JP4016998B2 - 通信装置およびプログラム - Google Patents
通信装置およびプログラム Download PDFInfo
- Publication number
- JP4016998B2 JP4016998B2 JP2005182540A JP2005182540A JP4016998B2 JP 4016998 B2 JP4016998 B2 JP 4016998B2 JP 2005182540 A JP2005182540 A JP 2005182540A JP 2005182540 A JP2005182540 A JP 2005182540A JP 4016998 B2 JP4016998 B2 JP 4016998B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- entry
- management table
- relay device
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000004044 response Effects 0.000 claims description 13
- 238000007726 management method Methods 0.000 description 93
- 230000006870 function Effects 0.000 description 23
- 238000000034 method Methods 0.000 description 18
- 238000011144 upstream manufacturing Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 241000766699 Taphrina amentorum Species 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
しかしながら、専用回線の敷設には多大な費用がかかるため、インターネットのように不特定多数の通信端末が接続される通信網(以下、広域網)に各プライベートネットワークを接続し、セキュリティを充分に確保しつつ上記プライベートネットワーク間の通信を広域網を介して行うようにすることが望まれていた。このようなニーズに応えるための技術としては、IPsecが挙げられる。
IPsecとは、各プライベートネットワークを広域網へ接続するルータ同士が広域網を介して行う通信を、ESP(Encapsulating Security Payload)やIKE(Internet Key Exchange)と呼ばれる通信プロトコルにしたがって暗号化し、それらルータ間で送受信されるデータが盗聴されたり改竄されたりすることを回避する技術である。ここで、ESPとは、上記ルータ同士の認証やそのルータ間の通信を所定のアルゴリズムにしたがって暗号化するための通信プロトコルであり、IKEは、その暗号化のための鍵情報を生成するための通信プロトコルである。
このように、プライベートネットワークを広域網へ接続するルータに上記IPsecにしたがった通信を行わせることにより、それらルータ間の通信のセキュリティを確保することが可能になるのであるが、そのためには、各ルータにIPsecに関する各種制御パラメータを予め設定しておく必要がある。そして、このような制御パラメータの設定は、従来、ルータの運用管理者により手作業で行われることが一般的であった。
そこで、上記制御パラメータの設定を容易にし、設定ミスの発生を回避するための技術が種々提案されており、その一例としては、特許文献1、非特許文献1および非特許文献2(以下、これら文献を先行技術文献と総称する)に開示された技術が挙げられる。
上記先行技術文献には、各プライベートネットワークを広域網へ接続するための各ルータからアクセス可能なサーバ装置に上記制御パラメータを予め記憶させておき、そのサーバ装置に記憶されている制御パラメータを各ルータにダウンロードさせて記憶させることによって各ルータに同一の制御パラメータを設定する技術が開示されている。
本発明は、上記課題に鑑みて為されたものであり、特定の装置に処理負荷が集中することを回避しつつ、広域網を介した暗号化通信を通信装置に行わせるための制御パラメータの設定に要する手間を削減することを可能にする技術を提供することを目的としている。
(A−1.通信システムの構成)
図1は、本発明に係る通信装置の1実施形態である中継装置を含んでいる通信システム10の構成例を示す図である。図1に示すように、通信システム10には、例えばインターネットなどの広域網100と、プライベートネットワーク(図1では、PNWと表記)200A、200B、200Cおよび200Dと、これらプライベートネットワークの各々を広域網100へ接続するルータである中継装置300A、300B、300Cおよび300Dとが含まれている。なお、本実施形態では、広域網100がインターネットである場合について説明するが、WAN(Wide Area Network)であっても勿論良い。要は、不特定多数の通信端末が接続される通信網であれば良い。また、本実施形態では、各々固有の中継装置を介して4つのプライベートネットワークが広域網100に接続されている場合について説明するが、広域網100に接続されるプライベートネットワークの数は4に限定されるものではない。要は、2以上のプライベートネットワークが夫々固有の中継装置を介して広域網100に接続されている態様であれば良い。
図2は、中継装置300の構成例を示すブロック図である。
図2に示すように、中継装置300は、計時部310と、通信インターフェイス(以下、「IF」)部320と、記憶部330と、ユーザIF部340と、設定処理部350と、通信制御部360と、更新処理部370と、広告処理部380と、を備えている。
計時部310は、例えばリアルタイムクロックであり、後述する通信制御部360や更新処理部370からの要求に応じて、その要求が為された時刻を表す時刻データを生成してその要求元へ返信する機能を備えている。
通信IF部320は、例えば、プライベートネットワーク200に接続されている第1のNIC(Network Interface Card:図示省略)と広域網100に接続されている第2のNIC(図示省略)とを含んでおり、それらNICを介して受信したデータを通信制御部360へ引渡す一方、通信制御部360から引渡されたデータをその宛先に応じてプライベートネットワーク200や広域網100へ送出するためのものである。
上記各NICには、データリンク層にてそのNICを一意に識別する通信アドレスであるMAC(Media Access Control)アドレスが予め書き込まれたメモリ(図示省略)が設けられている。上記第1のNICのメモリに書き込まれているMACアドレスは、データリンク層の通信プロトコルにしたがってプライベートネットワーク200から中継装置300宛てにデータを送信する際の宛先アドレスとして利用され、上記第2のNICのメモリに書き込まれているMACアドレスは、データリンク層の通信プロトコルにしたがって広域網100から中継装置300宛てにデータを送信する際の宛先アドレスとして利用される。
より詳細に説明すると、この管理テーブルには、図3に示すデータフォーマットを有するデータレコード(以下、エントリという)が中継装置300毎に書き込まれる。図3に示すように、上記エントリには、前述した制御パラメータの他に、物理識別子、論理識別子、パスワード、登録時刻、広告元識別子、鍵要素、最大対地数およびPNW識別子の8つのデータが含まれている。以下、これら8つのデータについて説明する。
(数1) 2^X(mod p)
本実施形態では、上記“X”と数1の演算結果とが上記鍵要素として各エントリに格納されることになる。なお、上記2つの鍵要素のうち、後者(すなわち、数1の演算結果)のみが公開可能な情報であり、上記管理テーブルの格納内容を他の中継装置へ広告する際には、前者を削除して後者のみが広告される。
以上が、上記制御パラメータとともに管理テーブルに格納されるエントリを構成するデータである。なお、記憶部330には、上記管理テーブルの他に、中継装置300と広域網100のSP(Service Provider)との間に通信コネクションを確立する際に、中継装置300を上記SPに認証させるためのパスワード等も格納されている。このため、各中継装置300は、上記SPとの間に無条件に通信コネクションを確立し広域網100を介して互いに通信することが可能になっている。
より詳細に説明すると、ユーザIF部340には、例えばシリアルコンソールなどの表示部(図示省略)やキーボードなどの操作部(図示省略)が接続されている。ユーザIF部340は、上記表示部を制御して上記初期設定を促すための画面を表示させる一方、その画面を視認した運用管理者が上記操作部を操作することによって入力したデータを上記操作部から取得し、そのデータを設定処理部350へと引渡す。本実施形態では、例えば、中継装置300Aの運用管理者は、その中継装置300Aについての論理識別子、鍵要素、最大対地数、パスワードおよび制御パラメータを上記操作部を操作して入力するとともに、他の1台の中継装置(すなわち、中継装置300B、300Cまたは300Dの何れか)の論理識別子とパスワードとを入力し、それらのデータが設定処理部350へと引渡される。
第1に、管理テーブルへ初期設定するエントリ(以下、初期エントリ)をユーザIF部340から引渡されたデータに基づいて生成しその初期エントリを管理テーブルへ書き込むとともに、その初期エントリを後述する通信制御部360へ引渡す初期設定機能である。
より詳細に説明すると、設定処理部350は、まず、以下に述べるようにして自装置についての初期エントリを生成する。すなわち、設定処理部350は、上記第2のNICのMACアドレスに基づいて物理識別子を生成し、その物理識別子と、その物理識別子から生成されるPNW識別子と、ユーザIF部340から引渡された自装置の論理識別子、鍵要素、最大対地数、パスワードおよび制御パラメータとを対応付けて、自装置についての初期エントリを生成する。一方、他の中継装置についての初期エントリとしては、設定処理部350は、ユーザIF部340から引渡された他の中継装置の論理識別子とパスワードとを含むエントリを生成する。詳細については後述するが、これら初期エントリは、管理テーブルの格納内容を他の中継装置へ広告するための通信コネクションを通信制御部360に確立させる際に利用される。
ここで、接続先識別子は、暗号化通信路の接続先である中継装置を一意に識別する識別子であり、実効パラメータはその中継装置と暗号化通信を行う際に通信制御部360が実際に利用する制御パラメータであり、事前共有鍵はその中継装置にIKEにしたがった認証を行わせる際に利用されるパスワードであり、PNW識別子はその中継装置に接続されているプライベートネットワークを一意に識別する識別子である。図4に示す実効エントリは、以下に述べるようにして設定処理部350により生成され、通信制御部360に設定される。
すなわち、設定処理部350は、管理テーブルの更新が完了したことを表す通知を更新処理部370から受取ると、まず、管理テーブルから自装置以外の中継装置に対応するエントリで全てのデータ項目が揃っているエントリを読み出し、そのエントリと自装置についてのエントリとに基づいて上記実効エントリを生成する。具体的には、実効エントリの接続先識別子、PNW識別子に上記他の中継装置についてのエントリの論理識別子、PNW識別子を設定する。実効パラメータについては、以下に述べるようにして生成する。すなわち、設定処理部350は、上記他の中継装置についてのエントリに含まれている制御パラメータと自装置についての制御パラメータとをパラメータ項目毎に比較し、同一のパラメータ値を有するパラメータ項目については、上記実効パラメータの該当項目にそのパラメータ値を設定し、パラメータ値が互いに異なっているパラメータ項目については、内包している物理識別子の値が小さい方のエントリのパラメータ値を設定して上記実効パラメータを生成する。そして、設定処理部350は、自装置についてのエントリに含まれている鍵要素の非公開データ(すなわち、前述した“X”)と、上記他の中継装置についてのエントリに含まれている鍵要素(すなわち、前述した数1の演算結果)とを用いて前述したDiffie−Hellman法により事前共有鍵を生成する。
第1に、上記管理テーブルの格納内容(すなわち、管理テーブルに格納されている各エントリ)をIPsecとは異なる通信プロトコル(本実施形態では、TCP)にしたがって通知し合うための通信コネクションを上記初期エントリに基づいて確立する制御コネクション確立機能である。
より詳細に説明すると、この制御コネクション確立機能は、自装置の管理テーブルの格納内容を広告するための第1の通信コネクションの確立を予め定められた中継装置(本実施形態では、運用管理者により設定された中継装置)に要求するとともに、他の中継装置からの要求に応じて、その中継装置から送信されてくるエントリを受信するための第2の通信コネクション確立する機能である。以下では、上記第1の通信コネクションを「上りの制御コネクション」と呼び、上記第2の通信コネクションを「下りの制御コネクション」と呼ぶ。なお、下りの制御コネクションは、上記他の中継装置から見れば、その中継装置が確立を要求した上りの制御コネクションである。本実施形態では、上記上りの制御コネクションと下りの制御コネクションは、TCPにしたがってデータを送受信するための通信コネクションであり、いわゆる3−Wayハンドシェークによって確立される。
通信制御部360が担っている第3の機能は、上記下りの制御コネクションを介して受信したエントリを更新処理部370へと引渡し管理テーブルの格納内容を更新させる機能である。
そして、通信制御部360が担っている第4の機能は、IPsecにしたがった暗号化通信路を上記実効エントリに基づいて確立する暗号化通信路確立機能である。
より詳細に説明すると、更新処理部370は、通信制御部360からエントリを受取ると、それらに自装置についてのエントリ(すなわち、自装置の物理識別子や論理識別子を含んでいるエントリ)が含まれているか否かを判定し、自装置についてのエントリが含まれている場合には、それを破棄する。そして、更新処理部370は、残りのエントリの登録時刻に計時部310により取得した時刻データを設定するとともに、そのエントリの送信元である中継装置の論理識別子をそのエントリの広告元識別子に設定して上記管理テーブルへ書き込む。なお、同一の物理識別子および論理識別子を有するエントリが既に管理テーブルに格納されている場合には、更新処理部370は、通信制御部360から受取ったエントリでそれらを上書きする。また、更新処理部370は、上記時刻データを登録時刻に設定して管理テーブルへ書き込んだエントリについては、その登録時刻から所定時間が経過した時点で管理テーブルから削除する機能も備えている。
より詳細に説明すると、広告処理部380は、通信制御部360、または、更新処理部370から上記通知を受取ると、管理テーブルから各エントリを読み出し、それらエントリのうちで、広告元識別子が上記上りの制御コネクションの接続先である中継装置の論理識別子と異なっているエントリのみを通信制御部360へ引渡して、それらエントリを上記制御コネクションを介して送信させる。なお、広告元識別子が上記上りの制御コネクションの接続先の論理識別子と同一であるエントリを省く理由は、そのようなエントリは、元々、上記上りの制御コネクションの接続先である中継装置から送信されてきたものであり、そのようなエントリを送信することは無駄だからである。また、広告処理部380は、自装置についてのエントリを通信制御部360へ引渡す際には、その鍵要素から非公開データを削除して引渡す。
以上が、中継装置300の構成である。
次いで、中継装置300が行う動作のうち、本発明に係る通信装置の特徴を顕著に示している動作について図面を参照しつつ説明する。なお、以下に説明する動作例では、各中継装置300の管理テーブルには、自装置についての初期エントリの他に、他の中継装置の論理識別子とパスワードのみが格納された初期エントリが予め格納されているものとする。
具体的には、中継装置300Aの管理テーブルには、中継装置300Aおよび300Dについての初期エントリが、中継装置300Bの管理テーブルには、中継装置300Bおよび300Aについての初期エントリが、中継装置300Cの管理テーブルには、中継装置300Cおよび300Bについての初期エントリが、中継装置300Dの管理テーブルには、中継装置300Dおよび300Cについての初期エントリが、夫々、格納されているものとする。また、各中継装置300の通信制御部360には、設定処理部350によって上記初期エントリが予め設定されているものとする。
まず、各中継装置300が、自装置の管理テーブルの格納内容を他の中継装置へ通知するために行うエントリ広告動作について説明する。
図5は、上記エントリ広告動作の流れを示すフローチャートである。
図5に示すように、通信制御部360は、まず、自装置の管理テーブルの格納内容の広告先を上記初期エントリに基づいて特定する(ステップSA100)。具体的には、通信制御部360は、設定処理部350により設定された初期エントリのうち、自装置の論理識別子とは異なる論理識別子を含んでいる初期エントリの表す中継装置を上記広告先として特定する。
本実施形態では、中継装置300Aの通信制御部360には、中継装置300Aについての初期エントリと中継装置300Dについての初期エントリとが設定されているため、中継装置300Dが上記広告先として特定される。同様に、中継装置300Bは、中継装置300Aを上記広告先として特定し、中継装置300Cは、中継装置300Bを上記広告先として特定し、中継装置300Dは、中継装置300Cを上記広告先として特定する。
より詳細に説明すると、通信制御部360は、通信コネクションの確立を要求する旨の通信メッセージ(本実施形態では、SYNメッセージ)を生成し、上記広告先に対応する初期エントリに含まれている論理識別子を宛先アドレスとして書き込むとともに、その初期エントリに含まれているパスワードを所定のメッセージ領域に書き込んで送信する。前述したように、中継装置300Aについては、上記広告先として中継装置300Dが特定されるのであるから、中継装置300Aは、中継装置300Dへ上記SYNメッセージを送信する。
以降、中継装置300Dの通信制御部360は、上記SYNメッセージを広域網100を介して受信すると、その送信元へ宛ててSYN/ACKメッセージを返信し、これにより、中継装置300Aから中継装置300への上りの制御コネクションが確立されることになる。同様に、中継装置300Bからは中継装置300Aへ、中継装置300Cからは中継装置300Bへ、中継装置300Dからは中継装置300CへSYNメッセージが送信され、各中継装置間に図6(a)に示すように上りの制御コネクションが確立される。なお、図6において、中継装置300Aから中継装置300Dへ向かう矢印は、中継装置300AがSYNメッセージを送信することにより確立された上りの制御コネクションを表している。また、図6において、破線で示された矩形は管理テーブルを表しており、その矩形内に表記された英大文字は、各中継装置に対応するエントリを表している。なお、括弧付きの英大文字は、中継装置300の運用管理者により設定された初期エントリのうち、論理識別子とパスワードのみを含んでいるエントリを表している。
逆に、ステップSA120の判定結果が“Yes”である場合(すなわち、上りの制御コネクションの確立に成功した場合)には、通信制御部360は、ステップSA110にて確立した上りの制御コネクションを介して所定の通信メッセージ(本実施形態では、キープアライブメッセージ)を送信(ステップSA130)するとともに計時部310による計時を開始し、そのキープアライブメッセージを送信した時点から所定のタイムアウト時間が経過するまでにそのキープアライブメッセージに対する応答メッセージ(例えば、ACK)が返信されてきたか否かを判定する(ステップSA140)。前述したように、本動作例では、SYN/ACKメッセージが広告先から返信されてくるのであるから、ステップSA120の判定結果は、Yesになり、上記ステップSA130の処理が実行される。なお、以下では、上記ステップSA130にて送信されたキープアライブメッセージに対応するACKが上記広告先から返信されてくる場合について説明する。
ステップSA140の判定結果が“No”である場合には、通信制御部360は、上記上りの制御コネクションの切断および所定時間の待機を行い(ステップSA170)、その後、ステップSA110以降の処理を繰り返し実行する。逆に、ステップSA140の判定結果が“Yes”である場合には、その旨が通信制御部360から広告処理部380へ通知される。前述したように、本動作例では、上記キープアライブメッセージに対する応答メッセージが返信されてくるのであるから、上記ステップSA140の判定結果は“Yes”になり、広告処理部380に対して上記通知が為されることになる。
より詳細に説明すると、広告処理部380は、管理テーブルに格納されているエントリを全て読み出し、それらエントリに含まれている広告元識別子が、上記広告先である中継装置の論理識別子と一致しているか否かを判定し、一致していないと判定したエントリのみを通信制御部360へ引渡し、上記上りの制御コネクションを介して送信させる。
例えば、中継装置300Aの管理テーブルには、中継装置300Aおよび300Dについての初期エントリが格納されており、これらエントリについては広告元識別子の設定は為されていないのであるから、中継装置300Aの広告処理部380は、これら2つのエントリを通信制御部360へと引渡す。その結果、これら2つのエントリが上記上りの制御コネクションを介して中継装置300Aから中継装置300Dへ送信されることになる。
その後、中継装置300は、ユーザIF部340を介して本広告動作の終了を指示されたか否かを判定し(ステップSA160)、その判定結果が“No”である場合は、ステップSA120以降の処理を繰り返し実行する。
次いで、他の中継装置から送信されてくるエントリを受信した場合に、中継装置300が行う更新動作について説明する。以下では、中継装置300Aから送信された2つのエントリ(中継装置300Aについてのエントリと中継装置300Dについてのエントリ)を受信した場合に、中継装置300Dが行う更新動作について説明する。
図7は、中継装置300が行う更新動作の流れを示すフローチャートである。図7に示すように、中継装置300Dの通信制御部360は、他の中継装置(本実施形態では、中継装置300A)から送信されたエントリを通信IF部320を介して受信(ステップSB100)すると、そのエントリを更新処理部370へ引渡す。
本実施形態では、中継装置300Aについてのエントリと中継装置300Dについてのエントリが中継装置300Aから中継装置300Dへ送信されてくるのであるから、これら2つのエントリのうち、中継装置300Aのエントリのみが中継装置300Dへ追加書き込みされることになる。その結果、中継装置300Dの管理テーブルの格納内容は、図6(b)に示す状態になる。
そして、中継装置300Cも、管理テーブルの格納内容が更新されたことを契機としてその格納内容を中継装置300Bへと広告する。すなわち、中継装置300A、300B、300Cおよび300Dについてのエントリが中継装置300Cから中継装置300Bへ送信され、その広告に基づいて管理テーブル更新処理が中継装置300Bにて為される結果、中継装置300Bの管理テーブルの格納内容は図6(d)に示す状態になる。
その後、中継装置300Bも、管理テーブルの格納内容の更新を契機に、その格納内容を中継装置300Aと広告し、中継装置300Aの管理テーブルの格納内容は図6(e)に示す状態となる。
以降、中継装置300Aから中継装置300Dへ中継装置300Aの管理テーブルの格納内容の広告が為され、中継装置300Dから中継装置300Cへ中継装置300Dの管理テーブルの格納内容の広告が為されることになり、中継装置300A、300B、中継装置300Cおよび中継装置300Dの管理テーブルには、夫々同一のエントリが格納されることになる。
このように、各中継装置300の管理テーブルの格納内容は同一になるのであるから、それらエントリに基づいて生成される実効エントリ間に矛盾が生じることはない。具体的には、中継装置300Aにて生成される中継装置300Dについての実効エントリに格納される実効パラメータと、中継装置300Dにて生成される中継装置300Aについての実効エントリに格納される実効パラメータとは同一になる。
本実施形態においては、各中継装置300の運用管理者は、その管理対象である中継装置についての制御パラメータと、その広告先のみを設定すれば良く、従来に比較して設定するべき制御パラメータの数が削減し、上記運用管理者にかかる負担を軽減することが可能になるといった効果を奏する。
加えて、本実施形態によれば、各中継装置300へ制御パラメータをダウンロードするためのサーバ装置を設ける必要がなく、そのようなサーバ装置を設けることに起因して発生していた不具合を回避することが可能になるといった効果も奏する。
以上、本発明の1実施形態について説明したが、上記実施形態を以下に説明するように変形しても良いことは勿論である。
(1)上述した実施形態では、自装置についての制御パラメータと他の中継装置についての制御パラメータとに基づいて、実効パラメータを生成する際に、互いにパラメータ値が異なっているパラメータ項目については、物理識別子が小さい方のパラメータ値を優先して設定する場合について説明したが、逆に、物理識別子が大きい方のパラメータ値を優先して設定するとしても勿論良く、また、物理識別子に替えて論理識別子や最大対地数に基づいて何れのパラメータ値を実効パラメータに設定するのかを決定するようにしても良い。要は、パラメータ値が互いに異なっているパラメータ項目について、何れの制御パラメータを優先して設定するのかを、各中継装置300において同一の規則で決定する態様であれば、どのような態様であっても良い。
そこで、物理識別子の下位16ビットが同一であるエントリが管理テーブルに格納されている場合には、論理識別子の値が小さい方を無効にして実効パラメータを生成する際にそのエントリを参照しないようにすることが望ましい。また、自装置についてのエントリが上記無効にするべきエントリに該当した中継装置300については、新たに物理識別子を算出し直させて、その中継装置についてのエントリを生成し直させるようにしても良い。
つまり、本発明に係る通信装置の管理テーブルに格納しておくエントリには、上記物理識別子と上記論理識別子の何れか一方と制御パラメータとが含まれていれば良い。
また、CD−ROM(Compact Disk-Read Only Memory)などコンピュータ装置が読取り可能な記録媒体に上記プログラムを書き込んで配布するとしても良く、また、インターネットなどの電気通信回線を介して上記プログラムを配布するようにしても良い。このようにすると、上記記録媒体に書き込まれたプログラムや上記電気通信回線を介して配布されたプログラムを、上記の如き構成を有する一般的なコンピュータ装置にインストールすることによって、そのコンピュータ装置に本発明に係る通信装置と同一の機能を付与することが可能になる。
Claims (5)
- 第1の通信プロトコルにしたがって暗号化通信を行う際に利用する制御パラメータと通信装置を一意に識別する識別子とを含むエントリを格納するための管理テーブルと、
前記管理テーブルに本装置についてのエントリと他の通信装置についての少なくとも1つのエントリとを書き込む設定処理部と、
前記管理テーブルの格納内容を前記第1の通信プロトコルとは異なる第2の通信プロトコルにしたがって前記他の通信装置宛てに送信するための第1の通信コネクションをその通信装置との間に確立する一方、前記第1の通信コネクションの確立先とは異なる通信装置から前記第2の通信プロトコルにしたがって送信されてくるデータを受信するための第2の通信コネクションをその通信装置からの要求に応じて確立する通信制御部と、
前記第2の通信コネクションを介して送信されてくる1または複数のエントリを受信し、前記管理テーブルに格納されているエントリのうちで自装置以外のエントリを該受信したエントリで更新する更新処理部と、
前記更新処理部により前記管理テーブルの更新が為された場合、または、定期的に、前記管理テーブルに格納されているエントリを前記第1の通信コネクションを介して送信する広告処理部と、
を有することを特徴する通信装置。 - 前記通信制御部は、
確立済みの第1の通信コネクションを介して所定の通信メッセージを送信し、その通信メッセージに対する応答の有無に基づいて該第1の通信コネクションが有効であるか否かを判定し、
確立済みの第1の通信コネクションが有効ではないと判定した場合に、その第1の通信コネクションを切断した後に、前記管理テーブルの格納内容に基づいて新たに第1の通信コネクションを確立し直す
ことを特徴とする請求項1に記載の通信装置。 - 計時部を備え、
前記更新処理部は、
前記第2の通信コネクションを介して受信したエントリを前記管理テーブルへ書き込む際に、その書き込み時刻を前記計時部により取得し、その書き込み時刻を表す時刻データと対応付けて前記管理テーブルへ書き込み、その時刻データの表す時刻から所定時間が経過した時点で該エントリを前記管理テーブルから削除する
ことを特徴とする請求項1に記載の通信装置。 - 前記通信制御部は、
前記更新処理部によって新たなエントリが前記管理テーブルに追加書き込みされた場合には、該新たなエントリに含まれている識別子の表す通信装置との間に前記第1の通信コネクションを確立する
ことを特徴とする請求項1に記載の通信装置。 - コンピュータ装置を、
第1の通信プロトコルにしたがって暗号化通信を行う際に利用する制御パラメータと通信装置を一意に識別する識別子とを含むエントリを格納するために前記コンピュータ装置に予め記憶されている管理テーブルに、前記コンピュータ装置についてのエントリと他の通信装置についての少なくとも1つのエントリとを書き込む設定手段と、
前記管理テーブルの格納内容を前記第1の通信プロトコルとは異なる第2の通信プロトコルにしたがって前記他の通信装置へ宛てに送信するための第1の通信コネクションをその通信装置との間に確立する一方、前記第1の通信コネクションの確立先とは異なる通信装置から前記第2の通信プロトコルにしたがって送信されてくるデータを受信するための第2の通信コネクションを該通信装置からの要求に応じて確立する通信制御手段と、
前記第2の通信コネクションを介して送信されてくる1または複数のエントリを受信し、前記管理テーブルに格納されているエントリのうちで前記コンピュータ装置以外のエントリを該受信したエントリで更新する更新手段と、
前記更新手段により前記管理テーブルの更新が為された場合、または、定期的に、前記管理テーブルに格納されているエントリを前記第1の通信コネクションを介して送信する広告手段
として機能させることを特徴とするプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005182540A JP4016998B2 (ja) | 2005-06-22 | 2005-06-22 | 通信装置およびプログラム |
CNB2006100865030A CN100479401C (zh) | 2005-06-22 | 2006-06-16 | 通信装置及其通信方法 |
US11/455,354 US7684395B2 (en) | 2005-06-22 | 2006-06-19 | Communication device and communication method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005182540A JP4016998B2 (ja) | 2005-06-22 | 2005-06-22 | 通信装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007006041A JP2007006041A (ja) | 2007-01-11 |
JP4016998B2 true JP4016998B2 (ja) | 2007-12-05 |
Family
ID=37567205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005182540A Expired - Fee Related JP4016998B2 (ja) | 2005-06-22 | 2005-06-22 | 通信装置およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US7684395B2 (ja) |
JP (1) | JP4016998B2 (ja) |
CN (1) | CN100479401C (ja) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5055942B2 (ja) * | 2006-10-16 | 2012-10-24 | 富士通株式会社 | 計算機クラスタ |
US20100175113A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machine Corporation | Secure System Access Without Password Sharing |
US7796601B1 (en) * | 2009-03-06 | 2010-09-14 | Sprint Communications Company L.P. | Internet protocol data transfer over diverse paths |
JP2012108794A (ja) * | 2010-11-18 | 2012-06-07 | Fujitsu Ltd | 中継装置、中継方法およびデバイス管理装置 |
CN103141055A (zh) * | 2011-01-25 | 2013-06-05 | 三洋电机株式会社 | 通信装置 |
JP5952910B2 (ja) * | 2012-09-26 | 2016-07-13 | 大和ハウス工業株式会社 | 建物管理用通信システム、建物管理用通信方法及び建物管理用通信サーバ |
US9419855B2 (en) | 2014-03-14 | 2016-08-16 | Nicira, Inc. | Static routes for logical routers |
US9647883B2 (en) | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
JP6211975B2 (ja) * | 2014-03-27 | 2017-10-11 | 株式会社日立製作所 | ネットワーク延伸システム、制御装置、およびネットワーク延伸方法 |
US9787605B2 (en) * | 2015-01-30 | 2017-10-10 | Nicira, Inc. | Logical router with multiple routing components |
US10230629B2 (en) | 2015-08-11 | 2019-03-12 | Nicira, Inc. | Static route configuration for logical router |
US10075363B2 (en) | 2015-08-31 | 2018-09-11 | Nicira, Inc. | Authorization for advertised routes among logical routers |
US10095535B2 (en) | 2015-10-31 | 2018-10-09 | Nicira, Inc. | Static route types for logical routers |
US10225149B2 (en) * | 2015-12-15 | 2019-03-05 | Nicira, Inc. | Method and tool for diagnosing logical networks |
US10243797B2 (en) | 2016-03-14 | 2019-03-26 | Nicira, Inc. | Identifying the realization status of logical entities based on a global realization number |
US10241820B2 (en) | 2016-03-14 | 2019-03-26 | Nicira, Inc. | Determining the realization status of logical entities in logical networks |
US10153973B2 (en) | 2016-06-29 | 2018-12-11 | Nicira, Inc. | Installation of routing tables for logical router in route server mode |
US10454758B2 (en) | 2016-08-31 | 2019-10-22 | Nicira, Inc. | Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP |
US10341236B2 (en) | 2016-09-30 | 2019-07-02 | Nicira, Inc. | Anycast edge service gateways |
US10931560B2 (en) | 2018-11-23 | 2021-02-23 | Vmware, Inc. | Using route type to determine routing protocol behavior |
US10797998B2 (en) | 2018-12-05 | 2020-10-06 | Vmware, Inc. | Route server for distributed routers using hierarchical routing protocol |
US10938788B2 (en) | 2018-12-12 | 2021-03-02 | Vmware, Inc. | Static routes for policy-based VPN |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5805827A (en) * | 1996-03-04 | 1998-09-08 | 3Com Corporation | Distributed signal processing for data channels maintaining channel bandwidth |
US6085238A (en) * | 1996-04-23 | 2000-07-04 | Matsushita Electric Works, Ltd. | Virtual LAN system |
JP4162347B2 (ja) * | 2000-01-31 | 2008-10-08 | 富士通株式会社 | ネットワークシステム |
JP4159328B2 (ja) | 2002-09-11 | 2008-10-01 | Necインフロンティア株式会社 | ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法 |
US20060256770A1 (en) * | 2005-05-13 | 2006-11-16 | Lockheed Martin Corporation | Interface for configuring ad hoc network packet control |
JP2007074234A (ja) * | 2005-09-06 | 2007-03-22 | Hitachi Communication Technologies Ltd | 伝送装置 |
-
2005
- 2005-06-22 JP JP2005182540A patent/JP4016998B2/ja not_active Expired - Fee Related
-
2006
- 2006-06-16 CN CNB2006100865030A patent/CN100479401C/zh not_active Expired - Fee Related
- 2006-06-19 US US11/455,354 patent/US7684395B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN1885805A (zh) | 2006-12-27 |
CN100479401C (zh) | 2009-04-15 |
JP2007006041A (ja) | 2007-01-11 |
US20060291387A1 (en) | 2006-12-28 |
US7684395B2 (en) | 2010-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4016998B2 (ja) | 通信装置およびプログラム | |
Hummen et al. | Delegation-based authentication and authorization for the IP-based Internet of Things | |
JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
US7849495B1 (en) | Method and apparatus for passing security configuration information between a client and a security policy server | |
JP3831364B2 (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 | |
JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
EP1880525B1 (en) | Host identity protocol method and apparatus | |
US9516061B2 (en) | Smart virtual private network | |
US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
US8104082B2 (en) | Virtual security interface | |
CN102447690B (zh) | 一种密钥管理方法与网络设备 | |
JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
US20090327730A1 (en) | Apparatus and method for encrypted communication processing | |
JP4915182B2 (ja) | 情報の管理方法及び情報処理装置 | |
JP2016051921A (ja) | 通信システム | |
CN111371798A (zh) | 数据安全传输方法、***、装置及存储介质 | |
CN110752921A (zh) | 一种通信链路安全加固方法 | |
CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 | |
TWI277316B (en) | Encrypted central unified management system | |
JP2012100206A (ja) | 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム | |
JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
CN110943996B (zh) | 一种业务加解密的管理方法、装置及*** | |
CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
JP2018174550A (ja) | 通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070828 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070910 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4016998 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110928 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120928 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130928 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |