JP2009081710A - 通信機器及び通信機器に用いられる通信方法 - Google Patents
通信機器及び通信機器に用いられる通信方法 Download PDFInfo
- Publication number
- JP2009081710A JP2009081710A JP2007249949A JP2007249949A JP2009081710A JP 2009081710 A JP2009081710 A JP 2009081710A JP 2007249949 A JP2007249949 A JP 2007249949A JP 2007249949 A JP2007249949 A JP 2007249949A JP 2009081710 A JP2009081710 A JP 2009081710A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication device
- packet
- address
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】従来のような煩雑な処理を必要とせずに、セキュリティゲートウェイ自身の上の機能のアドレスを応答から取得することが可能な通信機器を提供する。
【解決手段】通信機器10は、通信機器20と認証を行う認証モジュール12と、通信機器20とトンネルIP通信を行うIPsecモジュール13とを備える。認証モジュール12は、通信機器20との認証の手順の一環として、トンネルIP通信に用いる暗号鍵と第2の通信機器の仮想IPアドレスを取得し、IPsecモジュール13は、取得した仮想IPアドレス宛のパケットを取得した暗号鍵で暗号データに暗号化し、暗号データをペイロードとして通信機器20宛のIPパケットを送信し、応答を取得した暗号鍵で復号することによりトンネルIP通信を行う。
【選択図】図2
【解決手段】通信機器10は、通信機器20と認証を行う認証モジュール12と、通信機器20とトンネルIP通信を行うIPsecモジュール13とを備える。認証モジュール12は、通信機器20との認証の手順の一環として、トンネルIP通信に用いる暗号鍵と第2の通信機器の仮想IPアドレスを取得し、IPsecモジュール13は、取得した仮想IPアドレス宛のパケットを取得した暗号鍵で暗号データに暗号化し、暗号データをペイロードとして通信機器20宛のIPパケットを送信し、応答を取得した暗号鍵で復号することによりトンネルIP通信を行う。
【選択図】図2
Description
本発明は、通信機器及び通信機器に用いられる通信方法に関し、より詳細にはIPsecに代表されるトンネルモード暗号通信を応用した機器間の通信における技術に関する。
近年、ADSLや光ファイバーなどのブロードバンド環境が整ったことにより、企業、一般家庭を問わずインターネット常時接続環境が急速に普及してきている。また、パーソナルコンピュータ(PC)だけでなく、テレビやDVDレコーダ、エアコン、冷蔵庫のような家電もインターネットに接続できるようになってきている。
インターネットに接続された機器間で安全に通信を行うたに様々なプロトコルが開発されているが、中でもIETF(Internet Engineering Task Force)が発行する一連のRFC規格によって規定されるIPsec(IP security)プロトコルは、機器間を接続する暗号通信プロトコルとして近年採用例が増えている。
IPsecプロトコルにおいては、トランスポートモード及びトンネルモードを選択することができる。
トランスポートモードは、機器間を1対1に接続するために使用され、通常のアプリケーションが送信するIPパケットのヘッダを除いたペイロード部分のみを暗号化し、これに送信先機器アドレス、送信元機器アドレスを含むIPヘッダを付けて送信を行う。
トンネルモードにおいては、IPパケットを丸ごと暗号化し、これにさらに送信先機器アドレス、送信元機器アドレスを含むIPヘッダを付けて送信を行う。この様にIPパケットを暗号化してさらにIPパケット化することをトンネルカプセル化と呼ぶ。以下で特に断らない限りトンネルカプセル化を単にカプセル化と略す。カプセル化ではIPパケットを丸ごと転送するため、LAN内のパケットを全て他のLANに転送するVPN(Viurtual Private Network)ルータ等に用いることができる。この様なVPNの通信構成図を図3に示す。
図3は、従来の通信システムの全体構成を示すブロック図であり、非特許文献1の2.2節に記載される構成をより詳細に図示したものである。
図3に示されるように、通信システム900は、通信機器910と、通信機器920と、通信機器930と、通信機器910と通信機器920とを通信可能に接続するネットワーク940と、通信機器920と通信機器930とを通信可能に接続するネットワーク950とから構成される。
通信機器910は、アプリケーション911と、認証モジュール912と、IPsecトンネルモード対応VPNモジュール(以下、単に「IPsecモジュール」とも記す。)913と、ネットワークIF914とを備える。
通信機器920は、認証モジュール921と、ルータモジュール922と、IPsecモジュール923と、TCP/IPスタック924と、ネットワークIF925と、ネットワークIF926とを備える。
通信機器930は、TCP/IPスタック931と、ネットワークIF932とを備える。
通信機器910は、ネットワークIF914、ネットワーク940及びネットワークIF925を介して、通信機器920とIP通信により接続される。
通信機器910は、トンネルモードで暗号通信を行うIPsecモジュール913を搭載する。IPsecにおいて認証と鍵交換は、任意の仕様のものが使用できるが、よく使われるのはIKE(Internet Key Exchange)と呼ばれる一連の認証・鍵交換プロトコルである。
通信機器910はIKEにより認証・鍵交換を行う認証モジュール912を搭載する。通信機器910は初めに認証モジュール912により通信機器920の認証モジュール921と認証・鍵交換を実施し、その結果通信機器910と通信機器920とは共通の暗号鍵Kを得る。この暗号鍵Kにより、通信機器910のIPsecモジュール913は通信機器920のIPsecモジュール923に対し任意のIPパケットを暗号化して送受信可能となる。
ここでアプリケーション911が通信機器930と通信したい場合、通信機器930に付与されたIPアドレスを宛先としたパケットAを、IPsecモジュール913によってカプセル化し、IPsecモジュール923に転送し、IPsecモジュール923はこれを元の平文IPパケットに戻し、宛先のIPアドレスをルータモジュール922に予め設定されたルーティングテーブルと照合し、TCP/IPスタック924、ネットワークIF926を経由して通信機器930に転送する。
通信機器930ではネットワークIF932、TCP/IPスタック931を経由して受信を行う。
なおこの際に、パケットAの送信元アドレスとしては通信機器910に付与されたアドレスSが使われるが、このアドレスは通信機器910のネットワークIF914に割り当てられた実際のIPアドレスでもかまわないし、それと関係ないアドレスでもかまわない。インターネットを介してLANにアクセスする様な用途では、LAN内のアドレスとのアドレス重複をさけるため、送信元アドレスにはネットワークIFと関係ないアドレスが選ばれるケースが多い。以下、機器のネットワークIFと関係ないIPアドレスが設定される場合を機器の仮想アドレスと呼ぶ。またこの様に仮想的なIPアドレスによって通信を行う通信機器910と通信機器920間のIPパケット通信層を以下では仮想プライベートネットワークないし、VPN(Viurtual Private Network)と記述する。この様な仮想プライベートネットワークを用いると、通信機器910内のアプリケーション911は、LAN内の通信機器930から見ると仮想的にLAN内に存在する様に扱うことが出来るため、通信機器930から容易に通信が出来る。非特許文献1の2.2節には、この様な仮想プライベートネットワークを用いる例が説明されており、通信機器910はRemoteAccessClientに相当し、アプリケーション911はvirtual hostに相当し、LAN内に仮想的に存在するアプリケーション911はvirtual presenceに相当する。
以上の様にパソコンなどの機器からルータ上に実装されたIPsec機能及びルーティング機能を用いてLAN内の任意の通常の機器にアクセスすることができる。
Request for Comments 3457(RFC3457) Scott Kelly他著 TheInternetSociety発行、2003年1月
Request for Comments 3457(RFC3457) Scott Kelly他著 TheInternetSociety発行、2003年1月
しかしながら、従来の方法では、セキュリティゲートウェイを転送する通信の設定には充分であるが、セキュリティゲートウェイ自身の上の機能にアクセスするためには課題がある。
すなわち、IKEプロトコルには仮想IPアドレスを特定するための仕組みがなく、図3において通信機器910が通信機器920の機能と通信するためには、通信機器920のIPsecモジュール923が、通信機器920のネットワークIFに起因するアドレスを使用しているか、また複数ある場合はそのうちいずれか、さらには仮想IPアドレスを使っている場合はどの様な値かを別途調べる必要があり、手動でアドレスを調査設定することは煩雑であり、自動でアドレス調査する場合には調査結果の検証手順も必要であるという第1の問題がある。
さらに、通信機器910が通信機器930と通信を行う場合のアクセス制限は、通信機器920のルータモジュール922の設定に依存しており、従って通信機器910からLAN内への通信可能条件の設定を予め通信機器920に対して行っておく必要があり、煩雑であるという第2の問題もある。
そこで、上記第1の問題を解決し、従来のような煩雑な処理を必要とせずに、セキュリティゲートウェイ自身の上の機能のアドレスを応答から取得することが可能な通信機器を提供することを第1の目的とする。
また、上記第2の問題を解決し、第2の通信機器の転送処理手段の設定に依存することなく、第3の通信機器と通信することが可能な通信機器を提供することを第2の目的とする。
上記の第1の目的を達成するために、本発明に係る第1の通信機器においては、ネットワークに接続され、第2の通信機器とIP通信を行う第1の通信機器であって、前記第2の通信機器と認証を行う第1認証手段と、前記第2の通信機器とトンネルIP通信を行う第1暗号通信手段とを備え、前記第1認証手段は、前記第2の通信機器との認証の手順の一環として、前記トンネルIP通信に用いる暗号鍵と第2の通信機器の仮想IPアドレスを取得し、前記第1暗号通信手段は、取得した仮想IPアドレス宛のパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することによりトンネルIP通信を行うことを特徴とする。
これにより、従来のような煩雑な処理を必要とせずに、セキュリティゲートウェイ自身の上の機能のアドレスを応答から取得することができる。
また、上記の第2の目的を達成するために、本発明に係る第1の通信機器においては、前記第1暗号通信手段は、さらに前記取得した第2の通信機器の仮想IPアドレス以外のトンネル通信アドレスに関し、IPアドレス単位で、任意の数の第3の通信機器と認証を行い、認証が成功した場合、前記トンネル通信アドレスを宛先とするパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することにより前記任意の数の第3の通信機器とトンネルIP通信を行うことを特徴とすることができる。
これにより、第2の通信機器の転送処理手段の設定に依存することなく、第3の通信機器と通信することができる。
また、上記の第2の目的を達成するために、前記第1暗号通信手段は、前記第2の通信機器に搭載された転送処理部とトンネルIP通信を行って所望の第3の通信機器に対する転送を許可し、転送を許可後に、前記取得した第2の通信機器の仮想IPアドレス宛以外のアドレスを宛先とするパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することにより前記任意の数の第3の通信機器とトンネルIP通信を行うことを特徴とすることができる。
これによっても、第2の通信機器の転送処理手段の設定に依存することなく、第3の通信機器と通信することができる。
上記の第1の目的を達成するために、本発明に係る第2の通信機器においては、ネットワークに接続され、第1の通信機器とIP通信を行う第2の通信機器であって、前記第1の通信機器と認証を行う第2認証手段と、前記第1の通信機器とトンネルIP通信を行う第2暗号通信手段とを備え、前記第2認証手段は、認証の手順の一環として暗号鍵と、前記第2の通信機器の仮想IPアドレスとを前記第1の通信機器に通知し、前記第2暗号通信手段は、前記第1の通信機器から受信したパケットのペイロードを前記取得した暗号鍵で復号して平文データ化し、前記平文データが前記仮想IPアドレス宛のIPパケットであった場合は、自己宛のIPパケットとして処理し、前記仮想IPアドレス宛のIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行うことを特徴とする。
これにより、従来のような煩雑な処理を必要とせずに、セキュリティゲートウェイ自身の上の機能のアドレスを応答により通知することができる。
また、上記の第2の目的を達成するために、前記第2の通信機器は、さらにIPパケットを転送する転送処理手段を備え、前記第2暗号通信手段は、前記平文データがその他のIPアドレス宛のIPパケットであった場合は、前記転送処理手段により、予め設定された転送規則に従って任意の数の第3の通信機器に対しIPパケットとして転送を行い、前記第3の通信機器からの応答であるIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行うことを特徴とすることができる。
これにより、第2の通信機器の転送処理手段の設定に依存することなく、第1の通信機器と第3の通信機器とを通信させることができる。
また、上記の第2の目的を達成するために、前記第2の通信機器は、さらにIPパケットを転送する転送処理手段を備え、前記第2暗号通信手段は、前記第2の通信機器宛の通信が前記転送処理手段宛である場合、当該通信に従って任意の数の第3の通信機器に対する転送許可を設定し、前記平文データがその他のIPアドレス宛のIPパケットであった場合は、前記転送処理手段により、前記設定された転送許可に従って任意の数の第3の通信機器に対するIPパケットとして転送を行い、前記第3の通信機器からの応答であるIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行うことを特徴とすることができる。
これによっても、第2の通信機器の転送処理手段の設定に依存することなく、第1の通信機器と第3の通信機器とを通信させることができる。
なお、本発明は、このような第1および第2の通信装置として実現することができるだけでなく、このような第1および第2の通信装置が備える特徴的な手段をステップとする通信方法として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのはいうまでもない。
以上の説明から明らかなように、第1の機器からトンネルモードによるカプセル化されたIPパケットを用いて第2の機器にアクセスする際、ないしは第2の機器を経由して第3の機器にアクセスする際に、仮想IPアドレスを事前認証手順の一環として通知することで、第1の通信機器からトンネルモードによるカプセル化されたIPパケットを用いて第2の通信機器にアクセスする際、ないしは第2の通信機器を経由して第3の通信機器にアクセスする際に、トンネル内のIPアドレスを効率よく安全に検出でき、また事前の設定なく、LAN内への任意の機器へのアクセス制御を行って通信できる通信機器を提供することが可能となる。
よって、本発明により、煩雑な操作が不要となり、インターネット及びトンネルモード対応の通信機器が普及してきた今日における本願発明の実用的価値は極めて高い。
以下、本発明の実施の形態について、図面を用いて詳細に説明する。
(実施の形態1)
図1は、本実施の形態における通信システムの全体構成を示す機能ブロック図である。
図1は、本実施の形態における通信システムの全体構成を示す機能ブロック図である。
図1に示されるように、通信システム1は、通信機器10と、通信機器20と、通信機器30と、これらの通信機器10、通信機器20及び通信機器30を相互に通信可能に接続するネットワーク40等とから構成される。
通信機器10は、アプリケーション11と、認証モジュール12と、IPsecモジュール13と、ネットワークIF14とを備える。
通信機器20は、通信機器10とのVPN通信のために、アプリケーション21と、認証モジュール22と、IPsecモジュール24と、ネットワークIF26とを備える。通信機器20は、また、通信機器10のパケットをLANと中継するために、つまり、通信機器10のパケットを通信機器30に中継するために、ルータモジュール23と、TCP/IPスタック25とをさらに備える。
通信機器30は、アプリケーション31と、認証モジュール32と、TCP/IPスタック33と、ネットワークIF34とを備える。
ついで、通信システム1の通信機器10、通信機器20及び通信機器30間で行われる通信手順について説明する。
図2は、本実施の形態において通信機器10、通信機器20及び通信機器30間で実行される通信シーケンス例を示す図である。
通信機器10からVPN通信を開始する際(ステップS301)に、通信機器10の認証モジュール12は、まず、通信機器20の認証モジュール22に対して認証のための通信を行う(ステップS302)。この通信のシーケンス詳細記述は略するが、一般的なDefii−Hellman手順や、署名確認手順などにより、互いの素性の正当性を確認し、かつ認証モジュール同士の通信を安全にするための暗号鍵K1を共有するものとする。
次に通信機器10の認証モジュール12は、暗号鍵K1を用いて暗号化されたパケットを送信する(ステップS303)。このパケットは、IPsec対応VPN通信を行うための情報交換パケットであり、暗号鍵の種類のネゴシエーション等の機能を含むものである。
通信機器20の認証モジュール22は、パケットを受信すると(ステップS303)、通信機器20の仮想IPアドレスとして用いるべき仮想IPアドレスAを生成するとともに(S304)、IPsecで用いるための暗号鍵K2を生成し、決定する(ステップS305)。なお、暗号鍵K2の生成は必ずしも通信機器20で行わなくてもよく、通信機器10で行ってもよく、機器間で協調して生成してもよい。また仮想IPアドレスAも通信機器20のみで生成する必要は無く、通信機器10とのネゴシエーションを経てアサインしてもよく、要するに一意に通信機器20を識別可能で、他のIPアドレスと衝突しないアドレスを生成する手順であればよい。
次に通信機器20の認証モジュール22は、その中で暗号鍵K2と仮想IPアドレスAを通信機器10に通知するためのパケットを生成し、このパケットを秘密鍵K1を用いて暗号化して送信する(S306)。
通信機器10の認証モジュール12は、受信したパケットを秘密鍵K1を用いて復号し、受信した暗号鍵K2を、API呼び出しによりIPsecモジュール13に設定するとともに(S307)、受信した仮想IPアドレスAを、API呼び出しによりアプリケーション11に通知する(S308)。また、図では略するが、一般的に設定されるその他のパラメータ、例えばセキュリティアソシエーション(Security Association:SA)を示すインデックス、IPsec通信用のポート番号なども一般的なIKEの手順により交換され、設定される。
以上の手順で、認証処理の過程でVPN通信の準備が完了する。
VPN通信の準備が完了すると、次に通信機器10のアプリケーション11は、通信機器20上のアプリケーション21に対し通信を行う際に、通知された仮想IPアドレスAを宛先としたIPパケットを送信する(S309)。この仮想IPアドレスA宛のパケットは、通信機器10内においてIPsecモジュール13宛にルーティングされる。IPsecモジュール13は、ルーティングされてきた仮想IPアドレスA宛のパケットを通知された暗号鍵K2で暗号化し、さらに通信機器20宛のIPアドレスを含むヘッダを付与し、IPsec用に設定されたポート、インデックス等の情報を付与されたIPパケットとして送信する(S310)。これにより、このIPパケットは通信機器20に到着する。
VPN通信の準備が完了すると、次に通信機器10のアプリケーション11は、通信機器20上のアプリケーション21に対し通信を行う際に、通知された仮想IPアドレスAを宛先としたIPパケットを送信する(S309)。この仮想IPアドレスA宛のパケットは、通信機器10内においてIPsecモジュール13宛にルーティングされる。IPsecモジュール13は、ルーティングされてきた仮想IPアドレスA宛のパケットを通知された暗号鍵K2で暗号化し、さらに通信機器20宛のIPアドレスを含むヘッダを付与し、IPsec用に設定されたポート、インデックス等の情報を付与されたIPパケットとして送信する(S310)。これにより、このIPパケットは通信機器20に到着する。
通信機器20のIPsecモジュール24は、IPパケットを受信すると、このIPパケットを暗号鍵K2により復号化する。この結果、IPsecモジュール24は、仮想IPアドレスA宛のパケットを得るので、これをAPI呼び出しにより通信機器20内で所定のポートを待ち受けるアプリケーション21に転送する(S311)。
以上の様に、通信機器10のアプリケーション11は、ユーザの事前設定無しに適切な仮想IPアドレスを用いて、通信機器20のアプリケーション21と送信を開始できる。なお、アプリケーション21から、アプリケーション11への応答は、送信と逆の流れで行うことができるが、図では応答シーケンスが省略されている。
次に、以上の様に通信機器10と通信機器20のVPN通信が確立した状況において、通信機器10が通信機器20に対し、適切なアクセス制限を設定して、通信機器30との間でIPパケットの転送を開始するための手順について説明する。
通信機器10は、通信機器20宛のIPsecアドレスパケット送出において、ブロードキャストアドレスなど、LAN内へ転送されるべき仮想アドレスを予め取り決めておいて、ないし取得しておいて、パケットの宛先仮想IPアドレスに用いることで、通信機器30に対する検索(S312)を行うことができる。
図2において、この検索(S312)はIPsecモジュール13とIPsecモジュール24を経由し、その後IPsecモジュール24で取得される平文IPパケットがLAN内向けであるので、パケット314として転送され、ルータモジュール23を経由してパケット315として通信機器30に至る。
この様にして確立できる通信路において、通信機器10は通信機器30と認証を行う(S316)。認証の結果を通知するパケットは、前述の通信路を逆に辿り、通信機器30の認証モジュール32から通信機器20のルータモジュール23、IPsecモジュール24、通信機器10のIPsecモジュール13を経由してアプリケーション11に認証結果として到達する(S317,S318,S319,S320)。
認証結果を受信すると、アプリケーション11は、通信機器20上でサーバプロセスとして動作するルータモジュール23に対し、前述の仮想IPアドレスA宛のIPパケットに通信を行うことができる。
具体的には、仮想IPアドレスA宛で、かつルータモジュール23がサービスしているポート番号のTCPヘッダないしUDPヘッダなどを付加することにより、パケットは、アプリケーション11からアプリケーション21への転送(S321)、アプリケーション21からルータモジュール23への転送(S322)を経て、ステップS323においてルータモジュール23に対するルーティング設定等を行うことができる。
アプリケーション11は、ステップS323において、通信機器30のユニキャストIPアドレスを、通信機器10との間で互いにルーティングする様に設定することで、以後は通信機器10が持つ仮想IPアドレスと、通信機器30が持つユニキャストIPアドレスの間で、制限無く互いに通信を行うことが可能となる。
具体的には、通信機器30から何時でも自由に、パケットの認証モジュール32からルータモジュール23への転送(S324)、ルータモジュール23からIPsecモジュール24への転送(S325)、IPsecモジュール24からIPsecモジュール13への転送(S326)、認証モジュール12から通信機器10への転送(S327)を経て通信機器10に宛てたIPパケットを送出することができる。
通信機器30からは単に通信機器10の仮想IPアドレスに宛てたパケットを送出すればよいため、従来のIPsec機能を持たないLAN内機器をそのまま使用できることはいうまでもない。
以上述べたようなシーケンスにより、認証手順中に接続先機器から接続元機器へのVPNの仮想IPアドレスの通知を加えることで、VPNの確立時点で接続元の通信機器10は、接続先通信機器20と認証済みの仮想IPアドレスAを用いて通信を開始できる。
さらに、接続先通信機器20はVPNをLANに転送するためのルーティング機能を有するルータモジュール23を備え、ルータモジュール23に対し仮想IPアドレスAを用いて、接続元の通信機器10からルーティング設定要求(S321,S322)を出すことで、LAN内の通信機器30に接続する際のアクセス制限とルーティング設定を自由に行うこともできる。
以上のように本発明によれば、VPN接続の際に機器に設定を行わずとも機器間の1対1通信、LAN内への1対N通信ともに行え、ユーザインタフェースが限られる組み込み機器で、インターネット経由での安全な接続をネットワーク設定の知識無しに実現することが可能となる。
本発明は、機器間をIPネットワークによって接続して暗号通信を行う場合に利用でき、その際に機器に設定を行わずとも機器間でVPN接続を行うことができるため、インターネット経由での安全な接続をネットワーク設定の知識無しに実現でき、ユーザインタフェースが限られる組み込み機器や、またテレビやDVDレコーダ、エアコン、冷蔵庫を始めとする家電機器に適用することができる。
1 通信システム
10,20,30 通信機器
11,21,31 アプリケーション
12,22,32 認証モジュール
13,24 IPsecトンネルモード対応VPNモジュール(IPsecモジュール)
14,26,34 ネットワークIF
23 ルータモジュール
25,33 TCP/IPスタック
40 ネットワーク
10,20,30 通信機器
11,21,31 アプリケーション
12,22,32 認証モジュール
13,24 IPsecトンネルモード対応VPNモジュール(IPsecモジュール)
14,26,34 ネットワークIF
23 ルータモジュール
25,33 TCP/IPスタック
40 ネットワーク
Claims (10)
- ネットワークに接続され、第2の通信機器とIP通信を行う第1の通信機器であって、
前記第2の通信機器と認証を行う第1認証手段と、
前記第2の通信機器とトンネルIP通信を行う第1暗号通信手段とを備え、
前記第1認証手段は、前記第2の通信機器との認証の手順の一環として、前記トンネルIP通信に用いる暗号鍵と第2の通信機器の仮想IPアドレスを取得し、
前記第1暗号通信手段は、取得した仮想IPアドレス宛のパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することによりトンネルIP通信を行う
ことを特徴とする第1の通信機器。 - 前記第1暗号通信手段は、さらに前記取得した第2の通信機器の仮想IPアドレス以外のトンネル通信アドレスに関し、IPアドレス単位で、任意の数の第3の通信機器と認証を行い、認証が成功した場合、前記トンネル通信アドレスを宛先とするパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することにより前記任意の数の第3の通信機器とトンネルIP通信を行う
ことを特徴とする請求項1記載の第1の通信機器。 - 前記第1暗号通信手段は、前記第2の通信機器に搭載された転送処理部とトンネルIP通信を行って所望の第3の通信機器に対する転送を許可し、
転送を許可後に、前記取得した第2の通信機器の仮想IPアドレス宛以外のアドレスを宛先とするパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することにより前記任意の数の第3の通信機器とトンネルIP通信を行う
ことを特徴とする請求項1記載の第1の通信機器。 - ネットワークに接続され、第2の通信機器とIP通信を行う第1の通信機器に用いられる通信方法であって、
前記第2の通信機器と認証を行う第1認証ステップと、
前記第2の通信機器とトンネルIP通信を行う第1暗号通信ステップとを含み、
前記第1認証ステップでは、前記第2の通信機器との認証の手順の一環として、前記トンネルIP通信に用いる暗号鍵と第2の通信機器の仮想IPアドレスを取得し、
前記第1暗号通信ステップでは、取得した仮想IPアドレス宛のパケットを前記取得した暗号鍵で暗号データに暗号化し、前記暗号データをペイロードとして前記第2の通信機器宛のIPパケットを送信し、応答を前記取得した暗号鍵で復号することによりトンネルIP通信を行う
ことを特徴とする通信方法。 - 請求項4に記載の通信方法に含まれるステップをコンピュータに実行させるためのプログラム。
- ネットワークに接続され、第1の通信機器とIP通信を行う第2の通信機器であって、
前記第1の通信機器と認証を行う第2認証手段と、
前記第1の通信機器とトンネルIP通信を行う第2暗号通信手段とを備え、
前記第2認証手段は、認証の手順の一環として暗号鍵と、前記第2の通信機器の仮想IPアドレスとを前記第1の通信機器に通知し、
前記第2暗号通信手段は、前記第1の通信機器から受信したパケットのペイロードを前記取得した暗号鍵で復号して平文データ化し、前記平文データが前記仮想IPアドレス宛のIPパケットであった場合は、自己宛のIPパケットとして処理し、前記仮想IPアドレス宛のIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行う
ことを特徴とする第2の通信機器。 - 前記第2の通信機器は、さらにIPパケットを転送する転送処理手段を備え、
前記第2暗号通信手段は、前記平文データがその他のIPアドレス宛のIPパケットであった場合は、前記転送処理手段により、予め設定された転送規則に従って任意の数の第3の通信機器に対しIPパケットとして転送を行い、前記第3の通信機器からの応答であるIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行う
ことを特徴とする請求項6記載の第2の通信機器。 - 前記第2の通信機器は、さらにIPパケットを転送する転送処理手段を備え、
前記第2暗号通信手段は、前記第2の通信機器宛の通信が前記転送処理手段宛である場合、当該通信に従って任意の数の第3の通信機器に対する転送許可を設定し、前記平文データがその他のIPアドレス宛のIPパケットであった場合は、前記転送処理手段により、前記設定された転送許可に従って任意の数の第3の通信機器に対するIPパケットとして転送を行い、前記第3の通信機器からの応答であるIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行う
ことを特徴とする請求項6記載の第2の通信機器。 - ネットワークに接続され、第1の通信機器とIP通信を行う第2の通信機器に用いられる通信方法であって、
前記第1の通信機器と認証を行う第2認証ステップと、
前記第1の通信機器とトンネルIP通信を行う第2暗号通信ステップとを含み、
前記第2認証ステップでは、認証の手順の一環として暗号鍵と、前記第2の通信機器の仮想IPアドレスとを前記第1の通信機器に通知し、
前記第2暗号通信ステップでは、前記第1の通信機器から受信したパケットのペイロードを前記取得した暗号鍵で復号して平文データ化し、前記平文データが前記仮想IPアドレス宛のIPパケットであった場合は、自己宛のIPパケットとして処理し、前記仮想IPアドレス宛のIPパケットを前記取得した暗号鍵で暗号化して、これをペイロードとして前記第1の通信機器宛のIPパケットを送信することにより前記第1の通信機器とトンネルIP通信を行う
ことを特徴とする通信方法。 - 請求項9に記載の通信方法に含まれるステップをコンピュータに実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007249949A JP2009081710A (ja) | 2007-09-26 | 2007-09-26 | 通信機器及び通信機器に用いられる通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007249949A JP2009081710A (ja) | 2007-09-26 | 2007-09-26 | 通信機器及び通信機器に用いられる通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009081710A true JP2009081710A (ja) | 2009-04-16 |
Family
ID=40656134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007249949A Pending JP2009081710A (ja) | 2007-09-26 | 2007-09-26 | 通信機器及び通信機器に用いられる通信方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009081710A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5736549B1 (ja) * | 2014-03-11 | 2015-06-17 | パナソニックIpマネジメント株式会社 | 情報処理装置及び情報処理方法 |
CN107525232A (zh) * | 2017-08-15 | 2017-12-29 | 广东美的暖通设备有限公司 | 一种虚拟地址生成方法、系统及智能设备 |
-
2007
- 2007-09-26 JP JP2007249949A patent/JP2009081710A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5736549B1 (ja) * | 2014-03-11 | 2015-06-17 | パナソニックIpマネジメント株式会社 | 情報処理装置及び情報処理方法 |
CN107525232A (zh) * | 2017-08-15 | 2017-12-29 | 广东美的暖通设备有限公司 | 一种虚拟地址生成方法、系统及智能设备 |
CN107525232B (zh) * | 2017-08-15 | 2019-08-30 | 广东美的暖通设备有限公司 | 一种虚拟地址生成方法、系统及智能设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
JP4729602B2 (ja) | サーバ装置、通信機器、通信システム、プログラム及び記録媒体 | |
JP4299102B2 (ja) | 無線ネットワークのハンドオフ暗号鍵 | |
US11736304B2 (en) | Secure authentication of remote equipment | |
WO2008007432A1 (en) | Relay device | |
JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
JP4245972B2 (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
JP2006109449A (ja) | 認証された無線局に暗号化キーを無線で提供するアクセスポイント | |
TW200534653A (en) | Communication system using TCP/IP protocols | |
JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
JP2006109152A (ja) | ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム | |
JP2009081710A (ja) | 通信機器及び通信機器に用いられる通信方法 | |
KR102023416B1 (ko) | 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 | |
JP2011030147A (ja) | 通信装置 | |
JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
JP2003069597A (ja) | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 | |
JP2006033443A (ja) | インターネット接続システム、方法およびプログラム | |
JP4757088B2 (ja) | 中継装置 | |
JP2006196996A (ja) | 通信システム及び通信方法 | |
JP2005210555A (ja) | 情報処理装置 | |
WO2014088241A1 (ko) | 퍼스널 컴퓨터를 활용하는 모바일 인스턴트 메시징 서비스 방법 | |
JP5126209B2 (ja) | アクセスポイントおよびアクセスポイントのパケット中継制御方法 | |
JP4783665B2 (ja) | メールサーバ装置 | |
JP2022059829A (ja) | 通信システム、通信方法及び通信プログラム |