WO2007069327A1

WO2007069327A1 - 中継装置，中継方法，中継用プログラム，中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置

Info

Publication number: WO2007069327A1
Application number: PCT/JP2005/023069
Authority: WO
Inventors: Akira Terasoma
Original assignee: Fujitsu Limited
Priority date: 2005-12-15
Filing date: 2005-12-15
Publication date: 2007-06-21
Also published as: US20080244728A1; JPWO2007069327A1

Abstract

　暗号化通信に先立って行なわれる仕様確定通信時に、第１の装置から送信される転送データからセキュリティ情報を取得する第１セキュリティ情報取得部（１２）と、この取得されたセキュリティ情報と第１の装置のアドレスとを対応付けて第１ルーティング情報（１４）として登録する第１登録部（１３）と、第２の装置から送信される転送データ中からセキュリティ情報を取得する第２セキュリティ情報取得部（１２）と、第２セキュリティ情報取得部（１２）によって取得されたセキュリティ情報に基づいて第１ルーティング情報（１４）を参照し、転送データを送信先の第１の装置に振り分ける第１振り分け部（１５）とをそなえるように構成することにより、複数の第１の装置から仕様確定通信を正常に行なうことができるとともに、仕様確定通信完了後においても、それぞれのLAN側の第１の装置に対して、暗号化されたパケットを正しく振り分けることができるようにする。

Description

明細書

中継装置，中継方法，中継用プログラム，中継用プログラムを記録したコンピュータ読取可能な記録媒体および情報処理装置

技術分野

[0001] 本発明は、 IPマスカレード（Internet Protocol masquerade)機能により、レスボンダと複数のイニシエータとの間で IPsec (IP Security)によるパケットの転送を行なう技術に関する。

背景技術

[0002] IPsec QP Security)は利用者専用のネットワーク（IPsecトンネル）を作り出す技術であって、暗号化や認証情報を設定することにより、遠隔地の LAN (Local Area Networ k)上のアプリケーションやデータをインターネット上でも安全に利用することができる

IPsecを使った通信を行なおうとする PC (イニシエータおよびレスボンダ）間においては、先ず IPsecのネゴシエーションを行なう。この IPsecのネゴシエーションは IKE (Int ernet Key Exchange)と呼ばれるプロトコノレを用いて、 UDP (User Datagram Protocol) ポートの 500番を用いてパケットの転送を行なうようになっている。

[0003] 図 15 (a) , (b)は IPsec接続を確立するためのネゴシエーションにおける工程（フエーズ）を説明するための図であり、図 15 (a)はそのフェーズ 1を説明するための図、図 15 (b)はそのフェーズ 2を説明するための図である。

ネゴシエーションは、図 15 (a) , (b)に示すような 2つの工程（フェーズ 1 , 2)に分力、れており、イニシエータ 131とレスボンダ 132との間において、先ず、そのフェーズ（p hase)丄 \ AKMP (Internet security Association Key Management Protocol) SA Security Association)の確立が行なわれる。具体的には、イニシエータ 131とレスポンダ 132との間で、「ISAKMP SAのプロポーザル」，「ISAKMP SAの選択」，「ィニシェ一タカの鍵作成のための情報」，「レスボンダからの鍵作成のための情報」，「ィニシエータからの認証データ」および「レスボンダからの認証データ」の 6つのメッセージを交換することにより、 ISAKMP SAの確立が行なわれる。 [0004] その後、フェーズ 2で、イニシエータとレスボンダとの間で、「IPsec SAのプロポーサルと鍵生成のための情報」，「IPsec SAの選択と鍵生成のための情報」および「認証データ」の 3つのメッセージを交換することにより、セキュリティプロトコルのための IPse c SAの確立が行なわれる。

これらの 2つのフェーズが完了すると、イニシエータ 131とレスボンダ 132との間で IP secを使った暗号化通信が可能になる。

[0005] そして、 LAN (Local Area Network)等のプライベートネットワークと WAN (Wide Area

Network)等のグローバルネットワークとの間を、上述した IPsec機能をそなえたルータ等を用いて接続することにより、例えば、 LAN側にある PC (イニシエータ）と WAN側にある PC (レスボンダ）との間で、 IPsecを用いた暗号化通信を行なうことができる。

また、近年においては、一般的に、プライベートネットワークとグローバルネットヮークとを接続する際に、プライベート IPアドレスと、 Internetアクセスに利用できるグロ一バルな IPアドレスとを相互に変換し、ローカルな IPアドレスし力割り当てられていないノードから、透過的に Internetをアクセスできるようにするために、 NAT (Network Addr ess Translation)と呼ばれる手法が用いられている。

[0006] グローバル IPとプライベート IPとを 1対 1で変換する NATにおいては、複数のクライアントが同時にインターネットに接続することができなレ、。そこで、複数のクライアントからインターネットへの同時接続を可能にするために IPマスカレード機能が用いられている。

この IPマスカレード機能は、 TCP (Transmission Control Protocol) /UDPのポート番号を変更することにより、複数のクライアントが同一のグローバルアドレスを用いてインターネットに同時に接続できるようにするものである。

非特許文献 1： "古河電工 VPNソリューション VPNつて何だろう？ IPsecとは？ "、 [onl ine]、 [平成 17年 9月 22日検索]、インターネットく URL : HYPERLINK "http://www.iur ukawa.co.jp/ network/vpn/about_vpn/ipsec/ipsec_top.html http://www.fhrukawa.co .jp/network/vpn/about_vpn/ipsec/ ipsec_top.html>

発明の開示

発明が解決しょうとする課題 [0007] しかしながら、従来のルータにおいては、 IPsecと NATとは相性があまりよくなレ、。 IPs e_cのネゴシエーションにおいては、 IKEは必ず UDPポート 500番を使用することが規定されており、 IPマスカレード等でそのポート番号を変更すると、ネゴシエーションを正常に行なうことができなレ、からである。

図 16 (a)， (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション時に送受信されるパケットを説明するための図であり、図 16 (a)はイニシエータ（PC131a， PC131b) ,ルータ 201およびレスボンダ（PC132)間において送受信されるパケット（P11〜P18)を示す図、図 16 (b)は図 16 (a)に示す各パケットについて SP (Source Port) , DP (Destination Port) , SA (Source Address)および DA(Destinatio Address)をそれぞれ示す図である。

[0008] なお、これらの図 16 (a) , (b)に示す例においては、 2つのイニシエータ（PC131a， PCI 31b)が接続された LANと 1つのレスボンダ（PCI 32)が接続された WANとをルータ 201を介して接続して構成されている。

また、これらの図 16 (a) , (b)に示す例においては、図 16 (a)中に示すパケット P11 , P12, P13, P14により、 PC131a (イニシエータ）と PC132 (レスボンダ）との間で、既に IKE (UDPポート 500番）を使用した IPsecのネゴシエーション（phase 1, 2)が完了し、 IPsecを使った暗号化通信が可能な状態になっているものとする。

[0009] このような状態において、新たに PC131b (イニシエータ）と PC132 (レスボンダ）との間でネゴシエーションを開始する場合に、 PC131bがフェーズ 1の最初のパケット（ riSAKMP SAのプロポーザル」パケット；パケット P15)を出力すると、ノレータ 201は IP マスカレードによりパケットの Source portを 500から任意の番号（図 16 (b)の例では 1 )に変換してしまう（パケット P16参照）。

[0010] そして、このようにルータ 201によってソースポートの番号を変更されたパケットを受信した PC132においては、受信したパケットのポート番号が 500ではないので、このパケット IKEであると判断できないおそれがある。

また、仮に PC132がそのパケットを IKEであると判断し、次のパケット（「ISAKMP SA の選択」パケット；パケット P17)を PC131b宛に返信したとしても、このパケットの Sour ce portと Destination portはそれぞれ 500として発信されるので、 PC131aのネゴシェーシヨンにおいて送信されたパケット P13と同じになり、ルータ 201はそのパケットを区別できず、 PCI 31bに正しく振り分けることができない。

[0011] このように、従来のルータ 201において、 LAN— WAN間で NATを挟んだネゴシエーシヨンを行なう場合には、 1台のイニシエータしかネゴシエーションを正常に行なうことができないおそれがある。

図 17 (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション完了後に送受信されるパケットを説明するための図であり、図 17 ( a)はイニシエータ（PC131a， PC131b) ,ルータ 201およびレスボンダ（PC132)間におレヽて送受信されるノケット（P21， P22, P23, P26)を示す図、図 17 (b)は図 17 (a)における各パケットの内容を模式的に示す図である。なお、以下、図中、既述の略語や符号と同一の略号や符号は同一の意味部分を示しているので、その詳細な説明は省略する。

[0012] これらの図 17 (a) , (b)に示すように、 IPsecのネゴシエーション完了後に送受信される喑号ィ匕されたパケット P23, P26においては、パケットの最終的な送信先である PC 131a, 131bのアドレスやポート番号が暗号化される。

従って、たとえ複数のイニシエータから同時に IPsecのネゴシエーションが完了し、 IP secを使った暗号化通信を同時に行なえるようになったとしても、ネゴシエーション完了後においては、パケットのポート番号自体が IPsecによって暗号化されてしまうので、ポート番号を変更できず、 IPマスカレードを使用することができない。

[0013] なお、従来のルータにおいては、 IPsecパススルーと呼ばれる手法を用いて、 IPsec などで暗号化されたパケットは IPマスカレードを行わずに素通りさせ、送信元アドレスをルータ 201のグローバルアドレス（192.168.20.1)に付け替えることも行なわれている。しかしながら、このような IPsecパススルー方式においては、ポート番号の変更が行なわないので、例えば、図 17 (a) , (b)におけるパケット P23とパケット P26とはルータ 201から見れば同じものに見えてしまう。

[0014] すなわち、この場合においても、ルータ 201は PC132から送られてきたパケットを P C131a， PC131bに正しく振り分けることができないので、結果的にルータ 201には 1台のイニシエータしか接続することができない。本発明は、このような課題に鑑み創案されたもので、複数のイニシエータから IPsec のネゴシエーションを正常に行なうことができるとともに、ネゴシエーション完了後においても、それぞれの LAN側の PC (イニシエータ）に対して、 IPsecによって暗号化されたパケットを正しく振り分けることができるようにすることを目的とする。

課題を解決するための手段

[0015] 上記の目的を達成するために、本発明の中継装置は、第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な中継装置であって、前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1 セキュリティ情報取得部と、該第 1セキュリティ情報取得部によって取得された該セキユリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録部と、該第 2の装置力送信される該転送データ中からセキュリティ情報を取得する第 2セキュリティ情報取得部と、該第 2セキュリティ情報取得部によつて取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分け部とをそなえることを特徴としている。

[0016] なお、当該中継装置が IP (Internet Protocol)マスカレード機能をそなえるとともに、該仕様確定通信時において、該 IPマスカレード機能を抑止する抑止部と、仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定部とをそなえ、該ポート番号設定部によって該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出してもよい。

[0017] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信部と、該要求信号送信部から送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信部と、該応答信号受信部によつて受信された該識別値と、当該第 1の装置のアドレスとを対応付けて第 2ルーティング情報として登録する第 2登録部と、該第 2の装置から送信される該転送データから該識別値を取得する識別値取得部と、該識別値取得部によって取得された該識別値に基づいて該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1 の装置に振り分ける第 2振り分け部とをそなえてもよい。

[0018] また、本発明の中継方法は、第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な中継方法であって、前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1セキュリティ情報取得ステツプと、該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ステップと、該第 2の装置から送信される該転送データ中力セキュリティ情報を取得する第 2セキュリティ情報取得ステップと、該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとをそなえることを特 ί数としている。

[0019] なお、該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止する抑止ステップと、仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定ステップとをそなえ、該第 1 振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出してもよい。

[0020] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと、該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレスとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ステップと、該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けステツプとをそなえてもよい。 [0021] また、本発明の中継用プログラムは、第 1の装置と第 2の装置との間において暗号化された転送データの送受信を行なう中継機能をコンピュータに実行させるための中継用プログラムであって、前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1セキュリティ情報取得ステップと、該第 1セキユリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ステップと、該第 2の装置力送信される該転送データ中からセキュリティ情報を取得する第 2セキユリティ情報取得ステップと、該第 2セキュリティ情報取得ステップにおレ、て取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴としている。

[0022] なお、該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止する抑止ステップと、仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定ステップとを、該コンピュータに実行させるとともに、該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出するように、該コンピュータを機能させてもよい。

[0023] そして、該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと、該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレスとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ステップと、該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けステツプとを、該コンピュータに実行させてもよい。 [0024] また、本発明のコンピュータ読取可能な記録媒体は、上述した中継用プログラムを記録したものである。

さらに、本発明の情報処理装置は、中継装置を介して、他の情報処理装置との間で転送データの送受信を行なう情報処理装置であって、該他の情報処理装置との間において暗号化通信に先立って行なわれる仕様確定通信の完了後に、該中継装置から送信される要求信号を受信する要求信号受信部と、該要求信号受信部が該要求信号を受信したときに、該仕様確定通信時に使用した識別値を該中継装置に対して応答信号として送信する応答信号送信部とをそなえることを特徴としている。

発明の効果

[0025] 本発明によれば、以下の少なくともいずれ力 1つの効果ないし利点がある。

(1)第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時において、転送データを確実に振り分けることができ、仕様確定通信を行なうことができる。

(2)仕様確定通信完了後においても、暗号化された転送データを正しく振り分けて暗号化通信を行なうことができる。

図面の簡単な説明

[0026] [図 1]本発明の一実施形態としてのルータ（中継装置）をそなえた中継システムの構成を模式的に示す図である。

[図 2]本発明の一実施形態としてのルータの構成のハードウェア構成を模式的に示す図である。

[図 3]本発明の一実施形態としてのルータにおける IPsec無効時に用いられるルーテイングテーブルの例を示す図である。

[図 4]本発明の一実施形態としてのルータにおける第 1ノレ一ティングテーブルの例を示す図である。

[図 5]本発明の一実施形態としてのルータにおいて用いられる要求パケットの例を示す図である。

[図 6]本発明の一実施形態としてのルータにおいて用いられる応答パケットの例を示す図である。園 7]本発明の一実施形態としてのルータにおける第 2ルーティングテーブルの例を示す図である。

[図 8]IPsecのネゴシエーションのフェーズ 2においてイニシエータからレスボンダに送信されるパケットの一部を示す図である。

[図 9]IPsecのネゴシエーションのフェーズ 2においてレスボンダからイニシエータに送信されるパケットの一部を示す図である。

[図 10]IPsecのネゴシエーション完了後にイニシエータからレスボンダに送信されるパケットの構成例を示す図である。

[図 1 l]IPsecのネゴシエーション完了後にレスボンダからイニシエータに送信されるパケットの構成例を示す図である。

園 12]本発明の一実施形態としてのルータに接続されるレスボンダの SADの例を示す図である。

[図 13]本発明の一実施形態としてのルータにおける IPsecのネゴシエーション時の処理を説明するためのフローチャートである。

園 14]本発明の一実施形態としてのルータにおける IPsecのネゴシエーション完了後の処理を説明するためのフローチャートである。

[図 15] (a) , (b)は IPsec接続を確立するためのネゴシエーションにおける工程を説明するための図である。

[図 16] (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション時に送受信されるパケットを説明するための図である。

[図 17] (a) , (b)は従来のルータにおける IPマスカレード機能を用いた場合での IPsec のネゴシエーション完了後に送受信されるパケットを説明するための図である。符号の説明

10 ルータ（中継装置）

11 LAN側通信部

12 イニシエータクッキー取得部（第 1イニシエータクッキー取得部，第 2ィユシェータクッキー取得部，第 1セキュリティ情報取得部，第 2セキュリティ情報取得部） 13 第 1登録部 14 第 1ルーティングテーブル (第 1ルーティング情報）

15 第 1振り分け部

16 第 3ルーティングテーブル

17 WAN側通信部

18 抑止部

19 ポート番号設定部

20 要求パケット送信部 (要求信号送信部）

21 応答パケット受信部 (応答信号送信部）

22 第 2登録部

23 第 2振り分け部

24 SPI値取得部 (識別値取得部）

25 第 2ルーティングテーブル（第 2ルーティング情報）

31 , 31a, 31b PC (イニシエータ，第 1の装置）

32 PC (レスボンダ，第 2の装置）

40 CPU

41 メモリチップ

42, 45 PHYチップ

43 WAN側 MAC

44 LAN側 MAC

発明を実施するための最良の形態

以下、図面を参照して本発明の実施の形態を説明する。

図 1は本発明の一実施形態としてのルータ（中継装置）をそなえた中継システムの構成を模式的に示す図、図 2は本発明の一実施形態としてのルータの構成のハードウェア構成を模式的に示す図である。

ルータ（中継装置） 10は、ネットワーク同士を通信可能に接続し、これらのネットヮーク間でパケットの中継処理を行なう中継装置である。本実施形態においては、ルータ 10は、プライベートネットワーク（LAN ; Local Area Network)とグローバルネットワーク (WAN ; Wide Area Network)との間でパケット（転送データ）の中継処理を行なうようになっており、 LAN側の 1以上（本実施形態では 2つ）の PC (Personal Computer) 31 a, 31bと、 WAN側の 1以上（本実施形態では 1つ）の PC32との間でパケットの中継（転送，送受信）を行なうようになっている。

[0029] なお、本実施形態においては、図 1に示すように、 PC31aのアドレス（LAN上におけるプライベートアドレス）が 192.168.2.100、 PC31aのアドレスが 192.168.2.101、ルータ 10の LAN側のアドレス（プライベートアドレス）が 192.168.2.1、ルータ 10の WAN側のアドレス（グローバルアドレス）が 192.168.20.10、 PC32のアドレス（WAN上におけるグローバルアドレス）が 192.168.20.1であるものとする。

[0030] また、本ルータ 10は、 IPマスカレード機能をそなえており、 TCP/UDP (Transmission

Control Protocol/User Datagram Protocol)のポート番号を変更することで、一のグローバルアドレスを用いて LAN側の複数の PC31a, 31bが同時にインターネットに接続することができるようになつている。

さらに、本ルータ 10は、 IPsec (lP Security)通信（暗号化通信)機能をそなえており、この IPsec機能によって IPパケット（転送データ）の暗号化や認証機能を付加し、パケットの改ざんや盗聴を防止することができるようになっている。図 1に示す例においては、ルータ 10は、 LAN側の PC31a, 31bと WAN側の PC32との間において IPsecによる通信を可能にするものであって、本実施形態においては、 PC31a, 31b (ィニシェータ，第 1の装置）から PC32 (レスボンダ，第 2の装置）に対して IPsecによる通信要求を行なう場合について説明する。

[0031] 以下、本実施形態においては、 PC31aや PC31bをイニシエータ 31aやィニシエータ 31bという場合がある。又、 PC (イニシエータ）を示す符号としては、複数の PC (ィユシェータ）のうち 1つを特定する必要があるときには符号 31a, 31bを用いる力任意の PC (イニシエータ）を指すときには符号 31を用いる。

また、本ルータ 10においては、上述の如き IPsec機能を有効にする他、 IPsec機能を使用しないで通信を行なうこともできるようになつており（IPsec無効時;通常時）、このような IPsec機能の有効 Z無効の設定は、例えば PC31, 32のユーザ等が任意に行なうことができるようになつている。

[0032] 図 3は本発明の一実施形態としてのルータ 10における IPsec無効時に用いられる第 3ルーティングテーブル 16の例を示す図であって、 PC31a, 31b力 PC32へ送信したパケットに関する情報の例を示すものである。この図 3に示すように、 IPsec無効時においては、本ルータ 10が有する IPマスカレード機能により、パケットのソースポート（ Source port)やデスティネーションポート（Destination port)の値を任意の値（1024,11 24,768,1755,53等）に変更し、後述する第 2振り分け部 23が、この第 3ルーティングテ一ブル 16を参照してパケットの振り分けを行なレ、、正しい送信先にパケットの送信を行なうようになっている。

[0033] 本ルータ 10は、図 2に示すように、 CPU40,メモリチップ（Memory Chip) 41 , PHY チップ（PHY Chip) 42, 45, WAN側 MAC43および LAN側 MAC44をそなえて構成されている。

メモリチップ 41は、 CPU (Central Processing Unit) 40を動作させるためのプログラムゃデータを格納したり、第 ₃ルーティングテーブル ₁₆の他、後述する第 1ルーティングテーブル 14 (図 1参照）や第 2ルーティングテーブル 25 (図 1参照）を格納するものである。

[0034] CPU40は、ルータ 10における種々の制御'処理を行なうものであって、メモリチッ

の内部記憶装置に格納されたプログラムを実行することにより、後述する、ィニシエータクツキ一取得部 12，第 1登録部 13,第 1振り分け部 15,抑止部 18,ポート番号設定部 19,要求パケット送信部 20，応答パケット受信部 21，第 2登録部 22,第 2振り分け部 23および SPI値取得部 24として機能するようになっている。

[0035] なお、これらのイニシエータクッキー取得部 12,第 1登録部 13,第 1振り分け部 15, 抑止部 18,ポート番号設定部 19,要求パケット送信部 20,応答パケット受信部 21，第 2登録部 22,第 2振り分け部 23および SPI値取得部 24としての機能を実現するためのプログラムは、例えばフレキシブルディスク， CD (CD-ROM, CD-R, CD— RW等）， DVD (DVD -ROM, DVD -RAM, DVD-R, DVD + R, DVD-RW , DVD + RW等），磁気ディスク，光ディスク，光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供してもよい。

[0036] なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードゥエァを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンビユータに相当する。ハードウェアは、少なくとも、 CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、ルータ 10がコンピュータとしての機能を有しているのである。

[0037] さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク， C D, DVD,磁気ディスク，光ディスク，光磁気ディスクのほカ ICカード， ROMカートリッジ，磁気テープ，パンチカード，コンピュータの内部記憶装置（RAMや ROMなどのメモリ），外部記憶装置等や、バーコードなどの符号が印刷された印刷物等のコンピュータ読取可能な種々の媒体を利用することができる。

[0038] PHYチップ 42, 45は、ネットワークの物理的（physical)な接続.伝送を制御するものであって、 PHYチップ 42は本ルータ 10と WAN側のイーサネット（登録商標）（WAN Et hernet)との間で物理的な接続'伝送を行ない、 PHYチップ 45は本ルータ 10と LAN側のイーサネット（LAN Ethernet)との間で物理的な接続.伝送を行なうようになっている。又、本実施形態においては、 PHYチップ 45は、スイッチングハブチップ（Switching Hub Chip)を内蔵しており、スイッチングハブとしての機能も有している。

[0039] WAN側 MAC (Media Access Control) 43は、本ルータ 10と WANとの間でのメディアアクセス制御を行なうものであって、例えばパケットの送受信における誤り検出等を行なうようになっている。 LAN側 MAC (Media Access Control) 44»,本ルータ 10と LAN 側の通信機器 (本実施形態では PC32)との間でのメディアアクセス制御を行なうものであって、例えばパケットの送受信における誤り検出等を行なうようになっている。

[0040] また、ルータ 10は、図 1に示すように、 LAN側通信部 11， WAN側通信部 17,ィニシエータクツキ一取得部（第 1イニシエータクッキー取得部，第 2イニシエータクッキー取得部） 12,第 1登録部 13，第 1ルーティングテーブル 14，第 1振り分け部 15，抑止部 18,ポート番号設定部 19,要求パケット送信部 20,応答パケット受信部 21，第 2登録部 22,第 2振り分け部 23, SPI値取得部 24および第 2ルーティングテーブル 25をそなえて構成されている。 [0041] LAN通信部 11は、 LAN側の PC31a, 31b等との間でパケット通信を行なうものであり、図 2における PHYチップ 45, LAN側 MAC44等によって実現される。 WAN側通信部 17は、 WAN側の PC32等との間でパケット通信を行なうものであり、図 2における P HYチップ 42， WAN側 MAC43等によって実現される。

抑止部 18は、 IPsecのネゴシエーション時（喑号ィ匕通信に先立って行なわれる仕様確定通信時）において、前述した本ルータ 10における IPマスカレード機能を抑止するものであり、パケットのソースポートやデスティネーションポートの値を任意の値に変更することを抑止するようになってレ、る。

[0042] ポート番号設定部 19は、パケットのソースポートを任意に設定するものであって、 IP s_ecのネゴシエーション時において、イニシエータ 31a, 31b力も送信されたネゴシェーシヨンのパケットのソースポートを IKEの規格に則って設定するものであり、本実施形態においては UDP (User Datagram Protocol)の 500に設定するようになっている。すなわち、ポート番号設定部 19は、抑止部 18によってソースポートやデスティネーシヨンポートの値の変更（IPマスカレード機肯を抑止されたパケットについて、そのソースポートを 500に変更する。

[0043] イニシエータクッキー取得部（第 1イニシエータクッキー取得部，第 2イニシエータクツキ一取得部，第 1セキュリティ情報取得部，第 2セキュリティ情報取得部） 12は、ィニシエータ 31やレスボンダ 32から送信されたパケットからイニシエータクッキー（セキュリティ情報）を取得 ·抽出するものである。

イニシエータクッキーはイニシエータ 31がネゴシエーションを開始するときに作成する任意の値であって、例えば 64bitの乱数が用いられ、 IPsecの暗号鍵を作成する要素となるものである。なお、一般に、 IPsecネゴシエーションの工程フェーズ 1， 2において、すべてのパケットで共通のイニシエータクッキーが使用される。

[0044] そして、イニシエータクッキー取得部 12は、 IPsecのネゴシエーション時に、ィユシェータ 31から送信される IKE (Internet Key Exchange)のフェーズ 1における最初のパケット（「ISAKMP SAのプロポーサル」パケット）から、イニシエータ 31により作成されるィユシェータクッキーを取得するようになってレ、る。

例えば、イニシエータクッキー取得部 12は、 IPsecのネゴシエーション時におけるフエーズ 1の「ISAKMP SAのプロポーザル」パケットを認識し、このパケット中における特定部分を抽出することにより、そのイニシエータクッキーを取得することができる。

[0045] また、イニシエータクッキー取得部（第 2イニシエータクッキー取得部，第 2セキユリティ情報取得部） 12は、 IPsecのネゴシエーションの工程において、レスボンダ 32から送信されるパケットのイニシエータクッキーを取得するようになっており、レスボンダ 32から送信されるパケット中における特定部分を抽出することによって、そのイニシエータクッキーを取得するようになってレ、る。

[0046] 第 1登録部 13は、イニシエータクッキー取得部 12によって取得されたイニシエータクッキーと、そのパケットを送出したイニシエータ 31のアドレスと、レスボンダ 32のアドレスとを対応付けて、第 1ルーティングテーブル 14としてメモリチップ 31に格納（登録 )するようになっている。

具体的には、第 1登録部 13は、イニシエータクッキー取得部 12によってパケットから取得されたイニシエータクッキーと、そのパケットの送信元アドレスとに基づいて第 1 ルーティングテーブル 14を参照して、これらのイニシエータクッキーや送信元アドレスが第 1ルーティングテーブル 14に登録 (格納）されているか否かを確認し、登録されていない場合には、そのパケットが IPsecのネゴシエーション時におけるフェーズ 1の最初のパケット（「ISAKMP SAのプロポーザル」パケット）であるとみなし、これらのィニシエータクツキ一， NAT (Network Address Translation)変換前ソースアドレス（Source address ;送信元アドレス）， NAT変換後デスティネーションアドレス（Destination addr ess ;送信先アドレス）， NAT変換前ソースポート（Source port) , NAT変換後ソースポート， NAT変換前デスティネーションポート， NAT変換後デスティネーションポートおよび NAT変換後デスティネーションポートを互いに関連付けて第 1ルーティングテーブル 14に追加（登録）するようになつている。

[0047] なお、本ルータ 10は、プライベート IPアドレスと、 Internetアクセスに利用できるグロ一バルな IPアドレスとを相互に変換する NAT (Network Address Translation)変換機能をそなえており、 NAT変換後デスティネーションアドレス， NAT変換後ソースポート , NAT変換後デスティネーションポートおよび NAT変換後デスティネーションポートは、それぞれこの NAT変換機能によって生成されるようになっている。又、このような NA T変換機能は既知の種々の手法を用いて実現することができる。

[0048] 第 1ルーティングテーブル（第 1ルーティング情報） 14は、 IPsecのネゴシエーション時に転送するパケットに関して、第 1イニシエータクッキー取得部 12によって取得されたイニシエータクッキーと、そのイニシエータ 31のアドレスとを対応付けて保持するものである。

図 4は本発明の一実施形態としてのルータ 10における第 1ルーティングテーブル 1 4の例を示す図である。この図 4に示す第 1ノレ一ティングテーブル 14は、上述したように、 NAT変換前ソースアドレス（Source address) , NAT変換後デスティネーションアドレス（Destination address) , NAT変換前ソースポート（Source port) , NAT変換後ソースポート， NAT変換前デスティネーションポート， NAT変換後デスティネーションポート , NAT変換後デスティネーションポートおよびイニシエータクッキーを相互に関連させて登録することにより構成されている。

[0049] また、第 1ノレ一ティングテーブル 14においては、第 1イニシエータクッキー取得部 12 によって取得されたイニシエータクッキーと、そのイニシエータ 31のアドレスとレスポンダ 32のアドレスとを対応付けることにより、レスボンダ 32が複数ある場合に対応することができるようになつている。

なお、この図 4に示す第 1ルーティングテーブル 14においては、 PC31a, 31bのそれぞれから PC32に対して送信されたパケットであって、抑止部 18によってソースポートゃデスティネーションポートの値の変更（IPマスカレード機能）を抑止された後に、ポート番号設定部 19によってソースポートを 500に変更された各パケットについての情報がそれぞれ表示されてレ、る。

[0050] また、この第 1ルーティングテーブル 14は、例えば、メモリチップ 41や図示しない R AMや ROM,ハードディスク等の記憶装置内に格納されるようになっている。

第 1振り分け部 15は、イニシエータクッキー取得部 12によって取得されたィニシェ一タクツキ一に基づいて第 1ルーティングテーブル 14を参照し、そのパケットを送信先のイニシエータ 31に振り分けるものである。

[0051] 具体的には、第 1振り分け部 15は、レスボンダ 32から送信されるパケットについて、イニシエータクッキー取得部 12によって取得されたイニシエータクッキーに基づいて第 1ノレ一ティングテーブル 14を参照して、そのイニシエータクッキーに対応するィニシエータ 31のアドレス（ソースアドレス）を取得し、そのパケットがそのイニシエータ 31 に送信されるように振り分けを行ない、 LAN側通信部 11に、その振り分けられたィニシエータ 31のアドレスに対してパケットを送信させるようになつている。

[0052] すなわち、本ルータ 10においては、 IPsecのネゴシエーション時において、ィユシェ一タクツキ一が IPマスカレードにおけるポート番号と同様の役割を果たすようになっており、このイニシエータクッキーを用いることにより、レスボンダ 32からイニシエータ 31 へ返信されるソースポートやデスティネーションポートが 500のパケットを、その送信先のイニシエータ 31に正しく振り分けることができる。

[0053] 要求パケット送信部（要求信号送信部） 20は、イニシエータ 31とレスボンダ 32との間における IPsecのネゴシエーション完了後に、そのイニシエータ 31に対して IPsecのネゴシエーション時に使用した SPI (Security Parameter Index)値（識別値）の通知を要求する要求パケット（要求信号)を送信するものである。

また、この要求パケットを受信したイニシエータ 31 (PC31a, 31b)は、 SPI値を格納した「応答パケット (応答信号)」を返信するようになってレ、る。

[0054] 図 5は本発明の一実施形態としてのルータ 10において用いられる要求パケットの例を示す図、図 6は本発明の一実施形態としてのルータ 10において用いられる応答パケットの例を示す図である。

要求パケットはイニシエータ 31に対して IPsecのネゴシエーション時に使用した SPI 値の通知を要求するための特定の文字列や情報 (コマンド等）をそなえて構成され、図 5に示す例においては、要求パケットは TCP/IPヘッダとデータ部とをそなえて構成されており、そのデータ部には SPI値の送信を要求するコマンド "SPWvalue"が格納されている。

[0055] 一方、イニシエータ 31は、受信したパケットのデータ部にコマンド "SPWvalue"を検出すると、ルータ 10に対して、図 6に示すような応答パケットを送信するように予め規定 (設定)されている。

応答パケットは、要求パケット送信部 20から送信された要求パケットに対する応答として各イニシエータ 31から送信されるものであって、イニシエータ (応答パケット送信部） 31は、 IPsecのネゴシエーション時に使用した（イニシエータ 31が「IPsec SAのプ口ポーサルと鍵生成のための情報」パケット内に格納した） SPI値を含む応答パケット（図 6参照）をルータ 10に送信するようになっている。

[0056] なお、図 6に示す例においては、応答パケットは TCP/IPヘッダとデータ部とをそなえて構成されており、そのデータ部には 32ビットの SPI値（図 6に示す例では" deff9c4a ")が格納されている。

応答パケット受信部 (応答信号受信部） 21は、要求パケット送信部 20から送信された要求パケットに対する応答としてイニシエータ 31から応答パケットとして送信される SPI値を受信するものであって、イニシエータ 31から送信された応答パケットのデータ部から SPI値を抽出して、この SPI値を第 2登録部 22に渡すようになつている。

[0057] 第 2登録部 22は、応答パケット受信部 21によって受信された SPI値と、その応答パケットを送信したイニシエータ 31のアドレスと、レスボンダ 32のアドレスとを対応付けて第 2ルーティングテーブル (第 2ルーティング情報） 25として登録するものであり、本実施形態においては、 NAT変換前ソースアドレス， NAT変換後ソースアドレス， NAT 変換前デスティネーションアドレス， NAT変換後デスティネーションアドレスおよび SPI 値を相互に関連させて第 2ルーティングテーブル 25として登録するようになっている

[0058] 第 2ルーティングテーブル 25は、 IPsecのネゴシエーション完了後に転送するバケツトに関して、応答パケット受信部 21によって取得された SPI値と、その応答パケットを送信したイニシエータ 31のアドレスとを対応付けて保持するものである。

図 7は本発明の一実施形態としてのルータ 10における第 2ルーティングテーブル 2 5の例を示す図である。この図 7に示す第 2ルーティングテーブル 25は、上述したように、 NAT変換前ソースアドレス， NAT変換後ソースアドレス， NAT変換前デスティネーシヨンアドレス， NAT変換後デスティネーションアドレスおよび SPI値を相互に関連させて登録することにより構成されている。

[0059] また、第 2ルーティングテーブル 25においては、応答パケット受信部 21によって取得された SPI値と、その応答パケットを送信したイニシエータ 31のアドレスと、レスボンダ 32のアドレスとを対応付けることにより、レスボンダ 32が複数ある場合に対応することができるようになつている。

また、この第 2ノレ一ティングテーブル 25は、上述した第 1ノレ一ティングテーブル 14と同様に、例えば、メモリチップ 41や図示しない RAMや ROM,ハードディスク等の記憶装置内に格納されるようになっている。

[0060] なお、この図 7に示す第 2ルーティングテーブル 25においては、 PC31a， 31bのそれぞれから PC32に対して送信された各パケットについての情報がそれぞれ表示されている。

SPI値取得部（識別値取得部） 24は、 IPsecのネゴシエーション完了後に行なわれる暗号化通信にぉレ、て、レスボンダ 32から送信されるパケットから SPI値を取得するものであって、前述したイニシエータクッキー取得部 12等と同様に、パケット中における特定部分を抽出することにより、その SPI値を取得するようになっている。

[0061] 図 8は IPsecのネゴシエーションのフェーズ 2においてイニシエータ 31からレスボンダ

32に送信されるパケット（「IPsec SAのプロポーザルと鍵生成のための情報」パケット）の一部を示す図、図 9は IPsecのネゴシエーションのフェーズ 2においてレスボンダ 32 力らイニシエータ 31に送信されるパケット（「IPsec SAのプロポーザルと鍵生成のための情報」パケット）の一部を示す図、図 10は IPsecのネゴシエーション完了後にィニシエータ 31からレスボンダ 32に送信されるパケットの構成例を示す図、図 11は IPsecのネゴシエーション完了後にレスボンダ 32からイニシエータ 31に送信されるパケットの構成例を示す図、図 12は本発明の一実施形態としてのルータ 10に接続されるレスボンダ 32の SADの例を示す図である。

[0062] ここで、 SPI値は、イニシエータ 31 ,レスボンダ 32それぞれ力 SlPsecで暗号化パケットを復号化する時に、自身が持つ SAD (Security Association Database ;図 12参照）を検索するために使われる 32ビットの任意の値であり、イニシエータ 31によって生成され、図 8に示すように、 IPsecのネゴシエーションのフェーズ 2の最初にイニシエータ 31 が送信する「IPsec SAのプロポーザルと鍵生成のための情報」パケットに格納されるようになつている。

[0063] また、図 9に示すように、 SPI値は、 IPsecのネゴシエーションのフェーズ 2の最初にレスボンダ 32がイニシエータ 31に送信する「IPsec SAのプロポーザルと鍵生成のための情報」パケットにも格納されるようになっている。

レスボンダ 32は、イニシエータ 31から送信された「IPsec SAのプロポーザルと鍵生成のための情報」パケット（図 8参照）内にある SPI値を取得し、ネゴシエーション完了後の喑号ィ匕通信においてパケットを送る場合に、図 10に示すように、この SPI値を喑号化パケットに格納して送信するようになっている。

[0064] イニシエータ 31は、図 12に示すように、宛先アドレス， IPsecプロトコル，カプセルィ匕モード等に SPI値を関連付けて構成した SADをメモリやハードディスク等の図示しない記憶装置に格納しており、暗号化パケットを受信すると、その SPI値を用いて自身の S ADの中を検索して復号化するようになつている。

一方、イニシエータ 31がパケットを送信する場合には、イニシエータ 31は、 IPsecのネゴシエーションのフェーズ 2の最初にレスボンダ 32から送信される「IPsec SAの選択と鍵生成のための情報」パケット（図 9参照）内から SPI値を取得し、図 11に示すように、この取得した SPI値を送信するパケットに格納して送信するようになっている。

[0065] 第 2振り分け部 23は、 SPI値取得部 24によって取得された SPI値に基づいて第 2ノレ一ティングテーブル 25を参照し、そのパケットを送信先のイニシエータ 31に振り分けるものである。

具体的には、第 2振り分け部 23は、通常通信時にレスボンダ 32から送信されるパケットについて、 SPI値取得部 24によって取得された SPI値に基づいて第 2ノレ一ティングテーブル 25を参照して、その SPI値に対応するイニシエータ 31のアドレス（ソースアドレス）を取得し、そのパケットがそのイニシエータ 31に送信されるように振り分けを行なレ、、 LAN側通信部 11に対して、その振り分けられたイニシエータ 31のアドレスに対してパケットを送信させるようになつている。

[0066] すなわち、本ルータ 10においては、 IPsecのネゴシエーション完了後において、 SPI 値が IPマスカレードのポート番号と同様の役割を果たすようになつている。

図 10および図 11に示すように、ネゴシエーション完了後の暗号化パケット中における SPI値の部分は暗号化されていないので、本ルータ 10は、レスボンダ 32から送られてきた暗号化パケットに対しては、パケット内の SPI値を取得して第 2ルーティングテーブル 25を参照することにより各イニシエータ 31a， 31bに暗号化パケットを振り分けること力 Sできる。又、イニシエータ 31a, 31bから送られてきたパケットに対してはそのソースアドレス（Source address)のみを変更してレスボンダ 32に送ればよレ、。

[0067] また、第 2振り分け部 23は、 IPsec無効時には、前述した第 3ルーティングテーブル 1 6を参照してパケットの振り分けを行なうようになっている。

上述のごとく構成された本発明の一実施形態としてのルータ 10における IPsecのネゴシエーシヨン時の処理を、図 13に示すフローチャート（ステップ A10〜A60)に従つて説明する。

[0068] ルータ 10がイニシエータ 31から IKEのパケットを受信すると、イニシエータクッキー取得部 12がそのパケットのイニシエータクッキーを取得し、第 1登録部 13が、このィユシェ一タクツキ一と（ステップ A10)、そのパケットの送信元アドレスとに基づいて第 1ルーティングテーブル 14を参照して、これらのイニシエータクッキーや送信元ァドレスが第 1ルーティングテーブル 14に登録 (格納）されているか否かを確認する（ステツプ A20)。

[0069] これらのイニシエータクッキーや送信元アドレスが第 1ルーティングテーブル 14に登録されている場合には (ステップ A20の YESルート参照）、第 1振り分け部 15は、第 1 ルーティングテーブル 14力そのイニシエータクッキーに対応するイニシエータ 31のアドレス（ソースアドレス）を取得し、転送するパケットのソースアドレスを第 1ノレ一ティングテーブル 14から取得したソースアドレスに変更する。

[0070] また、抑止部 18が IPマスカレード機能を抑止するとともに、ポート番号設定部 19がそのパケットのソースポートを 500に設定し、第 1振り分け部 15が、そのパケットを WA N側通信部 17にレスボンダ 32に対して送信させる（ステップ A40)。

一方、これらのイニシエータクッキーや送信元アドレスが第 1ルーティングテーブル 14に登録されていない場合には（ステップ A20の NOルート参照）、第 1登録部 13は、そのパケットが IPsecのネゴシエーション時におけるフェーズ 1の最初のパケット（「IS AKMP SAのプロポーサル」パケット）であるとみなし、これらのイニシエータクッキー， NAT (Network Address Translation)変目 ijソースアドレス (Source address ; f 兀ァドレス）， NAT変換後デスティネーションアドレス（Destination address ;送信先アドレス ) , NAT変換前ソースポート（Source port) , NAT変換後ソースポート， NAT変換前デスティネーションポート， NAT変換後デスティネーションポートおよび NAT変換後デスティネーシヨンポートを互いに関連付けて第 1ルーティングテーブル 14に追加（登録）して（ステップ A30)、ステップ A40に移行する。

[0071] そして、レスボンダ 32からの返信パケットを受信すると、イニシエータクッキー取得部 12が、そのパケットのイニシエータクッキーを取得し、第 1振り分け部 15が、この取得されたイニシエータクッキーに基づいて第 1ルーティングテーブル 14を参照し、そのパケットを送信先のイニシエータ 31に振り分ける（ステップ A50)。

ノレータ 10は、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全ての処理が完了したか否かを確認し（ステップ A60)、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全ての処理が完了した場合には (ステップ A60の YESルート参照）、処理を終了し、又、 IPsecのネゴシエーションにけるフェーズ 1 , 2の全ての処理が完了していない場合には（ステップ A60の N〇ルート参照）、ステップ A10に戻る。

[0072] 次に、本発明の一実施形態としてのルータ 10における IPsecのネゴシエーション完了後の処理を、図 14に示すフローチャート（ステップ B10〜B30)に従って説明する

IPsecのネゴシエーション（フェーズ 1, 2)が完了すると、ルータ 10は、各ィニシエータ 31の SPI値を知るために、各イニシエータ 31に対して要求パケットを送信する（ステップ B10)。要求パケットを受信したイニシエータ 31は、ルータ 10に対してその SPI 値を含む応答パケットを送信する。

[0073] ルータ 10は、イニシエータ 31から送信された応答パケットを受信して、この応答パケットから SPI値を取得し、第 2登録部 22が、第 2ルーティングテーブル 25に NAT変換前ソースアドレス， NAT変換後ソースアドレス， NAT変換前デスティネーションアドレス , NAT変換後デスティネーションアドレスおよび SPI値を相互に関連させて登録（追加 )する（ステップ B20)。

[0074] そして、ノレータ 10は、以下、レスボンダ 32から喑号ィ匕されたパケットを受信すると、 S PI値取得部 24によりそのパケットの SPI値を取得し、第 2振り分け部 23が、この取得した SPI値に基づレ、て第 2ルーティングテーブル 25を参照して、受信したパケットを各ィユシェータ 31に振り分ける（ステップ B30)。このように、本発明の一実施形態としてのルータ 10によれば、複数のイニシエータ 3 1 (LAN側 PC)とレスボンダ 32 (WAN側 PC)との間で、 IPsecのネゴシエーションを行なうことができるとともに、 IPsecによって喑号ィ匕されたパケットを正しく振り分けて喑号ィ匕通信を行なうことができる。

[0075] すなわち、 IPsecのネゴシエーション時において、イニシエータクッキー取得部 12によって取得されたイニシエータ 31のイニシエータクッキーと、そのイニシエータ 31のアドレスと、レスボンダ 32のアドレスとを対応付けて第 1ルーティングテーブル 14として登録し、パケットを受信する際に、第 1振り分け部 15が、イニシエータクッキー取得部 12によって取得されたそのパケットのイニシエータクッキーに基づいて第 1ノレーテイングテーブル 14を参照して、そのパケットを送信先のイニシエータ 31に振り分けることにより、 IPsecのネゴシエーション時においてパケットを確実に振り分けることができ、 IPsecのネゴシエーションを行なうことができる。

[0076] また、 IPsecのネゴシエーション時において、抑止部 18が、本ルータ 10における IP マスカレード機能を抑止することにより、パケットのソースポートやデスティネーションポートの値を任意の値に変更することを抑止し、ポート番号設定部 19が、ィニシエータ 31a, 31b力ら送信されたネゴシエーションのパケットのソースポートを IKEの規格に則ってソースポートを 500に変更することにより、 IPsecのネゴシエーションを確実に行なうことができる。

[0077] さらに、 IPsecのネゴシエーション完了後に、イニシエータ 31に対して要求パケットを送信して、イニシエータから応答パケットとして送信される SPI値を受信し、この SPI値と、そのイニシエータ 31のアドレスおよびレスボンダ 32のアドレスを対応付けて第 2ル一ティングテーブル 25として登録し、 SPI値取得部 24によって取得された SPI値に基づいて第 2ルーティングテーブル 25を参照し、そのパケットを送信先のイニシエータ 3 1に振り分けることにより、 IPsecのネゴシエーション完了後においても、 IPsecによって暗号化されたパケットを確実且つ正確に振り分けることができる。

[0078] そして、本発明は上述した実施形態に限定されるものではなぐ本発明の趣旨を逸脱しなレ、範囲で種々変形して実施することができる。

例えば、上述した実施形態においては、第 1イニシエータクッキー取得部 12によつて取得されたイニシエータクッキーと、そのイニシエータ 31のアドレスとレスボンダ 32 のアドレスとを対応付けて登録している力これに限定されるものではなぐ例えば、これら以外の情報をイニシエータクッキーやそのイニシエータ 31のアドレスに対応付けて登録してもよぐ又、レスボンダ 32が 1つだけの場合には、イニシエータクッキーとそのイニシエータ 31のアドレスとだけを登録してもよい。

[0079] また、上述した実施形態においては、要求パケットは TCP/IPヘッダとデータ部とをそなえて構成され、そのデータ部には SPI値の送信を要求するコマンド（SPWvalue)が格納されているが、これに限定されるものではなぐ SPI値の送信を要求するために SP Wvalue以外の他のコマンドを用いてもよぐ又、このようなコマンド以外の情報を要求パケットにそなえてもよい。

[0080] さらに、上述した実施形態においては、第 1ルーティングテーブル 14と第 2ルーティングテーブル 25とが別々に構成されている力これに限定されるものではなぐこれらの第 1ルーティングテーブル 14と第 2ルーティングテーブル 25とを 1つにまとめて構成し、第 1ノレ一ティングテーブル 14と第 2ルーティングテーブル 25との両方の機能をそなえた 1つの/レーティングテープノレをそなえてもよい。

[0081] また、本発明は以下に示すように要約することができる。

本発明の中継装置は、 IP (Internet Protocol)マスカレード機能をそなえ、レスボンダと複数のイニシエータとの間でパケットの送受信を行なう中継装置であって、 IPsec (IP Security)のネゴシエーション時に、該イニシエータから送信される IKE (Internet Key Exchange)のフェーズ 1における最初のパケット（「ISAKMP SAのプロポーザル」バケツト）から、該イニシエータにより作成されるイニシエータクッキーを取得する第 1ィニシエータクッキー取得部と、該第 1イニシエータクッキー取得部によって取得された該ィユシェ一タクツキ一と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 1ルーティングテーブルとして登録する第 1登録部と、該レスボンダから送信される該パケットの該イニシエータクッキーを取得する第 2イニシエータクッキー取得部と、該第 2イニシエータクッキー取得部によって取得された該イニシエータクッキ一に基づいて該第 1ルーティングテーブルを参照し、当該パケットを送信先の該ィニシエータに振り分ける第 1振り分け部とをそなえることを特徴としている。 [0082] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する抑止部と、該イニシエータから送信されたネゴシエーションのパケットのソースポートを前記 IKEの規格に則って設定するポート番号設定部とをそなえ、該ポート番号設定部によって該ソースポートの設定が行なわれた該パケットを該レスボンダに送出してあよい。

そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPsec のネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求する要求パケットを送信する要求パケット送信部と、該要求パケット送信部から送信された該要求パケットに対する応答として前記イニシエータから応答パケットとして送信される該 SPI値を受信する応答パケット受信部と、該応答パケット受信部によって受信された該 SPI値と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 2ルーティングテーブルとして登録する第 2登録部と、該レスボンダから送信される該パケットから該 SPI値を取得する SPI値取得部と、該 SPI値取得部によって取得された該 SPI値に基づレ、て該第 2ルーティングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 2振り分け部とをそなえてもよい。

[0083] また、本発明の中継方法は、 IP (Internet Protocol)マスカレード機能を用いて、レスボンダと複数のイニシエータとの間でパケットの送受信を行なう中継方法であって、 IP sec (IP Security)のネゴシエーション時に、該イニシエータから送信される IKE (Intern et Key Exchange)のフェーズ 1における最初のパケット（「ISAKMP SAのプロポーザル」パケット）から、該イニシエータにより作成されるイニシエータクッキーを取得する第 1 イニシエータクッキー取得ステップと、該第 1イニシエータクッキー取得ステップにおいて取得した該イニシエータクッキーと、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 1ルーティングテーブルとして登録する第 1登録ステップと、該レスボンダから送信される該パケットの該イニシエータクッキーを取得する第 2ィニシエータクツキ一取得ステップと、該第 2イニシエータクッキー取得ステップにおレ、て取得した該イニシエータクッキーに基づいて該第 1ルーティングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 1振り分けステップとをそなえることを特 ί敷としてレ、る。 [0084] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する抑止ステップと、該イニシエータから送信されたネゴシエーションのパケットのソースポートを前記 IKEの規格に則って設定するポート番号設定ステップとをそなえ、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該パケットを該レスボンダに送出してもよい。

[0085] そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPsec のネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求する要求パケットを送信する要求パケット送信ステップと、該要求パケット送信ステップにおいて送信された該要求パケットに対する応答として前記イニシエータから応答パケットとして送信される該 SPI値を受信する応答パケット受信ステップと、該応答パケット受信ステップにおいて受信された該 SPI値と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 2ルーティングテーブルとして登録する第 2登録ステツプと、該レスボンダから送信される該パケットから該 SPI値を取得する SPI値取得ステツプと、該 SPI値取得ステップにおレ、て取得された該 SPI値に基づレ、て該第 2ルーテイングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 2振

また、本発明の中継用プログラムは、 IP (Internet Protocol)マスカレード機能を用いて、レスボンダと複数のイニシエータとの間でパケットの送受信を行なう中継機能をコンピュータに実行させるための中継用プログラムであって、 IPsec (IP Security)のネゴシエーシヨン時に、該イニシエータから送信される IKE (Internet Key Exchange)のフエーズ 1における最初のパケット（「ISAKMP SAのプロポーザル」パケット）から、該ィニシエータにより作成されるイニシエータクッキーを取得する第 1イニシエータクッキー取得ステップと、該第 1イニシエータクッキー取得ステップにおいて取得した該ィニシエータクツキ一と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 1ルーティングテーブルとして登録する第 1登録ステップと、該レスボンダから送信される該パケットの該イニシエータクッキーを取得する第 2イニシエータクッキー取得ステップと、該第 2イニシエータクッキー取得ステップにおいて取得した該ィニシエータクツキ一に基づいて該第 1ルーティングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴としている。

[0087] なお、前記 IPsecのネゴシエーション時において、該 IPマスカレード機能を抑止する抑止ステップと、該イニシエータから送信されたネゴシエーションのパケットのソースポートを前記 IKEの規格に則って設定するポート番号設定ステップとを、該コンピュータに実行させるとともに、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該パケットを該レスボンダに送出するように、該コンピュータを機能させてあよい。

[0088] そして、前記 IPsecのネゴシエーション完了後に、該イニシエータに対して前記 IPse cのネゴシエーション時に使用した SPI (Security Parameter Index)値の通知を要求する要求パケットを送信する要求パケット送信ステップと、該要求パケット送信ステップにおいて送信された該要求パケットに対する応答として前記イニシエータから応答パケットとして送信される該 SPI値を受信する応答パケット受信ステップと、該応答バケツト受信ステップにおいて受信された該 SPI値と、当該イニシエータのアドレスと、該レスボンダのアドレスとを対応付けて第 2ルーティングテーブルとして登録する第 2登録ステツプと、該レスボンダから送信される該パケットから該 SPI値を取得する SPI値取得ステツプと、該 SPI値取得ステップにおレ、て取得された該 SPI値に基づレ、て該第 2ルーテイングテーブルを参照し、当該パケットを送信先の該イニシエータに振り分ける第 2振り分けステップとを、該コンピュータに実行させてもよい。

[0089] そして、本発明のコンピュータ読取可能な記録媒体は、上述した中継用プログラムを記録したものである。

また、本発明の情報処理装置は、 IP (Internet Protocol)マスカレード機能をそなえた中継装置を介して、レスボンダとの間でパケットの送受信を行なう情報処理装置であって、 IPsec (IP Security)のネゴシエーション完了後に、該中継装置から送信される要求パケットを受信する要求パケット受信部と、該要求パケット受信部が該要求パケットを受信したときに、前記 IPsecのネゴシエーション時に使用した SPI (Security Param eter Index)値を該中継装置に対して応答パケットとして送信する応答パケット送信部とをそなえることを特徴としてレ、る。 [0090] なお、本発明の実施形態が開示されていれば、本発明を当業者によって実施，製造することが可能である。

産業上の利用可能性

[0091] ルータの他、 IPマスカレード機能により、レスボンダと複数のイニシエータとの間で IP secによるパケットの転送を行なう種々のパケット転送用機器にも適用できる。

Claims

請求の範囲

[1] 第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な中,継装置であって、

前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1セキュリティ情報取得部と、

該第 1セキュリティ情報取得部によって取得された該セキュリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録部と、該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セキユリティ情報取得部と、

該第 2セキュリティ情報取得部によって取得された該セキュリティ情報に基づいて該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分け部とをそなえることを特徴とする、中継装置。

[2] 当該中継装置が IP (Internet Protocol)マスカレード機能をそなえるとともに、

該仕様確定通信時にぉレ、て、該 IPマスカレード機能を抑止する抑止部と、仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定部とをそなえ、

該ポート番号設定部によって該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出することを特徴とする、請求項 1記載の中継装置。

[3] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信部と、

該要求信号送信部から送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信部と、

該応答信号受信部によって受信された該識別値と、当該第 1の装置のアドレスとを対応付けて第 2ルーティング情報として登録する第 2登録部と、

該第 2の装置から送信される該転送データから該識別値を取得する識別値取得部と、

該識別値取得部によって取得された該識別値に基づいて該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分け部とをそなえることを特徴とする、請求項 1又は請求項 2記載の中継装置。

[4] 第 1の装置と第 2の装置との間において暗号化された転送データを送受信可能な中,継方法であって、

前記第 1の装置と第 2の装置との間において暗号化通信に先立って行なわれる仕様確定通信時に、該第 1の装置から送信される転送データから、セキュリティ情報を取得する第 1セキュリティ情報取得ステップと、

該第 1セキュリティ情報取得ステップにおいて取得された該セキュリティ情報と、当該第 1の装置のアドレスとを対応付けて第 1ルーティング情報として登録する第 1登録ステツプと、

該第 2の装置から送信される該転送データ中からセキュリティ情報を取得する第 2セキユリティ情報取得ステップと、

該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づレ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとをそなえることを特徴とする、中継方法。

[5] 該仕様確定通信時にぉレ、て、 IP (Internet Protocol)マスカレード機能を抑止する抑止ステップと、

仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定ステップとをそなえ、

該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出することを特徴とする、請求項 4記載の中継方法。

[6] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、

該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレスとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ステツプと、

該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けステップとをそなえることを特徴とする、請求項 4又は請求項 5記載の中継方法。

[7] 第 1の装置と第 2の装置との間において暗号化された転送データの送受信を行なう中継機能をコンピュータに実行させるための中継用プログラムであって、

該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づレ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴とする、中継用プログラム。

[8] 該仕様確定通信時にぉレ、て、 IP (Internet Protocol)マスカレード機能を抑止する抑止ステップと、

仕様確認通信時において、該第 1の装置から送信された転送データのソースポートを任意に設定可能なポート番号設定ステップとを、該コンピュータに実行させるとともに、

該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出するように、該コンピュータを機能させることを特徴とする、請求項 7記載の中継用プログラム。

[9] 該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、

該要求信号送信ステップにおいて送信された該要求信号に対する応答として該第 1の装置から応答信号として送信される該識別値を受信する応答信号受信ステップと該応答信号受信ステップにおいて受信された該識別値と、当該第 1の装置のァドレスとを対応付けて第 2ルーティング情報として登録する第 2登録ステップと、

該第 2の装置から送信される該転送データから該識別値を取得する識別値取得ステツプと、

該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けステップとを、該コンピュータに実行させることを特徴とする、請求項 7又は請求項 8記載の中継用プログラム。

[10] 第 1の装置と第 2の装置との間において暗号化された転送データの送受信を行なう中継機能をコンピュータに実行させるための中継用プログラムを記録したコンビユータ読取可能な記録媒体であって、

該中継用プログラムが、

該第 2セキュリティ情報取得ステップにおいて取得された該セキュリティ情報に基づレ、て該第 1ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 1振り分けステップとを、該コンピュータに実行させることを特徴とする、中継用プログラムを記録したコンピュータ読取可能な記録媒体。

[11] 該中継用プログラムが、

該仕様確定通信時において、 IP (Internet Protocol)マスカレード機能を抑止する抑止ステップと、

該第 1振り分けステップにおいて、該ポート番号設定ステップにおいて該ソースポートの設定が行なわれた該転送データを該第 2の装置に送出するように、該コンピュータを機能させることを特徴とする、請求項 10記載の中継用プログラムを記録したコンピュータ読取可能な記録媒体。

[12] 該中継用プログラムが、

該仕様確定通信の完了後に、該第 1の装置に対して該仕様確定通信時に使用した識別値の通知を要求する要求信号を送信する要求信号送信ステップと、

該識別値取得ステップにおレ、て取得された該識別値に基づレ、て該第 2ルーティング情報を参照し、当該転送データを送信先の該第 1の装置に振り分ける第 2振り分けステップとを、該コンピュータに実行させることを特徴とする、請求項 10又は請求項 1 1記載の中継用プログラムを記録したコンピュータ読取可能な記録媒体。

[13] 中継装置を介して、他の情報処理装置との間で転送データの送受信を行なう情報処理装置であって、

該他の情報処理装置との間において暗号ィヒ通信に先立って行なわれる仕様確定通信の完了後に、該中継装置から送信される要求信号を受信する要求信号受信部と、

該要求信号受信部が該要求信号を受信したときに、該仕様確定通信時に使用した識別値を該中継装置に対して応答信号として送信する応答信号送信部とをそなえることを特徴とする、情報処理装置。