の構成の改変も行う必要はない。すなわち、 ISPネットワーク 30内のルータ 2 00の前段に上述のアドレス変換装置 250を配置するだけでよぐルータ 200では、あて先アドレスにルーティング用アドレスが設定されているパケットの処理が行われるようにする。これにより、新たなルーティング環境の設定 ·管理などを行うことなぐかつ、既に配置されているルータ 200に対して機能の追カ卩を行うことなぐアドレスの隠蔽を想定せずに構築された従来の ISPネットワークシステムを、アドレスの隠蔽を可能とする通信システムに容易に拡張することが可能となる。

[0075] <第 3の実施の形態 >

次に、本発明の第 3の実施の形態について説明する。上述の本発明の第 1及び第 2の実施の形態では、 ISPネットワーク 30で構築されたルーティングの規則を所定のアドレス変換方法で隠蔽し、その結果、アドレスカゝら通信端末の接続位置を容易に類推することを不可能とするようにして、る。所定のアドレス変換方法は ISPネットワーク 30の管理者のみが知るものであり、エンドユーザには知らされないので、エンドユーザは通信端末用アドレスからルーティング用アドレスを導出することは不可能である。しかしながら、所定のアドレス変換方法が固定されている場合には、どの接続位置に通信端末が接続して!/、る場合に、通信端末用アドレスのサブネット IDがどのような値を取るかという対応関係を、エンドユーザが経験的に把握できてしまう可能性があるという問題が生じる。以下に説明する本発明の第 3の実施の形態では、上記の問題が解決される。

[0076] 図 8は、本発明の第 3の実施の形態におけるルータの構成の一例を示す図である。

図 8に示すルータ 300は、パケット送受信部 301、パケットバッファ部 302、ヘッダ解析部 303、アドレスデコーダ 304、出力ポート決定部 305、タイマ 306、ルーティングテーブル格納部 310を有している。なお、図 8に示すパケット送受信部 301、ノケットバッファ部 302、ヘッダ解析部 303、出力ポート決定部 305、ルーティングテーブル格納部 310は、図 2に示すパケット送受信部 101、パケットバッファ部 102、ヘッダ解析部 103、出力ポート決定部 105、ルーティングテーブル格納部 110と同一である。すなわち、図 8に示すルータ 300は、図 2に示すルータ 100と比較した場合、更にァドレスデコーダ 304にタイマ 306が接続されて、る構成を有する点が相違して！/、る。

[0077] タイマ 306は、計時機能を有するとともに、例えば、所定の時刻又は日時や所定の時間が経過するごとなどに、アドレスデコーダ 304に対してトリガ (アドレス変換方法変更指示情報）を発する機能を有している。一方、アドレスデコーダ 304は、図 2に示すアドレスデコーダ 104と同様に、あて先アドレスのデコードを行う機能を有するとともに、更に、タイマ 306からのトリガを受けた場合に、通信端末用アドレスからルーティング用アドレスを生成する所定のアドレス変換方法 (デコード方法)のルールを変更する機能を有している。

[0078] タイマ 306におけるトリガ出力の時間間隔は任意に設定可能であり、例えば、 1週間ごとや 1ヶ月ごとなどのように、所定の時間間隔でタイマ 306からトリガが出力されるようにすることが可能である。また、アドレスデコーダ 304におけるアドレス変換方法の変更の態様に関しても任意に設定可能であり、例えば、図 3に図示されているすべてのビットを 1つずらす方法から、すべてのビットを 2つずらす方法に変更してもよぐあるいは、所定のビット領域の順序を逆にするなどの全く異なるアドレス変換方法に変更してちよい。

[0079] また、所定のアドレス変換方法の変更は、 ISPネットワーク 30の内部で一斉に行われる必要がある。すなわち、 ISPネットワーク 30に存在するすべてのルータ（図 1に図示されているルータ 11〜14、 21〜24)が同調して同一のアドレス変換方式への変更を行い、さらには、通信端末が接続するルータは、所定のアドレス変換方式への変更に伴って、 RAに含ませるサブネット IDの値を変更する。

[0080] これにより、 ISPネットワーク 30において用いられる通信端末用アドレスのサブネット IDの値が、 ISPネットワーク 30全体において大きく変更され、たとえエンドユーザが、サブネット IDの値と通信端末の接続位置との対応関係を経験的に把握していた場合でも、再び、サブネット IDの値と通信端末の接続位置との対応関係が把握できない状態にすることが可能となる。

[0081] なお、図 8に示すルータ 300は、図 2に示すルータ 100の構成に対して、タイマ 306 力も出力されるトリガに応じて所定のアドレス変換方法を変更できるように構成されている力図 5に示すアドレス変換装置 250が、タイマ 306から出力されるトリガに応じて所定のアドレス変換方法を変更できるように構成されてもよい。また、各ルータに対してタイマ 306を設けるのではなぐ例えば、 ISPネットワーク 30内にトリガ発生装置を配置しておき、このトリガ発生装置力も全ルータに対してトリガが送出されることによつて、 ISPネットワーク 30全体における所定のアドレス変換方法の変更が行われるように構成されてもよい。

[0082] また、本発明は、 ISPネットワーク 30に接続する通信端末 (通信端末 15、 25)が、移動可能なモノィル端末の場合にも対応している。通信端末 15、 25が ISPネットワーク 30内を移動した場合に新たな接続先に適合するアドレスを取得する力このとき通信端末 15、 25は、新たな接続先のルータの RAに含まれるサブネット IDを用いてアドレスの生成を行う。したがって、通信端末 15、 25が新たに取得するアドレスは通信端末用アドレスであり、通信端末 15、 25の接続位置は、通信相手には容易には分からない状態となる。

[0083] また、上述の本発明の各実施の形態では、主に IPv6アドレスを前提として説明した力 IPv4アドレスやその他のアドレスに関しても適用可能である。

[0084] また、上述の本発明の各実施の形態の説明で用いた各機能ブロックは、典型的には集積回路である LSI (Large Scale Integration)として実現される。これらは個別に 1 チップ化されてもよいし、一部又はすベてを含むように 1チップ化されてもよい。なお、ここでは、 LSIとした力集積度の違いにより、 IC (Integrated Circuit)、システム LSI、スーパー LSI、ウノレ卜ラ LSIと呼称されることもある。

[0085] また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサで実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Program mable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブノレ ·プロセッサを利用してもよ、。

[0086] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行ってもよい。例えば、バイオ技術の適応などが可能性としてあり得る。

産業上の利用可能性

[0087] 本発明は、通信端末がグローバルな接続性を維持しながら、アドレス情報から類推される通信端末の情報を隠蔽できるようにするという効果や、従来の通信システムをアドレス隠蔽に対応した通信システムに容易に拡張することができるという効果を有しており、送信元アドレス及びあて先アドレスが設定されたデータユニットの伝送を行うための通信技術に適用可能であり、特に、 IPパケットの伝送を行うための通信技術に適用可能である。

Claims

請求の範囲

[1] 所定のネットワークに接続されている通信端末から送信されるデータユニットを転送する前記所定のネットワーク内のデータユニット転送装置であって、

有するデータユニット転送装置。

[2] 前記アドレス変換手段が、前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2ァドレスを生成するように構成されてヽる請求項 1に記載のデータユニット転送装置。

[3] 計時機能を有しており、所定のタイミングで前記アドレス変換手段に対して、前記所定のアドレス変換方法の変更を指示するための指示情報を送出する計時手段を更に有する請求項 1に記載のデータユニット転送装置。

[4] 所定のネットワークに接続されている通信端末から送信されるデータユニットを転送する前記所定のネットワーク内のデータユニット転送装置に対応して配置され、前記データユニット転送装置に入出力される前記データユニットを捕捉するよう構成されて!、るアドレス変換装置であって、

外部の伝送路力前記データユニット転送装置に到達する入力データユニットを捕捉する第 1データユニット受信手段と、前記第 1データユニット受信手段で受信した前記入力データユニットにあて先アドレスとして設定されて、る前記通信端末の第 1アドレスを、所定のアドレス変換方法に基づいて第 2アドレスに変換する第 1アドレス変換手段と、

有するアドレス変換装置。

[5] 前記第 1アドレス変換手段が、前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2 アドレスを生成するように構成されており、前記第 2アドレス変換手段が、前記通信端末の前記第 2アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 1アドレスを生成するように構成されている請求項 4に記載のアドレス変換装置。

[6] 計時機能を有しており、所定のタイミングで前記第 1及び第 2アドレス変換手段に対して、前記所定のアドレス変換方法の変更を指示するための指示情報を送出する計時手段を更に有する請求項 4に記載のアドレス変換装置。

[7] 複数のデータユニット転送装置によって所定のネットワークが構成されて、る通信システムであって、

前記所定のネットワークに接続する通信端末に対して、第 1アドレス空間に基づくァドレスを割り当てるように構成されて、るとともに、前記複数のデータユニット転送装置力前記第 1アドレス空間に対して所定のアドレス変換方法を施すことによって得られる第 2アドレス空間に基づいたルーティングテーブルを有しており、データユニットの転送を行う際に前記ルーティングテーブルを参照し、前記所定のアドレス変換方法によって変換された後のあて先アドレスに基づいて、前記データユニットの転送先を決定するように構成されて、る通信システム。

[8] 前記第 1アドレス空間に属するアドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行うことによって、前記第 2アドレス空間に属するアドレスが生成されるように構成されている請求項 7に記載の通信システム。

[9] 前記複数のデータユニット転送装置のすべてが、前記第 1アドレス空間と前記第 2 アドレス空間との間の所定のアドレス変換方法を同調して変更するように構成されて

V、る請求項 7に記載の通信システム。