WO2007013584A1 - データユニット転送装置及びアドレス変換装置並びに通信システム - Google Patents

データユニット転送装置及びアドレス変換装置並びに通信システム Download PDF

Info

Publication number
WO2007013584A1
WO2007013584A1 PCT/JP2006/314965 JP2006314965W WO2007013584A1 WO 2007013584 A1 WO2007013584 A1 WO 2007013584A1 JP 2006314965 W JP2006314965 W JP 2006314965W WO 2007013584 A1 WO2007013584 A1 WO 2007013584A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
data unit
communication terminal
predetermined
packet
Prior art date
Application number
PCT/JP2006/314965
Other languages
English (en)
French (fr)
Inventor
Yoshihiro Suzuki
Original Assignee
Matsushita Electric Industrial Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co., Ltd. filed Critical Matsushita Electric Industrial Co., Ltd.
Publication of WO2007013584A1 publication Critical patent/WO2007013584A1/ja

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous

Definitions

  • Data unit transfer device address conversion device, and communication system
  • the present invention relates to a data unit transfer apparatus, an address conversion apparatus, and a communication system for transmitting a data unit in which a source address (Source Address) and a destination address (Destination Address) are set.
  • Protocol Internet protocol
  • each communication terminal basically has an IP address that can uniquely identify the communication terminal (hereinafter, simply referred to as an address).
  • an IP packet with its own IP address set as the source address and the IP address of the communication terminal as the communication partner set as the destination address (hereinafter sometimes simply referred to as a packet) Is sending.
  • a packet data is exchanged between specific communication terminals via the IP network.
  • FIG. 9 is a diagram illustrating an example of an IPv6 address structure according to the conventional technology.
  • an IPv6 address is composed of a global routing prefix 901, a subnet ID 902, and an interface ID 903.
  • the IPv6 address is a 128-bit identifier, and a normal multicast address, for example, an interface ID 903 including the identifier of each communication terminal generated from a MAC (Media Access Control) address is fixed to 64 bits. The remaining 64 bits are assigned to the global routing prefix 901 and subnet ID 902.
  • the global routing prefix 901 generally has a hierarchical structure, and is an identifier assigned to a site (a set of subnets). Note that the value of this global routing prefix 901 is, for example, NIR (National Internet Registry) To LIR (Local Internet Registry) such as ISP (Internet Service Provider). Therefore, the value of the global routing prefix 901 of the IPv6 address makes it possible to determine which site this IPv6 address belongs to, which V is managed by which ISP.
  • NIR National Internet Registry
  • LIR Local Internet Registry
  • ISP Internet Service Provider
  • the subnet ID 902 is an identifier for identifying a subnet in the site, and includes a value referred to when routing in the site.
  • the subnet ID 902 is assigned by, for example, an ISP to identify each of a plurality of subnets managed by the ISP. Therefore, it is possible to determine which subnet the IPv6 address belongs to by the value of the subnet ID 902 of the IPv6 address.
  • the basic concept is the same for the IPv4 address that describes the IPv6 address.
  • the physical (geographic) position of the router under each subnet refers to the combination of the value of global routing prefix 901 and the value of subnet ID 90 2.
  • the physical location of the terminal that has the IPv6 address may be specified.
  • ISPs are close to each other in terms of their physical locations in terms of IP address maintenance and management and traffic efficiency. It is generally considered to be located in the area.
  • the value of the subnet ID 902 of the IPv6 address of the communication terminal it is possible to determine which area the communication terminal is located near (or away from which area). Can be inferred.
  • the value of the subnet ID 902 is closely related not only to the position of the communication terminal on the network but also to the physical position of the communication terminal.
  • the connection point on the network and the physical movement location can be specified from the value of the subnet ID 902 of the IPv6 address of the communication terminal. In this way, it is never desirable that information that should be concealed is leaked by IPv6 addresses.
  • Patent Document 1 discloses a technique for realizing address concealment for the purpose of preventing leakage of information as described above. Refer to Figure 10 below. The technique disclosed in Patent Document 1 will be described.
  • FIG. 10 is a diagram illustrating an example of a configuration of a communication system for explaining an address concealment technique according to a conventional technique.
  • the communication system of the technique disclosed in Patent Document 1 is configured such that the intermediate device 1001 of the network A1000 and the transfer device 1011 of the network B1010 exchange packets.
  • Network A1000 and network B1010 are connected.
  • the relay device 1001 decodes the specific area of the address of the communication terminal 1002 Do ⁇ . Specifically, for example, for a packet from the communication terminal 1002 to the communication terminal 1012, encryption is performed using a key for the subnet ID portion of the source address, and the communication terminal 1012 to the communication terminal 1. For the packet addressed to 002, the subnet ID part of the destination address is decrypted using the key.
  • Non-Patent Literature 1 R. Hinden, S. Deering and E. Nordmark, IPv6 Global Unicast Address Format, "RFC 3587, August 2003
  • Patent Document 1 Japanese Patent Application Laid-Open No. 2004-282123 (Figs. 1, 3, 4, 7)
  • the technique disclosed in Patent Document 1 has several problems.
  • the technique disclosed in Patent Document 1 has a problem that packets are transferred according to different routing methods in the network A1000 and the network B1010 connected via the relay device 1001.
  • network A1000 the address space before encryption by relay device 1001 is used
  • network B1010 the address space after encryption by relay device 1001 is used.
  • management of address space after encryption is more troublesome than address space management related to a communication system constructed without considering address concealment. It may be labor intensive.
  • Patent Document 1 has a problem that address concealment is incomplete. For example, from a communication terminal 1002 connected to the network A1000, Address concealment is not performed for packets sent to another communication terminal 1003 connected to the network A1000. Similarly, the address concealment is not performed for packets transmitted from the communication terminal 1002 connected to the network A1000 to another communication terminal 1021 connected to the global network 1020.
  • relay device 1001 as the default router of network A1000, all packets sent from communication terminal 1002 to another communication terminal 1021 connected to global network 1020 pass through relay device 1001.
  • the address is decoded.
  • the IP network existing above the network A1000 is transferred to another communication terminal 1021 so that the packet that has gone out of the network A1000 is forwarded to another communication terminal 1021.
  • the address that does not depend on the encryption / decryption key of the relay device 100 1 needs to be used. Therefore, in this case, the range of address concealment is limited to the portion that represents the network A1000 of the subnet ID, and address concealment is incomplete.
  • Patent Document 1 has a suggestion that, for example, it may be arranged in the communication terminal 1002 or the communication terminal 1012. In any of the configurations suggested in Patent Document 1, the above-mentioned problems such as use of an address space after encryption and incomplete address concealment occur.
  • the present invention provides a data unit transfer device that enables a communication terminal to conceal information related to a connection position of a communication terminal that can be estimated by addressing the communication terminal while maintaining global connectivity. And an address translation device and a communication system.
  • a data unit transfer apparatus transfers a data unit transmitted from a communication terminal connected to a predetermined network.
  • the data unit transfer apparatus in the predetermined network because
  • External transmission path force A data unit receiving means for receiving the data unit, a first address of the communication terminal set as a destination address for the data unit received by the data unit receiving means is extracted, and a predetermined address Based on conversion method Address conversion means for converting the second address into a second address,
  • Routing table storage means for storing a routing table constructed based on an address space to which the second address belongs
  • a data unit transfer destination determination unit that refers to the routing table stored in the routing table storage unit and determines a transfer destination of the data unit based on the second address
  • data unit transmission means for sending the data unit to an external transmission path
  • This configuration makes it possible for the value of the address assigned to the communication terminal to be different from the value of the address referenced in the routing within the network. It is possible to conceal information about the connection location.
  • the data unit transfer device of the present invention in addition to the above-described configuration, provides the predetermined address conversion method with respect to the value of the subnet ID area of the first address of the communication terminal.
  • the second address is generated by performing a conversion process based on.
  • the data unit transfer device of the present invention has a timekeeping function in addition to the above configuration, and changes the predetermined address conversion method with respect to the address conversion means at a predetermined timing. There is further provided a time measuring means for transmitting instruction information for instructing.
  • an address translation device of the present invention provides the predetermined network for transferring a data unit transmitted from a communication terminal connected to the predetermined network.
  • An address translation device arranged corresponding to a data unit transfer device in a network and configured to capture the data unit input / output to / from the data unit transfer device,
  • Conversion means
  • First data unit transmitting means for sending the input data unit in which the destination address is converted to the second address by the first address converting means to the data unit transfer device;
  • Second data unit receiving means for capturing output data units sent from the data unit transfer device to the external transmission line
  • the second address of the communication terminal which is set as a destination address in the output data unit received by the second data unit receiving means, is converted into the first address based on the predetermined address conversion method.
  • Second data unit transmission means for sending the output data unit whose destination address has been converted to the first address by the second address conversion means to the external transmission line;
  • This configuration makes it possible for the value of the address assigned to the communication terminal to be different from the value of the address referenced in the routing within the network. It is possible to conceal information about the connection location.
  • the address translation apparatus of the present invention is based on the predetermined address translation method for the value of the subnet ID area of the first address of the communication terminal in addition to the above configuration.
  • the second address is generated by performing a conversion process, and the second address conversion unit is configured to transmit the second address of the communication terminal.
  • the first address is generated by performing a conversion process based on the predetermined address conversion method on the value of the subnet ID area.
  • the address translation apparatus of the present invention has a time measuring function in addition to the above configuration, and the predetermined address is sent to the first and second address translation means at a predetermined timing.
  • This configuration further includes a timing means for sending instruction information for instructing the change of the address conversion method.
  • a communication system is a communication system in which a predetermined network is configured by a plurality of data unit transfer devices, and is a communication terminal connected to the predetermined network.
  • a predetermined network is configured by a plurality of data unit transfer devices, and is a communication terminal connected to the predetermined network.
  • an address based on the first address space is assigned, and the plurality of data unit transfer device powers are obtained by applying a predetermined address conversion method to the first address space.
  • a routing table based on the second address space referring to the routing table when transferring the data unit, and based on the destination address after being translated by the predetermined address translation method, The data unit is configured to determine a transfer destination.
  • This configuration makes it possible for the value of the address assigned to the communication terminal to be different from the value of the address referenced in the routing within the network. It is possible to conceal information about the connection location.
  • the communication system of the present invention performs a conversion process based on the predetermined address conversion method on the value of the subnet ID area of the address belonging to the first address space.
  • an address belonging to the second address space is generated.
  • all of the plurality of data transfer devices may have a predetermined address between the first address space and the second address space. It is configured to tune and change the conversion method.
  • the present invention has the above-described configuration, and it is possible to conceal the information of the communication terminal estimated by the address information power while maintaining the global connectivity of the communication terminal. have. In addition, it is easy to manage the address space, and it is easy to extend a communication system constructed without considering address concealment to a communication system that supports address concealment. And
  • FIG. 1 A diagram showing an example of a communication system common to the first and second embodiments of the present invention.
  • FIG. 2 An example of a configuration of a router in the first embodiment of the present invention.
  • FIG. 3 is a diagram showing an example of an address conversion method according to the first embodiment of the present invention.
  • FIG. 4 is a flowchart showing an example of an operation when a router transfers a packet in the first embodiment of the present invention.
  • FIG. 5 is a diagram showing an example of the configuration of a router and an address conversion device attached to the router according to the second embodiment of the present invention.
  • FIG. 6 is a flowchart showing an example when the address translation device performs processing related to a packet received by a corresponding router in the second embodiment of the present invention.
  • FIG. 7 is a flowchart showing an example when the address translation device performs processing related to a packet sent from a corresponding router in the second embodiment of the present invention.
  • FIG. 8 is a diagram showing an example of the configuration of a router according to the third embodiment of the present invention.
  • FIG. 10 Configuration of communication system for explaining address concealment technology according to conventional technology.
  • FIG. 1 is a diagram showing an example of a communication system common to the first and second embodiments of the present invention.
  • FIG. 1 shows a global network 40 such as the Internet or a VoIP (Voice over IP) network, and an ISP network 30 managed by an ISP (or a communication carrier). Note that the global network 40 is capable of connecting many communication terminals. In FIG. 1, only one communication terminal 45 is shown as a representative of communication terminals connectable to the global network 40.
  • a global network 40 such as the Internet or a VoIP (Voice over IP) network
  • VoIP Voice over IP
  • ISP Internet Protocol over IP
  • FIG. 1 shows, as an example, a state where a network A 10 and a network B 20 that are connected to the global network 40 are connected to each other in the ISP network 30.
  • the ISP network 30 can have any configuration that the IP network can take.
  • the ISP network 30 can be implemented in any configuration that can be taken by the IP network without limitations such as the number of networks, the network connection form (topology), and the number of connection points with the global network 40.
  • FIG. 1 shows a state in which the network A10 and the network B20 are configured by a plurality of routers as in a normal IP network.
  • the router that constitutes network A10 is router 11 (in Fig. 1, only one router 11 is shown as a representative), and connection point with network B20.
  • the router located at is designated as the router 12, the router corresponding to the gateway to the global network 40 is designated as the router 13, and the router that provides a connection point for any communication terminal (for example, the communication terminal 15) is designated as the router 14.
  • router 24 any communication A router that provides a connection point for a terminal (for example, communication terminal 25) is designated as router 24.
  • Routers 11-14 and 21-24 are usually different. Identified by subnet ID.
  • the communication terminals 15, 25, and 45 can use existing communication terminals. Therefore, as communication terminals 15, 25, and 45 possessed by many users, any device capable of IP communication, such as a PC (Personal Computer), a PDC (Personal Digital Cellular) terminal, and a mobile phone, is used. It is not necessary to add or improve functions according to the present invention.
  • improvements are made in the ISP network 30.
  • improvements related to the ISP network 30 in the first and second embodiments of the present invention will be described.
  • FIG. 2 is a diagram showing an example of the configuration of the router according to the first embodiment of the present invention.
  • a router 100 shown in FIG. 2 includes a packet transmitting / receiving unit 101, a packet buffer unit 102, a header analyzing unit 103, an address decoder 104, an output port determining unit 105, and a routing table storing unit 110. 2 corresponds to each of the routers 11 to 14 and 21 to 24 shown in FIG.
  • a packet transmitting / receiving unit 101 shown in FIG. 2 is connected to a transmission path and has a function of receiving and transmitting a packet.
  • the packet transmission / reception unit 101 stores the received packet in the packet buffer unit 102, reads out the packet from the packet buffer unit 102 based on the output port instruction information passed from the output port determination unit 105, and outputs the instructed output. From the power port to the transmission path.
  • the packet transmitting / receiving unit 101 includes functions of layers below the IP layer.
  • the packet buffer unit 102 shown in FIG. 2 has a function of temporarily storing the packet received by the packet transmitting / receiving unit 101.
  • the router 100 basically has a function of transferring packets transmitted and received between communication terminals, and the packet buffer unit 102 waits until the received packet is transferred to another router. This is for temporary packet storage.
  • the header analysis unit 103 shown in FIG. 2 analyzes the header of the packet received by the packet transmission / reception unit 101, and extracts the destination address of the packet included in the header have.
  • the destination address extracted by the header analysis unit 103 is passed to the address decoder 104.
  • the address decoder 104 shown in FIG. 2 performs a predetermined conversion process on the destination address (communication terminal address to be described later) extracted by the header analysis unit 103, and the destination address after the conversion process. It has a function to generate (address for routing described later)! The destination address after the conversion processing by the address decoder 104 is passed to the output port determination unit 105.
  • the output port determining unit 105 shown in FIG. 2 refers to the routing table stored in the routing table storage unit 110 and refers to the packet corresponding to the destination address after the conversion processing by the address decoder 104. It has a function to determine the output port. Information (output port instruction information) related to the output port determined by the output port determining unit 105 is passed to the packet transmitting / receiving unit 101.
  • the output port determination unit 105 determines the output port based only on the packet destination address (routing address described later), but also includes other information (for example, the input port number of the packet and the transmission port). It is also possible to determine the output port with reference to the original address.
  • the routing table storage unit 110 shown in FIG. 2 has a correspondence relationship between the information about the destination address of the packet (for example, the range of the global routing prefix and the subnet ID value) and the output port of the router 100. Contains at least the included routing table. This routing table is created based on the address space relating to the address (routing address) after the conversion processing by the address decoder 104.
  • FIG. 3 is a diagram showing an example of the address conversion method according to the first embodiment of the present invention.
  • two types of addresses are used: a routing address and a communication terminal address shown in FIG.
  • the routing address is an address based on an address space designed for routing in the ISP network 30.
  • This routing address is assigned to the network held by the ISP so that it can be easily maintained and managed, for example. It is a thing to hit. Therefore, the address space of the routing address may be similar, for example, when the subnet ID values of neighboring regions are similar (for example, the value of the upper bits of the subnet ID are the same), or with a certain rule (for example, the subnet ID in the north region) The value of the subnet ID is physically larger, as the value of the subnet ID is larger! /, Based on the ! The correct position can be estimated very easily.
  • the routing table stored in the routing table storage unit 110 is constructed based on the address space of this routing address.
  • the communication terminal address is an address generated as a result of converting the routing address using a predetermined address conversion method.
  • the communication terminal address is used by communication terminals connected to the ISP network 30 (communication terminals 15 and 25 shown in FIG. 1). The communication terminal does not need to know the value of the routing address (or the existence of the routing address itself).
  • An example of the above address conversion method is a method of shifting the value of the subnet ID by one as shown in FIG.
  • this method for example, as shown in FIG. 3, when the subnet ID has an 8-bit area and the subnet ID value of the routing address is “10100110”, the most significant bit of the subnet ID is set. The new 8-bit value (01001101)) generated by moving below the least significant bit is used as the new subnet ID value.
  • the communication terminal address is an address obtained by converting only a part or all of the subnet ID by a predetermined conversion method as described above, and the global routing prefix and interface ID are the same as the routing address. Value.
  • a predetermined address is used as an address conversion method for generating a routing address from a communication terminal address. Simply shift the number of bits, swap the predetermined bit position, reverse the order of the predetermined bit area, invert the value of the predetermined bit (“0 ⁇ 1” or “1 ⁇ 0”), etc. Arbitrary address conversion methods can be adopted, including methods and processes involving complicated calculations such as encryption using keys. From the communication terminal address The address for communication is generated by the reverse conversion of the address conversion method for generating the address for routing.
  • the address decoder 104 of the routers 11 to 14 and 21 to 24 needs to perform address conversion processing (address decoding) based on the same address conversion method.
  • address conversion processing address decoding
  • the communication terminal 15 When the communication terminal 15 communicates by connecting to the ISP network 30, the communication terminal 15 performs communication using, for example, an address assigned by default or an address assigned at the time of connection.
  • the communication terminal 15 automatically determines its own address based on prefix information (global routing status and subnet ID values) in the RA (Router Advertisement) received from the connected router 14! / It is also possible to configure (auto-configuration).
  • the own subnet ID notified (advertised) by the router 14 via RA has a value based on the address space related to the communication terminal address, and the communication terminal 15 automatically configures the communication terminal address.
  • the communication terminal address assigned to the communication terminal 15 is represented by [a
  • a is a global routing prefix value (a value that identifies ISP network 30)
  • b) is a subnet ID value based on the address space for the communication terminal address
  • c is an identifier unique to communication terminal 15. This is the value of the interface ID generated from.
  • the subnet ID value b) is different for each router 14 to which the communication terminal 15 is connected.
  • Another communication terminal 25 different from the communication terminal 15 is also assigned a communication terminal address, and performs communication using this communication terminal address.
  • communication terminals The communication terminal address assigned to 25 is described as [a
  • y ( ⁇ ) is a subnet ID value based on the address space related to the communication terminal address
  • z is an interface ID value generated from an identifier unique to the communication terminal 25, and is a global routing prefix. Since the value of is connected to the same ISP network 30, the value a is the same as that of the communication terminal 15 described above.
  • the value obtained by decoding the subnet ID (b (a)) assigned to the communication terminal 15 based on a predetermined address conversion method is a value based on the address space of the routing address. Below, this value is described as b (
  • the communication terminal 15 transmits a packet to the communication terminal 25
  • the communication terminal 15 uses the address [a I b) I c] of the communication terminal 15 as the transmission source address and the communication terminal 2 5 as the destination address.
  • a packet in which the address [a I y) I z] is set is sent to the router 14 to which it is connected.
  • the router 14 that has received the packet transfers the packet by performing an operation based on the algorithm shown in FIG.
  • FIG. 4 is a flowchart showing an example of operation when the router transfers a packet in the first embodiment of this invention.
  • the router 14 receives the packet transmitted from the communication terminal 15 in the packet transmitting / receiving unit 101 through the transmission path (step S1001).
  • the router 14 stores the packet in the packet buffer unit 102 (step S1003), and the header analysis unit 103 analyzes the header and extracts the destination address of the packet (step S1005).
  • Destination address extracted by header analysis unit 103 (address of communication terminal 25 [a
  • step S 1007 address conversion processing is performed based on a predetermined conversion method, and the destination address is decoded.
  • step S1007 the address of the communication terminal 25 is converted from the address for communication terminal [aIy) Iz] to the address for routing [a
  • the address conversion process according to the present invention is performed on the subnet ID value, and the global routing prefix and the interface ID value are unchanged before and after the address conversion process. .
  • Routing address of communication terminal 25 generated by address decoder 104 [a
  • I y (j8) I z] is passed to the output port determining unit 105.
  • the output port determining unit 105 refers to the routing table (routing table based on the address space of the routing address) stored in the routing table storage unit 110, and next to the packet related to this routing address. Transfer destination (output port) is determined (step S1009).
  • Step S 1009 Information relating to the output port of the packet determined by the output port determining unit 105 in step S 1009 (output port instruction information) is passed to the packet transmitting / receiving unit 101.
  • the packet transmission / reception unit 101 reads the packet from the packet buffer unit 102 based on the output port instruction information, and transmits the packet from the determined output port onto the transmission path (step S101 Do).
  • Packet (packet in which the address [a I y (a)
  • the packet transmitted from the router 14 reaches an arbitrary predetermined router 11 in the network A 10 arranged at the next transfer position.
  • the same operation as that shown in FIG. 4 is performed, and the packet is transferred to the next packet transfer destination.
  • the same operation is performed in the routers 12 and 22 located at the connection points of the networks A and B, the arbitrary router 21 in the network B20, and the router 24 connected to the communication terminal 25, and the packet is transmitted to the communication terminal. Reach 25.
  • the router in the ISP network 30 also relates to a packet related to communication between the communication terminals 15 and 25 and an arbitrary communication terminal 45 connected through the global network 40.
  • the transfer operation is performed according to the algorithm shown in Fig. 4.
  • the address of the communication terminal 45 is described as [p I q I r].
  • the communication terminal 45 belongs to an ISP different from, for example, the ISP network 30, and therefore, the value g of the global routing prefix related to the communication terminal 45 is a global routing prefix that identifies the ISP network 30.
  • the value of a is different from a /!
  • the global routing prefix of the address of the communication terminal 45 is mainly used.
  • the value of p will be referenced. That is, inside the ISP network 30, packets transmitted from the communication terminals 15 and 25 to the communication terminal 45 are transferred so as to be sent out toward the global network 40. Therefore, packets transmitted from the communication terminals 15 and 25 to the communication terminal 45 are forwarded to the routers 13 and 23 located at the entrance to the global network 40 in the ISP network 30, and the router 13 23 to the global network 40.
  • the address [p I q I r] of the communication terminal 45 is set in the destination address of this packet. In the global network 40, the packet is carried to the communication terminal 45 by the conventional method.
  • the address [p I q I r] of the communication terminal 45 is used as the transmission source address.
  • the address [a I b (a) I c] is set.
  • the global network 40 mainly refers to the value a of the global routing prefix of the address of the communication terminal 15, and the ISP located at the gateway to the global network 40.
  • a router in network 30 (for example, router 13) is reached. Within the ISP network 30, each router performs forwarding based on a value [a I b (/ 3) I c] obtained by decoding the destination address [a I b (a) I c] of this packet. This packet reaches the communication terminal 15.
  • the connection to the ISP network 30 is made.
  • the subnet ID value of the address of this communication terminal is a value encoded using a predetermined address conversion method for the subnet ID used in the conventional technology, and the connection position of the communication terminal is easy. It is a value that makes it impossible to analogize.
  • the communication terminal connected to the ISP network 30 uses an address that conceals the connection position with respect to a communication partner connected to the same ISP network 30 or a communication partner connected outside the ISP network 30. Thus, communication can be performed.
  • the routing table does not need to be modified. Only the address decoder 104 module that performs the address translation process is added to the router in the ISP network 30. Good. This makes it easy to extend a conventional ISP network system built without assuming address concealment without setting or managing a new routing environment to a communication system that enables address concealment. It will be possible.
  • FIG. 5 is a diagram illustrating an example of a configuration of a router and an address translation device attached to the router according to the second embodiment of the present invention.
  • FIG. 5 shows the router 200 and the address translation device 250.
  • the address translation device 250 is disposed at a position where all packets transmitted and received by the router 200 to and from the transmission path can be intercepted (captured). Note that there is one set of the router 200 and the address translation device 250 shown in FIG. 5, and this one set corresponds to each of the routers 11 to 14 and 21 to 24 shown in FIG.
  • the router 200 shown in FIG. 5 includes a packet transmission / reception unit 201, a packet buffer unit 202, a header analysis unit 203, an output port determination unit 205, and a routing table storage unit 210.
  • the packet transmission / reception unit 201, packet buffer unit 202, header analysis unit 203, output port determination unit 205, and routing table storage unit 210 shown in FIG. 5 are the packet transmission / reception unit 101, packet buffer unit 102, header analysis shown in FIG. Part 103, output port determination part 105, This is the same as the routing table storage unit 110. Therefore, the router 200 is simply a device that determines the transfer destination of the received packet and transfers the packet, and is the router itself that is used for conventional V.
  • the address translation device 250 is arranged between the transmission path and the router 200 and has a function of performing packet address translation processing.
  • the address translation device 250 performs a decoding process on the packet received from the transmission path, and sends the packet in which the destination address (routing address) after decoding is set to the router 200. It has at least a function to perform the encoding process on the received packet and to send the packet with the destination address (communication terminal address) after encoding to the transmission line.
  • FIG. 6 is a flowchart showing an example when the address translation device performs processing related to a packet received by the corresponding router in the second exemplary embodiment of the present invention.
  • the address translation device 250 is placed in a position where packets received by the router 200 (corresponding router) 200 can be intercepted and should be received by the corresponding router 200.
  • the packet also receives the transmission path power (step S 2001).
  • the address translation device 250 analyzes the header of this packet, extracts the destination address (communication terminal address) of the packet (step S2003), and based on the predetermined translation method for this destination address.
  • the address conversion process is performed to decode the destination address (step S2005).
  • the address translator 250 rewrites the destination address of the packet with the decoded address (routing address) (step S2007), and sends the packet whose destination address has been rewritten to the corresponding router 200. (Step S2009)
  • the address translation device 250 is only capable of decoding the destination address of the packet to be received by the router 200 into the address for the communication terminal and the address for routing.
  • the source of the packet Other addresses, such as decoding from the communication terminal address to the routing address, are also available depending on the forwarding operation of the router 200. Necessary processing can also be performed.
  • the address for the communication terminal set as the destination address on the transmission path is converted into the address for routing, and then the packet after the conversion processing is supplied to the router 200. It becomes like this.
  • the router 200 has a routing table constructed based on the address space related to the routing address. With reference to this routing table, the router 200 responds to packets whose routing address is set as the destination address. Perform transfer processing and send the packet from the appropriate output port to the transmission path.
  • FIG. 7 is a flowchart showing an example when the address translation device performs processing related to a packet sent from the corresponding router camera in the second exemplary embodiment of the present invention.
  • Address converter 250 receives the packet sent from corresponding router 200 (step S2101), analyzes the header of this packet, and extracts the destination address (routing address) of the packet ( Step S2103). Then, the address conversion device 250 performs address conversion processing on the destination address based on a predetermined conversion method, and encodes the destination address (step S2105). After encoding the destination address, the address translator 250 rewrites the destination address of the packet with the encoded address (communication terminal address) (step S2107), and directs the packet with the destination address rewritten to the transmission path. (Step S2109).
  • the subnet ID value of the address of the communication terminal connected to the ISP network 30 is set as in the first embodiment of the present invention. Therefore, a value that makes it impossible to easily estimate the connection position of the communication terminal is set.
  • the communication terminal connected to the ISP network 30 uses an address that hides the connection position for the communication partner connected to the same ISP network 30 and the communication partner connected outside the ISP network 30. Thus, communication can be performed.
  • router 2 in ISP network 30 The router 200, which only needs to place the above-described address translation device 250 in the preceding stage of 00, is configured to process packets whose routing address is set as the destination address.
  • a conventional routing environment can be constructed without assuming address concealment without setting and managing a new routing environment and without adding functions to the existing router 200. It is possible to easily extend the ISP network system to a communication system that enables address concealment.
  • the routing rule constructed in the ISP network 30 is concealed by a predetermined address conversion method, and as a result, the connection position of the communication terminal can be easily made from the address card. It is impossible to make an analogy with this. Since the predetermined address conversion method is known only to the administrator of the ISP network 30 and is not known to the end user, the end user cannot derive the routing address from the communication terminal address. However, if the predetermined address conversion method is fixed, what value the subnet ID of the communication terminal address takes when the communication terminal is connected to! / The problem arises that the end user may be able to grasp the relationship empirically. In the third embodiment of the present invention described below, the above problem is solved.
  • FIG. 8 is a diagram illustrating an example of a configuration of a router according to the third embodiment of the present invention.
  • the router 300 shown in FIG. 8 includes a packet transmitting / receiving unit 301, a packet buffer unit 302, a header analyzing unit 303, an address decoder 304, an output port determining unit 305, a timer 306, and a routing table storage unit 310.
  • the packet transmission / reception unit 301, the knot buffer unit 302, the header analysis unit 303, the output port determination unit 305, and the routing table storage unit 310 shown in FIG. 8 are the packet transmission / reception unit 101, the packet buffer unit 102, the header solution shown in FIG.
  • the analysis unit 103, the output port determination unit 105, and the routing table storage unit 110 are the same. That is, the router 300 shown in FIG. 8 is different from the router 100 shown in FIG. 2 in that a timer 306 is further connected to the address decoder 304 and has a different configuration! /
  • the timer 306 has a timekeeping function and, for example, a predetermined time or date and a predetermined time It has a function of issuing a trigger (address conversion method change instruction information) to the address decoder 304 every time.
  • the address decoder 304 has a function of decoding the destination address as in the case of the address decoder 104 shown in FIG. 2. Further, when receiving a trigger from the timer 306, the address decoder 304 starts from the address for the communication terminal. It has a function to change the rules of a predetermined address conversion method (decoding method) for generating routing addresses.
  • the time interval of trigger output in the timer 306 can be arbitrarily set.
  • the trigger is output from the timer 306 at a predetermined time interval such as every week or every month. It is possible.
  • the mode of changing the address conversion method in the address decoder 304 can be arbitrarily set. For example, the method of shifting all the bits shown in FIG. 3 by 1 to the method of shifting all the bits by 2 is possible. It may be changed, or it may be changed to a completely different address translation method such as reversing the order of the predetermined bit areas.
  • the subnet ID value of the communication terminal address used in the ISP network 30 is greatly changed in the entire ISP network 30. Even if the end user determines the correspondence between the subnet ID value and the communication terminal connection position, Even if the relationship is grasped empirically, it becomes possible again to make it impossible to grasp the correspondence between the subnet ID value and the connection position of the communication terminal.
  • the router 300 shown in FIG. 8 is configured so that a predetermined address translation method can be changed according to a trigger that also outputs a timer 306 force, compared to the configuration of the router 100 shown in FIG.
  • the address translation device 250 shown in FIG. 5 may be configured to change a predetermined address translation method according to a trigger output from the timer 306.
  • a trigger generator is installed in the ISP network 30.
  • the trigger generation device power may be arranged so that a predetermined address translation method in the entire ISP network 30 is changed by sending a trigger to all routers.
  • the present invention is also compatible with the case where the communication terminals (communication terminals 15 and 25) connected to the ISP network 30 are movable mono terminals.
  • the communication terminals 15 and 25 move within ISP network 30, the ability to acquire an address suitable for the new connection destination At this time, communication terminals 15 and 25 are the subnet IDs included in the RA of the new connection destination router. An address is generated using. Therefore, the address newly acquired by the communication terminals 15 and 25 is a communication terminal address, and the connection position of the communication terminals 15 and 25 is in a state that is not easily understood by the communication partner.
  • the present invention can also be applied to the force IPv4 address and other addresses described mainly on the assumption of the IPv6 address.
  • LSI Large Scale Integration
  • IC Integrated Circuit
  • system LSI super LSI
  • unroller LSI unroller LSI
  • the method of circuit integration is not limited to LSI's, and implementation using dedicated circuitry or general purpose processors is also possible. You can use an FPGA (Field Programmable Gate Array) that can be programmed after LSI manufacturing, or a reconfigurable processor that can reconfigure the connection and settings of circuit cells inside the LSI.
  • FPGA Field Programmable Gate Array
  • the present invention provides an effect that the communication terminal can conceal information of the communication terminal inferred from the address information while maintaining global connectivity, and a communication system compatible with address concealment in the conventional communication system. Has the effect of being easily extendable to the system It is applicable to communication technology for transmitting data units with a source address and destination address set, and in particular, applicable to communication technology for transmitting IP packets.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

 通信端末のグローバルな接続性を維持しながら、通信端末のアドレスから類推可能な通信端末の接続位置に関する情報を隠蔽できるようにする技術が開示され、その技術によればISPネットワークに接続する通信端末に対して、ルーティング用アドレスをエンコードした通信端末用アドレスを割り当てる。ISPネットワーク内に配置されるルータ100がパケットの転送を行う際に、まず、ヘッダ解析部103において、受信したパケットのあて先アドレスを抽出した後、アドレスデコーダ104において、抽出されたあて先アドレスをデコードする。ルーティングテーブル格納部110に格納されているルーティングテーブルはルーティング用アドレスに係るアドレス空間に基づいて構築されており、出力ポート決定部105は、このルーティングテーブルを参照し、デコードされたアドレスに基づいて、パケットの次の転送先の決定を行う。

Description

明 細 書
データユニット転送装置及びアドレス変換装置並びに通信システム 技術分野
[0001] 本発明は、送信元アドレス(Source Address)及びあて先アドレス(Destination Addr ess)が設定されたデータユニットの伝送を行うデータユニット転送装置及びアドレス 変換装置並びに通信システムに関し、特に、 IP (Internet Protocol :インターネットプ ロトコル)パケットの伝送を行うデータユニット転送装置及びアドレス変換装置並びに 通信システムに関する。
背景技術
[0002] 従来の IPネットワークでは、基本的に各通信端末は、通信端末を一意に識別可能 とする IPアドレス(以下、単にアドレスと記載することもある)を有しており、各通信端末 が任意の通信端末と通信を行う場合には、自身の IPアドレスを送信元アドレス、通信 相手となる通信端末の IPアドレスをあて先アドレスに設定した IPパケット(以下、単に パケットと記載することもある)の送信を行っている。これにより、 IPネットワークを通じ て、特定の通信端末間でデータの交換が行われる。
[0003] IP通信にお!、て用いられる IPv6 (Internet Protocol version 6)のアドレス構造は、 例えば、下記の非特許文献 1に記載されている。図 9は、従来の技術に係る IPv6の アドレス構造の一例を示す図である。図 9に示すように、 IPv6アドレスは、グローバル ルーティングプレフィックス 901、サブネット ID902、インタフェース ID903により構成 される。なお、 IPv6アドレスは 128ビットの識別子であり、通常のュ-キャストアドレス では、例えば MAC (Media Access Control :媒体アクセス制御)アドレスなどから生成 される各通信端末の識別子を含むインタフェース ID903を 64ビット固定長とし、残り の 64ビットをグローバルルーティングプレフィックス 901及びサブネット ID902に割り 当てることが要請されている。
[0004] グローバルルーティングプレフィックス 901は、一般的に階層構造を有しており、サ イト(サブネットの集合)に対して割り当てられている識別子である。なお、このグロ一 ノ ルルーティングプレフィックス 901の値は、例えば NIR (National Internet Registry) から、 ISP (Internet Service Provider:インターネットサービスプロバイダ)などの LIR( Local Internet Registry)に対して与えられる。したがって、 IPv6アドレスのグローバル ルーティングプレフィックス 901の値によって、この IPv6アドレスがどのサイトに属して V、るのか(どの ISPによって管理されて 、るの力)を判別することが可能となる。
[0005] また、サブネット ID902は、サイト内のサブネットを識別するための識別子であり、サ イト内におけるルーティングの際に参照される値が含まれる。なお、サブネット ID902 は、例えば ISPが、自身が管理する複数のサブネットのそれぞれを識別するために割 り当てる。したがって、 IPv6アドレスのサブネット ID902の値によって、この IPv6アド レスがどのサブネットに属しているかを判別することが可能となる。なお、ここでは、 IP v6アドレスについて説明している力 IPv4アドレスに関しても基本的な概念は同一で ある。
[0006] し力しながら、各サブネットを配下に有するルータの物理的(地理的)な位置が固定 されていることから、グローバルルーティングプレフィックス 901の値とサブネット ID90 2の値の組み合わせを参照することによって、その IPv6アドレスを有して!/、る端末の 物理的な位置が特定できる場合がある。また、 IPv6が階層構造を有していることから 、 ISPは、 IPアドレスの保守 ·管理やトラフィックの効率などの観点において、ネットヮ ーク上の位置が近いサブネット同士を、物理的な位置が近い地域に配置することが 一般的であると考えられる。このこと力 、通信端末の IPv6アドレスのサブネット ID90 2の値を参照することによって、その通信端末がどの地域の近くに存在して 、るか (あ るいは、どの地域からは離れて存在して 、る力)を類推することが可能である。
[0007] このように、サブネット ID902の値は、通信端末のネットワーク上の位置に加えて、 通信端末の物理的な位置とも密接に関連している。特に、通信端末が移動端末の場 合には、その通信端末の IPv6アドレスのサブネット ID902の値から、ネットワーク上 の接続ポイントや物理的な移動場所が特定可能となってしまう。このように、本来は隠 蔽されるべき情報が、 IPv6アドレスによって漏洩してしまうことは、決して望ましいこと ではない。
[0008] 一方、下記の特許文献 1には、上述のような情報の漏洩を防止することを目的とし て、アドレス隠蔽を実現するための技術が開示されている。以下、図 10を参照しなが ら、特許文献 1に開示されている技術について説明する。図 10は、従来の技術に係 るアドレス隠蔽技術を説明するための通信システムの構成の一例を示す図である。
[0009] 特許文献 1に開示されている技術の通信システムは、図 10に示すように、ネットヮー ク A1000の中 ϋ装置 1001と、ネットワーク B1010の転送装置 1011とがパケットの 交換を行うことによって、ネットワーク A1000とネットワーク B1010とが接続されている 構成を有している。そして、ネットワーク A1000に接続している通信端末 1002と、ネ ットワーク B1010に接続している通信端末 1012とが通信を行う場合に、中継装置 10 01が、通信端末 1002のアドレスの特定領域の喑復号ィ匕を行う。具体的には、例え ば、通信端末 1002から通信端末 1012へのパケットに関しては、送信元アドレスのサ ブネット IDの部分に対して鍵を用いた暗号ィ匕を行い、通信端末 1012から通信端末 1 002へのパケットに関しては、あて先アドレスのサブネット IDの部分に対して鍵を用い た復号を行う。
非特干文献 1 : R. Hinden, S. Deering and E. Nordmark, IPv6 Global Unicast Addres s Format", RFC 3587, August 2003
特許文献 1 :特開 2004— 282123号公報(図 1、 3、 4、 7)
[0010] し力しながら、特許文献 1に開示されている技術には、いくつかの問題点が存在す る。まず、特許文献 1に開示されている技術には、中継装置 1001を介して接続され ているネットワーク A1000とネットワーク B1010ではそれぞれ異なるルーティング方 式に従ってパケットの転送が行われるという問題がある。ネットワーク A1000では、中 継装置 1001による暗号ィ匕前のアドレス空間が使用されており、ネットワーク B1010 では、中継装置 1001による暗号後のアドレス空間が使用されている。この結果、異 なるルールに基づ 、て、全く異なる複数のルーティングテーブルを構築する必要が あるとともに、アドレスの保守 '管理が面倒となる。特に、暗号後のアドレス空間の管理 は、アドレスの隠蔽を考えずに構築された通信システムに係るアドレス空間の管理に 比べて面倒であり、何らかの障害が発生した場合には、その復旧に時間及び労力を 要してしまう可能性がある。
[0011] また、特許文献 1に開示されている技術には、アドレスの隠蔽が不完全であるという 問題がある。例えば、ネットワーク A1000に接続している通信端末 1002から、同じく ネットワーク A1000に接続している別の通信端末 1003に向けて送信されるパケット に関しては、アドレスの隠蔽が行われない。また、ネットワーク A1000に接続している 通信端末 1002から、グローバルネットワーク 1020に接続している別の通信端末 102 1に向けて送信されるパケットに関しても同様に、アドレスの隠蔽が行われない。
[0012] なお、中継装置 1001をネットワーク A1000のデフォルトルータとして、通信端末 10 02からグローバルネットワーク 1020に接続している別の通信端末 1021に向けて送 信されるすべてのパケットが中継装置 1001を経由して、アドレスの喑復号化が行わ れるように構成することも可能である。し力しながら、この場合には、ネットワーク A100 0の外部に出たパケットが別の通信端末 1021に転送されるように、 IPの階層構造に お 、てネットワーク A1000の上位に存在する IPネットワークにお!/、て、中継装置 100 1の暗復号ィ匕に依存しないアドレスが使用される必要がある。したがって、この場合に は、アドレス隠蔽が行われる範囲がサブネット IDのネットワーク A1000を表す箇所以 下に限定され、アドレス隠蔽は不完全なものとなる。
[0013] また、特許文献 1には、例えば中継装置 1001に配置されている暗号ィ匕 Z復号ィ匕 部力 通信端末 1002や通信端末 1012に配置されていてもよいなどの示唆があるが 、特許文献 1に示唆されているいずれの構成においても、暗号後のアドレス空間の使 用や不完全なアドレス隠蔽などを始めとする上述の問題が発生する。
発明の開示
[0014] 本発明は、上述の問題に鑑み、通信端末がグローバルな接続性を維持しながら、 通信端末のアドレス力 類推可能な通信端末の接続位置に関する情報を隠蔽できる ようにするデータユニット転送装置及びアドレス変換装置並びに通信システムを提供 することを目的とする。
[0015] 上記目的を達成するため、本発明のデータユニット転送装置は、所定のネットヮー クに接続されている通信端末から送信されるデータユニットを転送する前記所定のネ ットワーク内のデータユニット転送装置であって、
外部の伝送路力 前記データユニットを受信するデータユニット受信手段と、 前記データユニット受信手段で受信した前記データユニットにあて先アドレスとして 設定されている前記通信端末の第 1アドレスを抽出し、所定のアドレス変換方法に基 づいて第 2アドレスに変換するアドレス変換手段と、
前記第 2アドレスの属するアドレス空間に基づ 、て構築されて 、るルーティングテー ブルを格納するルーティングテーブル格納手段と、
前記ルーティングテーブル格納手段に格納されている前記ルーティングテーブル を参照し、前記第 2アドレスに基づ 、て前記データユニットの転送先を決定するデー タユニット転送先決定手段と、
前記データユニット転送先決定手段で決定された前記データユニットの転送先に 基づいて、前記データユニットを外部の伝送路に送出するデータユニット送信手段と を、
有する。
この構成により、通信端末に割り当てられるアドレスの値力 ネットワーク内のルーテ イングで参照されるアドレスの値とは異なる値となるようにすることが可能となり、通信 端末のアドレス力 類推可能な通信端末の接続位置に関する情報を隠蔽することが 可能となる。
[0016] さらに、本発明のデータユニット転送装置は、上記の構成に加えて、前記アドレス変 換手段力 前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記 所定のアドレス変換方法に基づく変換処理を行って、前記第 2アドレスを生成するよ うに構成されている。
この構成により、所定のネットワーク内における接続位置に関する情報を隠蔽しな がら、通信端末がグローバルな接続性を維持することが可能となる。
[0017] さらに、本発明のデータユニット転送装置は、上記の構成に加えて、計時機能を有 しており、所定のタイミングで前記アドレス変換手段に対して、前記所定のアドレス変 換方法の変更を指示するための指示情報を送出する計時手段を更に有する。
この構成により、所定のアドレス変換方法を適時変更することが可能となり、通信端 末のアドレス力 類推可能な通信端末の接続位置に関する情報をより効果的に隠蔽 することが可能となる。
[0018] また、上記目的を達成するため、本発明のアドレス変換装置は、所定のネットワーク に接続されている通信端末から送信されるデータユニットを転送する前記所定のネッ トワーク内のデータユニット転送装置に対応して配置され、前記データユニット転送 装置に入出力される前記データユニットを捕捉するよう構成されているアドレス変換 装置であって、
外部の伝送路力 前記データユニット転送装置に到達する入力データユニットを捕 捉する第 1データユニット受信手段と、
前記第 1データユニット受信手段で受信した前記入力データユニットにあて先アド レスとして設定されて 、る前記通信端末の第 1アドレスを、所定のアドレス変換方法に 基づいて第 2アドレスに変換する第 1アドレス変換手段と、
前記第 1アドレス変換手段で前記あて先アドレスが前記第 2アドレスに変換された前 記入力データユニットを前記データユニット転送装置に送出する第 1データユニット 送信手段と、
前記データユニット転送装置から前記外部の伝送路に送出される出力データュニ ットを捕捉する第 2データユニット受信手段と、
前記第 2データユニット受信手段で受信した前記出力データユニットにあて先アド レスとして設定されて 、る前記通信端末の前記第 2アドレスを、前記所定のアドレス変 換方法に基づいて前記第 1アドレスに変換する第 2アドレス変換手段と、
前記第 2アドレス変換手段で前記あて先アドレスが前記第 1アドレスに変換された前 記出力データユニットを前記外部の伝送路に送出する第 2データユニット送信手段と を、
有する。
この構成により、通信端末に割り当てられるアドレスの値力 ネットワーク内のルーテ イングで参照されるアドレスの値とは異なる値となるようにすることが可能となり、通信 端末のアドレス力 類推可能な通信端末の接続位置に関する情報を隠蔽することが 可能となる。
さらに、本発明のアドレス変換装置は、上記の構成に加えて、前記第 1アドレス変換 手段力 前記通信端末の前記第 1アドレスのサブネット ID領域の値に対して前記所 定のアドレス変換方法に基づく変換処理を行って、前記第 2アドレスを生成するように 構成されており、前記第 2アドレス変換手段が、前記通信端末の前記第 2アドレスの サブネット ID領域の値に対して前記所定のアドレス変換方法に基づく変換処理を行 つて、前記第 1アドレスを生成するように構成されている。
この構成により、所定のネットワーク内における接続位置に関する情報を隠蔽しな がら、通信端末がグローバルな接続性を維持することが可能となる。
[0020] さらに、本発明のアドレス変換装置は、上記の構成に加えて、計時機能を有してお り、所定のタイミングで前記第 1及び第 2アドレス変換手段に対して、前記所定のアド レス変換方法の変更を指示するための指示情報を送出する計時手段を更に有する この構成により、所定のアドレス変換方法を適時変更することが可能となり、通信端 末のアドレス力 類推可能な通信端末の接続位置に関する情報をより効果的に隠蔽 することが可能となる。
[0021] また、上記目的を達成するため、本発明の通信システムは、複数のデータユニット 転送装置によって所定のネットワークが構成されている通信システムであって、 前記所定のネットワークに接続する通信端末に対して、第 1アドレス空間に基づくァ ドレスを割り当てるように構成されて 、るとともに、前記複数のデータユニット転送装 置力 前記第 1アドレス空間に対して所定のアドレス変換方法を施すことによって得ら れる第 2アドレス空間に基づいたルーティングテーブルを有しており、データユニット の転送を行う際に前記ルーティングテーブルを参照し、前記所定のアドレス変換方 法によって変換された後のあて先アドレスに基づいて、前記データユニットの転送先 を決定するように構成されて 、る。
この構成により、通信端末に割り当てられるアドレスの値力 ネットワーク内のルーテ イングで参照されるアドレスの値とは異なる値となるようにすることが可能となり、通信 端末のアドレス力 類推可能な通信端末の接続位置に関する情報を隠蔽することが 可能となる。
[0022] さらに、本発明の通信システムは、上記の構成に加えて、前記第 1アドレス空間に 属するアドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法に基 づく変換処理を行うことによって、前記第 2アドレス空間に属するアドレスが生成され るように構成されている。 この構成により、所定のネットワーク内における接続位置に関する情報を隠蔽しな がら、通信端末がグローバルな接続性を維持することが可能となる。
[0023] さらに、本発明の通信システムは、上記の構成に加えて、前記複数のデータュ-ッ ト転送装置のすべてが、前記第 1アドレス空間と前記第 2アドレス空間との間の所定 のアドレス変換方法を同調して変更するように構成されて 、る。
この構成により、通信システム全体において、所定のアドレス変換方法を一斉に変 更することが可能となり、通信端末のアドレス力 類推可能な通信端末の接続位置に 関する情報をより効果的に隠蔽することが可能となる。
[0024] 本発明は、上記の構成を有しており、通信端末のグロ一ノ レな接続性を維持しな がら、アドレス情報力 類推される通信端末の情報を隠蔽できるようにするという効果 を有している。また、アドレス空間の管理が容易であるとともに、特にアドレスの隠蔽を 考えずに構築された通信システムを、アドレス隠蔽に対応した通信システムに拡張す ることが容易であると 、う効果を有して 、る。
図面の簡単な説明
[0025] [図 1]本発明の第 1及び第 2の実施の形態に共通する通信システムの一例を示す図 [図 2]本発明の第 1の実施の形態におけるルータの構成の一例を示す図
[図 3]本発明の第 1の実施の形態におけるアドレス変換方法の一例を示す図
[図 4]本発明の第 1の実施の形態において、ルータがパケットの転送を行う際の動作 の一例を示すフローチャート
[図 5]本発明の第 2の実施の形態におけるルータ及びそのルータに付設されるァドレ ス変換装置の構成の一例を示す図
[図 6]本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータが 受信するパケットに係る処理を行う際の一例を示すフローチャート
[図 7]本発明の第 2の実施の形態において、アドレス変換装置が、対応するルータか ら送出されるパケットに係る処理を行う際の一例を示すフローチャート
[図 8]本発明の第 3の実施の形態におけるルータの構成の一例を示す図
[図 9]従来の技術に係る IPv6のアドレス構造の一例を示す図
[図 10]従来の技術に係るアドレス隠蔽技術を説明するための通信システムの構成の 一例を示す図
発明を実施するための最良の形態
[0026] 以下、図面を参照しながら、本発明の第 1〜第 3の実施の形態について説明する。
まず、本発明の第 1及び第 2の実施の形態に共通するシステム構成について説明す る。図 1は、本発明の第 1及び第 2の実施の形態に共通する通信システムの一例を示 す図である。
[0027] 図 1には、インターネットや VoIP (Voice over IP)ネットワークなどのグローバルネット ワーク 40、 ISP (あるいは、通信事業者)によって管理されている ISPネットワーク 30 が図示されている。なお、グローバルネットワーク 40には、多数の通信端末が接続可 能である力 図 1では、グローバルネットワーク 40に接続可能な通信端末を代表して 、 1つの通信端末 45のみが図示されている。
[0028] さらに、図 1には、一例として、 ISPネットワーク 30内において、グローバルネットヮー ク 40にそれぞれ接続するネットワーク A10、ネットワーク B20が相互に接続している 状態が図示されている。なお、 ISPネットワーク 30は、 IPネットワークが取り得る任意 の構成とすることが可能である。すなわち、 ISPネットワーク 30には、ネットワークの数 やネットワークの接続形態(トポロジ)、グローバルネットワーク 40との接続ポイント数 などの限定はなぐ IPネットワークが取り得るあらゆる構成が実現可能である。
[0029] また、図 1には、ネットワーク A10及びネットワーク B20力 通常の IPネットワークと同 様に、複数のルータによって構成されている様子が図示されている。なお、図 1に示 すネットワーク A10に関して、ネットワーク A10を構成するルータをルータ 11 (図 1に は、模式的に 1つのルータ 11のみが代表して図示されている)、ネットワーク B20との 接続ポイントに位置するルータをルータ 12、グローバルネットワーク 40への出入り口 に当たるルータをルータ 13、任意の通信端末 (例えば、通信端末 15)に対して接続 ポイントを提供するルータをルータ 14とする。また、ネットワーク B20も同様に、ネット ワーク B20内部を構成するルータをルータ 21、ネットワーク B20との接続ポイントに位 置するルータをルータ 22、グローバルネットワーク 40への出入り口に当たるルータを ルータ 23、任意の通信端末 (例えば、通信端末 25)に対して接続ポイントを提供する ルータをルータ 24とする。なお、ルータ 11〜14、 21〜24は、通常、それぞれ異なる サブネット IDによって識別される。
[0030] 図 1に図示されている各装置のうち、通信端末 15、 25、 45は既存の通信端末が使 用可能である。したがって、多数のユーザが有している通信端末 15、 25、 45としては 、 PC (Personal Computer)や PDC (Personal Digital Cellular)端末、携帯電話機など を始めとして、 IP通信可能な任意の装置を使用することが可能であり、本発明に応じ た機能の付加、改良が行われる必要はない。一方、本発明では、 ISPネットワーク 30 内に改良が施される。以下、本発明の第 1及び第 2の実施の形態において、 ISPネッ トワーク 30に係る改良について説明する。
[0031] <第 1の実施の形態 >
まず、本発明の第 1の実施の形態について説明する。図 2は、本発明の第 1の実施 の形態におけるルータの構成の一例を示す図である。
[0032] 図 2に示すルータ 100は、パケット送受信部 101、パケットバッファ部 102、ヘッダ解 析部 103、アドレスデコーダ 104、出力ポート決定部 105、ルーティングテーブル格 納部 110を有している。なお、図 2に示すルータ 100は、図 1に示す各ルータ 11〜1 4、 21〜24に対応している。
[0033] 図 2に示すパケット送受信部 101は、伝送路に接続しており、パケットの受信及び 送信を行う機能を有している。パケット送受信部 101は、受信したパケットをパケット バッファ部 102に格納するとともに、出力ポート決定部 105から渡される出力ポート指 示情報に基づいて、パケットバッファ部 102からパケットを読み出して、指示された出 力ポートから伝送路上に送信する。なお、このパケット送受信部 101には、 IPレイヤよ りも下位のレイヤの各機能も含まれて 、る。
[0034] また、図 2に示すパケットバッファ部 102は、パケット送受信部 101で受信したバケツ トを一時的に格納する機能を有している。ルータ 100は、基本的に、通信端末間で送 受信されるパケットの転送を行う機能を有しており、パケットバッファ部 102は、受信し たパケットを別のルータに対して転送するまでの間、一時的にパケットの格納を行うた めのものである。
[0035] また、図 2に示すヘッダ解析部 103は、パケット送受信部 101で受信したパケットの ヘッダを解析して、ヘッダ内に含まれているパケットのあて先アドレスを抽出する機能 を有している。ヘッダ解析部 103によって抽出されたあて先アドレスは、アドレスデコ ーダ 104に渡される。
[0036] また、図 2に示すアドレスデコーダ 104は、ヘッダ解析部 103で抽出されたあて先ァ ドレス (後述の通信端末用アドレス)に対して所定の変換処理を行って、変換処理後 のあて先アドレス(後述のルーティング用アドレス)を生成する機能を有して!/、る。アド レスデコーダ 104による変換処理後のあて先アドレスは、出力ポート決定部 105に渡 される。
[0037] また、図 2に示す出力ポート決定部 105は、ルーティングテーブル格納部 110に格 納されて 、るルーティングテーブルを参照して、アドレスデコーダ 104による変換処 理後のあて先アドレスに対応するパケットの出力ポートを決定する機能を有している。 出力ポート決定部 105によって決定された出力ポートに関する情報(出力ポート指示 情報)は、パケット送受信部 101に渡される。なお、ここでは、出力ポート決定部 105 は、パケットのあて先アドレス(後述のルーティング用アドレス)のみに基づいて出力 ポートの決定を行うが、さらに、その他の情報 (例えば、パケットの入力ポート番号や 送信元アドレスなど)を参照して、出力ポートの決定を行うことも可能である。
[0038] また、図 2に示すルーティングテーブル格納部 110は、パケットのあて先アドレスに 関する情報(例えば、グローバルルーティングプレフィックスやサブネット IDの値の範 囲)と、ルータ 100の出力ポートとの対応関係が少なくとも含まれているルーティング テーブルを格納している。なお、このルーティングテーブルは、アドレスデコーダ 104 による変換処理後のアドレス (ルーティング用アドレス)に係るアドレス空間に基づい て作成されたものである。
[0039] 次に、図 3を参照しながら、本発明に係るアドレスの変換方法について説明する。
図 3は、本発明の第 1の実施の形態におけるアドレス変換方法の一例を示す図であ る。本発明では、図 3に示すルーティング用アドレスと通信端末用アドレスの 2種類の アドレスが使用される。
[0040] ルーティング用アドレスは、 ISPネットワーク 30におけるルーティング用に設計され たアドレス空間に基づくアドレスである。このルーティング用アドレスは、例えば、従来 ISPが、保守 ·管理などが容易になるように、自身の保持するネットワークに対して割 り当てるものである。したがって、ルーティング用アドレスのアドレス空間は、例えば、 近接した地域のサブネット IDの値が似ていたり(例えば、サブネット IDの上位ビットの 値が同一)、一定の法則(例えば、北の地域ほどサブネット IDの値が小さぐ南の地 域ほどサブネット IDの値が大き!/、)に基づ!/、てサブネット IDの値が定められて!/、たり するなど、そのサブネット IDの値力も物理的な位置が極めて容易に推測可能なもの である。なお、上述のように、ルーティングテーブル格納部 110に格納されているル 一ティングテーブルは、このルーティング用アドレスのアドレス空間に基づいて構築さ れている。
[0041] 一方、通信端末用アドレスは、所定のアドレス変換方法を用いて上記のルーティン グ用アドレスを変換した結果、生成されるアドレスである。通信端末用アドレスは、 IS Pネットワーク 30に接続している通信端末(図 1に示す通信端末 15、 25)によって使 用される。なお、通信端末は、ルーティング用アドレスの値 (あるいは、ルーティング用 アドレスの存在そのもの)に関して知る必要はない。
[0042] 上記のアドレス変換方法の一例としては、図 3に図示されているように、サブネット I Dの値を 1つずらす方法が挙げられる。この方法では、例えば、図 3に示すように、サ ブネット IDが 8ビットの領域を有しており、ルーティング用アドレスのサブネット IDの値 力『10100110』である場合、サブネット IDの最上位ビットを最下位ビットの下に移動 することによって生成される 8ビットの値『01001101』)を新たなサブネット IDの値と する。なお、通信端末用アドレスは、上述のように所定の変換方法によってサブネット IDの一部又は全部の領域のみが変換されたアドレスであり、グローバルルーティング プレフィックス及びインタフェース IDに関しては、ルーティング用アドレスと同一の値 である。
[0043] なお、通信端末用アドレスからルーティング用アドレスを生成するためのアドレス変 換方法としては、上述の方法のようにサブネット IDのすベてのビットを 1つずらす方法 のほかに、所定の数だけビットをずらす、所定のビット位置を入れ替える、所定のビッ ト領域の順序を逆にする、所定のビットの値を反転 (『0→1』又は『1→0』)させるなど の単純な方法や、鍵を用いた暗号ィ匕などの複雑な計算を伴う処理などを始めとして、 任意のアドレス変換方法を採用することが可能である。また、通信端末用アドレスから ルーティング用アドレスを生成するためのアドレス変換方法の逆変換によって、ルー ティング用アドレス力 通信端末用アドレスが生成される。
[0044] また、 ISPネットワーク 30の外部に対して、どのようなアドレス変換方法が利用され ているかは通知される必要はないが、 ISPネットワーク 30内に存在するすべてのルー タ(図 1に示すルータ 11〜14、 21〜24)のアドレスデコーダ 104が同一のアドレス変 換方法に基づ 、てアドレス変換処理 (アドレスのデコード)を行う必要がある。なお、 本明細書では、ルーティング用アドレスを変換して通信端末用アドレスを生成する動 作をエンコードと呼び、通信端末用アドレスを変換してルーティング用アドレスを生成 する動作をデコードと呼ぶこともある。
[0045] 次に、図 1に図示されている通信システムにおいて、 ISPネットワーク 30に接続して いる通信端末同士が通信を行う場合について説明する。ここでは、具体例として、通 信端末 15と通信端末 25との間の通信について説明する。
[0046] 通信端末 15が ISPネットワーク 30に接続して通信を行う場合、通信端末 15は、例 えば、あら力じめ割り当てられているアドレスや、接続時に割り当てられるアドレスを用 いて通信を行う。なお、通信端末 15は、接続するルータ 14から受信した RA (ルータ 通知: Router Advertisement)内のプレフィックス情報(グローバルルーティングプレフ イツタス及びサブネット IDの値)に基づ!/、て、 自身のアドレスを自動構成(auto-config uration)することも可能である。この場合、ルータ 14が RAによって通知(アドバタイズ )する自身のサブネット IDは、通信端末用アドレスに係るアドレス空間に基づく値を有 しており、通信端末 15は、通信端末用アドレスを自動構成する。
[0047] 以下では、通信端末 15に対して割り当てられる通信端末用アドレスを、 [a | b ( a )
I c]と記載する。なお、ここで、 aはグローバルルーティングプレフィックスの値(ISP ネットワーク 30を識別する値)、 b )は、通信端末用アドレスに係るアドレス空間に 基づくサブネット IDの値、 cは通信端末 15に固有の識別子から生成されるインタフエ ース IDの値である。また、サブネット IDの値 b )は、通信端末 15が接続するルータ 14ごとにそれぞれ異なる値となる。
[0048] また、同様に、通信端末 15とは異なる別の通信端末 25も通信端末用アドレスが割 り当てられ、この通信端末用アドレスを用いて通信を行う。なお、以下では、通信端末 25に対して割り当てられる通信端末用アドレスを、 [a | y( a ) | z]と記載する。なお 、ここで、 y( α )は、通信端末用アドレスに係るアドレス空間に基づくサブネット IDの 値、 zは通信端末 25に固有の識別子から生成されるインタフェース IDの値であり、グ ローバルルーティングプレフィックスの値は、同一の ISPネットワーク 30に接続してい ることから、上記の通信端末 15と同一の値 aとなる。
[0049] また、通信端末 15に割り当てられるサブネット ID (b ( a ) )が所定のアドレス変換方 法に基づいてデコードされた値は、ルーティング用アドレスのアドレス空間に基づく値 である。以下では、この値を b ( |8 )と記載する。また、通信端末 25に割り当てられるサ ブネット ID (y(ひ))に関しても同様に、所定のアドレス変換方法に基づいてデコード された値 (ι8 )と記載する。
[0050] 通信端末 15と通信端末 25とが通信を行う場合には、基本的に相互に通信相手の アドレスを交換する必要がある。通信端末 15と通信端末 25との間の通信の種類や目 的などに応じて、通信アドレスの交換の態様は異なるが、本発明では、任意のァドレ ス交換方法が利用可能である。ここでは、通信端末 15が通信端末 25のアドレスを既 に知っている状態であることを前提として説明を行う。
[0051] 通信端末 15が通信端末 25に対してパケットを送信する場合、通信端末 15は、送 信元アドレスに通信端末 15のアドレス [a I b ) I c]、あて先アドレスに通信端末 2 5のアドレス [a I y ) I z]を設定したパケットを、自身が接続するルータ 14に向け て送信する。パケットを受信したルータ 14は、図 4に図示されているアルゴリズムに基 づく動作を行うことによって、パケットの転送を行う。
[0052] 図 4は、本発明の第 1の実施の形態において、ルータがパケットの転送を行う際の 動作の一例を示すフローチャートである。まず、ルータ 14は、伝送路を通じて、パケ ット送受信部 101において通信端末 15から送信されたパケットを受信する (ステップ S1001)。そして、ルータ 14は、このパケットをパケットバッファ部 102に格納する(ス テツプ S1003)とともに、ヘッダ解析部 103において、ヘッダの解析を行ってパケット のあて先アドレスを抽出する(ステップ S 1005)。
[0053] ヘッダ解析部 103で抽出されたあて先アドレス (通信端末 25のアドレス [a | y )
I z])はアドレスデコーダ 104に渡される。アドレスデコーダ 104は、あて先アドレスに 対して、所定の変換方法に基づいてアドレス変換処理を行って、あて先アドレスをデ コードする(ステップ S 1007)。
[0054] ステップ S1007のデコード処理によって、通信端末 25のアドレスは、通信端末用ァ ドレス [a I y ) I z]からルーティング用アドレス [a | γ ( β ) | ζ]に変換される。なお 、上述のように、本発明に係るアドレス変換処理は、サブネット IDの値に対して行わ れるものであり、アドレス変換処理の前後において、グローバルルーティングプレフィ ックス及びインタフェース IDの値は不変である。
[0055] アドレスデコーダ 104によって生成された通信端末 25のルーティング用アドレス [a
I y ( j8 ) I z]は、出力ポート決定部 105に渡される。出力ポート決定部 105は、ルー ティングテーブル格納部 110に格納されて!、るルーティングテーブル (ルーティング 用アドレスのアドレス空間に基づくルーティングテーブル)を参照して、このルーティ ング用アドレスに関連するパケットの次の転送先(出力ポート)を決定する (ステップ S 1009)。
[0056] ステップ S 1009で出力ポート決定部 105によって決定されたパケットの出力ポート に係る情報(出力ポート指示情報)は、パケット送受信部 101に渡される。パケット送 受信部 101は、出力ポート指示情報に基づいてパケットバッファ部 102からパケットを 読み出し、決定された出力ポートから伝送路上にパケットを送出する (ステップ S101 D oこれによつて、パケットバッファ部 102に格納されているパケット(通信端末 25の アドレス [a I y( a ) | z]があて先アドレスに設定されたパケット)力 次の転送ルータ に伝送される。
[0057] ルータ 14から送出されたパケットは、次の転送位置に配置されているネットワーク A 10内の任意の所定のルータ 11に到達する。このルータ 11においても、上述の図 4に 図示されている動作と同一の動作が行われて、次のパケット転送先にパケットが転送 される。さらに、ネットワーク A、 Bの接続ポイントに位置するルータ 12、 22、ネットヮー ク B20内の任意のルータ 21、通信端末 25が接続するルータ 24においても同様の動 作が行われて、パケットは通信端末 25に到達する。また、同様の転送処理を経て、 通信端末 25から通信端末 15に向けて送信されたパケット (送信元アドレスに通信端 末 25のアドレス [a I yU ) | z]、あて先アドレスに通信端末 15のアドレス [a | b ( a ) I c]が設定されたパケット)も、通信端末 15に到達可能となる。
[0058] さらに、 ISPネットワーク 30内のルータは、通信端末 15、 25と、グローバルネットヮ ーク 40を通じて接続されている任意の通信端末 45との間の通信に係るパケットに関 しても、図 4に図示されているアルゴリズムに従って転送動作を行う。ここで、通信端 末 45のアドレスを [p I q I r]と記載する。なお、通信端末 45は、例えば ISPネットヮ ーク 30とは異なる ISPに属しており、したがって、通信端末 45に係るグロ一ノ レルー ティングプレフィックスの値 pは、 ISPネットワーク 30を識別するグローバルルーティン グプレフィックスの値 aとは異なって!/、る。
[0059] このとき、通信端末 15、 25から通信端末 45に対して送信されるパケットが ISPネット ワーク 30内部で転送される場合には、主に、通信端末 45のアドレスのグローバルル 一ティングプレフィックスの値 pが参照されることになる。すなわち、 ISPネットワーク 30 内部では、通信端末 15、 25から通信端末 45に対して送信されるパケットは、グロ一 バルネットワーク 40に向けて送出されるように転送される。したがって、通信端末 15、 25から通信端末 45に対して送信されるパケットは、 ISPネットワーク 30内部ではグロ 一バルネットワーク 40への出入り口に位置するルータ 13、 23に向けて転送され、ル ータ 13、 23からグローバルネットワーク 40に送出される。このパケットのあて先ァドレ スには、通信端末 45のアドレス [p I q I r]が設定されており、グローバルネットワーク 40では、従来通りの方法で、パケットは通信端末 45まで運ばれる。
[0060] 一方、例えば、通信端末 45から通信端末 15に対して送信されるパケットには、送 信元アドレスとして通信端末 45のアドレス [p I q I r]力 あて先アドレスとして通信端 末 15のアドレス [a I b ( a ) I c]が設定される。このパケットが通信端末 45から送信さ れた場合、グローバルネットワーク 40においては、主に、通信端末 15のアドレスのグ ローバルルーティングプレフィックスの値 aが参照されて、グローバルネットワーク 40と の出入り口に位置する ISPネットワーク 30内のルータ(例えば、ルータ 13)に到達す る。 ISPネットワーク 30内部では、各ルータは、このパケットのあて先アドレス [a I b ( a ) I c]をデコードした値 [a I b ( /3 ) I c]に基づいて転送を行い、その結果、このパ ケットは、通信端末 15に到達する。
[0061] 以上、説明したように、本発明の第 1の実施の形態では、 ISPネットワーク 30に接続 する通信端末 (通信端末 15や通信端末 25)のアドレスのサブネット IDの値には、従 来の技術で用いられて ヽる通信端末の接続位置 (存在位置)の類推が可能となる値 とは異なる値が使用される。この通信端末のアドレスのサブネット IDの値は、従来の 技術で用いられて 、るサブネット IDに対して所定のアドレス変換方法を用いてェンコ ードされた値であり、通信端末の接続位置を容易に類推することを不可能とする値で ある。この結果、 ISPネットワーク 30に接続する通信端末は、同一の ISPネットワーク 3 0に接続する通信相手や、 ISPネットワーク 30外部に接続されている通信相手に対し て、その接続位置を隠蔽するアドレスを使用して通信を行うことが可能となる。
[0062] また、本発明の第 1の実施の形態では、ルーティングテーブルの改変は行われる必 要はなぐ ISPネットワーク 30内のルータにアドレス変換処理を行うアドレスデコーダ 1 04のモジュールを追加するだけでよい。これにより、新たなルーティング環境の設定 •管理などを行うことなぐアドレスの隠蔽を想定せずに構築された従来の ISPネットヮ ークシステムを、アドレスの隠蔽を可能とする通信システムに容易に拡張することが可 能となる。
[0063] <第 2の実施の形態 >
次に、本発明の第 2の実施の形態について説明する。図 5は、本発明の第 2の実施 の形態におけるルータ及びそのルータに付設されるアドレス変換装置の構成の一例 を示す図である。
[0064] 図 5には、ルータ 200及びアドレス変換装置 250が図示されている。なお、アドレス 変換装置 250は、ルータ 200が伝送路に対して送受信するすべてのパケットをインタ 一セプト (捕捉)することが可能な位置に配置されている。なお、図 5に示すルータ 20 0及びアドレス変換装置 250は 1セットであり、この 1セットが、図 1に示す各ルータ 11 〜14、 21〜24に対応している。
[0065] 図 5に示すルータ 200は、パケット送受信部 201、パケットバッファ部 202、ヘッダ解 析部 203、出力ポート決定部 205、ルーティングテーブル格納部 210を有している。 なお、図 5に示すパケット送受信部 201、パケットバッファ部 202、ヘッダ解析部 203 、出力ポート決定部 205、ルーティングテーブル格納部 210は、図 2に示すパケット 送受信部 101、パケットバッファ部 102、ヘッダ解析部 103、出力ポート決定部 105、 ルーティングテーブル格納部 110と同一である。したがって、ルータ 200は、単に、伝 送路力 受信したパケットの転送先を決定してパケット転送を行う装置であり、従来用 Vヽられて 、るルータそのものである。
[0066] 一方、アドレス変換装置 250は、伝送路とルータ 200との間に配置されており、パケ ットのアドレス変換処理を行う機能を有している。アドレス変換装置 250は、伝送路か ら受信したパケットに対してデコード処理を行って、デコード後のあて先アドレス (ル 一ティング用アドレス)が設定されたパケットをルータ 200に送出するとともに、ルータ 200から受信したパケットに対してエンコード処理を行って、エンコード後のあて先ァ ドレス (通信端末用アドレス)が設定されたパケットを伝送路に送出する機能を少なく とも有している。
[0067] 次に、図 5に示すルータ 200及びアドレス変換装置 250によって、パケット転送が行 われる際の動作について説明する。図 6は、本発明の第 2の実施の形態において、 アドレス変換装置が、対応するルータが受信するパケットに係る処理を行う際の一例 を示すフローチャートである。
[0068] アドレス変換装置 250は、セットとなって!/、るルータ(対応するルータ) 200が受信す るパケットのインターセプトが可能な位置に配置されており、対応するルータ 200が受 信すべきパケットを伝送路力も受信する (ステップ S 2001)。そして、アドレス変換装 置 250は、このパケットのヘッダの解析を行ってパケットのあて先アドレス(通信端末 用アドレス)を抽出し (ステップ S2003)、このあて先アドレスに対して、所定の変換方 法に基づいてアドレス変換処理を行って、あて先アドレスをデコードする(ステップ S2 005)。そして、アドレス変換装置 250は、パケットのあて先アドレスをデコード後のァ ドレス(ルーティング用アドレス)で書き換え(ステップ S2007)、あて先アドレスの書き 換えが行われたパケットを、対応するルータ 200に向けて送出する (ステップ S2009)
[0069] なお、ここでは、アドレス変換装置 250は、ルータ 200が受信すべきパケットのあて 先アドレスを通信端末用アドレス力 ルーティング用アドレスにデコードする動作のみ を行っている力 例えば、パケットの送信元アドレスに関しても通信端末用アドレスか らルーティング用アドレスにデコードするなど、ルータ 200の転送動作に応じた他の 必要な処理を行うことも可能である。
[0070] 上述のアドレス変換装置 250の動作により、伝送路上ではあて先アドレスとして設 定されている通信端末用アドレスがルーティング用アドレスに変換された後に、変換 処理後のパケットがルータ 200に供給されるようになる。ルータ 200は、ルーティング 用アドレスに係るアドレス空間に基づ 、て構築されたルーティングテーブルを有して おり、このルーティングテーブルを参照して、ルーティング用アドレスがあて先アドレス に設定されているパケットに対して転送処理を行い、適切な出力ポートからパケットを 伝送路に向けて送出する。
[0071] アドレス変換装置 250は、ルータ 200から伝送路に向けて送出されたパケットをイン ターセブトして、再びアドレス変換処理を行う。図 7は、本発明の第 2の実施の形態に おいて、アドレス変換装置が、対応するルータカゝら送出されるパケットに係る処理を行 う際の一例を示すフローチャートである。
[0072] アドレス変換装置 250は、対応するルータ 200から送出されたパケットを受信し (ス テツプ S2101)、このパケットのヘッダの解析を行ってパケットのあて先アドレス(ルー ティング用アドレス)を抽出する (ステップ S2103)。そして、アドレス変換装置 250は、 このあて先アドレスに対して、所定の変換方法に基づ 、てアドレス変換処理を行って 、あて先アドレスをエンコードする(ステップ S2105)。あて先アドレスのエンコード後、 アドレス変換装置 250は、パケットのあて先アドレスをエンコード後のアドレス(通信端 末用アドレス)で書き換え (ステップ S2107)、あて先アドレスの書き換えが行われた パケットを、伝送路に向けて送出する (ステップ S2109)。
[0073] 以上の動作によって、本発明の第 2の実施の形態では、本発明の第 1の実施の形 態と同様に、 ISPネットワーク 30に接続する通信端末のアドレスのサブネット IDの値と して、通信端末の接続位置を容易に類推することを不可能とする値が設定されるよう になる。この結果、 ISPネットワーク 30に接続する通信端末は、同一の ISPネットヮー ク 30に接続する通信相手や、 ISPネットワーク 30外部に接続されている通信相手に 対して、その接続位置を隠蔽するアドレスを使用して通信を行うことが可能となる。
[0074] また、本発明の第 2の実施の形態では、ルーティングテーブルの改変に加えて、ル ータ 200の構成の改変も行う必要はない。すなわち、 ISPネットワーク 30内のルータ 2 00の前段に上述のアドレス変換装置 250を配置するだけでよぐルータ 200では、あ て先アドレスにルーティング用アドレスが設定されているパケットの処理が行われるよ うにする。これにより、新たなルーティング環境の設定 ·管理などを行うことなぐかつ、 既に配置されているルータ 200に対して機能の追カ卩を行うことなぐアドレスの隠蔽を 想定せずに構築された従来の ISPネットワークシステムを、アドレスの隠蔽を可能とす る通信システムに容易に拡張することが可能となる。
[0075] <第 3の実施の形態 >
次に、本発明の第 3の実施の形態について説明する。上述の本発明の第 1及び第 2の実施の形態では、 ISPネットワーク 30で構築されたルーティングの規則を所定の アドレス変換方法で隠蔽し、その結果、アドレスカゝら通信端末の接続位置を容易に類 推することを不可能とするようにして 、る。所定のアドレス変換方法は ISPネットワーク 30の管理者のみが知るものであり、エンドユーザには知らされないので、エンドユー ザは通信端末用アドレスからルーティング用アドレスを導出することは不可能である。 しかしながら、所定のアドレス変換方法が固定されている場合には、どの接続位置に 通信端末が接続して!/、る場合に、通信端末用アドレスのサブネット IDがどのような値 を取るかという対応関係を、エンドユーザが経験的に把握できてしまう可能性があると いう問題が生じる。以下に説明する本発明の第 3の実施の形態では、上記の問題が 解決される。
[0076] 図 8は、本発明の第 3の実施の形態におけるルータの構成の一例を示す図である。
図 8に示すルータ 300は、パケット送受信部 301、パケットバッファ部 302、ヘッダ解 析部 303、アドレスデコーダ 304、出力ポート決定部 305、タイマ 306、ルーティング テーブル格納部 310を有している。なお、図 8に示すパケット送受信部 301、ノケット バッファ部 302、ヘッダ解析部 303、出力ポート決定部 305、ルーティングテーブル 格納部 310は、図 2に示すパケット送受信部 101、パケットバッファ部 102、ヘッダ解 析部 103、出力ポート決定部 105、ルーティングテーブル格納部 110と同一である。 すなわち、図 8に示すルータ 300は、図 2に示すルータ 100と比較した場合、更にァ ドレスデコーダ 304にタイマ 306が接続されて 、る構成を有する点が相違して!/、る。
[0077] タイマ 306は、計時機能を有するとともに、例えば、所定の時刻又は日時や所定の 時間が経過するごとなどに、アドレスデコーダ 304に対してトリガ (アドレス変換方法 変更指示情報)を発する機能を有している。一方、アドレスデコーダ 304は、図 2に示 すアドレスデコーダ 104と同様に、あて先アドレスのデコードを行う機能を有するととも に、更に、タイマ 306からのトリガを受けた場合に、通信端末用アドレスからルーティ ング用アドレスを生成する所定のアドレス変換方法 (デコード方法)のルールを変更 する機能を有している。
[0078] タイマ 306におけるトリガ出力の時間間隔は任意に設定可能であり、例えば、 1週 間ごとや 1ヶ月ごとなどのように、所定の時間間隔でタイマ 306からトリガが出力される ようにすることが可能である。また、アドレスデコーダ 304におけるアドレス変換方法の 変更の態様に関しても任意に設定可能であり、例えば、図 3に図示されているすべて のビットを 1つずらす方法から、すべてのビットを 2つずらす方法に変更してもよぐあ るいは、所定のビット領域の順序を逆にするなどの全く異なるアドレス変換方法に変 更してちよい。
[0079] また、所定のアドレス変換方法の変更は、 ISPネットワーク 30の内部で一斉に行わ れる必要がある。すなわち、 ISPネットワーク 30に存在するすべてのルータ(図 1に図 示されているルータ 11〜14、 21〜24)が同調して同一のアドレス変換方式への変 更を行い、さらには、通信端末が接続するルータは、所定のアドレス変換方式への変 更に伴って、 RAに含ませるサブネット IDの値を変更する。
[0080] これにより、 ISPネットワーク 30において用いられる通信端末用アドレスのサブネット IDの値が、 ISPネットワーク 30全体において大きく変更され、たとえエンドユーザが、 サブネット IDの値と通信端末の接続位置との対応関係を経験的に把握していた場合 でも、再び、サブネット IDの値と通信端末の接続位置との対応関係が把握できない 状態にすることが可能となる。
[0081] なお、図 8に示すルータ 300は、図 2に示すルータ 100の構成に対して、タイマ 306 力も出力されるトリガに応じて所定のアドレス変換方法を変更できるように構成されて いる力 図 5に示すアドレス変換装置 250が、タイマ 306から出力されるトリガに応じ て所定のアドレス変換方法を変更できるように構成されてもよい。また、各ルータに対 してタイマ 306を設けるのではなぐ例えば、 ISPネットワーク 30内にトリガ発生装置を 配置しておき、このトリガ発生装置力も全ルータに対してトリガが送出されることによつ て、 ISPネットワーク 30全体における所定のアドレス変換方法の変更が行われるよう に構成されてもよい。
[0082] また、本発明は、 ISPネットワーク 30に接続する通信端末 (通信端末 15、 25)が、移 動可能なモノィル端末の場合にも対応している。通信端末 15、 25が ISPネットワーク 30内を移動した場合に新たな接続先に適合するアドレスを取得する力 このとき通 信端末 15、 25は、新たな接続先のルータの RAに含まれるサブネット IDを用いてアド レスの生成を行う。したがって、通信端末 15、 25が新たに取得するアドレスは通信端 末用アドレスであり、通信端末 15、 25の接続位置は、通信相手には容易には分から ない状態となる。
[0083] また、上述の本発明の各実施の形態では、主に IPv6アドレスを前提として説明した 力 IPv4アドレスやその他のアドレスに関しても適用可能である。
[0084] また、上述の本発明の各実施の形態の説明で用いた各機能ブロックは、典型的に は集積回路である LSI (Large Scale Integration)として実現される。これらは個別に 1 チップ化されてもよいし、一部又はすベてを含むように 1チップ化されてもよい。なお、 ここでは、 LSIとした力 集積度の違いにより、 IC (Integrated Circuit)、システム LSI、 スーパー LSI、ウノレ卜ラ LSIと呼称されることもある。
[0085] また、集積回路化の手法は LSIに限るものではなぐ専用回路又は汎用プロセッサ で実現してもよい。 LSI製造後に、プログラムすることが可能な FPGA (Field Program mable Gate Array)や、 LSI内部の回路セルの接続や設定を再構成可能なリコンフィ ギュラブノレ ·プロセッサを利用してもよ 、。
[0086] さらには、半導体技術の進歩又は派生する別技術により LSIに置き換わる集積回 路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィ匕を行って もよい。例えば、バイオ技術の適応などが可能性としてあり得る。
産業上の利用可能性
[0087] 本発明は、通信端末がグローバルな接続性を維持しながら、アドレス情報から類推 される通信端末の情報を隠蔽できるようにするという効果や、従来の通信システムを アドレス隠蔽に対応した通信システムに容易に拡張することができるという効果を有し ており、送信元アドレス及びあて先アドレスが設定されたデータユニットの伝送を行う ための通信技術に適用可能であり、特に、 IPパケットの伝送を行うための通信技術に 適用可能である。

Claims

請求の範囲
[1] 所定のネットワークに接続されている通信端末から送信されるデータユニットを転送 する前記所定のネットワーク内のデータユニット転送装置であって、
外部の伝送路力 前記データユニットを受信するデータユニット受信手段と、 前記データユニット受信手段で受信した前記データユニットにあて先アドレスとして 設定されている前記通信端末の第 1アドレスを抽出し、所定のアドレス変換方法に基 づいて第 2アドレスに変換するアドレス変換手段と、
前記第 2アドレスの属するアドレス空間に基づ 、て構築されて 、るルーティングテー ブルを格納するルーティングテーブル格納手段と、
前記ルーティングテーブル格納手段に格納されている前記ルーティングテーブル を参照し、前記第 2アドレスに基づ 、て前記データユニットの転送先を決定するデー タユニット転送先決定手段と、
前記データユニット転送先決定手段で決定された前記データユニットの転送先に 基づいて、前記データユニットを外部の伝送路に送出するデータユニット送信手段と を、
有するデータユニット転送装置。
[2] 前記アドレス変換手段が、前記通信端末の前記第 1アドレスのサブネット ID領域の 値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2ァドレ スを生成するように構成されて ヽる請求項 1に記載のデータユニット転送装置。
[3] 計時機能を有しており、所定のタイミングで前記アドレス変換手段に対して、前記所 定のアドレス変換方法の変更を指示するための指示情報を送出する計時手段を更 に有する請求項 1に記載のデータユニット転送装置。
[4] 所定のネットワークに接続されている通信端末から送信されるデータユニットを転送 する前記所定のネットワーク内のデータユニット転送装置に対応して配置され、前記 データユニット転送装置に入出力される前記データユニットを捕捉するよう構成され て!、るアドレス変換装置であって、
外部の伝送路力 前記データユニット転送装置に到達する入力データユニットを捕 捉する第 1データユニット受信手段と、 前記第 1データユニット受信手段で受信した前記入力データユニットにあて先アド レスとして設定されて 、る前記通信端末の第 1アドレスを、所定のアドレス変換方法に 基づいて第 2アドレスに変換する第 1アドレス変換手段と、
前記第 1アドレス変換手段で前記あて先アドレスが前記第 2アドレスに変換された前 記入力データユニットを前記データユニット転送装置に送出する第 1データユニット 送信手段と、
前記データユニット転送装置から前記外部の伝送路に送出される出力データュニ ットを捕捉する第 2データユニット受信手段と、
前記第 2データユニット受信手段で受信した前記出力データユニットにあて先アド レスとして設定されて 、る前記通信端末の前記第 2アドレスを、前記所定のアドレス変 換方法に基づいて前記第 1アドレスに変換する第 2アドレス変換手段と、
前記第 2アドレス変換手段で前記あて先アドレスが前記第 1アドレスに変換された前 記出力データユニットを前記外部の伝送路に送出する第 2データユニット送信手段と を、
有するアドレス変換装置。
[5] 前記第 1アドレス変換手段が、前記通信端末の前記第 1アドレスのサブネット ID領 域の値に対して前記所定のアドレス変換方法に基づく変換処理を行って、前記第 2 アドレスを生成するように構成されており、前記第 2アドレス変換手段が、前記通信端 末の前記第 2アドレスのサブネット ID領域の値に対して前記所定のアドレス変換方法 に基づく変換処理を行って、前記第 1アドレスを生成するように構成されている請求 項 4に記載のアドレス変換装置。
[6] 計時機能を有しており、所定のタイミングで前記第 1及び第 2アドレス変換手段に対 して、前記所定のアドレス変換方法の変更を指示するための指示情報を送出する計 時手段を更に有する請求項 4に記載のアドレス変換装置。
[7] 複数のデータユニット転送装置によって所定のネットワークが構成されて 、る通信 システムであって、
前記所定のネットワークに接続する通信端末に対して、第 1アドレス空間に基づくァ ドレスを割り当てるように構成されて 、るとともに、前記複数のデータユニット転送装 置力 前記第 1アドレス空間に対して所定のアドレス変換方法を施すことによって得ら れる第 2アドレス空間に基づいたルーティングテーブルを有しており、データユニット の転送を行う際に前記ルーティングテーブルを参照し、前記所定のアドレス変換方 法によって変換された後のあて先アドレスに基づいて、前記データユニットの転送先 を決定するように構成されて 、る通信システム。
[8] 前記第 1アドレス空間に属するアドレスのサブネット ID領域の値に対して前記所定 のアドレス変換方法に基づく変換処理を行うことによって、前記第 2アドレス空間に属 するアドレスが生成されるように構成されている請求項 7に記載の通信システム。
[9] 前記複数のデータユニット転送装置のすべてが、前記第 1アドレス空間と前記第 2 アドレス空間との間の所定のアドレス変換方法を同調して変更するように構成されて
V、る請求項 7に記載の通信システム。
PCT/JP2006/314965 2005-07-28 2006-07-28 データユニット転送装置及びアドレス変換装置並びに通信システム WO2007013584A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005-219678 2005-07-28
JP2005219678 2005-07-28

Publications (1)

Publication Number Publication Date
WO2007013584A1 true WO2007013584A1 (ja) 2007-02-01

Family

ID=37683471

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2006/314965 WO2007013584A1 (ja) 2005-07-28 2006-07-28 データユニット転送装置及びアドレス変換装置並びに通信システム

Country Status (1)

Country Link
WO (1) WO2007013584A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001099354A1 (fr) * 2000-06-16 2001-12-27 Fujitsu Limited Dispositif de communication comprenant une fonction d'amenagement vpn
JP2004096287A (ja) * 2002-08-30 2004-03-25 Fujitsu Ltd Ipアドレスを自動生成するルータ

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001099354A1 (fr) * 2000-06-16 2001-12-27 Fujitsu Limited Dispositif de communication comprenant une fonction d'amenagement vpn
JP2004096287A (ja) * 2002-08-30 2004-03-25 Fujitsu Ltd Ipアドレスを自動生成するルータ

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NASUNO Y. ET AL.: "Router de Kyoka suru IP Network Dai 5 Kai IPv 6 (zenpen) Router o Settei sureba Address ha Jido de Tsuku", NIKKEI NETWORK, vol. 58, 22 January 2005 (2005-01-22), pages 168 - 173, XP003008256 *
NISHIDA K. ET AL.: "CS2002-82 IP2 ni Okeru IP-hostAddress to IP-routing Address Bunri no tameno Packet Tenso Hoshiki no Teian", IEICE TECHNICAL REPORT, vol. 102, 23 September 2002 (2002-09-23), pages 105 - 110, XP003008257 *

Similar Documents

Publication Publication Date Title
Blanchet Migrating to IPv6: a practical guide to implementing IPv6 in mobile and fixed networks
TWI520549B (zh) 使用位址交換之網路拓樸隱藏
US6687245B2 (en) System and method for performing IP telephony
JP4431112B2 (ja) 端末及び通信システム
CN104919766B (zh) 用于设备到设备通信的路径切换方法和设备
US7068647B2 (en) System and method for routing IP packets
US8363647B2 (en) System and method for configuring an IP telephony device
US7068646B2 (en) System and method for performing IP telephony including internal and external call sessions
KR20180125465A (ko) 개선된 라우팅, 진단, 및 콘텐츠-릴레이 네트워크를 위한 어드레스 공간의 오버로딩
EP2086179B1 (en) A method, system and device for transmitting media independent handover information
CN100413289C (zh) 基于P2P在IPv4上实现IPv6高性能互联的方法
JP2006086800A (ja) ソースアドレスを選択する通信装置
AU2002256072A1 (en) System and method for performing IP telephony
JP2006502636A (ja) データ通信ネットワークにおけるルーティング
Popoviciu Deploying ipv6 networks
Amoss et al. Handbook of IPv4 to IPv6 transition: Methodologies for institutional and corporate networks
Bless et al. The underlay abstraction in the spontaneous virtual networks (SpoVNet) architecture
Yan et al. A novel efficient address mutation scheme for IPv6 networks
EP2052514B1 (en) Pervasive inter-domain dynamic host configuration
Dooley et al. Ipv6 deployment and management
Jayanthi et al. Next generation internet protocol-Technical realms
WO2007013584A1 (ja) データユニット転送装置及びアドレス変換装置並びに通信システム
Herrero et al. Network and Transport Layers
WO2023031953A2 (en) Internet protocol version 16 (ipv16)
JP5322875B2 (ja) 通信方法、通信装置および通信システム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06781875

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP