JP6762735B2 - 端末間通信システム及び端末間通信方法及びコンピュータプログラム - Google Patents
端末間通信システム及び端末間通信方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP6762735B2 JP6762735B2 JP2016043128A JP2016043128A JP6762735B2 JP 6762735 B2 JP6762735 B2 JP 6762735B2 JP 2016043128 A JP2016043128 A JP 2016043128A JP 2016043128 A JP2016043128 A JP 2016043128A JP 6762735 B2 JP6762735 B2 JP 6762735B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- vpn
- communication
- base station
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 210
- 238000000034 method Methods 0.000 title claims description 76
- 238000004590 computer program Methods 0.000 title claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012546 transfer Methods 0.000 claims description 20
- 230000008569 process Effects 0.000 description 50
- 230000004044 response Effects 0.000 description 45
- 238000012545 processing Methods 0.000 description 32
- 238000005516 engineering process Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009616 inductively coupled plasma Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 235000010384 tocopherol Nutrition 0.000 description 1
- 235000019731 tricalcium phosphate Nutrition 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
従来の「リモートアクセス」技術は、端末からインターネット(Internet)を越えて、所定のサイトにある社内LANやイントラネットへのアクセスを実現するための技術全般を含むものである。例えば、アクセスを許可するための認証技術や、VPN(Virtual Private Network)技術(暗号化技術等)を実現し、提供するための技術全般を含む。
図5は、従来の端末間通信の原理を示す説明図である。
サイト304中にはサイト内の端末308が位置している。図5に示すように、端末300は、サイト内の端末308と、RAS306を介して接続することができる。
図6は、RAS技術を応用してセキュアな端末間の通信環境を実現した場合の動作を説明する図である。
図6においては、RAS406は、セキュアな端末間通信を実現するために、サイト404内の端末410との間でも暗号通信を実行している。すなわち、RAS406は、端末410に対しても、端末400と同様に、暗号化/端末認証を実行している。
このように、従来のRAS技術を利用してセキュアな端末間通信を実現する場合は、RAS406が転送するパケットを内部で一旦復号するという動作を実行している。
図7は、携帯情報端末が、RAS(Remote Access Server)を利用して所定のサーバにアクセスするより詳細な動作を示す説明図である。図7において、携帯情報端末510a、510b、510cは、所定のサービスを利用するためにサイト500に含まれるサーバ504a、504bにアクセスする。例えば、サーバ504aは、メールサーバであり、サーバ504bは、掲示板サービスである。携帯情報端末510のユーザは、携帯情報端末510を利用して、インターネット520を介して、サーバ504にアクセスして所定のサービスを利用する。
この場合、携帯情報端末510からサイト500へのアクセスは、RAS502を介して行われる。このRAS502は、サイト500に含まれる設備であり、外部からのリモートアクセスを受け付けて、サイト500内のネットワークに接続するサービスを実行するサーバである。
図8には、いわゆるLAN間接続と呼ばれる接続形態を有する通信システムの例が示されている。この図に示すように、LAN630aと、LAN630bとを、インターネット620を介して相互に接続する。LAN630aは、ルーター(RT)640aを介してインターネット620に接続している。また、LAN630bは、ルーター(RT)640bを介してインターネット620の接続している。
ルーター640aと、ルーター640bとの間ではいわゆるVPNによるトンネル642が形成されており、このVPNトンネル642を介してLAN630aとLAN630bとは接続されており、相互にアクセスすることが可能となる。
このような接続によって、LAN630a又はLAN630bのいずれかに属する端末も、双方のLAN630に含まれるサーバにアクセスすることができ、図4で説明したように、当該サーバを介して、他の端末とデータやメッセージの送受信を行うことができる。
例えば、下記特許文献1には、企業網に対してユーザ端末からリモートVPNアクセスを行う際の、改良された技術が開示されている。特に、ユーザ端末からリモートVPNアクセスを行う場合に行われる二重のIPsec処理の軽減を図ることができる仕組みが開示されている。
また、下記特許文献2には、保守パソコンからRAS(Remote Access Service)装置にアクセスする際、ISDN回線を介してインターネット接続に関する情報を送受信し、それらの情報を用いて、保守パソコンとRAS装置とが相互にインターネット接続する技術が開示されている。
また、下記特許文献3には、第1のLANと、第2のLANとの間でメディア転送を行う仕組みが開示されている。特に、第1のLAN中のメディアレンダラが、第2のLAN中のメディアサーバにVPNトンネルを介してアクセスする技術が開示されている。
なお、本願発明は、上記フレームワークの上で提供されるアプリケーションや、その運用方法については何ら制限はない。
本発明は、具体的には、下記のような手段を採用する。
第1.構成の概要
図1は、本実施形態1の端末間通信を実現するための原理を示す説明図である。
サイト5は、図5、図6等と同様に、local IP環境であり、安全なセキュリティーゾーンである。また、同様に、このセキュリティーゾーンはLAN/INTRANETで構成されている。この基地局7は、RASを兼ねていてもよい。以下、基地局7は、RAS機能を備えているものとして説明を行う。サイト5中にはサイト内の端末9が位置している。図1に示すように、端末1は、この端末9と、基地局7を介して接続することができる。なお、本実施形態1においては、サイト5はlocal IP環境の例を示すが、他のネットワーク、他の環境で構成されていてもよい。
図1においては、基地局7が、2個の端末1、端末9から送信されるTCPセッションを相互接続している。本実施形態において特徴的なことは、基地局7がTCPセッションの暗号を、基地局7内では復号せず、暗号文のまま転送していることである。
なお、本実施形態1(2)におけるデータ(パケット)は、請求の範囲の「データパケット」の好適な一例である。請求の範囲の「データパケット」は、通信の単位をなすデータの集合であればよく、いわゆる、データやパケットだけでなく、「フレーム」、「データグラム」、「メッセージ」等と呼ばれるデータの集合体も含まれる。
また、例えば、サイト5のこのセキュリティーゾーン内において、端末9が移動してそのIPのアドレスが変化しても、通信環境を維持することが可能である。この動作の詳細は後述する。
図2には、本実施形態1の通信システム10の機能のフレームワークを示す説明図が示されている。図2に示すように、この通信システム10においては、第1端末12aと、第2端末12bとが、ともにゲートウェイ基地局18に接続している。図1で説明したように、接続の形態としては、インターネットによる接続やLANによる接続を用いることができるが、他の種々の通信手段で接続されていてもよい。
なお、第1端末12aと第2端末12bとは、請求の範囲の端末装置の好適な一例に相当する。
なお、ゲートウェイ基地局18は、請求の範囲の基地局の好適な一例に相当する。
本実施形態1は、サーバを用いずにゲートウェイ基地局18が例えばTCP(VPN)をそのまま通信相手の端末に転送することによって、サーバを利用しない(サーバにデータを蓄積しない)データ通信システムを実現しようとするものである。VPN同士を連結させることによって、端末同士は、同一ドメインにいるかのように通信を行うことが可能である。
図2に示すように、第1端末12aは、さまざまなアプリケーション14aと、端末認証VPN用のフレームワーク24を実現するための端末側フレームワーク16aと、を備えている。
したがって、後述する図3等における第1端末12a、第2端末12bの動作は、この端末側フレームワークプログラムを、各端末プロセッサ(CPU等)が実行することによって、実現される。
なお、端末側フレームワークプログラムは、請求の範囲のコンピュータプログラムの好適な一例に相当する。
図2に示すように、ゲートウェイ基地局18は、セキュリティー設定管理機能20と、認証及びVPN機能22とを備えている。
セキュリティー設定管理機能20は、ゲートウェイ基地局18が通信に対して行うセキュリティーの設定や管理を行う機能であり、ゲートウェイ基地局18中のプロセッサ(CPU等)が所定のプログラムを実行することによって実現される機能である。
なお、認証及びVPNプログラムは、請求の範囲のコンピュータプログラムの好適な一例に相当する。
なお、本実施形態1において、第1端末12aとゲートウェイ基地局18との間の通信経路は、どのようなものでもよい。インターネットや、所定のLAN接続、Wi−fi接続等のネットワークであってもよいし、携帯電話等の通信回線でもよい。本実施形態1において提案する端末認証VPN用のフレームワーク24は、物理的なネットワークの種類には依存しない。また、本実施形態1において提案する端末認証VPN用のフレームワーク24は、アプリケーション14a、14bの種類にも依存しない。VPNを利用するアプリケーションであれば、本実施形態1における端末認証VPN用のフレームワーク24を利用することができる。なお、このような端末認証VPN用のフレームワーク24の特徴は、後述する実施形態2でも同様である。
図3は、図2で説明した構成の第1端末12a、第2端末12bと、ゲートウェイ基地局18との間の通信の様子を示すタイムチャート図である。この図に基づき、具体的な通信の動作を説明する。
同様に、(3−1)〜(3−4)でゲートウェイ基地局18が実行する送信・受信、処理は、上述したゲートウェイ基地局18のプロセッサが、認証及びVPNプログラムを実行することによって実現されている。特に、パケットやメッセージの送受信は、認証及びVPNプログラムが、その実行によってゲートウェイ基地局18が備える通信手段を制御することによって実現している。
端末側(第1端末12a、第2端末12b)からの認証要求アクセスをゲートウェイ基地局18側が受信した後、ゲートウェイ基地局18は、サンプルコード(接続時刻、CPU−ID、等を組み合わせて構成した値)を生成し、端末側の公開鍵で暗号化したサンプルコードを端末側に送信する。
以下、図3に基づき、端末認証シーケンスの詳細な処理の流れを説明する。
まず、第1端末12a上で、第2端末12bとの間の通信を要求するような所定のアプリケーション14aが稼働している。このアプリケーション14aは、第1端末12aに対してアプリ接続指令30を出力する。すると、第1端末12aは、端末認証要求32を、インターネット3等のネットワークを介して、ゲートウェイ基地局18に対して送信する。なお、第1端末12aは、端末IDを所有しており、この端末IDを含む端末認証要求32を送信する。
第1端末12aは、端末認証応答28を受信すると、その中に含まれるVPN用TCP情報40を取得する。
一方、ゲートウェイ基地局18は、第1端末12aからの端末認証要求32に基づき、第1端末12aが通信したい相手である第2端末12bに対して、端末認証要求42を送信する。この送信はインターネット3を通じて行う場合もあるし、また、所定のサイト5内のLAN/Intranetであってもよい。
次に、第2端末12b上では、例えば第1端末12aとの間の通信を要求するような所定のアプリケーション14bが稼働しており、第1端末12aと同様に、アプリ接続指令を出力する。すると、第2端末12bは、端末認証要求42を、有線LAN、無線LAN等のネットワークを介して、ゲートウェイ基地局18に対して送信する。第2端末12bも、端末IDを所有しており、この端末IDを含む端末認証要求42を送信する。
VPN用TCP情報生成処理46が完了した後、ゲートウェイ基地局18は、端末認証応答48を、第2端末12bに送信する。この端末認証応答48には、VPN用TCP情報生成処理46で生成した各種の情報(VPN用TCP情報)が含まれている。
なお、第1端末12a、第2端末12bともに、それぞれ端末IDを所有しているが、この端末IDは、ゲートウェイ基地局18が識別できるIDであればよい。例えば、電話番号でもよいし、SIP(Session Initiation Protocol)を利用する場合は、SIPのURI(Uniform Resource Identifier)を用いてもよい。端末を一意に特定できるユニークなものであれば、どのようなものでも利用可能である。言い換えれば、ゲートウェイ基地局18が各端末を識別できればどのような情報でもよい。
発信元端末(例えば第1端末12a)からの認証要求アクセスを、宛先端末(例えば第2端末12b)が受信した後、宛先端末は、サンプルコード(接続時刻、CPU−ID等を組み合わせて生成した値)を生成し、発信元端末の公開鍵で暗号化した暗号化サンプルコードを発信元端末に対して送信する。
宛先端末に送信する。宛先端末は、自らハッシュ化したサンプルコードのデータと、発信元端末から送信されてきたハッシュ化したデータとを比較し、同一であれば、発信元端末に対する認証が成功したと認定する。
まず、第1端末12aは、第2端末12bとの間で、通信相手としての認証を実行する。このために、第1端末12aは、認証端末間認証要求52を、ゲートウェイ基地局18を経由して第2端末12bに対して送信する。
次に、第2端末12bは、送信されてきた端末間認証要求54を受信する。第2端末12bは、受信した端末間認証要求54に基づき、端末間認証処理58を実行する。
これら端末間認証処理56、58は、上述したように、第2端末12bがサンプルコードを生成し、第1端末12aの公開鍵で暗号化したものを第1端末12aに送信する処理や、第1端末12aが自己の秘密鍵を用いて暗号化したサンプルコードを復号し、原サンプルデータを得る処理を含む。
また、第2端末12bは、端末間認証要求54に対する応答として、端末間認証応答66を実行する。ゲートウェイ基地局18は、この端末間認証応答66を中継して、第1端末12aに送信する。便宜上、この送信するパケットを、端末間認証応答64と称するが、実質的に端末間認証応答66と同様のものである。
次に、ゲートウェイ基地局18は、認証を完了した端末側(第1端末12a、第2端末1b)からTCP接続要求アクセス(68、70)が送信されることを待ち受けている。ゲートウェイ基地局18は、TCP接続要求アクセスを受信した後に、端末間(第1端末12aと第2端末12bとの間)のTCPを連結してプロキシ転送するための情報を、ゲートウェイ基地局18内の中継テーブル上に記述する。具体的には、要求にかかる新たなエントリーを中継テーブル中に追加していく。
なお、この中継テーブルは、各TCP接続要求アクセスを受信する度に、TCP接続毎に新たに構築するように構成してもよい。
なお、ゲートウェイ基地局18は、この中継テーブルを構築後は、経過時間、あるいは接続維持レスポンスの応答変化等によってTCP連結の終了を判断することができる。たとえば、所定時間データの送受信がないTCPについては、当該中継テーブル(のエントリー)を削除することで端末間TCP接続を遮断・終了させることが可能である。
なお、中継テーブルはTCP毎に作成してもよいが、この場合は、経過時間等によってTCP連結の終了が判断された場合は、そのTCPに対応するテーブル毎に削除される。
TCP接続確立シーケンスの具体的な処理を、図3に基づいて説明する。このシーケンスは、図3におけるTCP接続要求アクセス68から、VPN用TCP中継接続完了72までの処理に相当する。
TCP接続要求アクセス68を送信することができる。第1端末は、このTCP接続要求アクセス68を、上述したVPN用TCP情報40を利用して送信する。
ゲートウェイ基地局18は、当該TCP接続要求アクセス68を受信すると、VPN用TCP情報40を用いてVPN用TCP中継接続のために中継テーブル中に当該エントリーを作成し、VPN用TCP情報40を用いてTCPに関する情報を記述する。
このような中継テーブルを作成することによって、ゲートウェイ基地局18は、第1端末12aに向かうTCPを第1端末12aのTCPに中継することができる。
同様に、ゲートウェイ基地局18は、TCP接続要求アクセス70を受信すると、VPN用TCP情報50を用いて、VPN用TCP中継接続のための中継テーブル中にエントリーを作成し、VPN用TCP情報50を当該エントリーに記述する。VPN用TCP情報50は、上述したように、ゲートウェイ基地局18が、第2端末12bに対してVPN用TCP情報生成処理46を実行することによって生成した情報である。
以上のようなTCP接続確立シーケンス処理の結果、第1端末12aと第2端末12bとの間で、TCP接続することができ、途中で暗号化データを復号して平文にする等の処理を経ずに、直接1本のTCP(VPN)で接続することができる。ゲートウェイ基地局18は、中継を行うのみであり、データを内部に蓄積することがなく、また、暗号化データの復号を行うこともない。
次に、TCP(VPN)中継のための中継テーブルが作成された後は、端末同士でTCP接続が可能となる。そのため、かかるTCPを利用したVPNの連携が可能となる。本VPN接続シーケンスにおいて、VPN用アドレスの生成等を行えば、第1端末12aと、第2端末12bとの間でVPNの連携を行うことが可能となる。
具体的には、下記のような流れとなる。
・第1端末12aが、上記暗号化したデータを自己の秘密鍵で復号してハッシュ化して、第2端末12bに送信する。
・第2端末12bは、送信されてきたハッシュ化データと、自己がハッシュ化した認証コードとを比較して、同一であれば認証が成功したと判断する。
まず、第1端末12aは、VPN接続要求74を送信する。
ゲートウェイ基地局18は、このVPN接続要求74を、第2端末12bに対して転送する。同内容の要求であるが、便宜上図3においては、これをVPN接続要求76と呼ぶ。第2端末12bは、このVPN接続要求76を受信すると、上述したように、認証コード(認証情報62に含まれる)を用いて認証を行う。そして、認証した後、第2端末12bは、VPNに関する諸元の交換を行う処理であるVPN諸元交換処理80を実行する。
このVPN用IPアドレスは、図3においては、第1端末VPNアドレス94、第2端末VPNアドレス86、92として示されている。また、本実施形態1においては、第1端末12a及び第2端末12bは、このIPアドレス(第1端末VPNアドレス94、第2端末VPNアドレス92)を用いて通信を行うことができる。
例えば、第2端末12aは、諸元交換を行った後、VPNを構築が可能である場合は、VPN通信を開始するために、第1端末12aにVPN接続応答84を送信する。特に、第2端末12bは、第2端末VPNアドレスを含むVPN接続応答84をゲートウェイ基地局18に送信する。これによって、第2端末12bは、VPN接続の応答を返すと同時に、ゲートウェア基地局18を介して、第2端末VPNアドレス86を、第1端末12aに送信することができる。
第1端末12aは、VPN接続応答82を受信し、種々の諸元、パラメータ、データを受信する。特に、第1端末12aは、第2端末VPNアドレス86を取得し、以降、この第2端末VPNアドレス86を利用して、第2端末12bに対して、VPNを用いた通信を実行することができる。
この暗号化パケット90には、アプリケーションで用いるデータ(以下、単にアプリデータ98と称する)が含まれており、第1端末12aと第2端末12bとの間でアプリケーションによるデータの送受信を行うことが可能である。また、このアプリデータの送受信を行うためのプロトコルとしては、例えばTCPやUDP(User Datagram Protocol)等を用いることができる。本実施形態1では、TCP及びUDPを用いることができる例を説明する。本実施形態1においては、これらTCPやUDPが、アプリデータ用TCP/UDP95として、暗号化パケット90中に含まれている。
これまで述べたように、従来技術では、TCPセッションを利用してモバイル端末間でVPNを構築する場合は、一般的にVPNをいわゆる中継サーバと呼ばれる「サーバ」で管理している。この中継サーバにおいては、データ(パケット)を転送する際に暗号化されたパケットを一旦復号する。したがって、その時点でセキュリティーの脆弱性が発生する。
さらに、本実施形態1において特徴的な事項は、端末12a、12bを接続したゲートウェイ基地局18と、端末12a、12bとの間で、相互認証を実行し、TCPセッション上のVPNを構築している点である。この結果、複数のゲートウェイ基地局18を経由する場合(多段中継される場合)であっても、パケットを復号する必要がなくなる。次に、この多段中継される場合の動作について説明する。
第1.概要
上記実施形態1においては、ゲートウェイ基地局が1個であり、データの送受信を行う第1端末12aと、第2端末1bとは、ともに同一のゲートウェイ基地局に接続する例を説明した(図1、図2参照)。
しかし、本発明は、データの送受信を行う第1端末12aと、第2端末12とbとが、離隔している場合、複数のゲートウェイ基地局を介して、第1端末12aと第2端末12bとがVPN接続するように構成することも好適である。
図5は、第1端末12aと第2端末12bとが、2台のゲートウェイ基地局を介して接続する例を示す説明図である。図5に示すように、第1端末12a、第2端末12bの構成・動作は、上記実施形態1と同様である。
(2−1)端末認証シーケンス
まず、第1端末12aは、第1ゲートウェイ基地局18aとの間で、端末認証200aを実行する。この端末認証200aの処理は、上記実施形態1において(1)端末認証シーケンスとして説明した動作と同様の処理である。
同様に、第2端末12bも、第2ゲートウェイ基地局18bとの間で、端末認証200bを実行する。この端末認証200bの処理も、上記実施形態1において説明した(1)端末認証シーケンスと同様である。
次に、第1端末12aと第2端末12bとの間で端末間認証シーケンスが実行される。このシーケンスは、実施形態1において、「端末間認証シーケンス」として説明された処理であり、本実施形態2においても、ほぼ同様の処理が実行される。
これらの処理においては、例えば、第1端末12aがサンプルコードを生成し、第2端末12bの公開鍵で暗号化したものを第2端末12bに送信する。そして、第2端末12bが自己の秘密鍵を用いて暗号化したサンプルコードを復号し、原サンプルデータを得る。さらに、第2端末12bは、このようにして得た原サンプルデータをハッシュ化して第1端末12aに送信する。第1端末12aは、受信したデータ(ハッシュ化したデータ)と、自己が自ら生成した原サンプルデータをハッシュ化したデータと、を比較する。両者が一致したことを以て、第1端末12aは認証が成功したと認定する。
次に、TCP接続確立シーケンスが実行される。このシーケンスの処理は、実施形態1で述べた「TCP接続確立シーケンス」と同様であり、図4におけるTCP接続要求アクセス68から、VPN用接続完了72において完了する処理である。この処理の中で、ゲートウェイ基地局18a、bは、上述したように、端末間(第1端末12a、体2端末12b)のTCPを連結してプロキシ転送するための中継テーブル(のエントリー)を作成(追加)することは、既に説明した通りである。
このように、本実施形態2においては、端末間のTCPを連結しプロキシ転送するための中継テーブルを、各ゲートウェイ基地局18で共有しているので、各ゲートウェイ基地局18は、当該中継テーブルに基づき、TCPの転送を行うことができる。
また例えば、第2端末12bが移動して、接続しているゲートウェイ基地局18bが変更される場合がある。この場合は、接続が切れたゲートウェイ基地局18bにおいて、第2基地局12bに関する中継テーブルのエントリーが削除され、このことが他のゲートウェイ基地局18aにも伝達される。そして、第2端末12bが、その移動先で新たに他のゲートウェイ基地局18と接続した場合は、その新しいゲートウェイ基地局18において第2端末12bの接続が検知され、それに基づき、これまで述べた手法で新たに上記中継テーブルが作成される。このようにして、中継テーブルのエントリーの削除や更新を行うことによって、端末の移動に対応することができる。
次に、VPN接続シーケンスが実行される。このシーケンスの処理は、実施形態1で述べた「VPN接続シーケンス」と同様であり、図4におけるVPN接続要求74から、VPN接続応答82、84に至る処理である。この処理の結果、第1端末VPNアドレス、第2端末VPNアドレス86が、互いに交換される。そして、これらVPNアドレスを用いてVPN通信を実行することができる。図3の下部に示すような暗号化パケット90を送受信することが可能となる。
このような処理の結果、互いにVPNアドレスを取得した後は、それらを用いて図3の下部に示した暗号化パケット90の送受信を行うことができる。
これまで述べた実施形態1〜2では、主として端末が2台の場合を説明したが、もちろん、3台以上存在する場合でも同様の技術が適用可能である。また、以上説明した実施形態は、本発明の実現手段としての一例であり、本発明が適用される装置の構成や各種条件によって適宜修正又は変更されるべきものであり、本発明は本実施形態1と実施形態2の態様に限定されるものではない。
3 インターネット
4a 暗号化/端末認証
4b 端末間認証
5 サイト
7 基地局
10 通信システム
12a 第1端末
12b 第2端末
14a、14b アプリケーション
16a、16b 端末側フレームワーク
18 ゲートウェイ基地局
18a 第1ゲートウェイ基地局
18b 第2ゲートウェイ基地局
20 セキュリティー設定管理機能
22 認証及びVPN機能
30 アプリ接続指令
32、42 端末認証要求
34、44 端末認証処理
36、46 VPN用TCP情報生成
38、48 端末認証応答
40、50 VPN用TCP情報
52、54 端末間認証要求
56、58 端末間認証処理
60、62 認証情報
64、66 端末間認証応答
68、70 TCP接続要求アクセス
72 VPN用TCP中継接続完了
74、76 VPN接続要求
78、80 VPN諸元交換
82、84 VPN接続応答
86、92 第2端末VPNアドレス
90 暗号化パケット
94 第1端末VPNアドレス
96 アプリデータ用TCP/UDP
98 アプリデータ
100 TCP/IP
200a、200b 端末認証
200c 情報共有
202a、202b、202c 端末間認証
204 ゲートウェイ基地局間情報共有
206a、206b、206c VPN接続
208 VPN暗号データ
210a、210c TCP/IP
210b TCP/IP or UDP/IP
300、308、400、410 端末
302、402、520、620 インターネット
303、403 暗号化/端末認証
304、404、500 サイト
306、406、502 RAS
504a、504b、644a、644b サーバ
510a、510b、510c 携帯情報端末
630a、630b LAN
640a、640b ルーター
642 トンネル
Claims (9)
- 基地局と、
前記基地局と通信可能な第1端末と、
前記基地局と通信可能な第2端末と、
を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおいて、
前記第1端末は、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、
前記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、
を含み、
前記基地局は、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、
前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手段と、
を含むことを特徴とする通信システム。 - 請求項1記載の通信システムにおいて、
前記第1端末及び第2端末は、ともに、
前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信する手段、
を含み、
前記基地局は、
前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末のTCPと通信の相手先のTCPとを連結してプロキシ転送するためのVPN通信の情報を前記中継テーブルに記述する手段、
を含み、
前記VPNアドレス生成送信手段は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末のTCPと前記第1端末のTCPとを連結してプロキシ転送するためのVPN通信の情報と対応させて前記中継テーブルに記述し、前記中継手段は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信システム。 - 請求項1または2記載の通信システムにおいて、
前記第1端末VPNアドレスと、前記第2端末VPNアドレスと、はIPアドレスであることを特徴とする通信システム。 - 請求項1から3のいずれか1項に記載の通信システムに用いられる前記第1端末として動作する端末装置において、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、
前記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、
を含むことを特徴とする端末装置。 - 請求項1又は2に記載の通信システムに用いられる前記基地局において、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、
前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手段と、
を含むことを特徴とする基地局。 - 基地局と、
前記基地局と通信可能な第1端末と、
前記基地局と通信可能な第2端末と、
を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおける通信方法において、
前記第1端末が、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信するステップと、
前記第1端末が、前記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信するステップと、
前記第1端末が、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行するステップと、
を含み、さらに、
前記基地局が、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信するステップと、
前記基地局が、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信ステップと、
前記基地局が、前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継ステップと、
を含むことを特徴とする通信方法。 - 請求項6記載の通信方法において、
前記第1端末及び第2端末が、前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信するステップと、
前記基地局が、前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末のTCPと通信の相手先のTCPとを連結してプロキシ転送するためのVPN通信の情報を前記中継テーブルに記述するステップと、
を含み、
前記VPNアドレス生成送信ステップにおいて、前記基地局は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末のTCPと前記第1端末のTCPとを連結してプロキシ転送するためのVPN通信の情報と対応させて前記中継テーブルに記述し、
前記中継ステップにおいて、前記基地局は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信方法。 - 請求項1から3のいずれか1項に記載の通信システムに用いられる第1端末としてコンピュータを動作させるコンピュータプログラムにおいて、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手順と、
前記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手順と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手順と、
を、前記コンピュータに実行させることを特徴とするコンピュータプログラム。 - 請求項1から3のいずれか1項に記載の通信システムに用いられる前記基地局としてコンピュータを動作させるコンピュータプログラムにおいて、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手順と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手順と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手順と、
を、前記コンピュータに実行させることを特徴とするコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016043128A JP6762735B2 (ja) | 2016-03-07 | 2016-03-07 | 端末間通信システム及び端末間通信方法及びコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016043128A JP6762735B2 (ja) | 2016-03-07 | 2016-03-07 | 端末間通信システム及び端末間通信方法及びコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017163186A JP2017163186A (ja) | 2017-09-14 |
JP6762735B2 true JP6762735B2 (ja) | 2020-09-30 |
Family
ID=59853135
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016043128A Active JP6762735B2 (ja) | 2016-03-07 | 2016-03-07 | 端末間通信システム及び端末間通信方法及びコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6762735B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111742534B (zh) * | 2018-01-29 | 2024-07-26 | 皇家飞利浦有限公司 | 无线设备、中继设备和用于通信的系统和方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4468453B2 (ja) * | 2004-09-20 | 2010-05-26 | パナソニック株式会社 | 往復経路確認の最適化 |
JP2006217078A (ja) * | 2005-02-01 | 2006-08-17 | Matsushita Electric Works Ltd | 通信システム及び通信設定方法 |
JP4763560B2 (ja) * | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
JP5131118B2 (ja) * | 2008-09-24 | 2013-01-30 | 富士ゼロックス株式会社 | 通信システム、管理装置、中継装置、及びプログラム |
JP5167214B2 (ja) * | 2009-08-27 | 2013-03-21 | 日本電信電話株式会社 | ネットワーク制御方法およびネットワークシステム |
JP2011160103A (ja) * | 2010-01-29 | 2011-08-18 | Oki Networks Co Ltd | ゲートウェイ装置及びプログラム、並びに、通信システム |
JP5847592B2 (ja) * | 2012-01-10 | 2016-01-27 | 株式会社日立製作所 | Lteシステム、アプリケーション制御装置およびパケットゲートウェイ |
JP6403450B2 (ja) * | 2014-06-18 | 2018-10-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | トンネル接続装置、通信ネットワーク、データ通信方法、及びプログラム |
-
2016
- 2016-03-07 JP JP2016043128A patent/JP6762735B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017163186A (ja) | 2017-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102021213B1 (ko) | 엔드 투 엔드 서비스 계층 인증 | |
US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
JP4299102B2 (ja) | 無線ネットワークのハンドオフ暗号鍵 | |
US8725885B1 (en) | Securely establishing ice relay connections | |
US11303614B2 (en) | System and method for providing improved optimization for secure session connections | |
KR102095893B1 (ko) | 서비스 처리 방법 및 장치 | |
JPWO2008146395A1 (ja) | ネットワーク中継装置、通信端末及び暗号化通信方法 | |
US11297115B2 (en) | Relaying media content via a relay server system without decryption | |
US20170126623A1 (en) | Protected Subnet Interconnect | |
US20220255903A1 (en) | Secure network protocol and transit system to protect communications deliverability and attribution | |
US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
US20170207921A1 (en) | Access to a node | |
JP4429059B2 (ja) | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 | |
CN109905310B (zh) | 数据传输方法、装置、电子设备 | |
JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
US10805260B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
JPWO2014207929A1 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
JP2006041726A (ja) | 共有鍵交換システム、共有鍵交換方法及び方法プログラム | |
US11601505B1 (en) | Communication functions in a mesh network | |
US11652729B1 (en) | Enabling efficient communications in a mesh network | |
Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
US20230209547A1 (en) | Updating communication parameters in a mesh network | |
JP2008294814A (ja) | 取得したネットワークの接続情報を利用したファイルの自動暗号化装置、その方法及びそのプログラム | |
KR101730404B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
US12003478B1 (en) | Sharing domain name service resources in a mesh network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190118 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191129 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200324 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200902 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200909 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6762735 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |