WO2019220632A1 - 中継装置及び通信システム - Google Patents
中継装置及び通信システム Download PDFInfo
- Publication number
- WO2019220632A1 WO2019220632A1 PCT/JP2018/019329 JP2018019329W WO2019220632A1 WO 2019220632 A1 WO2019220632 A1 WO 2019220632A1 JP 2018019329 W JP2018019329 W JP 2018019329W WO 2019220632 A1 WO2019220632 A1 WO 2019220632A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- authentication
- packet
- relay device
- target
- processing unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
複数の入出力ポート(111)と、認証の対象となる中継装置である対象中継装置の認証を行うための認証情報を記憶する認証情報記憶部(114)と、対象中継装置に接続される入出力ポート(111)である対象入出力ポートを介して、対象中継装置の認証を行うための認証パケットである対象認証パケットを取得して、認証情報を参照して、対象中継装置の認証を行う認証処理部(113)と、対象中継装置の認証に成功した場合に、対象入出力ポートを介して取得された転送パケットを、転送パケットの転送先が接続されている入出力ポート(111)である転送入出力ポートから出力させ、対象中継装置の認証に失敗した場合に、転送パケットを廃棄する中継処理部(112)とを備える。
Description
本発明は、中継装置及び通信システムに関する。
LAN(Local Area Network)では、データパケットの中継を行うために、スイッチングハブ又はルーター等のパケット中継装置を用いている。代表的なパケット中継装置は、Ethernet(登録商標)に対応したスイッチングハブ又はIP(Internet Protocol)に対応したルーター等の装置があり、IEEE802.1X又はMAC(Media Access Control)アドレス認証等により、接続された端末装置等に対して認証を行い、ネットワークのセキュリティを確保している(例えば、特許文献1参照)。
従来のパケットの中継装置は、IEEE802.1X又はMACアドレス等の認証が設定されたポートに対して接続された装置と、中継装置との間でセキュリティを確保している。従って、中継装置間では認証処理設定がされておらず、認証処理が行われてない。このため、中継装置間のポートに対してはセキュリティが確保できておらずネットワーク全体のセキュリティを確保することが難しいという問題点があった。
また、中継装置を含むネットワーク全体のセキュリティ確保のためMACアドレス等からホワイトリストを作成し、認証をする方法もある。しかしながら、このような方法では、大規模なネットワークでは中継装置への機能追加が大きくなりコスト等が高くなる問題点、及び、新たに装置を追加する際にネットワーク全体で新たにホワイトリストを更新する必要がある等の問題点があった。
そこで、本発明の1又は複数の態様は、パケット中継装置間のセキュリティを確保し、ネットワーク全体のセキュリティを確保できるようにすることを目的としている。
本発明の1態様に係る中継装置は、複数の中継装置の各々に、各々が接続される複数の入出力ポートと、前記複数の中継装置の内、認証の対象となる中継装置である対象中継装置の認証を行うための認証情報を記憶する認証情報記憶部と、前記複数の入出力ポートの内、前記対象中継装置に接続される入出力ポートである対象入出力ポートを介して、前記対象中継装置の認証を行うための認証パケットである対象認証パケットを取得して、前記認証情報を参照して、前記対象中継装置の認証を行う認証処理部と、前記対象中継装置の認証に成功した場合に、前記対象入出力ポートを介して取得された転送パケットを、前記複数の入出力ポートの内、前記転送パケットの転送先が接続されている入出力ポートである転送入出力ポートから出力させ、前記対象中継装置の認証に失敗した場合に、前記転送パケットを廃棄する中継処理部と、を備えることを特徴とする。
本発明の1態様に係る通信システムは、複数の中継装置を備える通信システムであって、前記複数の中継装置の各々は、自装置を除く前記複数の中継装置の各々に、各々が接続される複数の入出力ポートと、前記複数の中継装置の内、認証の対象となる中継装置である対象中継装置の認証を行うための認証情報を記憶する認証情報記憶部と、前記複数の入出力ポートの内、前記対象中継装置に接続される入出力ポートである対象入出力ポートを介して、前記対象中継装置の認証を行うための対象認証パケットを取得して、前記認証情報を参照して、前記対象中継装置の認証を行う認証処理部と、前記対象中継装置の認証に成功した場合に、前記対象入出力ポートを介して取得された転送パケットを、前記複数の入出力ポートの内、前記転送パケットの転送先が接続されている入出力ポートである転送入出力ポートから出力させ、前記対象中継装置の認証に失敗した場合に、前記転送パケットを廃棄する中継処理部と、前記対象中継装置で認証を受けるための認証パケットである送信認証パケットを生成し、前記対象入出力ポートを介して、前記対象中継装置に送る認証パケット生成部と、を備えることを特徴とする。
本発明の一態様によれば、パケット中継装置間のセキュリティを確保し、ネットワーク全体のセキュリティを確保することができる。
実施の形態1.
図1は、実施の形態1に係る通信システム100の構成を概略的に示すブロック図である。
通信システム100は、複数の中継装置110A~110Dを備える。
複数の中継装置110A~110Dの各々は、同様に構成されているため、複数の中継装置110A~110Dの各々を特に区別する必要がない場合には、中継装置110という。
図1は、実施の形態1に係る通信システム100の構成を概略的に示すブロック図である。
通信システム100は、複数の中継装置110A~110Dを備える。
複数の中継装置110A~110Dの各々は、同様に構成されているため、複数の中継装置110A~110Dの各々を特に区別する必要がない場合には、中継装置110という。
情報処理装置としての端末装置101A~101Eは、中継装置110を介して、通信を行う。例えば、端末装置101Aから端末装置101Bにパケットを転送する場合、中継装置110A及び中継装置110Bを介して、そのパケットは、端末装置101Bに送られる。
また、端末装置101A~101Dの各々を特に区別する必要がない場合には、端末装置101という。
また、端末装置101A~101Dの各々を特に区別する必要がない場合には、端末装置101という。
図2は、中継装置110の構成を概略的に示すブロック図である。
中継装置110は、複数の入出力ポート111-1~111-N(Nは、2以上の整数)と、中継処理部112と、認証処理部113と、認証情報記憶部114と、エージング処理部115と、認証パケット生成部116と、転送情報記憶部117とを備える。
これら各構成部分は、一方向又は双方向に、信号データの入出力が可能なように接続されている。
中継装置110は、複数の入出力ポート111-1~111-N(Nは、2以上の整数)と、中継処理部112と、認証処理部113と、認証情報記憶部114と、エージング処理部115と、認証パケット生成部116と、転送情報記憶部117とを備える。
これら各構成部分は、一方向又は双方向に、信号データの入出力が可能なように接続されている。
なお、複数の入出力ポート111-1~111-Nの各々を特に区別する必要がない場合には、入出力ポート111という。
入出力ポート111は、他の中継装置110又は端末装置101に接続され、パケットの送受信を行う。入出力ポート111は、他の中継装置110又は端末装置101からパケットを受信した場合には、そのパケットを中継処理部112に送る。
入出力ポート111は、他の中継装置110又は端末装置101に接続され、パケットの送受信を行う。入出力ポート111は、他の中継装置110又は端末装置101からパケットを受信した場合には、そのパケットを中継処理部112に送る。
中継処理部112は、入出力ポート111又は認証パケット生成部116からのパケットを、認証情報記憶部114に記憶されている認証情報及び転送情報記憶部117に記憶されている転送情報に従って転送する。ここで、入出力ポート111に接続されている他の中継装置110が認証を行うことになっている場合には、中継処理部112は、その中継装置110の認証が成功した場合に、その中継装置110から得られた、認証パケット以外のパケットである転送パケットを転送し、その中継装置110の認証が失敗した場合には、その中継装置110から得られた転送パケットを廃棄する。
また、中継処理部112は、入出力ポート111より認証パケットを取得した場合には、認証処理部113に認証パケットを転送する。
また、中継処理部112は、入出力ポート111より認証パケットを取得した場合には、認証処理部113に認証パケットを転送する。
認証処理部113は、中継処理部112より認証パケットを取得した場合、認証情報記憶部114に記憶されている認証情報を参照して、他の中継装置110の認証を行う。例えば、認証処理部113は、認証パケットに含まれている認証データと、認証情報に含まれている認証データとを比較することで、他の中継装置110の認証を行う。
また、認証処理部113は、認証情報記憶部114に記憶されている認証情報を編集する機能を有する。
また、認証処理部113は、認証情報記憶部114に記憶されている認証情報を編集する機能を有する。
認証情報記憶部114は、他の中継装置110の認証を行うための認証情報を記憶する。
図3は、実施の形態1における認証情報の一例である認証データテーブル114aを示す概略図である。
認証データテーブル114aは、入出力ポート番号列114bと、認証データ列114cと、認証設定列114dと、VALID列114eと、HIT列114fとを備え、各々の行が、各々の中継装置110を認証するためのデータを格納するエントリとなっている。
図3は、実施の形態1における認証情報の一例である認証データテーブル114aを示す概略図である。
認証データテーブル114aは、入出力ポート番号列114bと、認証データ列114cと、認証設定列114dと、VALID列114eと、HIT列114fとを備え、各々の行が、各々の中継装置110を認証するためのデータを格納するエントリとなっている。
入出力ポート番号列114bは、入出力ポート111を識別するための入出力ポート識別情報としての入出力ポート番号を格納する。入出力ポート111-1~111-Nの各々には、予め一意となる入出力ポート番号が割り振られているものとする。
認証データ列114cは、中継装置110の認証に用いられる認証データを格納する。認証データとして、例えば、MACアドレス、IPアドレス、OUI(Organization Unique Identifier)及び任意のデータの何れか1つが使用されればよい。なお、認証データ列114cに格納されている認証データを比較用認証データともいう。
認証設定列114dは、中継装置110の認証を行うか否かを示す認証設定を格納する。認証設定が「Enable」である場合には、認証を行い、認証設定が「Disabel」である場合には、認証を行わないことを示す。
VALID列114eは、中継装置110の認証に成功したか否かを示す第1のフラグであるVALIDの値を格納する。VALIDの値が第1の値である「1」である場合には、認証に成功し、VALIDの値が第2の値である「0」である場合には、認証に失敗したことを示す。
HIT列114fは、中継装置110から、エージングタイマ内に、認証に成功した認証パケットを受信したか否かを示す第2のフラグであるHITの値を格納する。HITの値が第3の値である「1」である場合には、そのような認証パケットが受信されたことを示し、HITの値が第4の値である「0」である場合には、そのような認証パケットが受信されていないことを示す。
以上のように、認証データテーブル114aによれば、入出力ポート番号と、認証データと、認証設定と、VALIDの値と、HITの値とが対応付けられる。
なお、認証データテーブル114aにおいて、認証設定が「Enable」となっている入出力ポート番号で示される入出力ポート111を対象入出力ポートともいい、対象入出力ポートに接続されている中継装置110を対象中継装置ともいう。対象中継装置からの認証パケットを対象認証パケットともいう。対象中継装置からの転送パケットの転送先が接続されている入出力ポート111を転送入出力ポートともいう。
なお、認証データテーブル114aにおいて、認証設定が「Enable」となっている入出力ポート番号で示される入出力ポート111を対象入出力ポートともいい、対象入出力ポートに接続されている中継装置110を対象中継装置ともいう。対象中継装置からの認証パケットを対象認証パケットともいう。対象中継装置からの転送パケットの転送先が接続されている入出力ポート111を転送入出力ポートともいう。
図2に戻り、エージング処理部115は、認証データテーブル114aのVALID又はHITの値を更新するまでの時間を、エージングタイマとして管理する。例えば、エージングタイマは、1秒~10秒程度であればよい。
エージング処理部115は、エージングタイマが満了する毎に、認証データテーブル114a内のエントリを順次読み出し、全エントリの更新を行う。
エージング処理部115は、エージングタイマが満了する毎に、認証データテーブル114a内のエントリを順次読み出し、全エントリの更新を行う。
認証パケット生成部116は、認証パケットを送信するまでの時間を、送信タイマとして管理する。送信タイマは、エージングタイマよりも短い時間とする。
認証パケット生成部116は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。なお、認証パケット生成部116で生成される認証パケットを送信認証パケットともいう。
認証パケット生成部116は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。なお、認証パケット生成部116で生成される認証パケットを送信認証パケットともいう。
図4は、認証パケット130のフォーマット例を示す概略図である。
認証パケット130は、Ethernetヘッダ130aと、データ部130bとを備える。
Ethernetヘッダ130aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部130bは、認証データを格納する。
なお、Ethernetヘッダ130aのタイプ又はデータ部130bに、認証パケット130であることを示す値がセットされる。
認証パケット130は、Ethernetヘッダ130aと、データ部130bとを備える。
Ethernetヘッダ130aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部130bは、認証データを格納する。
なお、Ethernetヘッダ130aのタイプ又はデータ部130bに、認証パケット130であることを示す値がセットされる。
なお、認証パケット130については、AES(Advanced Encyption Standard)等の暗号化が施されてもよい。
図2に戻り、転送情報記憶部117は、入出力ポート111からパケットを転送するための転送情報を記憶する。
図5は、転送情報の一例である転送テーブル117aを示す概略図である。
転送テーブル117aは、MACアドレス列117bと、入出力ポート番号列117cとを備え、各々の行が、パケットを転送するためのデータを格納するエントリとなっている。
図5は、転送情報の一例である転送テーブル117aを示す概略図である。
転送テーブル117aは、MACアドレス列117bと、入出力ポート番号列117cとを備え、各々の行が、パケットを転送するためのデータを格納するエントリとなっている。
MACアドレス列117bは、中継装置110の通信アドレスであるMACアドレスを格納する。
入出力ポート番号列117cは、中継装置110が接続されている入出力ポート111の入出力ポート番号を格納する。
転送テーブル117aによれば、MACアドレスと、入出力ポート番号とが対応付けられる。
入出力ポート番号列117cは、中継装置110が接続されている入出力ポート111の入出力ポート番号を格納する。
転送テーブル117aによれば、MACアドレスと、入出力ポート番号とが対応付けられる。
以上に記載された中継処理部112、認証処理部113、エージング処理部115及び認証パケット生成部116の一部又は全部は、例えば、図6(A)に示されているように、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuits)又はFPGA(Field Programmable Gate Array)等の処理回路10で構成することができる。
また、中継処理部112、認証処理部113、エージング処理部115及び認証パケット生成部116の一部は、例えば、図6(B)に示されているように、メモリ11と、メモリ11に格納されているプログラムを実行するCPU(Central Processing Unit)等のプロセッサ12とにより構成することもできる。このようなプログラムは、ネットワークを通じて提供されてもよく、また、記録媒体に記録されて提供されてもよい。即ち、このようなプログラムは、例えば、プログラムプロダクトとして提供されてもよい。
なお、認証情報記憶部114及び転送情報記憶部117は、揮発性又は不揮発性のメモリで構成することができる。
図7は、実態の形態1における中継装置110の認証動作を示すフローチャートである。
なお、中継装置110の認証処理部113により、認証情報記憶部114に記憶されている認証データテーブル114aのエントリに対して、入出力ポート番号、認証データ、認証設定の「Enable」又は「Disable」が設定されているものとする。
なお、中継装置110の認証処理部113により、認証情報記憶部114に記憶されている認証データテーブル114aのエントリに対して、入出力ポート番号、認証データ、認証設定の「Enable」又は「Disable」が設定されているものとする。
また、図7のフローチャートは、入出力ポート111がパケットを受信することにより開始される。
まず、中継処理部112は、パケットを受信した入出力ポート111から、そのパケットを取得する(S10)。
まず、中継処理部112は、パケットを受信した入出力ポート111から、そのパケットを取得する(S10)。
次に、中継処理部112は、認証データテーブル114aを参照することで、そのパケットを受信した入出力ポート111に対応するエントリの認証設定が「Enable」であるか否かを判断する(S11)。言い換えると、パケットを受信した入出力ポート111に接続されている中継装置110が認証を行う中継装置であるか否かを判断する。「Enable」である場合(S11でYes)には、処理はステップS12に進み、「Enable」ではなく、「Disable」である場合(S11でNo)には、処理はステップS15に進む。
ステップS12では、中継処理部112は、ステップS11で取得されたパケットが認証パケット130であるか否かを判断する。例えば、中継処理部112は、Ethernetヘッダ130aのタイプ又はデータ部130bに、認証パケット130であることを示す値がセットされているか否かにより、この判断を行えばよい。認証パケット130である場合(S12でYes)には、中継処理部112は、その認証パケット130を認証処理部113に送るとともに、その認証パケット130を受信した入出力ポート111の入出力ポート番号を認証処理部113に通知し、処理はステップS13に進む。認証パケット130ではない場合(S12でNo)には、処理はステップS16に進む。
ステップS13では、認証処理部113は、認証情報記憶部114に記憶されている認証データテーブル114aを参照し、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット130に格納されている認証データとが一致するか否かを判断する(S13)。これらが一致する場合には、認証パケット130を送ってきた中継装置110の認証が成功したと判断して、処理はステップS14に進む。これらが一致しない場合には、処理は終了する。
ステップS14では、認証処理部113は、中継処理部112から通知された入出力ポート番号に対応するエントリのVALIDの値を「1」に、HITの値を「1」に更新する。
ステップS15では、中継処理部112は、ステップS11で取得されたパケットが認証パケット130であるか否かを判断する。認証パケット130である場合(S15でYes)には、処理はステップS17に進み、中継処理部112は、そのパケットを廃棄する。認証パケット130ではない場合(S15でNo)には、処理はステップS18に進み、中継装置110からの通常のパケット(転送パケット)であるため、中継処理部112は、転送情報記憶部117に記憶されている転送テーブル117aを参照して、パケットの宛先に対応する入出力ポート111へパケットを転送する。
ステップS16では、中継処理部112は、認証情報記憶部114に記憶されている認証データテーブル114aを参照することで、そのパケットを受信した入出力ポート111に対応するエントリのVALIDの値が「1」であるか否か、言い換えると、そのパケットを送信した中継装置110の認証が成功しているか否かを判断する。その値が「1」ではなく、「0」である場合(S16でNo)には、その中継装置110の認証に失敗しているため、処理はステップS17に進み、中継処理部112は、そのパケットを廃棄する。その値が「1」である場合(S16でYes)には、処理はステップS18に進み、その中継装置110の認証が成功しているため、中継処理部112は、転送情報記憶部117に記憶されている転送テーブル117aを参照して、パケットの宛先に対応する入出力ポート111へパケットを転送する。
図8は、認証データテーブル114aのエントリの更新動作を示すフローチャートである。
エージング処理部115は、保有するエージングタイマが満了したタイミング、言い換えると予め定められたエージング更新待機時間が経過したタイミングで、エントリの更新動作を開始する(S20)。
エージング処理部115は、認証データテーブル114aのエントリから、まだ更新処理を行っていない1つのエントリを読み出す(S21)。
エージング処理部115は、保有するエージングタイマが満了したタイミング、言い換えると予め定められたエージング更新待機時間が経過したタイミングで、エントリの更新動作を開始する(S20)。
エージング処理部115は、認証データテーブル114aのエントリから、まだ更新処理を行っていない1つのエントリを読み出す(S21)。
次に、エージング処理部115は、ステップS21で読み出されたエントリのHITの値が「1」であるか否か、言い換えると、読み出されたエントリに対応する中継装置110が認証に成功した認証パケット130をエージングタイマに対応する予め定められた時間内に送ってきたか否かを判断する(S22)。その値が「1」の場合(S22でYes)は、処理はステップS23に進み、その値が「1」ではなく「0」である場合(S22でNo)には、処理はステップS24に進む。
ステップS23では、エージング処理部115は、ステップS21で読み出されたエントリのHITの値を「0」に更新する。そして、処理はステップS25に進む。
一方、ステップS24では、エージング処理部115は、ステップS21で読み出されたエントリが無効となるように、そのエントリのVALIDの値を「0」に更新する。そして、処理はステップS25に進む。
一方、ステップS24では、エージング処理部115は、ステップS21で読み出されたエントリが無効となるように、そのエントリのVALIDの値を「0」に更新する。そして、処理はステップS25に進む。
ステップS25では、エージング処理部115は、認証データテーブル114aのエントリの読み出しを完了したか否かを判断する。全てのエントリが読み出されている場合(S25でYes)には、処理はステップS26に進み、まだ読み出されていないエントリが残っている場合(S25でNo)には、処理はステップS21に戻る。
ステップS26では、エージング処理部115は、エージングタイマをクリアして、再び、予め定められたエージング更新待機時間の計測を行う。
図9は、中継装置110が認証パケット130を送信する動作を示すフローチャートである。
認証パケット生成部116は、保有する送信タイマが満了したタイミング、言い換えると、予め定められた送信待機時間が経過したタイミングで、認証パケット130の送信動作を開始する(S30)。
認証パケット生成部116は、保有する送信タイマが満了したタイミング、言い換えると、予め定められた送信待機時間が経過したタイミングで、認証パケット130の送信動作を開始する(S30)。
認証パケット生成部116は、認証データをデータ部130bに格納した認証パケット130を生成し、その認証パケット130を中継処理部112に送る(S31)。
認証パケット生成部116から認証パケット130を取得した中継処理部112は、認証情報記憶部114に記憶されている認証データテーブル114aを参照して、認証設定が「Enable」となっているエントリ、言い換えると、認証を行う中継装置に対応するエントリがあるか否かを判断する(S32)。認証設定が「Enable」となっているエントリがある場合(S32でYes)には、処理はステップS33に進み、認証設定が「Enable」となっているエントリがない場合(S32でNo)には、処理はステップS34に進む。
認証パケット生成部116から認証パケット130を取得した中継処理部112は、認証情報記憶部114に記憶されている認証データテーブル114aを参照して、認証設定が「Enable」となっているエントリ、言い換えると、認証を行う中継装置に対応するエントリがあるか否かを判断する(S32)。認証設定が「Enable」となっているエントリがある場合(S32でYes)には、処理はステップS33に進み、認証設定が「Enable」となっているエントリがない場合(S32でNo)には、処理はステップS34に進む。
ステップS33では、中継処理部112は、認証設定が「Enable」となっているエントリの入出力ポート番号に対応する入出力ポート111に認証パケット130を転送し、その入出力ポート111から中継装置110にその認証パケット130を送信させる。そして、処理はステップS35に進む。
ステップS34では、中継処理部112は、取得された認証パケット130を廃棄する。そして、処理はステップS35に進む。
ステップS26では、認証パケット生成部116は、送信タイマをクリアして、再び、予め定められた送信待機時間の計測を行う。
以上のように、実施の形態1によれば、中継装置110間で相互に認証処理を行うことで、認証に成功した入出力ポート111のパケットを転送することができ、ネットワークの不正使用を防止することが可能になる等、ネットワークのセキュリティを向上することができる。
また、実施の形態1における中継装置110は、VALID及びHITという2つのフラグを用いることにより、パケットの転送不可期間を回避することができる。
また、実施の形態1における中継装置110は、VALID及びHITという2つのフラグを用いることにより、パケットの転送不可期間を回避することができる。
なお、実施の形態1は、中継装置110に限らず、パケットを送信する装置であれば適用可能である。
実施の形態2.
実施の形態1では、中継装置110の認証データテーブル114a内のエントリによる認証動作を示したが、実施の形態2では、認証データテーブル114a内に対応するエントリがない場合に、別の装置が認証を行う例を説明する。
実施の形態1では、中継装置110の認証データテーブル114a内のエントリによる認証動作を示したが、実施の形態2では、認証データテーブル114a内に対応するエントリがない場合に、別の装置が認証を行う例を説明する。
図1に示されているように、実施の形態2に係る通信システム200は、複数の中継装置210A~210Dを備える。
複数の中継装置210A~210Dの各々は、同様に構成されているため、複数の中継装置210A~210Dの各々を特に区別する必要がない場合には、中継装置210という。
なお、実施の形態2でも、端末装置101A~101Eは、中継装置210を介して、通信を行う。
複数の中継装置210A~210Dの各々は、同様に構成されているため、複数の中継装置210A~210Dの各々を特に区別する必要がない場合には、中継装置210という。
なお、実施の形態2でも、端末装置101A~101Eは、中継装置210を介して、通信を行う。
図10は、中継装置210の構成を概略的に示すブロック図である。
中継装置210は、複数の入出力ポート111と、中継処理部112と、認証処理部213と、認証情報記憶部114と、エージング処理部115と、認証パケット生成部116と、転送情報記憶部117と、照会部218と、照会情報記憶部219とを備える。
実施の形態2における中継装置210の入出力ポート111、中継処理部112、認証情報記憶部114、エージング処理部115、認証パケット生成部116及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、認証情報記憶部114、エージング処理部115、認証パケット生成部116及び転送情報記憶部117と同様である。
中継装置210は、複数の入出力ポート111と、中継処理部112と、認証処理部213と、認証情報記憶部114と、エージング処理部115と、認証パケット生成部116と、転送情報記憶部117と、照会部218と、照会情報記憶部219とを備える。
実施の形態2における中継装置210の入出力ポート111、中継処理部112、認証情報記憶部114、エージング処理部115、認証パケット生成部116及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、認証情報記憶部114、エージング処理部115、認証パケット生成部116及び転送情報記憶部117と同様である。
認証処理部213は、中継処理部112より認証パケット130を取得した場合、認証情報記憶部114に記憶されている認証情報を用いて、他の中継装置210の認証を行う。
ここで、認証処理部213は、他の中継装置210の認証に失敗した場合、言い換えると、認証データテーブル114aに、認証パケット130を受信した入出力ポート111の入出力ポート番号及び認証パケット130に含まれている認証データに対応するエントリがない場合に、その認証データを照会部218に送り、照会を依頼する。
ここで、認証処理部213は、他の中継装置210の認証に失敗した場合、言い換えると、認証データテーブル114aに、認証パケット130を受信した入出力ポート111の入出力ポート番号及び認証パケット130に含まれている認証データに対応するエントリがない場合に、その認証データを照会部218に送り、照会を依頼する。
照会部218は、認証処理部213からの依頼に応じて、照会情報記憶部219に記憶されている照会情報を参照して、他の中継装置210に、認証データの照会を行う。具体的には、照会部218は、中継処理部112及び入出力ポート111を介して、照会パケットを他の中継装置210に送ることで、認証データの照会を行う。これにより、照会部218は、自装置で認証に失敗した中継装置210の認証を、他の中継装置210に照会する。
図11は、照会パケット240のフォーマット例を示す概略図である。
照会パケット240は、Ethernetヘッダ240aと、データ部240bとを備える。
Ethernetヘッダ240aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部240bは、照会対象となる認証データを格納する。
なお、Ethernetヘッダ240aのタイプ又はデータ部240bに、照会パケット240であることを示す値がセットされる。
照会パケット240は、Ethernetヘッダ240aと、データ部240bとを備える。
Ethernetヘッダ240aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部240bは、照会対象となる認証データを格納する。
なお、Ethernetヘッダ240aのタイプ又はデータ部240bに、照会パケット240であることを示す値がセットされる。
そして、照会部218は、その照会の結果に応じて、認証情報記憶部114に記憶されている認証データテーブル114aのエントリを編集する。これにより、中継処理部112は、自装置で認証に失敗しても、他の装置で認証に成功した中継装置210からの転送パケットを転送することができる。
また、照会部218は、照会情報記憶部219に記憶されている照会情報に、照会を行う他の中継装置210の装置データを格納する機能を有する。
また、照会部218は、照会情報記憶部219に記憶されている照会情報に、照会を行う他の中継装置210の装置データを格納する機能を有する。
照会情報記憶部219は、認証データの照会先である中継装置210を示す照会情報を記憶する。
図12は、照会情報の一例である照会テーブル219aを示す概略図である。
照会テーブル219aは、エントリ列219bと、装置データ列219cとを備え、各々の行が、認証データの照会先を示すデータを格納するエントリとなっている。
エントリ列219bは、エントリを識別するためのエントリ識別情報であるエントリ番号を格納する。エントリ番号として、例えば、「1」から順に連番が割り当てられている。
図12は、照会情報の一例である照会テーブル219aを示す概略図である。
照会テーブル219aは、エントリ列219bと、装置データ列219cとを備え、各々の行が、認証データの照会先を示すデータを格納するエントリとなっている。
エントリ列219bは、エントリを識別するためのエントリ識別情報であるエントリ番号を格納する。エントリ番号として、例えば、「1」から順に連番が割り当てられている。
装置データ列219cは、照会先である中継装置210を識別するための中継装置識別情報である装置データを格納する。装置データは、例えば、MACアドレス、IPアドレス、OUI及び任意のデータの少なくとも何れか一つであればよい。
なお、エントリ列219bのエントリ番号が若いエントリに対応する中継装置210から順に、照会先として特定されるものとする。
なお、エントリ列219bのエントリ番号が若いエントリに対応する中継装置210から順に、照会先として特定されるものとする。
以上に記載された中継処理部112、認証処理部213、エージング処理部115、認証パケット生成部116及び照会部218の一部又は全部は、例えば、図6(A)に示されているように、処理回路10で構成することができる。
また、中継処理部112、認証処理部213、エージング処理部115、認証パケット生成部116及び照会部218の一部は、例えば、図6(B)に示されているように、メモリ11と、メモリ11に格納されているプログラムを実行するプロセッサ12とにより構成することもできる。このようなプログラムは、ネットワークを通じて提供されてもよく、また、記録媒体に記録されて提供されてもよい。即ち、このようなプログラムは、例えば、プログラムプロダクトとして提供されてもよい。
なお、認証情報記憶部114、転送情報記憶部117及び照会情報記憶部219は、揮発性又は不揮発性のメモリで構成することができる。
なお、認証情報記憶部114、転送情報記憶部117及び照会情報記憶部219は、揮発性又は不揮発性のメモリで構成することができる。
図13及び図14は、実態の形態2における中継装置210の認証動作を示すフローチャートである。
なお、図13及び図14に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
なお、図13及び図14に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
図13のステップS10~S18の処理は、図7のステップS10~S18の処理と同様である。
但し、図13のステップS13でNoと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット130に格納されている認証データとが一致しない場合には、処理は図14のステップS20に進む。この場合、認証処理部213は、照会部218に、認証データを送り、照会を依頼する。
但し、図13のステップS13でNoと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット130に格納されている認証データとが一致しない場合には、処理は図14のステップS20に進む。この場合、認証処理部213は、照会部218に、認証データを送り、照会を依頼する。
図14のステップS20では、照会の依頼を受けた照会部218は、照会情報記憶部219に記憶されている照会テーブル219aに装置データが登録されているか否かを判断する。装置データが登録されている場合(S20でYes)には、処理はステップS21に進み、装置データが登録されていない場合(S20でNo)には、処理は終了する。
ステップS21では、照会部218は、照会テーブル219aを参照して、まだ照会を実行していない装置データで示される中継装置210に、中継処理部112及び入出力ポート111を介して照会パケット240を送ることで、照会を実行する。
照会パケット240を受信した中継装置210では、照会部218は、照会パケット240に含まれている認証データと一致する認証データが、自装置の認証情報記憶部114に記憶されている認証データテーブル114aの何れかのエントリに格納されているか否かを判断する。そのような認証データが何れかのエントリに格納されている場合には、照会部218は、中継処理部112及び入出力ポート111を介して、照会元の中継装置210に認証成功の応答パケットを送る。そのような認証データが何れのエントリにも格納されていない場合には、照会部218は、中継処理部112及び入出力ポート111を介して、照会元の中継装置210に認証失敗の応答パケットを送る。
そして、照会元の照会部218は、照会先の応答パケットにより、認証が成功したか否かを判断する(S22)。認証に成功した場合(S22でYes)には、処理はステップS23に進み、認証に失敗した場合(S22でNo)には、処理はステップS24に進む。
ステップS23では、照会部218は、認証データテーブル114aにおいて、図13のステップS10で認証パケット130を受信した入出力ポート111の入出力ポート番号に対応するエントリを特定し、そのエントリに、その認証パケット130に格納されていた認証データ、認証設定「Enable」、VALIDの値「1」及びHITの値「1」を格納する。
ステップS24では、照会部218は、照会テーブル219aの全エントリに対して照会を実行したか否かを判断する。まだ照会を行っていないエントリがある場合(S24でNo)には、処理はステップS21に戻り、全てのエントリに照会を実行した場合(S24でYes)には、処理は終了する。
以上説明したように、実施の形態2によれば、別の中継装置210に対して認証データの照会を行うことで、中継装置210毎に個別に管理している認証データテーブル114aを、1つの認証データテーブル114aに統合することができる。
なお、実施の形態2では、認証データの照会先が別の中継装置210であるが、パケットを送受信できる装置であれば、中継装置210以外の装置(図示せず)が認証データの認証を行ってもよい。
実施の形態3.
実施の形態1では、認証データによる認証動作を行っているが、実施の形態3は、時刻同期を行い、認証パケットの遅延時間の照合による認証動作も行う。
実施の形態1では、認証データによる認証動作を行っているが、実施の形態3は、時刻同期を行い、認証パケットの遅延時間の照合による認証動作も行う。
図1に示されているように、実施の形態3に係る通信システム300は、複数の中継装置310A~310Dを備える。
複数の中継装置310A~310Dの各々は、同様に構成されているため、複数の中継装置310A~310Dの各々を特に区別する必要がない場合には、中継装置310という。
なお、実施の形態3でも、端末装置101A~101Eは、中継装置310を介して、通信を行う。
複数の中継装置310A~310Dの各々は、同様に構成されているため、複数の中継装置310A~310Dの各々を特に区別する必要がない場合には、中継装置310という。
なお、実施の形態3でも、端末装置101A~101Eは、中継装置310を介して、通信を行う。
図15は、中継装置310の構成を概略的に示すブロック図である。
中継装置310は、複数の入出力ポート111と、中継処理部112と、認証処理部313と、認証情報記憶部314と、エージング処理部115と、認証パケット生成部316と、転送情報記憶部117と、時刻同期処理部320と、遅延算出部321とを備える。
実施の形態3における中継装置310の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117と同様である。
中継装置310は、複数の入出力ポート111と、中継処理部112と、認証処理部313と、認証情報記憶部314と、エージング処理部115と、認証パケット生成部316と、転送情報記憶部117と、時刻同期処理部320と、遅延算出部321とを備える。
実施の形態3における中継装置310の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117と同様である。
認証処理部313は、中継処理部112より認証パケットを取得した場合、認証情報記憶部314に記憶されている認証情報を用いて、他の中継装置310の認証を行う。例えば、認証処理部313は、実施の形態1と同様に、認証データによる認証を行うとともに、遅延算出部321に認証パケットの遅延時間を算出させ、算出された遅延時間が、認証情報に格納されている許容される転送遅延時間の範囲を示す転送遅延時間の範囲内であるか否かによっても、認証を行う。具体的には、認証処理部313は、中継処理部112より認証パケットを取得した時に、時刻同期処理部320から時刻を取得して、取得された時刻を受信時刻として、認証パケットに含まれている送信時刻とともに、遅延算出部321に送ることで、遅延算出部321に遅延時間を算出させる。
また、認証処理部313は、遅延算出部321で計測される更新タイマが満了する毎に、認証データテーブル314aに格納されている転送遅延時間を更新する。例えば、認証処理部313は、入出力ポート番号毎に、算出された遅延時間を保持しておき、保持された遅延時間を用いて、転送遅延時間を算出する。
また、認証処理部313は、認証情報記憶部314に記憶されている認証情報を編集する機能を有する。
また、認証処理部313は、認証情報記憶部314に記憶されている認証情報を編集する機能を有する。
認証情報記憶部314は、他の中継装置310の認証を行うための認証情報を記憶する。
図16は、実施の形態3における認証情報の一例である認証データテーブル314aを示す概略図である。
認証データテーブル314aは、入出力ポート番号列314bと、認証データ列314cと、認証設定列314dと、VALID列314eと、HIT列314fと、遅延時間算出設定列314gと、転送遅延時間列314hとを備え、各々の行が、各々の中継装置310を認証するためのデータを格納するエントリとなっている。
図16は、実施の形態3における認証情報の一例である認証データテーブル314aを示す概略図である。
認証データテーブル314aは、入出力ポート番号列314bと、認証データ列314cと、認証設定列314dと、VALID列314eと、HIT列314fと、遅延時間算出設定列314gと、転送遅延時間列314hとを備え、各々の行が、各々の中継装置310を認証するためのデータを格納するエントリとなっている。
入出力ポート番号列314bは、入出力ポート番号を格納する。
認証データ列314cは、中継装置310の認証を行うための認証データを格納する。
認証設定列314dは、中継装置310の認証を行うか否かを示す認証設定を格納する。
VALID列314eは、VALIDの値を格納する。
HIT列314fは、HITの値を格納する。
認証データ列314cは、中継装置310の認証を行うための認証データを格納する。
認証設定列314dは、中継装置310の認証を行うか否かを示す認証設定を格納する。
VALID列314eは、VALIDの値を格納する。
HIT列314fは、HITの値を格納する。
遅延時間算出設定列314gは、遅延時間による中継装置310の認証を行うか否かを示す遅延時間算出設定を格納する。遅延時間算出設定が「Enable」である場合には、遅延時間による認証を行い、遅延時間算出設定が「Disabel」である場合には、遅延時間による認証を行わないことを示す。
転送遅延時間列314hは、許容される転送遅延時間の範囲を示す転送遅延時間を格納する。
転送遅延時間列314hは、許容される転送遅延時間の範囲を示す転送遅延時間を格納する。
以上のように、認証データテーブル314aによれば、入出力ポート番号と、認証データと、認証設定と、VALIDの値と、HITの値と、遅延時間算出設定と、転送遅延時間とが対応付けられる。
図15に戻り、認証パケット生成部316は、認証パケットを送信するまでの時間を、送信タイマとして管理する。
認証パケット生成部316は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。ここで、認証パケット生成部316は、認証パケットを生成する際に、時刻同期処理部320から時刻を取得して、取得された時刻を、認証パケットの送信時刻として、認証パケットに格納する。
認証パケット生成部316は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。ここで、認証パケット生成部316は、認証パケットを生成する際に、時刻同期処理部320から時刻を取得して、取得された時刻を、認証パケットの送信時刻として、認証パケットに格納する。
図17は、認証パケット330のフォーマット例を示す概略図である。
認証パケット330は、Ethernetヘッダ330aと、データ部330bとを備える。
Ethernetヘッダ330aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部330bは、認証データ及び送信時刻を格納する。
なお、Ethernetヘッダ330aのタイプ又はデータ部330bに、認証パケット330であることを示す値がセットされる。
認証パケット330は、Ethernetヘッダ330aと、データ部330bとを備える。
Ethernetヘッダ330aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部330bは、認証データ及び送信時刻を格納する。
なお、Ethernetヘッダ330aのタイプ又はデータ部330bに、認証パケット330であることを示す値がセットされる。
図15に戻り、時刻同期処理部320は、中継装置310における時刻を計時し、他の中継装置310との間で時刻の同期をとる。時刻は、例えば、NTP(Network Time Protocol)又はGPS(Global Positioning System)等により同期させればよい。
遅延算出部321は、認証パケット330内の送信時刻と、認証パケット330を受信した時刻を比較し、遅延時間を算出する。ここで、認証パケット330を受信した時刻については、認証処理部313が中継処理部112から認証パケット330を取得したときに、時刻同期処理部320から得られる時刻が用いられればよい。
また、遅延算出部321は、認証データテーブル314aに格納されている転送遅延時間を更新するまでの時間を、更新タイマとして管理する。
以上に記載された中継処理部112、認証処理部313、エージング処理部115、認証パケット生成部316、時刻同期処理部320及び遅延算出部321の一部又は全部は、例えば、図6(A)に示されているように、処理回路10で構成することができる。
また、中継処理部112、認証処理部313、エージング処理部115、認証パケット生成部316、時刻同期処理部320及び遅延算出部321の一部は、例えば、図6(B)に示されているように、メモリ11と、メモリ11に格納されているプログラムを実行するプロセッサ12とにより構成することもできる。
また、中継処理部112、認証処理部313、エージング処理部115、認証パケット生成部316、時刻同期処理部320及び遅延算出部321の一部は、例えば、図6(B)に示されているように、メモリ11と、メモリ11に格納されているプログラムを実行するプロセッサ12とにより構成することもできる。
図18は、実態の形態3における中継装置310の認証動作を示すフローチャートである。
なお、図18に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
なお、図18に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
図18のステップS10~S18の処理は、図7のステップS10~S18の処理と同様である。
但し、図18のステップS13でYesと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット330に格納されている認証データとが一致する場合には、処理は図18のステップS30に進む。
但し、図18のステップS13でYesと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット330に格納されている認証データとが一致する場合には、処理は図18のステップS30に進む。
ステップS30では、中継処理部112は、認証データテーブル314aを参照することで、認証パケット330を受信した入出力ポート111に対応するエントリの遅延時間算出設定が「Enable」であるか否かを判断する。言い換えると、認証パケット330を受信した入出力ポート111に接続されている中継装置310が、遅延時間による認証を行う中継装置であるか否かを判断する。「Enable」である場合(S30でYes)には、処理はステップS31に進み、「Enable」ではなく、「Disable」である場合(S30でNo)には、処理はステップS14に進む。
ステップS31では、認証処理部313は、中継処理部112から認証パケット330を取得した時刻を、時刻同期処理部320から取得し、取得された時刻を受信時刻として、認証パケット330に格納されている送信時刻とともに、遅延算出部321に与える。そして、遅延算出部321は、受信時刻から送信時刻を減算することで、認証パケット330の遅延時間を算出し、算出された遅延時間を認証処理部313に応答する。そして、認証処理部313は、認証情報記憶部314に記憶されている認証データテーブル314aを参照し、中継処理部112から通知された入出力ポート番号に対応するエントリの転送遅延時間で示される範囲に、応答された遅延時間が含まれるか否か、言い換えると、応答された遅延時間が、許容される転送遅延時間であるか否かを判断する。応答された遅延時間が許容される転送遅延時間である場合(S31でYes)には、処理はステップS14に進み、応答された遅延時間が許容される転送遅延時間を超えている場合(S31でNo)には、処理は終了する。
図19は、認証データテーブル314aの転送遅延時間の更新動作を示すフローチャートである。
遅延算出部321は、保有する更新タイマが満了したタイミング、言い換えると予め定められた転送遅延時間更新待機時間が経過したタイミング、又は、使用者が遅延測定要求を行ったタイミングで、転送遅延時間の更新動作を開始する(S40)。なお、使用者は、中継装置310に備えられている入力部(図示せず)を用いて、遅延測定要求を行ってもよく、また、何れかの端末装置101A~101Eから、遅延測定要求を格納したパケットを中継装置310に送ることで、遅延測定要求を行ってもよい。
遅延算出部321は、保有する更新タイマが満了したタイミング、言い換えると予め定められた転送遅延時間更新待機時間が経過したタイミング、又は、使用者が遅延測定要求を行ったタイミングで、転送遅延時間の更新動作を開始する(S40)。なお、使用者は、中継装置310に備えられている入力部(図示せず)を用いて、遅延測定要求を行ってもよく、また、何れかの端末装置101A~101Eから、遅延測定要求を格納したパケットを中継装置310に送ることで、遅延測定要求を行ってもよい。
認証処理部313は、入出力ポート番号毎に転送遅延時間を特定する(S41)。認証処理部313は、例えば、入出力ポート番号毎に記憶されている遅延時間を用いて、入出力ポート番号毎の遅延時間の最小値と最大値に応じて、転送遅延時間を特定する。具体的には、認証処理部313は、入出力ポート番号毎の遅延時間の最小値と最大値との範囲により転送遅延時間を特定する。なお、認証処理部313は、その最小値及び最大値の少なくとも何れか一方に予め定められた係数を乗算する、その最小値から予め定められた値を減算する、又は、その最大値に予め定められた値を加算する等により、その最小値と最大値との範囲よりも広い範囲により転送遅延時間を特定してもよい。
認証処理部313は、認証データテーブル314aのエントリから、まだ更新処理を行っていない1つのエントリを読み出す(S42)。
次に、認証処理部313は、ステップS42で読み出されたエントリのVALIDの値が「1」であり、かつ、そのエントリの遅延時間算出設定が「Enable」であるか否か、言い換えると、読み出されたエントリに対応する中継装置310の認証が成功しているか否か、及び、その中継装置310に対して遅延時間による認証を行うか否かを判断する(S43)。VALIDの値が「1」、かつ、遅延時間算出設定が「Enable」である場合(S43でYes)は、処理はステップS44に進む。VALIDの値が「0」、又は、遅延時間算出設定が「Disable」である場合(S43でNo)には、処理はステップS45に進む。
ステップS44では、認証処理部313は、ステップS42で読み出されたエントリの転送遅延時間を、対応する入出力ポート番号について特定した転送遅延時間で更新する。そして、処理はステップS45に進む。
ステップS45では、認証処理部313は、認証データテーブル314aのエントリの読み出しを完了したか否かを判断する。全てのエントリが読み出されている場合(S45でYes)には、処理はステップS46に進み、まだ読み出されていないエントリが残っている場合(S45でNo)には、処理はステップS42に戻る。
ステップS46では、遅延算出部321は、認証処理部313からの指示に応じて、更新タイマをクリアして、再び、予め定められた転送遅延時間更新待機時間の計測を行う。
図20は、中継装置310が認証パケット330を送信する動作を示すフローチャートである。
なお、図20に示されているフローチャートの処理の内、実施の形態1における図9に示されているフローチャートと同様の処理については、図9と同様の符号を付すことにより、詳細な説明を省略する。
なお、図20に示されているフローチャートの処理の内、実施の形態1における図9に示されているフローチャートと同様の処理については、図9と同様の符号を付すことにより、詳細な説明を省略する。
図20のステップS30の処理は、図9のステップS30の処理と同様である。但し、ステップS30の処理の後、処理はステップS50に進む。
ステップS50では、認証パケット生成部316は、時刻同期処理部320から時刻を取得して、取得された時刻を送信時刻として、認証データとともにデータ部330bに格納した認証パケット330を生成し、その認証パケット330を中継処理部112に送る。そして、処理はステップS32に進む。
ステップS50では、認証パケット生成部316は、時刻同期処理部320から時刻を取得して、取得された時刻を送信時刻として、認証データとともにデータ部330bに格納した認証パケット330を生成し、その認証パケット330を中継処理部112に送る。そして、処理はステップS32に進む。
図20のステップS32~S35の処理は、図9のステップS32~S35の処理と同様である。
以上のように、実施の形態3によれば、認証パケット330の転送遅延時間を確認することにより、中継装置310の間に認証パケット330を透過するような機能を有する他の装置が入り込んだ場合に、転送遅延時間の変化によりそのような他の装置による、なりすまし等の不正を検出することができる。このため、実施の形態3は、ネットワークの不正使用を防止することが可能になる等、ネットワークのセキュリティを向上することができる。
なお、実施の形態3は、中継装置310に限らず、時刻同期機能を有し、パケットを送信する装置であれば適用可能である。
実施の形態4.
実施の形態1では中継装置110の認証データによる認証動作を示したが、実施の形態4では、認証パケットのパケット長をランダムに変化させ、次回送信する認証パケットのパケット長情報を今回送信する認証パケット内に追加することで、認証パケットのパケット長の照合により、認証動作を行う。
実施の形態1では中継装置110の認証データによる認証動作を示したが、実施の形態4では、認証パケットのパケット長をランダムに変化させ、次回送信する認証パケットのパケット長情報を今回送信する認証パケット内に追加することで、認証パケットのパケット長の照合により、認証動作を行う。
図1に示されているように、実施の形態4に係る通信システム400は、複数の中継装置410A~410Dを備える。
複数の中継装置410A~410Dの各々は、同様に構成されているため、複数の中継装置410A~410Dの各々を特に区別する必要がない場合には、中継装置410という。
なお、実施の形態4でも、端末装置101A~101Eは、中継装置410を介して、通信を行う。
複数の中継装置410A~410Dの各々は、同様に構成されているため、複数の中継装置410A~410Dの各々を特に区別する必要がない場合には、中継装置410という。
なお、実施の形態4でも、端末装置101A~101Eは、中継装置410を介して、通信を行う。
図21は、中継装置410の構成を概略的に示すブロック図である。
中継装置410は、複数の入出力ポート111と、中継処理部112と、認証処理部413と、認証情報記憶部414と、エージング処理部115と、認証パケット生成部416と、転送情報記憶部117と、乱数生成部422とを備える。
実施の形態4における中継装置410の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117と同様である。
中継装置410は、複数の入出力ポート111と、中継処理部112と、認証処理部413と、認証情報記憶部414と、エージング処理部115と、認証パケット生成部416と、転送情報記憶部117と、乱数生成部422とを備える。
実施の形態4における中継装置410の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117は、実施の形態1における中継装置110の入出力ポート111、中継処理部112、エージング処理部115及び転送情報記憶部117と同様である。
認証処理部413は、中継処理部112より認証パケットを取得した場合、認証情報記憶部414に記憶されている認証情報を用いて、他の中継装置410の認証を行う。例えば、認証処理部413は、実施の形態1と同様に、認証データによる認証を行うとともに、認証パケットのパケット長によっても認証を行う。
また、認証処理部413は、認証情報記憶部414に記憶されている認証情報を編集する機能を有する。
また、認証処理部413は、認証情報記憶部414に記憶されている認証情報を編集する機能を有する。
認証情報記憶部414は、他の中継装置110の認証を行うための認証情報を記憶する。
図22は、実施の形態4における認証情報の一例である認証データテーブル414aを示す概略図である。
認証データテーブル414aは、入出力ポート番号列414bと、認証データ列414cと、認証設定列414dと、VALID列414eと、HIT列414fと、パケット長判定設定列414gと、パケット長列414hとを備え、各々の行が、各々の中継装置410を認証するためのデータを格納するエントリとなっている。
図22は、実施の形態4における認証情報の一例である認証データテーブル414aを示す概略図である。
認証データテーブル414aは、入出力ポート番号列414bと、認証データ列414cと、認証設定列414dと、VALID列414eと、HIT列414fと、パケット長判定設定列414gと、パケット長列414hとを備え、各々の行が、各々の中継装置410を認証するためのデータを格納するエントリとなっている。
入出力ポート番号列414bは、入出力ポート番号を格納する。
認証データ列414cは、中継装置410の認証を行うための認証データを格納する。
認証設定列414dは、中継装置410の認証を行うか否かを示す認証設定を格納する。
VALID列414eは、中継装置410の認証に成功したか否かを示すVALIDの値を格納する。
HIT列414fは、中継装置410から、エージングタイマ内に、認証に成功した認証パケットを受信したか否かを示すHITの値を格納する。
認証データ列414cは、中継装置410の認証を行うための認証データを格納する。
認証設定列414dは、中継装置410の認証を行うか否かを示す認証設定を格納する。
VALID列414eは、中継装置410の認証に成功したか否かを示すVALIDの値を格納する。
HIT列414fは、中継装置410から、エージングタイマ内に、認証に成功した認証パケットを受信したか否かを示すHITの値を格納する。
パケット長判定設定列414gは、認証パケットのパケット長による中継装置410の認証を行うか否かを示すパケット長判定設定を格納する。パケット長判定設定が「Enable」である場合には、パケット長による認証を行い、パケット長判定設定が「Disabel」である場合には、パケット長による認証を行わないことを示す。
パケット長列414hは、次回の認証パケットのパケット長を示す次回のパケット長を格納する。
パケット長列414hは、次回の認証パケットのパケット長を示す次回のパケット長を格納する。
以上のように、認証データテーブル414aによれば、入出力ポート番号と、認証データと、認証設定と、VALIDの値と、HITの値と、パケット長判定設定と、次回のパケット長とが対応付けられる。
図21に戻り、認証パケット生成部416は、認証パケットを送信するまでの時間を、送信タイマとして管理する。送信タイマは、エージングタイマよりも短い時間とする。
認証パケット生成部416は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。
ここで、認証パケット生成部416は、認証パケットを生成する際に、乱数生成部422から、今回の認証パケットのパケット長に対応する今回の乱数を示す今回の乱数情報と、次回の認証パケットのパケット長に対応する次回の乱数を示す次回の乱数情報とを取得する。そして、認証パケット生成部416は、認証データ及び次回の乱数に対応するパケット長である次回の認証パケットのパケット長を含む認証パケットを今回の乱数に対応するパケット長で生成する。
認証パケット生成部416は、送信タイマが満了する毎に、認証パケットを生成し、それを中継処理部112に与える。
ここで、認証パケット生成部416は、認証パケットを生成する際に、乱数生成部422から、今回の認証パケットのパケット長に対応する今回の乱数を示す今回の乱数情報と、次回の認証パケットのパケット長に対応する次回の乱数を示す次回の乱数情報とを取得する。そして、認証パケット生成部416は、認証データ及び次回の乱数に対応するパケット長である次回の認証パケットのパケット長を含む認証パケットを今回の乱数に対応するパケット長で生成する。
図23は、認証パケット430のフォーマット例を示す概略図である。
認証パケット430は、Ethernetヘッダ430aと、データ部430bとを備える。
Ethernetヘッダ430aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部430bは、認証データ及び次回の認証パケットのパケット長を格納する。
なお、Ethernetヘッダ430aのタイプ又はデータ部430bに、認証パケット430であることを示す値がセットされる。
なお、認証パケット生成部416は、例えば、データ部430bにパディングを行うことで、認証パケット430のデータ長を変化させる。
認証パケット430は、Ethernetヘッダ430aと、データ部430bとを備える。
Ethernetヘッダ430aは、宛先アドレス、送信元アドレス及びタイプを格納する。
データ部430bは、認証データ及び次回の認証パケットのパケット長を格納する。
なお、Ethernetヘッダ430aのタイプ又はデータ部430bに、認証パケット430であることを示す値がセットされる。
なお、認証パケット生成部416は、例えば、データ部430bにパディングを行うことで、認証パケット430のデータ長を変化させる。
乱数生成部422は、乱数を生成し、生成された乱数を示す乱数情報を認証パケット生成部416に与える。例えば、乱数生成部422は、中継装置410の通信プロトコルで認証パケットのパケット長の範囲が予め定められている場合には、その範囲内の値となるように、乱数を生成する。また、通信プロトコルでそのような範囲が定められていない場合等、中継装置410で送受信するパケット長の範囲に制限がない場合であっても、認証パケットのパケット長として好適な範囲が予め定められており、乱数生成部422がその範囲内の値となるように乱数を生成することが望ましい。
なお、乱数の更新タイミングは、認証パケット生成部416からの更新要求があったタイミングである。
なお、乱数の更新タイミングは、認証パケット生成部416からの更新要求があったタイミングである。
以上に記載された中継処理部112、認証処理部413、エージング処理部115、認証パケット生成部416及び乱数生成部422の一部又は全部は、例えば、図6(A)に示されているように、処理回路10で構成することができる。
また、中継処理部112、認証処理部413、エージング処理部115、認証パケット生成部416及び乱数生成部422の一部は、例えば、図6(B)に示されているように、メモリ11と、プロセッサ12とにより構成することもできる。
また、中継処理部112、認証処理部413、エージング処理部115、認証パケット生成部416及び乱数生成部422の一部は、例えば、図6(B)に示されているように、メモリ11と、プロセッサ12とにより構成することもできる。
図24及び図25は、実態の形態4における中継装置410の認証動作を示すフローチャートである。
なお、図24及び図25に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
なお、図24及び図25に示されているフローチャートの処理の内、実施の形態1における図7に示されているフローチャートと同様の処理については、図7と同様の符号を付すことにより、詳細な説明を省略する。
図24及び図25のステップS10~S13及びS15~S18の処理は、図7のステップS10~S13及びS15~S18の処理と同様である。
但し、図25のステップS13でYesと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット430に格納されている認証データとが一致する場合には、処理は図25のステップS60に進む。
但し、図25のステップS13でYesと判断された場合、言い換えると、中継処理部112から通知された入出力ポート番号に対応するエントリの認証データと、中継処理部112から与えられた認証パケット430に格納されている認証データとが一致する場合には、処理は図25のステップS60に進む。
ステップS60では、中継処理部112は、認証データテーブル414aを参照することで、認証パケットを受信した入出力ポート111に対応するエントリのパケット長判定設定が「Enable」であるか否かを判断する。言い換えると、認証パケット430を受信した入出力ポート111に接続されている中継装置410が、パケット長による認証を行う中継装置であるか否かを判断する。「Enable」である場合(S60でYes)には、処理はステップS61に進み、「Enable」ではなく、「Disable」である場合(S60でNo)には、処理はステップS63に進む。
ステップS61では、認証処理部413は、認証情報記憶部414に記憶されている認証データテーブル414aを参照し、中継処理部112から与えられた認証パケット430のパケット長が、中継処理部112から通知された入出力ポート番号に対応するエントリの次回のパケット長と一致するか否かを判断する。これらが一致する場合(S61でYes)には、処理はステップS62に進み、これらが一致しない場合(S61でNo)には、処理はステップS64に進む。
ステップS62では、パケット長による認証が成功したため、認証処理部413は、中継処理部112から通知された入出力ポート番号に対応するエントリのVALIDの値を「1」に、HITの値を「1」に更新するとともに、認証パケット430に含まれている次回の認証パケットのパケット長を、そのエントリの次回のパケット長として格納する。
ステップS63では、パケット長による認証は行わず、認証データによる認証が成功しているため、認証処理部413は、中継処理部112から通知された入出力ポート番号に対応するエントリのVALIDの値を「1」に、HITの値を「1」に更新する。
ステップS64では、パケット長による認証は失敗したが、認証データによる認証は成功したため、認証処理部413は、認証パケットに含まれている次回の認証パケットのパケット長を、中継処理部112から通知された入出力ポート番号に対応するエントリの次回のパケット長として格納する。
図26は、中継装置410が認証パケット430を送信する動作を示すフローチャートである。
なお、図26に示されているフローチャートの処理の内、実施の形態1における図9に示されているフローチャートと同様の処理については、図9と同様の符号を付すことにより、詳細な説明を省略する。
なお、図26に示されているフローチャートの処理の内、実施の形態1における図9に示されているフローチャートと同様の処理については、図9と同様の符号を付すことにより、詳細な説明を省略する。
図26のステップS30の処理は、図9のステップS30の処理と同様である。但し、ステップS30の処理の後、処理はステップS70に進む。
ステップS70では、認証パケット生成部416は、乱数生成部422から乱数情報を取得して、取得された乱数情報から、今回の認証パケットのパケット長を特定する。
ステップS70では、認証パケット生成部416は、乱数生成部422から乱数情報を取得して、取得された乱数情報から、今回の認証パケットのパケット長を特定する。
次に、認証パケット生成部416は、乱数生成部422に乱数情報の更新を要求し、このような要求に応じて、乱数生成部422は、乱数情報を更新する(S71)。
そして、認証パケット生成部416は、更新された乱数情報を取得し、取得された乱数情報により、次回の認証パケットのパケット長を特定する(S72)。
そして、認証パケット生成部416は、更新された乱数情報を取得し、取得された乱数情報により、次回の認証パケットのパケット長を特定する(S72)。
次に、認証パケット生成部416は、ステップS72で特定されたパケット長を、次回の認証パケットのパケット長として、認証データとともにデータ部430bに格納した認証パケット430を生成する(S73)。ここで、認証パケット生成部416は、生成される認証パケット430のパケット長がステップS70で特定されたパケット長となるように、データ部430bにパディングを行う。そして、認証パケット生成部416は、その認証パケット430を中継処理部112に送る。そして、処理はステップS32に進む。
図26のステップS32~S35の処理は、図9のステップS32~S35の処理と同様である。
以上のように、実施の形態4によれば、認証パケット430のパケット長をランダムに変化させ、次回送信する認証パケットのパケット長を認証パケット430内に追加することで、認証パケット430が模擬されてしまうことを防止することができる。これにより、ネットワークのセキュリティを向上することができる。
なお、実施の形態4は、中継装置410に限らず、乱数生成部を有し、パケットを送信する装置であれば適用可能である。
100,200,300,400 通信システム、 110,210,310,410 中継装置、 111 入出力ポート、 112 中継処理部、 113,213,313,413 認証処理部、 114,314,414 認証情報記憶部、 115 エージング処理部、 116,316,416 認証パケット生成部、 117 転送情報記憶部、 218 照会部、 219 照会情報記憶部、 320 時刻同期処理部、 321 遅延算出部、 422。
Claims (11)
- 複数の中継装置を含む複数の装置の各々に、各々が接続される複数の入出力ポートと、
前記複数の中継装置の内、認証の対象となる中継装置である対象中継装置の認証を行うための認証情報を記憶する認証情報記憶部と、
前記複数の入出力ポートの内、前記対象中継装置に接続される入出力ポートである対象入出力ポートを介して、前記対象中継装置の認証を行うための認証パケットである対象認証パケットを取得して、前記認証情報を参照して、前記対象中継装置の認証を行う認証処理部と、
前記対象中継装置の認証に成功した場合に、前記対象入出力ポートを介して取得された転送パケットを、前記複数の入出力ポートの内、前記転送パケットの転送先が接続されている入出力ポートである転送入出力ポートから出力させ、前記対象中継装置の認証に失敗した場合に、前記転送パケットを廃棄する中継処理部と、を備えること
を特徴とする中継装置。 - 前記対象認証パケットは、前記対象中継装置の認証に用いられる認証データを含んでおり、
前記認証情報は、前記対象中継装置に対応付けて、前記認証データと比較するための比較用認証データを含んでおり、
前記認証処理部は、前記認証データと前記比較用認証データとを比較することで、前記対象中継装置の認証を行うこと
を特徴とする請求項1に記載の中継装置。 - 前記認証情報は、前記複数の中継装置の各々に対応付けて、認証を行うか否かを示す認証設定を含んでおり、
前記対象中継装置は、前記複数の中継装置の内、認証を行うことを示す前記認証設定に対応付けられている中継装置であること
を特徴とする請求項1又は2に記載の中継装置。 - エージング処理部をさらに備え、
前記認証情報は、前記複数の中継装置の各々に対応付けて、第1のフラグ及び第2のフラグを含んでおり、
前記認証処理部は、前記対象中継装置の認証が成功した場合に、前記対象中継装置に対応する前記第1のフラグを第1の値に更新し、前記対象中継装置に対応する前記第2のフラグを第3の値に更新し、
前記エージング処理部は、予め定められたエージング更新待機時間が経過する毎に、前記複数の中継装置から1つずつ順番に選択して、前記選択された中継装置に対応する前記第2のフラグが第4の値である場合に、前記選択された中継装置に対応する前記第1のフラグを第2の値に更新し、前記選択された中継装置に対応する前記第2のフラグが前記第3の値である場合に、前記選択された中継装置に対応する前記第2のフラグを前記第4の値に更新し、
前記中継処理部は、前記対象中継装置に対応する前記第1のフラグが前記第1の値である場合に、前記対象中継装置の認証に成功したと判断し、前記対象中継装置に対応する前記第1のフラグが前記第2の値である場合に、前記対象中継装置の認証に失敗したと判断すること
を特徴とする請求項1から3の何れか一項に記載の中継装置。 - 前記認証処理部が前記対象中継装置の認証に失敗した場合に、前記複数の入出力ポートの内の少なくとも1つの入出力ポートを介して、前記複数の中継装置の少なくとも1つの中継装置に、前記対象中継装置の認証を照会する照会部をさらに備え、
前記中継処理部は、前記少なくとも1つの中継装置で前記対象中継装置の認証に成功した場合に、前記対象入出力ポートを介して取得された前記転送パケットを、前記転送入出力ポートから出力させること
を特徴とする請求項1から4の何れか一項に記載の中継装置。 - 前記対象認証パケットは、前記対象認証パケットの送信時刻をさらに含んでおり、
前記認証情報は、前記複数の中継装置の各々に対応付けて、許容される転送遅延時間の範囲をさらに含んでおり、
前記認証処理部は、前記認証データが前記比較用認証データと一致し、かつ、前記送信時刻から前記対象認証パケットの受信時刻までの遅延時間が、前記対象中継装置に対応する前記範囲に含まれている場合に、前記対象中継装置の認証を成功と判断し、前記認証データが前記比較用認証データと一致しない場合、又は、前記遅延時間が、前記対象中継装置に対応する前記範囲を超えている場合に、前記対象中継装置の認証を失敗と判断すること
を特徴とする請求項2に記載の中継装置。 - 前記認証処理部は、前記認証情報に含まれている前記範囲を、予め定められた期間において、前記複数の中継装置の内の対応する中継装置から送信されてきた複数の認証パケットの遅延時間の最小値と最大値とに応じて更新すること
を特徴とする請求項6に記載の中継装置。 - 前記対象認証パケットは、前記対象認証パケットの次に送信される認証パケットである次回の認証パケットのパケット長をさらに含んでおり、
前記認証情報は、前記対象中継装置に対応付けて、次回のパケット長をさらに含んでおり、
前記認証処理部は、前記認証データが前記比較用認証データと一致し、かつ、前記対象認証パケットのパケット長が前記次回のパケット長と一致する場合に、前記対象中継装置の認証を成功と判断し、前記認証データが前記比較用認証データと一致しない場合、又は、前記対象認証パケットのパケット長が、前記次回のパケット長と一致しない場合に、前記対象中継装置の認証を失敗と判断し、
前記認証処理部は、前記次回のパケット長を、前記次回の認証パケットのパケット長を示すように更新すること
を特徴とする請求項2に記載の中継装置。 - 前記対象中継装置で認証を受けるための認証パケットである送信認証パケットを生成し、前記対象入出力ポートを介して、前記対象中継装置に送る認証パケット生成部をさらに備えること
を特徴とする請求項1から8の何れか一項に記載の中継装置。 - 前記認証パケット生成部は、前記送信認証パケットの次に送る次回の認証パケットのパケット長を、前記送信認証パケットに格納すること
を特徴とする請求項9に記載の中継装置。 - 複数の中継装置を備える通信システムであって、
前記複数の中継装置の各々は、
自装置を除く前記複数の中継装置を含む複数の装置の各々に、各々が接続される複数の入出力ポートと、
前記複数の中継装置の内、認証の対象となる中継装置である対象中継装置の認証を行うための認証情報を記憶する認証情報記憶部と、
前記複数の入出力ポートの内、前記対象中継装置に接続される入出力ポートである対象入出力ポートを介して、前記対象中継装置の認証を行うための対象認証パケットを取得して、前記認証情報を参照して、前記対象中継装置の認証を行う認証処理部と、
前記対象中継装置の認証に成功した場合に、前記対象入出力ポートを介して取得された転送パケットを、前記複数の入出力ポートの内、前記転送パケットの転送先が接続されている入出力ポートである転送入出力ポートから出力させ、前記対象中継装置の認証に失敗した場合に、前記転送パケットを廃棄する中継処理部と、
前記対象中継装置で認証を受けるための認証パケットである送信認証パケットを生成し、前記対象入出力ポートを介して、前記対象中継装置に送る認証パケット生成部と、を備えること
を特徴とする通信システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020518932A JP6942247B2 (ja) | 2018-05-18 | 2018-05-18 | 中継装置及び通信システム |
| PCT/JP2018/019329 WO2019220632A1 (ja) | 2018-05-18 | 2018-05-18 | 中継装置及び通信システム |
| US17/054,176 US11870777B2 (en) | 2018-05-18 | 2018-05-18 | Relay device and communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/019329 WO2019220632A1 (ja) | 2018-05-18 | 2018-05-18 | 中継装置及び通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2019220632A1 true WO2019220632A1 (ja) | 2019-11-21 |
Family
ID=68540020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2018/019329 WO2019220632A1 (ja) | 2018-05-18 | 2018-05-18 | 中継装置及び通信システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11870777B2 (ja) |
| JP (1) | JP6942247B2 (ja) |
| WO (1) | WO2019220632A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021117270A1 (ja) * | 2019-12-12 | 2021-06-17 | 三菱電機株式会社 | 中継装置及び通信システム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11876790B2 (en) * | 2020-01-21 | 2024-01-16 | The Boeing Company | Authenticating computing devices based on a dynamic port punching sequence |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001186186A (ja) * | 1999-12-27 | 2001-07-06 | Toshiba Corp | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
| JP2008293399A (ja) * | 2007-05-28 | 2008-12-04 | Univ Nihon | 端末認証システム及び端末認証方法及びプログラム及び記録媒体 |
| JP2012049588A (ja) * | 2010-08-24 | 2012-03-08 | Buffalo Inc | ネットワーク中継装置 |
| JP2016082499A (ja) * | 2014-10-21 | 2016-05-16 | Necプラットフォームズ株式会社 | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6590898B1 (en) * | 1999-12-30 | 2003-07-08 | New Jersey Institute Of Technology | Method and apparatus for routing data packets |
| US20080037557A1 (en) * | 2004-10-19 | 2008-02-14 | Nec Corporation | Vpn Getaway Device and Hosting System |
| JP4923908B2 (ja) * | 2006-09-21 | 2012-04-25 | 富士通株式会社 | パケット転送装置およびパケット転送方法 |
| JP2010028378A (ja) * | 2008-07-17 | 2010-02-04 | Canon Inc | 通信装置及び通信方法 |
| JP5143199B2 (ja) * | 2010-08-24 | 2013-02-13 | 株式会社バッファロー | ネットワーク中継装置 |
| US8462815B2 (en) * | 2010-09-02 | 2013-06-11 | Juniper Networks, Inc. | Accurate measurement of packet size in cut-through mode |
| JP5768624B2 (ja) * | 2011-09-26 | 2015-08-26 | 富士通株式会社 | 中継装置及び中継方法 |
| US9444755B2 (en) * | 2014-11-04 | 2016-09-13 | Anritsu Networks Co., Ltd. | Packet processing method and packet processing device |
| JP2018074261A (ja) * | 2016-10-25 | 2018-05-10 | 富士通株式会社 | パケット中継装置及びパケット中継方法 |
-
2018
- 2018-05-18 US US17/054,176 patent/US11870777B2/en active Active
- 2018-05-18 WO PCT/JP2018/019329 patent/WO2019220632A1/ja active Application Filing
- 2018-05-18 JP JP2020518932A patent/JP6942247B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001186186A (ja) * | 1999-12-27 | 2001-07-06 | Toshiba Corp | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
| JP2008293399A (ja) * | 2007-05-28 | 2008-12-04 | Univ Nihon | 端末認証システム及び端末認証方法及びプログラム及び記録媒体 |
| JP2012049588A (ja) * | 2010-08-24 | 2012-03-08 | Buffalo Inc | ネットワーク中継装置 |
| JP2016082499A (ja) * | 2014-10-21 | 2016-05-16 | Necプラットフォームズ株式会社 | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021117270A1 (ja) * | 2019-12-12 | 2021-06-17 | 三菱電機株式会社 | 中継装置及び通信システム |
| JP7304801B2 (ja) | 2019-12-12 | 2023-07-07 | 三菱電機株式会社 | 中継装置及び通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2019220632A1 (ja) | 2020-12-10 |
| JP6942247B2 (ja) | 2021-09-29 |
| US20210194876A1 (en) | 2021-06-24 |
| US11870777B2 (en) | 2024-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105917689B (zh) | 以信息为中心的网络中的安全的点对点组 | |
| US9668200B2 (en) | Wireless extender secure discovery and provisioning | |
| EP2033400B1 (en) | Method and arrangement for assuring prefix consistency among multiple mobile routers. | |
| US7373508B1 (en) | Wireless security system and method | |
| US20080263647A1 (en) | System and Method For Providing Network Device Authentication | |
| US20040236939A1 (en) | Wireless network handoff key | |
| EP1560396A2 (en) | Method and apparatus for handling authentication on IPv6 network | |
| US8069235B2 (en) | Method and device for managing a peer relationship in a data communication network | |
| KR20060048318A (ko) | 정보 처리 장치 및 방법 | |
| WO2013013481A1 (zh) | 接入认证方法、设备、服务器及系统 | |
| JP6108235B2 (ja) | 鍵情報制御装置、鍵情報更新装置、プログラム及び記録媒体、鍵情報更新方法、鍵情報更新システム | |
| WO2019220632A1 (ja) | 中継装置及び通信システム | |
| JP5677380B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
| RU2447603C2 (ru) | Способ передачи сообщений dhcp | |
| WO2016158866A1 (ja) | 通信装置、認証装置およびネットワークシステム | |
| Lundrigan et al. | Strap: Secure transfer of association protocol | |
| JP2007166552A (ja) | 通信装置及び暗号通信方法 | |
| JP2007281892A (ja) | 秘密鍵生成装置および秘密鍵生成方法 | |
| JP3927185B2 (ja) | ネットワークシステム、ゲートウェイ装置、プログラム及び通信制御方法 | |
| Wienzek et al. | Fast re-authentication for handovers in wireless communication networks | |
| JP6961951B2 (ja) | ネットワーク構築システム、方法及び無線ノード | |
| Egners et al. | Multi-operator wireless mesh networks secured by an all-encompassing security architecture | |
| KR101207319B1 (ko) | IEEE 802.1x 인증 시스템, 이를 이용하는 암호 관리 방법 및 인증 방법 | |
| Niazi et al. | Group Encrypted Transport VPN (Get VPN) Design and Implementation Guide |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18919149 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2020518932 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 18919149 Country of ref document: EP Kind code of ref document: A1 |