特許第6762735号(P6762735)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 国立研究開発法人情報通信研究機構

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 独立行政法人情報通信研究機構の特許一覧 ▶ ナシュア・ソリューションズ株式会社の特許一覧

特許6762735端末間通信システム及び端末間通信方法及びコンピュータプログラム
<>
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000002
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000003
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000004
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000005
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000006
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000007
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000008
  • 特許6762735-端末間通信システム及び端末間通信方法及びコンピュータプログラム 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6762735
(24)【登録日】2020年9月11日
(45)【発行日】2020年9月30日
(54)【発明の名称】端末間通信システム及び端末間通信方法及びコンピュータプログラム
(51)【国際特許分類】
   H04L 12/46 20060101AFI20200917BHJP
   H04W 84/18 20090101ALI20200917BHJP
   H04W 92/18 20090101ALI20200917BHJP
   H04W 8/26 20090101ALI20200917BHJP
【FI】
   H04L12/46 V
   H04W84/18 110
   H04W92/18
   H04W8/26 110
【請求項の数】9
【全頁数】28
(21)【出願番号】特願2016-43128(P2016-43128)
(22)【出願日】2016年3月7日
(65)【公開番号】特開2017-163186(P2017-163186A)
(43)【公開日】2017年9月14日
【審査請求日】2019年1月18日
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成26年度 国立研究開発法人情報通信研究機構「高度通信・放送研究開発委託研究/メッシュ型地域ネットワークのプラットフォーム技術の研究開発」、産業技術力強化法第19条の適用を受ける特許出願
(73)【特許権者】
【識別番号】301022471
【氏名又は名称】国立研究開発法人情報通信研究機構
(73)【特許権者】
【識別番号】504141425
【氏名又は名称】ナシュア・ソリューションズ株式会社
(74)【代理人】
【識別番号】100109014
【弁理士】
【氏名又は名称】伊藤 充
(72)【発明者】
【氏名】井上 真杉
(72)【発明者】
【氏名】大和田 泰伯
(72)【発明者】
【氏名】実藤 亨
【審査官】 野元 久道
(56)【参考文献】
【文献】 特開2006−217078(JP,A)
【文献】 特開2010−081109(JP,A)
【文献】 特開2011−049841(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/46
H04W 8/26
H04W 84/18
H04W 92/18
(57)【特許請求の範囲】
【請求項1】
基地局と、
前記基地局と通信可能な第1端末と、
前記基地局と通信可能な第2端末と、
を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおいて、
前記第1端末は、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、
記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、
を含み、
前記基地局は、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、
前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手段と、
を含むことを特徴とする通信システム。
【請求項2】
請求項1記載の通信システムにおいて、
前記第1端末及び第2端末は、ともに、
前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信する手段、
を含み、
前記基地局は、
前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末のTCPと通信の相手先のTCPとを連結してプロキシ転送するためのVPN通信の情報を前記中継テーブルに記述する手段、
を含み、
前記VPNアドレス生成送信手段は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末のTCPと前記第1端末のTCPとを連結してプロキシ転送するためのVPN通信の情報と対応させて前記中継テーブルに記述し、前記中継手段は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信システム。
【請求項3】
請求項1または2記載の通信システムにおいて、
前記第1端末VPNアドレスと、前記第2端末VPNアドレスと、はIPアドレスであることを特徴とする通信システム。
【請求項4】
請求項1から3のいずれか1項に記載の通信システムに用いられる前記第1端末として動作する端末装置において、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、
記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、
を含むことを特徴とする端末装置。
【請求項5】
請求項1又は2に記載の通信システムに用いられる前記基地局において、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、
前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手段と、
を含むことを特徴とする基地局。
【請求項6】
基地局と、
前記基地局と通信可能な第1端末と、
前記基地局と通信可能な第2端末と、
を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおける通信方法において、
前記第1端末が、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信するステップと、
前記第1端末が、前記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信するステップと、
前記第1端末が、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行するステップと、
を含み、さらに、
前記基地局が、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信するステップと、
前記基地局が、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信ステップと、
前記基地局が、前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継ステップと、
を含むことを特徴とする通信方法。
【請求項7】
請求項記載の通信方法において、
前記第1端末及び第2端末が、前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信するステップと、
前記基地局が、前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末のTCPと通信の相手先のTCPとを連結してプロキシ転送するためのVPN通信の情報を前記中継テーブルに記述するステップと、
を含み、
前記VPNアドレス生成送信ステップにおいて、前記基地局は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末のTCPと前記第1端末のTCPとを連結してプロキシ転送するためのVPN通信の情報と対応させて前記中継テーブルに記述し、
前記中継ステップにおいて、前記基地局は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信方法。
【請求項8】
請求項1から3のいずれか1項に記載の通信システムに用いられる第1端末としてコンピュータを動作させるコンピュータプログラムにおいて、
通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手順と、
記基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手順と、
受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手順と、
を、前記コンピュータに実行させることを特徴とするコンピュータプログラム。
【請求項9】
請求項1から3のいずれか1項に記載の通信システムに用いられる前記基地局としてコンピュータを動作させるコンピュータプログラムにおいて、
前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手順と、
前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手順と、
前記第1端末VPNアドレスが付与された前記第1端末のデータパケットと前記第2端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末のデータパケットと前記第1端末のデータパケットとを連結してプロキシ転送するためのVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、前記基地局内部に蓄積せずにそのまま、その通信相手である前記第2端末に中継する中継手順と、
を、前記コンピュータに実行させることを特徴とするコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末間で通信を行う端末間通信システムに関する。特に、サーバを利用せずに通信を行うことができる通信システムを実現するフレームワークに関する。
【背景技術】
【0002】
スマートホン(Smartphone)や携帯通信端末等の端末を利用して通信を行うシステムは広く利用されている。例えば、リモートアクセス(Remote Access)を利用した遠隔地から、所定のサイトにアクセスするシステムが知られている。
従来の「リモートアクセス」技術は、端末からインターネット(Internet)を越えて、所定のサイトにある社内LANやイントラネットへのアクセスを実現するための技術全般を含むものである。例えば、アクセスを許可するための認証技術や、VPN(Virtual Private Network)技術(暗号化技術等)を実現し、提供するための技術全般を含む。
【0003】
このリモートアクセス技術は、サービスを利用しようとする端末が、当該サービスを集約するために設けられたサーバに対して、安全に接続するための運用に使われる場合が多い。
【0004】
従来の接続形態1の1(リモートアクセス)
図5は、従来の端末間通信の原理を示す説明図である。
【0005】
図5において、端末300は、インターネット302を介して、所定のサイト304に接続している。端末300は、RAS(Remote Access Server)306(として機能する基地局)に接続することによってサイト304に接続する。このRASを用いた接続に際しては、図5等と同様に、通信の安全のため、暗号化が行われている。また、同様に、端末認証が実行され、認証が成功した端末300のみが接続できる。
【0006】
サイト304は、図5図7等と同様に、local IP環境であり、安全なセキュリティーゾーンである。また、同様に、このセキュリティーゾーンはLAN/INTRANETで構成されている。RAS306は、基地局を兼ねている場合が多い。以下、基地局がRAS306である場合を前提として説明を行う。
サイト304中にはサイト内の端末308が位置している。図5に示すように、端末300は、サイト内の端末308と、RAS306を介して接続することができる。
【0007】
図5においては、RAS306は、端末300と端末308とのTCP(Transmission Control Protocol)セッションを相互接続する際に、暗号と平文とを相互に変換する。すなわち、RAS306は、端末300からの暗号化されたパケットを復号化して、平文化したパケットを端末308に送信する。逆に、RAS306は、端末308からの平文のパケットを暗号化して、暗号化パケットを端末300にインターネット302を介して送信する。
【0008】
このように、従来のリモートアクセスにおいては、RAS306がパケットの暗号化・復号化を実行している。特に、RAS306は、外部の端末300との間の通信に、暗号化/端末認証303を適用することによって、セキュリティーを担保しようとしている。
【0009】
従来の接続形態1の2(RAS技術を利用したセキュアな端末間通信)
図6は、RAS技術を応用してセキュアな端末間の通信環境を実現した場合の動作を説明する図である。
【0010】
図6において、端末400は、インターネット402を介して、サイト404に接続している。端末400は、RAS406(として機能する基地局)に接続することによってサイト404に接続する。この接続に際しては、図5等と同様に、通信の安全のため、暗号化が行われている。また、同様に、端末認証が実行され、認証が成功した端末400のみが接続できる点も同様である。
【0011】
サイト404は、図5と同様に、local IP環境の下、LAN/INTRANETで構成されている安全なセキュリティーゾーンである。また、RAS406は、図5と同様に、いわゆる基地局でもある。サイト404中にはサイト内の端末410が位置している。図6に示すように、端末400は、サイト内の端末410と、RAS406を介して接続することができる。
図6においては、RAS406は、セキュアな端末間通信を実現するために、サイト404内の端末410との間でも暗号通信を実行している。すなわち、RAS406は、端末410に対しても、端末400と同様に、暗号化/端末認証を実行している。
【0012】
このような暗号通信において、RAS406は、端末400と端末410とのTCPセッションを相互接続している。ここで、そのような相互の接続をするためには、RAS406は、受信したデータを一旦復号化して内容を確認している。すなわち、RAS406は、端末400からの暗号化されたパケットを復号化して、平文化し、宛先を確認後、当該パケットを、その宛先である端末410に転送する。逆に、RAS406は、端末410からの暗号化されたパケットを受け取ると、そのパケットを復号化して、平文を得て内容を確認する。その後、RAS406は、当該平文のパケットを再び暗号化して、暗号化パケットを端末400にインターネット402を介して送信する。
このように、従来のRAS技術を利用してセキュアな端末間通信を実現する場合は、RAS406が転送するパケットを内部で一旦復号するという動作を実行している。
【0013】
RASの詳細な動作の例
図7は、携帯情報端末が、RAS(Remote Access Server)を利用して所定のサーバにアクセスするより詳細な動作を示す説明図である。図7において、携帯情報端末510a、510b、510cは、所定のサービスを利用するためにサイト500に含まれるサーバ504a、504bにアクセスする。例えば、サーバ504aは、メールサーバであり、サーバ504bは、掲示板サービスである。携帯情報端末510のユーザは、携帯情報端末510を利用して、インターネット520を介して、サーバ504にアクセスして所定のサービスを利用する。
この場合、携帯情報端末510からサイト500へのアクセスは、RAS502を介して行われる。このRAS502は、サイト500に含まれる設備であり、外部からのリモートアクセスを受け付けて、サイト500内のネットワークに接続するサービスを実行するサーバである。
【0014】
このような接続によって、例えば、携帯情報端末510aは、所定のメッセージをサーバ504bに書き込むことができ、他の携帯情報端末510bは、そのサーバ504bにアクセスし、書き込まれたメッセージを読み出すことができる。従来の通信システムにおいては、このように必ずサーバ504a(504b)を介してデータやメッセージの送受信が行われている。
【0015】
従来の接続形態2(LAN間接続)
図8には、いわゆるLAN間接続と呼ばれる接続形態を有する通信システムの例が示されている。この図に示すように、LAN630aと、LAN630bとを、インターネット620を介して相互に接続する。LAN630aは、ルーター(RT)640aを介してインターネット620に接続している。また、LAN630bは、ルーター(RT)640bを介してインターネット620の接続している。
ルーター640aと、ルーター640bとの間ではいわゆるVPNによるトンネル642が形成されており、このVPNトンネル642を介してLAN630aとLAN630bとは接続されており、相互にアクセスすることが可能となる。
【0016】
図8では省略して図示されていないが、LAN630aやLAN630bの内部には、図7等で説明したように種々のサーバが含まれており、互いに相手方のLAN630a(630b)中のサーバにアクセすることができる。また、インターネット620中には、種々のインターネットサービスプロバイダの種々のサーバ644a、644bが含まれている。
このような接続によって、LAN630a又はLAN630bのいずれかに属する端末も、双方のLAN630に含まれるサーバにアクセスすることができ、図4で説明したように、当該サーバを介して、他の端末とデータやメッセージの送受信を行うことができる。
【0017】
先行特許文献
例えば、下記特許文献1には、企業網に対してユーザ端末からリモートVPNアクセスを行う際の、改良された技術が開示されている。特に、ユーザ端末からリモートVPNアクセスを行う場合に行われる二重のIPsec処理の軽減を図ることができる仕組みが開示されている。
また、下記特許文献2には、保守パソコンからRAS(Remote Access Service)装置にアクセスする際、ISDN回線を介してインターネット接続に関する情報を送受信し、それらの情報を用いて、保守パソコンとRAS装置とが相互にインターネット接続する技術が開示されている。
また、下記特許文献3には、第1のLANと、第2のLANとの間でメディア転送を行う仕組みが開示されている。特に、第1のLAN中のメディアレンダラが、第2のLAN中のメディアサーバにVPNトンネルを介してアクセスする技術が開示されている。
【先行技術文献】
【特許文献】
【0018】
【特許文献1】特開2010−206442号公報
【特許文献2】特開2010−206657号公報
【特許文献3】特表2012−520006号公報
【発明の概要】
【発明が解決しようとする課題】
【0019】
しかし、インターネット上のサーバにデータを残してデータの交換やデータの共有を行う従来の手法では、サーバ側の運用によっては、セキュリティーの確保が困難な場合も想定される。すなわち、安全性/信頼性が担保できない運用がなされているサーバを利用したアプリケーションに対しては、上述したリモートアクセスの仕組みだけで、当該サービスを提供することが安全上の観点からは妥当とは言えない。
【0020】
本願発明は、上記課題を解決するためになされたものであり、その目的は、サーバレスでデータを残さずに通信するための通信システムを実現するための仕組みを提供することである。
【課題を解決するための手段】
【0021】
本願発明者らは、上記課題を解決するために、サーバレスでデータを残さずに通信するためのゲートウェイ(Gateway)基地局(多段中継に対応)、及び、複数端末上のアプリケーション以下の端末認証VPN用のフレームワーク技術や、当該フレームワークを実現する端末等を開発し、本願発明をなすに至った。
なお、本願発明は、上記フレームワークの上で提供されるアプリケーションや、その運用方法については何ら制限はない。
【0022】
特に、本発明は、後に詳述するように、TCPセッションにおける端末間VPN構築方法を実現するものである。その結果、サーバレスであるため、中継時にVPN安全性を向上させることができるという特徴を有する。さらに、多段中継しても、端末間VPNをより安全に提供することができるという特徴を備えている。
本発明は、具体的には、下記のような手段を採用する。
【0023】
(1)本発明は、上記課題を解決するために、基地局と、前記基地局と通信可能な第1端末と、前記基地局と通信可能な第2端末と、を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおいて、前記第1端末は、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、前記ゲートウェイ基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、を含み、前記基地局は、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、前記第1端末VPNアドレスが付与された前記第1端末が利用する第1のVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末が利用する第2のVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、そのまま、その通信相手である前記第2端末に中継する中継手段と、を含むことを特徴とする通信システムである。
【0024】
(2)また、本発明は、(1)記載の通信システムにおいて、前記第1端末及び第2端末は、ともに、前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信する手段、を含み、前記基地局は、前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末が利用するVPN通信の情報を前記中継テーブルに記述する手段、を含み、前記VPNアドレス生成送信手段は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末が利用するVPN通信の情報と対応させて前記中継テーブルに記述し、前記中継手段は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信システムである。
【0025】
(3)また、本発明は、(1)または(2)記載の通信システムにおいて、前記第1端末VPNアドレスと、前記第2端末VPNアドレスと、はIPアドレスであることを特徴とする通信システムである。
【0026】
(4)また、本発明は、(1)から(3)のいずれか1項に記載の通信システムに用いられる前記第1端末として動作する端末装置において、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手段と、前記ゲートウェイ基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手段と、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手段と、を含むことを特徴とする端末装置である。
【0027】
(5)また、本発明は、(1)から(3)のいずれか1項に記載の通信システムに用いられる前記基地局において、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手段と、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手段と、前記第1端末VPNアドレスが付与された前記第1端末が利用する第1のVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末が利用する第2のVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルと、前記中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、そのまま、その通信相手である前記第2端末に中継する中継手段と、を含むことを特徴とする基地局である。
【0028】
(6)本発明は、上記課題を解決するために、基地局と、前記基地局と通信可能な第1端末と、前記基地局と通信可能な第2端末と、を備え、前記第1端末と、前記第2端末との間で通信を行う通信システムにおける通信方法において、前記第1端末が、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信するステップと、前記第1端末が、前記ゲートウェイ基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信するステップと、前記第1端末が、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行するステップと、前記基地局が、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信するステップと、前記基地局が、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信ステップと、前記基地局が、前記第1端末VPNアドレスが付与された前記第1端末が利用する第1のVPN通信の情報と前記第2端末VPNアドレスが付与された前記第2端末が利用する第2のVPN通信の情報とが記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、そのまま、その通信相手である前記第2端末に中継する中継ステップと、を含むことを特徴とする通信方法である。
【0029】
(7)また、本発明は、(6)記載の通信方法において、前記第1端末及び第2端末が、前記基地局に対してTCPによる通信を要求するTCP接続要求を、前記基地局に送信するステップと、前記基地局が、前記TCP接続要求を受信した場合、前記TCP接続要求に基づき、前記TCP接続要求を送信した前記第1端末または前記第2端末が利用するVPN通信の情報を前記中継テーブルに記述するステップと、を含み、前記VPNアドレス生成送信ステップにおいて、前記基地局は、前記VPN接続要求を受信した場合、前記生成した第2端末VPNアドレスを、前記第2端末が利用するVPN通信の情報と対応させて前記中継テーブルに記述し、前記中継ステップにおいて、前記基地局は、前記第2端末用VPNアドレスが対応するVPN通信の情報を含む前記中継テーブルの内容に基づいて、前記第1端末から前記第2端末へのVPN通信を、前記第2端末が利用するVPN通信に中継することを特徴とする通信方法である。
【0030】
(8)また、本発明は、(1)から(3)のいずれか1項に記載の通信システムに用いられる第1端末としてコンピュータを動作させるコンピュータプログラムにおいて、通信相手である前記第2端末へのVPN接続要求を前記基地局に送信する手順と、前記ゲートウェイ基地局から、前記第1端末用の第1端末VPNアドレスと、前記第2端末用の第2端末VPNアドレスと、を受信する手順と、受信した前記第1端末VPNアドレスと前記第2端末VPNアドレスとを含むデータパケットを用いて、前記第2端末との間でVPN通信を実行する手順と、を、前記コンピュータに実行させることを特徴とするコンピュータプログラムである。
【0031】
(9)また、本発明は、(1)から(3)のいずれか1項に記載の通信システムに用いられる前記基地局としてコンピュータを動作させるコンピュータプログラムにおいて、前記VPN接続要求を受信した場合、前記VPN接続要求を通信相手である前記第2端末に送信する手順と、前記VPN接続要求を受信した場合、前記第1端末とその通信相手である前記第2端末に対して、前記第1端末用の第1端末VPNアドレスと前記第2端末用の第2端末VPNアドレスとをそれぞれ生成し、前記第1端末に対して前記第1端末VPNアドレスを送信して付与し、前記第2端末に対して前記第2端末VPNアドレスを送信して付与するVPNアドレス生成送信手順と、前記第1端末VPNアドレスが付与された前記第1端末が利用する第1のVPN通信の情報と、前記第2端末VPNアドレスが付与された前記第2端末が利用する第2のVPN通信の情報と、が記述され、前記第1のVPN通信と前記第2のVPN通信とを中継するための中継テーブルを参照して、前記第1端末が前記第2端末に送信する前記データパケットを、そのまま、その通信相手である前記第2端末に中継する中継手順と、を、前記コンピュータに実行させることを特徴とするコンピュータプログラムである。
【発明の効果】
【0032】
このように、本発明によれば、サーバ等を介さずに通信を行うことができる通信システムを実現することができる。
【図面の簡単な説明】
【0033】
図1】本実施形態に係る通信システムの原理を示す説明図である。
図2】本実施形態に係る通信システムのフレームワークの機能の構成を示す説明図である。
図3】本実施形態の通信システムの端末同士の通信を行う場合の動作を説明するタイムチャートである。
図4】本実施形態において、ゲートウェイ基地局が多段になった場合の中継が行われている様子を示す説明図である。
図5】リモートアクセスを用いた従来の通信システムの概念を示す説明図である。
図6】リモートアクセスを用いたセキュアな端末間通信を実現する従来の通信システムの構成を示す説明図である。
図7】リモートアクセスを用いた従来の通信システムの動作を示す説明図である。
図8】LAN間接続を実現する従来の通信システムの構成を示す説明図である。
【発明を実施するための形態】
【0034】
以下、本発明の好適な実施形態に係る通信システム10を、図面に基づき説明する。
【0035】
A.実施形態1
第1.構成の概要
図1は、本実施形態1の端末間通信を実現するための原理を示す説明図である。
【0036】
従来の技術の欄で説明した図5図6と同様に、端末1は、インターネット3を介して、所定のサイト5に接続している。端末1は、基地局7に接続することによってサイト5に接続する。この接続に際しては、図5等と同様に、通信の安全のため、暗号化が行われている。また、同様に、端末認証が実行され、認証が成功した端末1のみが接続できることは図5等と同様である。
【0037】
本実施形態1においては、端末1がインターネット3を介して接続する例を示すが、他の通信手法を用いて接続されていてもよい。
サイト5は、図5図6等と同様に、local IP環境であり、安全なセキュリティーゾーンである。また、同様に、このセキュリティーゾーンはLAN/INTRANETで構成されている。この基地局7は、RASを兼ねていてもよい。以下、基地局7は、RAS機能を備えているものとして説明を行う。サイト5中にはサイト内の端末9が位置している。図1に示すように、端末1は、この端末9と、基地局7を介して接続することができる。なお、本実施形態1においては、サイト5はlocal IP環境の例を示すが、他のネットワーク、他の環境で構成されていてもよい。
【0038】
また、図1では、端末1は、独立した端末として描かれているが、この端末1自体が、サイト5等の所定のLocal IP環境内の端末1でもよい。その場合は、端末1は、端末9と同様に、所定の基地局を介してインターネット3に接続し、インターネット3を介して基地局7に接続する。同様に、端末9も、サイト5内の端末9として描かれているが、端末1と同様に、所定のサイトに属さない独立した端末9であってもよい。
図1においては、基地局7が、2個の端末1、端末9から送信されるTCPセッションを相互接続している。本実施形態において特徴的なことは、基地局7がTCPセッションの暗号を、基地局7内では復号せず、暗号文のまま転送していることである。
【0039】
このように、本実施形態1において特徴的なことの一つは、相互接続に際して基地局7内で暗号化されたデータ(パケット)を復号化をしないで(平文に変換しないで)相互にデータを送受信していることである。この結果、平文に変換していないので、データを第三者によって読み取られる恐れをより少なくすることができる。したがって、本実施形態1によれば、従来の様々な相互接続技術に比べて、端末間通信のセキュリティーをより的確に確保することができ、安全性をより向上させることができる。
なお、本実施形態1(2)におけるデータ(パケット)は、請求の範囲の「データパケット」の好適な一例である。請求の範囲の「データパケット」は、通信の単位をなすデータの集合であればよく、いわゆる、データやパケットだけでなく、「フレーム」、「データグラム」、「メッセージ」等と呼ばれるデータの集合体も含まれる。
【0040】
図1に示すように、本実施形態1においては、従来技術の図5等と同様に、端末1向けに暗号化/端末認証技術4aを適用しているが、これに加えて、端末9向けにも端末間認証技術4bをサポートしている。
【0041】
この結果、本実施形態1においては、端末間認証技術4bと、基地局7が提供するTCPセッションスイッチング技術を組み合わせることによって、End−End(端末−端末)でのセキュア通信環境を構築できる。なお、本実施形態1において、サイト5はLocal IP環境であり、例えばLAN/Intranetによってセキュリティーゾーンが形成されている。
また、例えば、サイト5のこのセキュリティーゾーン内において、端末9が移動してそのIPのアドレスが変化しても、通信環境を維持することが可能である。この動作の詳細は後述する。
【0042】
第2.フレームワークの詳細
図2には、本実施形態1の通信システム10の機能のフレームワークを示す説明図が示されている。図2に示すように、この通信システム10においては、第1端末12aと、第2端末12bとが、ともにゲートウェイ基地局18に接続している。図1で説明したように、接続の形態としては、インターネットによる接続やLANによる接続を用いることができるが、他の種々の通信手段で接続されていてもよい。
なお、第1端末12aと第2端末12bとは、請求の範囲の端末装置の好適な一例に相当する。
【0043】
第1端末12a、及び第2端末12bとは、例えば携帯情報端末であり、携帯電話や、スマートフォン、タブレット端末、ノートパソコン等である。ゲートウェイ基地局18は、各端末を収容し、各端末からネットワーク(不図示)への接続を行う基地局である。この基地局は、例えば、携帯電話網の基地局であってもよいし、また、インターネットへ接続するためのWi−Fiアクセス基地局であってもよい。第1端末12aや第2端末12b等の端末が接続できればどのような基地局でもよいし、その接続形態も問わない。
【0044】
図2では省略されているが、ゲートウェイ基地局18には、接続する(上位の)ネットワークとして、インターネット、地域IP網を接続することができる。また、携帯電話網等が接続するネットワークとして利用してもよい。
なお、ゲートウェイ基地局18は、請求の範囲の基地局の好適な一例に相当する。
【0045】
本実施形態1において特徴的な事項は、上記目的のために、端末認証VPN用のフレームワーク24を実現していることである。このフレームワーク24によって、第1端末12aと第2端末12bとは、サーバを介さずに通信を行うことが可能である。すなわち、サーバに、データやメッセージを蓄積することなく、データやメッセージを送受信することが可能になる。
【0046】
これに対して、従来の通信システムにおいては、ゲートウェイ基地局18の上位に所定のサーバが配置されており、このサーバを介してデータの送受信が行われている。第1端末12a等は、従来は、このサーバにアクセスし、所定のデータを格納し、他のサーバ(例えば第2端末12b)がサーバにアクセスして、その所定のデータを取得するという流れが一般的な従来のデータの送受信の流れである。
本実施形態1は、サーバを用いずにゲートウェイ基地局18が例えばTCP(VPN)をそのまま通信相手の端末に転送することによって、サーバを利用しない(サーバにデータを蓄積しない)データ通信システムを実現しようとするものである。VPN同士を連結させることによって、端末同士は、同一ドメインにいるかのように通信を行うことが可能である。
【0047】
(2−1)端末(第1端末12a、第2端末12b)の機能構成
図2に示すように、第1端末12aは、さまざまなアプリケーション14aと、端末認証VPN用のフレームワーク24を実現するための端末側フレームワーク16aと、を備えている。
【0048】
ここで、アプリケーション14aとは、アプリケーションプログラムを意味し、第1端末12a中のプロセッサ(例えば、CPU)が当該アプリケーションプログラムを実行することによって、ユーザに種々のサービスを提供する。
【0049】
また、図2中の端末側フレームワーク16aとは、上述した端末認証VPN用のフレームワーク24を実現するための端末側のフレームワークであり、端末側フレームワークプログラムを、第1端末12aのプロセッサ(CPU等)が実行することによって実現される。すなわち、第1端末12aのプロセッサが、所定の記憶手段に格納されている当該端末側フレームワークプログラムを実行することによって、図3等で説明する端末認証VPN用のフレームワーク24の一部を構成する端末側フレームワーク16aを提供している。
したがって、後述する図3等における第1端末12a、第2端末12bの動作は、この端末側フレームワークプログラムを、各端末プロセッサ(CPU等)が実行することによって、実現される。
【0050】
第1端末12aは、ゲートウェイ基地局18と接続する通信手段(ハードウェア)を備えており、上記端末側フレームワークプログラムによって、ゲートウェイ基地局18との間で通信を行うことができる。例えば、後述する図3図4において、所定の要求や応答等を送信する処理及びそれらを受信する処理は、端末のプロセッサが、上記端末側フレームワークプログラムを実行し、当該通信手段を制御することによって実現される。
【0051】
第2端末12bも、第1端末12aと同様の構成であり、第1端末12aと同様に、アプリケーション14bと、端末側フレームワーク16bと、を含んでいる。そして、端末側フレームワーク16bは、第1端末12aの端末側フレームワークプログラムと同様のプログラムを、第2端末12b中のプロセッサ(CPU等)が実行することによって提供している。
【0052】
言い換えれば、第2端末12bのプロセッサが端末側フレームワークプログラムを実行することによって、図3等における第2端末12bの動作を実現している。また、第2端末12bも、第1端末12aと同様にゲートウェイ基地局18と接続する通信手段(ハードウェア)を備えている。第2端末12bのプロセッサが上記端末側フレームワークプログラムを実行することによって、図3図4等の要求や応答を送信する処理や受信する処理が実現されている。
なお、端末側フレームワークプログラムは、請求の範囲のコンピュータプログラムの好適な一例に相当する。
【0053】
(2−2)ゲートウェイ基地局の機能構成
図2に示すように、ゲートウェイ基地局18は、セキュリティー設定管理機能20と、認証及びVPN機能22とを備えている。
セキュリティー設定管理機能20は、ゲートウェイ基地局18が通信に対して行うセキュリティーの設定や管理を行う機能であり、ゲートウェイ基地局18中のプロセッサ(CPU等)が所定のプログラムを実行することによって実現される機能である。
【0054】
また、ゲートウェイ基地局18は、その基本的機能として、第1端末12aや第2端末12bをインターネット等のネットワークに接続するゲートウェイとしての機能を備えている。また、ゲートウェイ基地局18は、第1端末12aや第2端末12bと接続するための通信手段を備えている。
【0055】
さらに、ゲートウェイ基地局18が備える認証及びVPN機能22は、上述した端末認証VPN用のフレームワーク24を実現するための機能であり、ゲートウェイ基地局18は中のプロセッサが所定の認証及びVPNプログラムを実行することによって実現している。当該認証及びVPNプログラムは、ゲートウェイ基地局18内の所定の記憶手段に格納されており、ゲートウェイ基地局18のプロセッサ(CPU等)がこの認証及びVPNプログラムを実行することによって、認証及びVPN機能22を実現し、図3等で説明する端末認証VPN用のフレームワーク24の一部を構成することができる。
【0056】
ゲートウェイ基地局18の認証及びVPN機能22は、第1端末12a、第2端末12bに対して認証を行い、また、VPN回線を第1端末12a及び第2端末12b間で構築し、これらの端末間でのVPN通信を中継する機能を実現する。すなわち、後述する図3図4等におけるゲートウェイ基地局18の各種動作、要求や処理・応答の中継、中継テーブルの構築や中継テーブルの内容の記述動作は、ゲートウェイ基地局18のプロセッサ(CPU等)が当該認証及びVPNプログラムを実行することによって、実現される。同様に、VPNアドレスの生成やその提供動作(送信動作)も、同プロセッサ(CPU等)が認証及びVPNプログラムを実行することによって実現される。中継動作等の送受信の処理も、認証及びVPNプログラムがゲートウェイ基地局18がゆうする通信手段を制御して実行される。
【0057】
また、端末認証VPNフレームワーク24は、第1端末12a及び第2端末12b側から見れば、上述したアプリケーション14a、14b等に依存せずに、ゲートウェイ基地局18と認証を実行し、VPN回線を構築する機能である。さらに、端末認証VPNフレームワーク24は、相手の端末(第1端末12a、第2端末12b)と認証を行うためのネットワーク機能を含む機能である。
なお、認証及びVPNプログラムは、請求の範囲のコンピュータプログラムの好適な一例に相当する。
【0058】
端末認証VPN用のフレームワーク24の特徴
なお、本実施形態1において、第1端末12aとゲートウェイ基地局18との間の通信経路は、どのようなものでもよい。インターネットや、所定のLAN接続、Wi−fi接続等のネットワークであってもよいし、携帯電話等の通信回線でもよい。本実施形態1において提案する端末認証VPN用のフレームワーク24は、物理的なネットワークの種類には依存しない。また、本実施形態1において提案する端末認証VPN用のフレームワーク24は、アプリケーション14a、14bの種類にも依存しない。VPNを利用するアプリケーションであれば、本実施形態1における端末認証VPN用のフレームワーク24を利用することができる。なお、このような端末認証VPN用のフレームワーク24の特徴は、後述する実施形態2でも同様である。
【0059】
第3.本実施形態におけるフレームワークにおけるVPNの連携動作(中継動作)の詳細
図3は、図2で説明した構成の第1端末12a、第2端末12bと、ゲートウェイ基地局18との間の通信の様子を示すタイムチャート図である。この図に基づき、具体的な通信の動作を説明する。
【0060】
以下(3−1)〜(3−4)で説明する第1端末12a及び第2端末12bの送信・受信、処理は、上述した第1端末12aや第2端末12bのプロセッサが、端末側フレームワークプログラムを実行することによって実現されている。特に、パケットやメッセージの送受信は、端末側フレームワークプログラムが、その実行によって第1端末12aや第2端末12bが備える通信手段を制御することによって実現している。
同様に、(3−1)〜(3−4)でゲートウェイ基地局18が実行する送信・受信、処理は、上述したゲートウェイ基地局18のプロセッサが、認証及びVPNプログラムを実行することによって実現されている。特に、パケットやメッセージの送受信は、認証及びVPNプログラムが、その実行によってゲートウェイ基地局18が備える通信手段を制御することによって実現している。
【0061】
(3−1)端末認証シーケンス(端末とゲートウェイ基地局との間の処理)
端末側(第1端末12a、第2端末12b)からの認証要求アクセスをゲートウェイ基地局18側が受信した後、ゲートウェイ基地局18は、サンプルコード(接続時刻、CPU−ID、等を組み合わせて構成した値)を生成し、端末側の公開鍵で暗号化したサンプルコードを端末側に送信する。
【0062】
端末側は、サンプルコードをその端末の秘密鍵で復号し、原サンプルコードを得、得たサンプルコードをハッシュ化する。端末側は、このハッシュ化したデータを、ゲートウェイ基地局18に送信する。ゲートウェイ基地局18は、ゲートウェイ基地局18が自らハッシュ化したサンプルコードのデータ、端末側が送信してきたハッシュ化データとを比較し、同一であれば、その端末に対する認証を成功と認定する。
以下、図3に基づき、端末認証シーケンスの詳細な処理の流れを説明する。
【0063】
(3−1a).第1端末側の認証シーケンス
まず、第1端末12a上で、第2端末12bとの間の通信を要求するような所定のアプリケーション14aが稼働している。このアプリケーション14aは、第1端末12aに対してアプリ接続指令30を出力する。すると、第1端末12aは、端末認証要求32を、インターネット3等のネットワークを介して、ゲートウェイ基地局18に対して送信する。なお、第1端末12aは、端末IDを所有しており、この端末IDを含む端末認証要求32を送信する。
【0064】
ゲートウェイ基地局18はこの端末認証要求32を受信すると、端末認証処理34を実行し、所定のメッセージやデータの送受信を第1端末12aとの間で実行する。ゲートウェイ基地局18は、この端末認証処理34を実行し、その結果に基づき、VPN用TCP情報生成処理36を実行する。
【0065】
VPN用TCP情報生成処理36が完了した後、ゲートウェイ基地局18は、端末認証応答38を、第1端末12aに送信する。この端末認証応答38には、VPN用TCP情報生成処理36で生成した各種の情報(VPN用TCP情報)が含まれている。
第1端末12aは、端末認証応答28を受信すると、その中に含まれるVPN用TCP情報40を取得する。
一方、ゲートウェイ基地局18は、第1端末12aからの端末認証要求32に基づき、第1端末12aが通信したい相手である第2端末12bに対して、端末認証要求42を送信する。この送信はインターネット3を通じて行う場合もあるし、また、所定のサイト5内のLAN/Intranetであってもよい。
【0066】
(3−1b).第2端末側の認証シーケンス
次に、第2端末12b上では、例えば第1端末12aとの間の通信を要求するような所定のアプリケーション14bが稼働しており、第1端末12aと同様に、アプリ接続指令を出力する。すると、第2端末12bは、端末認証要求42を、有線LAN、無線LAN等のネットワークを介して、ゲートウェイ基地局18に対して送信する。第2端末12bも、端末IDを所有しており、この端末IDを含む端末認証要求42を送信する。
【0067】
ゲートウェイ基地局18はこの端末認証要求42を受信すると、端末認証処理44を実行し、所定のメッセージやデータの送受信を第2端末12aとの間で実行する。ゲートウェイ基地局18は、この端末認証処理44を実行し、その結果に基づき、VPN用TCP情報生成処理46を実行する。
VPN用TCP情報生成処理46が完了した後、ゲートウェイ基地局18は、端末認証応答48を、第2端末12bに送信する。この端末認証応答48には、VPN用TCP情報生成処理46で生成した各種の情報(VPN用TCP情報)が含まれている。
【0068】
第2端末12bは、端末認証応答48を受信すると、その中に含まれるVPN用TCP情報50を取得する。
【0069】
以上のような処理の結果、第1端末12a、第2端末12bともに認証が完了し、VPN用のTCP情報を取得することができる。
なお、第1端末12a、第2端末12bともに、それぞれ端末IDを所有しているが、この端末IDは、ゲートウェイ基地局18が識別できるIDであればよい。例えば、電話番号でもよいし、SIP(Session Initiation Protocol)を利用する場合は、SIPのURI(Uniform Resource Identifier)を用いてもよい。端末を一意に特定できるユニークなものであれば、どのようなものでも利用可能である。言い換えれば、ゲートウェイ基地局18が各端末を識別できればどのような情報でもよい。
【0070】
(3−2)端末間認証シーケンス(第1端末12aと、第2端末12bとの間における処理)
発信元端末(例えば第1端末12a)からの認証要求アクセスを、宛先端末(例えば第2端末12b)が受信した後、宛先端末は、サンプルコード(接続時刻、CPU−ID等を組み合わせて生成した値)を生成し、発信元端末の公開鍵で暗号化した暗号化サンプルコードを発信元端末に対して送信する。
【0071】
発信元端末は、送信されてきた暗号化サンプルコードを、発信元端末の秘密鍵で復号し、原サンプルデータを得る。発信元端末は、原サンプルデータをハッシュ化したデータを
宛先端末に送信する。宛先端末は、自らハッシュ化したサンプルコードのデータと、発信元端末から送信されてきたハッシュ化したデータとを比較し、同一であれば、発信元端末に対する認証が成功したと認定する。
【0072】
以下、図3に基づき端末間認証シーケンスの具体的な処理の流れについて説明する。このシーケンスは、図3における端末間認証要求52から、端末間認証応答66、64までの一連の処理である。
まず、第1端末12aは、第2端末12bとの間で、通信相手としての認証を実行する。このために、第1端末12aは、認証端末間認証要求52を、ゲートウェイ基地局18を経由して第2端末12bに対して送信する。
【0073】
ゲートウェイ基地局18は、受信した端末間認証要求52を、第2端末12bに送信する。便宜上この送信する端末間認証要求を端末間認証要求54と称する。
次に、第2端末12bは、送信されてきた端末間認証要求54を受信する。第2端末12bは、受信した端末間認証要求54に基づき、端末間認証処理58を実行する。
【0074】
なお、第2端末12b側の、この端末間認証処理58と同様に、第1端末12aも端末間認証処理56を実行する。
これら端末間認証処理56、58は、上述したように、第2端末12bがサンプルコードを生成し、第1端末12aの公開鍵で暗号化したものを第1端末12aに送信する処理や、第1端末12aが自己の秘密鍵を用いて暗号化したサンプルコードを復号し、原サンプルデータを得る処理を含む。
【0075】
また、端末間認証処理56、58は、第1端末12aが得た原サンプルデータをハッシュ化して第2端末12bに送信する処理と、第2端末12bが、受信したデータと、自己が自ら原サンプルデータをハッシュ化したデータと、を比較する処理を含む。さらに、端末間認証処理56、58は、第2端末12bが、受信したハッシュ化データと、第2端末が自らハッシュ化したデータとを比較し、両者が同一であれば相手方を正当な端末と認定し認証が成功したと認定する。このような処理をお互いに実行し、互いに相手が正当な端末であると認証した場合、その認証に関する情報である認証情報を互いに取得する。
【0076】
第1端末12aは、端末間認証処理56の結果、認証情報60を取得し、第2端末1bjは、端末間認証処理58の結果、認証情報62を取得する。認証情報60、62中には、VPN接続を行う際に用いられる認証コードが含まれている。
また、第2端末12bは、端末間認証要求54に対する応答として、端末間認証応答66を実行する。ゲートウェイ基地局18は、この端末間認証応答66を中継して、第1端末12aに送信する。便宜上、この送信するパケットを、端末間認証応答64と称するが、実質的に端末間認証応答66と同様のものである。
【0077】
(3−3)TCP接続確立シーケンス(端末12a、12bとゲートウェイ基地局18との間の処理)
次に、ゲートウェイ基地局18は、認証を完了した端末側(第1端末12a、第2端末1b)からTCP接続要求アクセス(68、70)が送信されることを待ち受けている。ゲートウェイ基地局18は、TCP接続要求アクセスを受信した後に、端末間(第1端末12aと第2端末12bとの間)のTCPを連結してプロキシ転送するための情報を、ゲートウェイ基地局18内の中継テーブル上に記述する。具体的には、要求にかかる新たなエントリーを中継テーブル中に追加していく。
【0078】
第1端末12a(第2端末12b)は、TCPによる通信を行うために、自己が実行したいTCP通信の情報を含むメッセージ(パケット)をゲートウェイ基地局18に対して送信する。このメッセージの送信をTCP接続要求アクセス68(70)と呼ぶ。
なお、この中継テーブルは、各TCP接続要求アクセスを受信する度に、TCP接続毎に新たに構築するように構成してもよい。
【0079】
この中継テーブルは、ゲートウェイ基地局18が、端末間(第1端末12aと第2端末12bとの間)のTCPを連結(TCPの中継、TCPの転送)をする際に参照するテーブルである。このTCP接続確立シーケンスにおいては、中継テーブルに、中継の対象となるTCPに関する情報を追加(登録)していく。つまりテーブル中のエントリーを追加していく。この中継テーブルは、端末間(第1端末12aと、第2端末12bとの間)のTCPを連結してプロキシ転送を実現するためのテーブルである。
【0080】
後述する(4)のVPN接続シーケンスで説明するように、VPN用アドレスが決定された際に、当該VPN用アドレスと共に、どのTCP(VPNとして利用するTCP)とどのTCPが中継されるかに関する情報が、当該VPN用アドレスとともに中継テーブル中に記述される。
【0081】
この中継テーブルは、ゲートウェイ基地局18内の所定の記憶手段に格納しておくことができる。例えば、種々の半導体記憶手段を利用することが好適であり、また、ハードディスクや、各種の光学ディスクでもよい。
なお、ゲートウェイ基地局18は、この中継テーブルを構築後は、経過時間、あるいは接続維持レスポンスの応答変化等によってTCP連結の終了を判断することができる。たとえば、所定時間データの送受信がないTCPについては、当該中継テーブル(のエントリー)を削除することで端末間TCP接続を遮断・終了させることが可能である。
なお、中継テーブルはTCP毎に作成してもよいが、この場合は、経過時間等によってTCP連結の終了が判断された場合は、そのTCPに対応するテーブル毎に削除される。
【0082】
本実施形態では、主として中継テーブルが複数のTCPに関する情報を含む場合を説明するが、この場合は、経過時間、あるいは接続維持レスポンスの応答変化等によって、テーブル内のTCP連結が終了したと判断されるときは、当該中継テーブル中のそのTCPに該当するエントリのみを削除することが好適である。
TCP接続確立シーケンスの具体的な処理を、図3に基づいて説明する。このシーケンスは、図3におけるTCP接続要求アクセス68から、VPN用TCP中継接続完了72までの処理に相当する。
【0083】
第1端末12aは、上述した端末間認証応答64を、第2端末12bから受信した後、
TCP接続要求アクセス68を送信することができる。第1端末は、このTCP接続要求アクセス68を、上述したVPN用TCP情報40を利用して送信する。
ゲートウェイ基地局18は、当該TCP接続要求アクセス68を受信すると、VPN用TCP情報40を用いてVPN用TCP中継接続のために中継テーブル中に当該エントリーを作成し、VPN用TCP情報40を用いてTCPに関する情報を記述する。
【0084】
このVPN用TCP情報40は、上述したように、第1端末12aに対してVPN用TCP情報生成処理36を実行することによって生成したTCP情報である。
このような中継テーブルを作成することによって、ゲートウェイ基地局18は、第1端末12aに向かうTCPを第1端末12aのTCPに中継することができる。
【0085】
他方、第2端末12bも同様に、上述した端末間認証応答66を送信した後(または同時でもよい)、TCP接続要求アクセス70を送信することができる。第2端末12bは、このTCP接続要求アクセス70を、上述したVPN用TCP情報50を利用して送信する。
同様に、ゲートウェイ基地局18は、TCP接続要求アクセス70を受信すると、VPN用TCP情報50を用いて、VPN用TCP中継接続のための中継テーブル中にエントリーを作成し、VPN用TCP情報50を当該エントリーに記述する。VPN用TCP情報50は、上述したように、ゲートウェイ基地局18が、第2端末12bに対してVPN用TCP情報生成処理46を実行することによって生成した情報である。
【0086】
このようにして、中継テーブルを構築することによって、ゲートウェイ基地局18は、第2端末12bに向かうTCPを第2端末12aに中継することができる。この状態が、図3において、VPN用TCP中継接続完了72として表されている。
以上のようなTCP接続確立シーケンス処理の結果、第1端末12aと第2端末12bとの間で、TCP接続することができ、途中で暗号化データを復号して平文にする等の処理を経ずに、直接1本のTCP(VPN)で接続することができる。ゲートウェイ基地局18は、中継を行うのみであり、データを内部に蓄積することがなく、また、暗号化データの復号を行うこともない。
【0087】
このように、本実施形態1では、TCPを接続すること(VPNを連結させること)を行った結果、暗号化データを復号することなく、また、サーバ等の内部にデータが蓄積しないので、情報の安全性をより向上させた通信を実現することが可能である。この「TCP接続確立シーケンス」で作成したゲートウェイ基地局18中の中継テーブルを利用して、VPNを接続した通信を行う処理を次に説明する。
【0088】
(3−4)VPN接続シーケンス(第1端末12aと第2端末12bとの間の処理)
次に、TCP(VPN)中継のための中継テーブルが作成された後は、端末同士でTCP接続が可能となる。そのため、かかるTCPを利用したVPNの連携が可能となる。本VPN接続シーケンスにおいて、VPN用アドレスの生成等を行えば、第1端末12aと、第2端末12bとの間でVPNの連携を行うことが可能となる。
【0089】
まず、上述した端末間認証シーケンスにおいて、認証が成功した場合は、VPNセッションを開設するための認証コード(認証情報62に含まれる)を宛先端末(第2端末12b)側が生成する。この認証コードを、上述した端末間認証シーケンスと同様に、暗号・復号・ハッシュ化を実行して認証を行う。
具体的には、下記のような流れとなる。
【0090】
・第2端末12bが、第1端末12aの公開鍵で認証コード(認証情報62に含まれる)を暗号化して第1端末12aに送信する。
・第1端末12aが、上記暗号化したデータを自己の秘密鍵で復号してハッシュ化して、第2端末12bに送信する。
・第2端末12bは、送信されてきたハッシュ化データと、自己がハッシュ化した認証コードとを比較して、同一であれば認証が成功したと判断する。
【0091】
また、本VPN接続シーケンスにおいて、VPNに使用する共通鍵や、端末IDとの関連付けなどの緒元交換を行い、また、VPN用IPアドレスを生成する。ゲートウェイ基地局18のプロセッサ(CPU等)が、既に説明した認証及びVPNプログラムを実行することによって、この生成処理を行う。すなわち、当該プログラムと、プロセッサは、請求の範囲のVPNアドレス生成送信手段の好適な一例に相当する。このようにして生成したVPN用IPアドレスを互いに交換し合うために、相手側の端末に送付する。VPN用IPアドレスは、上記中継テーブル中に記述することができる。以降は、このVPN用IPアドレスを用いて通信を行うことができる。これによって、ゲートウェイ基地局18は、VPN用IPアドレスから中継テーブルに基づき、連携しているVPN(TCP)を知ることができ、宛先のVPN用アドレスを見いだすことができる。このようにして第1端末12a、第2端末12bとの間で、サーバレスな(サーバに蓄積されない)VPNを構築することができる。
【0092】
以下、VPN接続シーケンスの具体的な処理の流れを図3に基づき説明する。
まず、第1端末12aは、VPN接続要求74を送信する。
ゲートウェイ基地局18は、このVPN接続要求74を、第2端末12bに対して転送する。同内容の要求であるが、便宜上図3においては、これをVPN接続要求76と呼ぶ。第2端末12bは、このVPN接続要求76を受信すると、上述したように、認証コード(認証情報62に含まれる)を用いて認証を行う。そして、認証した後、第2端末12bは、VPNに関する諸元の交換を行う処理であるVPN諸元交換処理80を実行する。
【0093】
これに合わせて、第1端末12aも、認証コード(認証情報60に含まれる)を用いて認証を行った後、VPNに関する諸元の交換を行うVPN諸元交換処理78を実行する。この諸元の交換処理においては、上述したように、VPNに使用する共通鍵や、端末IDとの関連付けなどの緒元の交換が行われる。
【0094】
また、ここで諸元交換の処理(78、80)において、諸元に基づき、ゲートウェイ基地局18は、それぞれの端末にVPN用IPアドレスを生成する。ゲートウェイ基地局18は、生成したVPN用IPアドレスを、VPN諸元交換78、80の処理において、第1端末12a、第2端末12bに提供(送信)する。また、ゲートウェイ基地局18は生成したVPN用IPアドレスを、上述した中継テーブルに対応するVPNとともに記述しておくことができる。ゲートウェイ基地局18のプロセッサ(CPU等)は、既に説明した認証及びVPNプログラムを実行することによって、この生成処理を行う。すなわち、認証及びVPNプログラムと、それを実行するCPUと、第1端末12a第2端末12bとの通信インターフェース(通信手段)とは、請求の範囲のVPNアドレス生成送信手段の好適な一例に相当する。
このVPN用IPアドレスは、図3においては、第1端末VPNアドレス94、第2端末VPNアドレス86、92として示されている。また、本実施形態1においては、第1端末12a及び第2端末12bは、このIPアドレス(第1端末VPNアドレス94、第2端末VPNアドレス92)を用いて通信を行うことができる。
【0095】
上述したように、端末IDは、第1端末12a及び第2端末12bに対してユニークなIDであり、ゲートウェイ基地局18は、この端末IDを用いて各端末を認識する。ゲートウェイ基地局18は、VPN接続要求がある度に、各端末に対してVPNアドレス(IPアドレス)を付与し、各端末は、この上記VPNアドレスを用いてVPN通信を行うことができる。
例えば、第2端末12aは、諸元交換を行った後、VPNを構築が可能である場合は、VPN通信を開始するために、第1端末12aにVPN接続応答84を送信する。特に、第2端末12bは、第2端末VPNアドレスを含むVPN接続応答84をゲートウェイ基地局18に送信する。これによって、第2端末12bは、VPN接続の応答を返すと同時に、ゲートウェア基地局18を介して、第2端末VPNアドレス86を、第1端末12aに送信することができる。
【0096】
ゲートウェイ基地局18は、受信したこのVPN接続応答84を第1端末12aに転送する。便宜上、転送したVPN接続応答をVPN接続応答82と呼ぶ。
第1端末12aは、VPN接続応答82を受信し、種々の諸元、パラメータ、データを受信する。特に、第1端末12aは、第2端末VPNアドレス86を取得し、以降、この第2端末VPNアドレス86を利用して、第2端末12bに対して、VPNを用いた通信を実行することができる。
【0097】
このVPNを用いた通信は、いわゆるサーバレスな通信であり、途中、サーバ等に蓄積されることなく、端末間で通信を行うことが可能である。ゲートウェイ基地局18は、中継テーブルに基づき、第1端末VPNアドレス94が対応するVPNと、第2端末VPNアドレス86が対応するVPNと、が連携していることを知ることができるので、これらのアドレスに基づき、暗号化パケット90をVPN間で転送(中継)することができる。ゲートウェイ基地局18はのプロセッサ(CPU等)は、認証及びVPNプログラムを実行することによって、上記中継ケーブルを用いて、このようなVPNの中継を行うことができる。したがって、ゲートウェイ基地局18はのプロセッサ(CPU等)と、認証及びVPNプログラムと、第1端末12a第2端末12bとの間の通信インターフェース(通信手段)は、請求の範囲の中継手段の好適な一例に相当する。
【0098】
このVPN通信において用いられる暗号化パケット90の模式的な様子が、図3下部に記載されている。図3で示す暗号化パケット90は、アプリケーションプログラムによって送信・受信されるパケットであり、ソースアドレス(source address)として、第2端末VPNアドレス92(第2VPNアドレス86と同一)を含んでいる。また、ディスティネーションアドレス(distination address)として、第1端末VPNアドレス94も含まれている。
この暗号化パケット90には、アプリケーションで用いるデータ(以下、単にアプリデータ98と称する)が含まれており、第1端末12aと第2端末12bとの間でアプリケーションによるデータの送受信を行うことが可能である。また、このアプリデータの送受信を行うためのプロトコルとしては、例えばTCPやUDP(User Datagram Protocol)等を用いることができる。本実施形態1では、TCP及びUDPを用いることができる例を説明する。本実施形態1においては、これらTCPやUDPが、アプリデータ用TCP/UDP95として、暗号化パケット90中に含まれている。
【0099】
以上述べたような処理によって、第1端末12aと、第2端末12bとは、VPNを構築するための第1端末VPNアドレス94と第2端末VPNアドレス92とを生成することができるので、サーバレスで、互いに通信を行うことができる。この結果、それぞれの端末(第1端末12a、第2端末12b)において、例えばTCP/IP100を用いて、アプリケーションプログラムがデータを送受信することができる。この結果、各アプリケーションプログラムは、(データを蓄積しない)Proxy102を介してデータの送受信を行っているように動作することが可能である。
【0100】
第4.従来技術との対比
これまで述べたように、従来技術では、TCPセッションを利用してモバイル端末間でVPNを構築する場合は、一般的にVPNをいわゆる中継サーバと呼ばれる「サーバ」で管理している。この中継サーバにおいては、データ(パケット)を転送する際に暗号化されたパケットを一旦復号する。したがって、その時点でセキュリティーの脆弱性が発生する。
【0101】
本実施形態1においては、このような「サーバ」を用いずに、ゲートウェイ基地局18が多段中継されてもパケットが一度も復号されることはないため、従来の中継サーバにおける、パケットが一旦復号化されることよる脆弱性は原理的には発生しない。本実施形態における特徴的な事項は、このように復号化されることなく、端末間でパケットが送受信されることである。
さらに、本実施形態1において特徴的な事項は、端末12a、12bを接続したゲートウェイ基地局18と、端末12a、12bとの間で、相互認証を実行し、TCPセッション上のVPNを構築している点である。この結果、複数のゲートウェイ基地局18を経由する場合(多段中継される場合)であっても、パケットを復号する必要がなくなる。次に、この多段中継される場合の動作について説明する。
【0102】
B.実施形態2
第1.概要
上記実施形態1においては、ゲートウェイ基地局が1個であり、データの送受信を行う第1端末12aと、第2端末1bとは、ともに同一のゲートウェイ基地局に接続する例を説明した(図1図2参照)。
しかし、本発明は、データの送受信を行う第1端末12aと、第2端末12とbとが、離隔している場合、複数のゲートウェイ基地局を介して、第1端末12aと第2端末12bとがVPN接続するように構成することも好適である。
図5は、第1端末12aと第2端末12bとが、2台のゲートウェイ基地局を介して接続する例を示す説明図である。図5に示すように、第1端末12a、第2端末12bの構成・動作は、上記実施形態1と同様である。
【0103】
第2.処理・動作
(2−1)端末認証シーケンス
まず、第1端末12aは、第1ゲートウェイ基地局18aとの間で、端末認証200aを実行する。この端末認証200aの処理は、上記実施形態1において(1)端末認証シーケンスとして説明した動作と同様の処理である。
同様に、第2端末12bも、第2ゲートウェイ基地局18bとの間で、端末認証200bを実行する。この端末認証200bの処理も、上記実施形態1において説明した(1)端末認証シーケンスと同様である。
【0104】
本実施形態2において特徴的なことは、ゲートウェイ基地局18a(18b)は、自己において認証した端末の情報を、他のゲートウェイ基地局18b(18a)に送信し、情報共有200cを実行することである。これによって、端末の位置を互いに把握することができ、いずれかの端末から、例えば所定の相手先の端末に認証要求が出された場合でも、当該認証要求を、その相手先の端末に送り届けることが可能である。本実施形態2においては、2個のゲートウェイ基地局18a、18bの例を示したが、一般的に複数台のゲートウェイ基地局18が配置されているネットワークでも同様である。
【0105】
(2−2)端末間認証シーケンス
次に、第1端末12aと第2端末12bとの間で端末間認証シーケンスが実行される。このシーケンスは、実施形態1において、「端末間認証シーケンス」として説明された処理であり、本実施形態2においても、ほぼ同様の処理が実行される。
【0106】
本シーケンスにおける第1端末12aと、第2端末12bとの動作は、実施形態1と同様であり、第1端末12aと第2端末12bとは、互いに、相手の端末との間にゲートウェイ基地局18が何台位置するかを直接意識する必要はない。例えば、第1端末12aは、第1ゲートウェイ基地局18aとの間で端末間認証202aを実行する。この処理は、具体的には、第1端末12aは、端末間認証要求52を送信し、それに引き続く処理が該当する。また、その端末間認証202aに応答して、第2端末12bは、端末間認証202cを実行する。
これらの処理においては、例えば、第1端末12aがサンプルコードを生成し、第2端末12bの公開鍵で暗号化したものを第2端末12bに送信する。そして、第2端末12bが自己の秘密鍵を用いて暗号化したサンプルコードを復号し、原サンプルデータを得る。さらに、第2端末12bは、このようにして得た原サンプルデータをハッシュ化して第1端末12aに送信する。第1端末12aは、受信したデータ(ハッシュ化したデータ)と、自己が自ら生成した原サンプルデータをハッシュ化したデータと、を比較する。両者が一致したことを以て、第1端末12aは認証が成功したと認定する。
【0107】
このような処理をお互いに実行し、互いに相手が正当な端末であると認証した場合、その認証に関する情報である認証情報(図3における認証情報60、62)を互いに取得する。さらに、第2端末12bは、端末間認証要求54(52)に対する応答として端末間認証応答66(64)を第1端末12bに送信する。これらの処理が、端末間認証202a、202cである。
【0108】
本実施形態2においては、これら一連の「端末間認証シーケンス」の処理において、第1ゲートウェイ基地局18a、第2ゲートウェイ基地局18bは、認証要求等のパケットを中継して転送していく処理である端末間認証202bを実行する。上述したように、情報共有200cによってゲートウェイ基地局18a、18b間で端末の位置を互いに共有しているので、各ゲートウェイ基地局は、認証要求等のパケットの中継を実行することができる。
【0109】
(2−3)TCP接続確立シーケンス
次に、TCP接続確立シーケンスが実行される。このシーケンスの処理は、実施形態1で述べた「TCP接続確立シーケンス」と同様であり、図4におけるTCP接続要求アクセス68から、VPN用接続完了72において完了する処理である。この処理の中で、ゲートウェイ基地局18a、bは、上述したように、端末間(第1端末12a、体2端末12b)のTCPを連結してプロキシ転送するための中継テーブル(のエントリー)を作成(追加)することは、既に説明した通りである。
【0110】
特に、本実施形態2においては、当該中継テーブルを、ゲートウェイ基地局18a、18b間で共有している。すなわち、ゲートウェイ基地局18aは、上記作成した中継テーブル中のエントリを、他のゲートウェイ基地局18bに送信し、共有する。また、ゲートウェイ基地局18bは、ゲートウェイ基地局18bが作成した中継テーブル(のエントリー)を、他のゲートウェイ基地局18aに送信し、共有する。このように、いずれかのゲートウェイ基地局18a(18b)が作成した中継テーブルは、他のゲートウェイ基地局18b(18a)にもその情報を送信しているので、作成した中継テーブル(のエントリー)を各ゲートウェイ基地局18で共有することができる。これが、図5において、ゲートウェイ基地局間情報共有204として表されている。このように、本実施形態2においては、端末IDと、その接続TCPポートを共有している。
このように、本実施形態2においては、端末間のTCPを連結しプロキシ転送するための中継テーブルを、各ゲートウェイ基地局18で共有しているので、各ゲートウェイ基地局18は、当該中継テーブルに基づき、TCPの転送を行うことができる。
【0111】
なお、実施形態1で説明したように、経過時間や、接続維持レスポンスの応答変化等に基づき、TCP連結が不要となった場合、当該中継テーブルのエントリを削除しているが、この削除処理も、各ゲートウェイに伝達され、共有される。すなわち、いずれかのゲートウェイ基地局18a(18b)において、所定の条件の下、テーブルの所定のエントリがもはや不要であると判断し削除された場合は、この削除処理が他のゲートウェイ基地局18b(18a)にも伝達されて同様に該当するエントリの削除処理が行われる。同様に、例えば、いずれかの端末(第1端末12a、または、第2端末12b)の接続断を検知すると、この検知内容も、各ゲートウェイ基地局18間で共有される。このように、本実施形態2においては、中継テーブルのエントリの作成処理(追加処理)だけでなく、その中のエントリの削除処理や各端末(第1端末12a、第2端末12b)の接続状況も共有される。
【0112】
端末の移動
また例えば、第2端末12bが移動して、接続しているゲートウェイ基地局18bが変更される場合がある。この場合は、接続が切れたゲートウェイ基地局18bにおいて、第2基地局12bに関する中継テーブルのエントリーが削除され、このことが他のゲートウェイ基地局18aにも伝達される。そして、第2端末12bが、その移動先で新たに他のゲートウェイ基地局18と接続した場合は、その新しいゲートウェイ基地局18において第2端末12bの接続が検知され、それに基づき、これまで述べた手法で新たに上記中継テーブルが作成される。このようにして、中継テーブルのエントリーの削除や更新を行うことによって、端末の移動に対応することができる。
【0113】
(2−4)VPN接続シーケンス
次に、VPN接続シーケンスが実行される。このシーケンスの処理は、実施形態1で述べた「VPN接続シーケンス」と同様であり、図4におけるVPN接続要求74から、VPN接続応答82、84に至る処理である。この処理の結果、第1端末VPNアドレス、第2端末VPNアドレス86が、互いに交換される。そして、これらVPNアドレスを用いてVPN通信を実行することができる。図3の下部に示すような暗号化パケット90を送受信することが可能となる。
【0114】
具体的には、第1端末12aと第1ゲートウェイ18aとの間におけるVPN接続要求74、VPN諸元交換78、VPN接続応答82等に対応するVPN接続206aが実行される。同様に、第2端末12bと第2ゲートウェイ18bとの間におけるVPN接続要求76、VPN諸元交換80、VPN接続応答84等に対応するVPN接続206cが実行される。
【0115】
特に、本実施形態2においては、VPN接続シーケンスにおいて、ゲートウェイ基地局18a、18bは、(3)TCP接続確立シーケンスで作成した中継テーブルを利用して、VPN接続要求74をVPN接続要求76として転送することができる。同様に、ゲートウェイ基地局18a、18bは、VPN諸元交換78、80、VPN接続応答82、84を転送することができる。これは、各ゲートウェイ基地局18a、18bが上記中継テーブルをそれぞれ保持していることによって可能となったものである。図4においては、ゲートウェイのこのような転送処理がVPN接続206bとして表されれている。
このような処理の結果、互いにVPNアドレスを取得した後は、それらを用いて図3の下部に示した暗号化パケット90の送受信を行うことができる。
【0116】
このような暗号化パケット90による通信は、図4の下部に示すように、VPN暗号データ208に相当する。本実施形態において特徴的なことは、いわゆるサーバを用いないサーバレスで暗号化パケット90が転送されていくことである。ゲートウェイ基地局18a、18bは、暗号化パケット90を内部に蓄積せずに、転送していく。またゲートウェイ基地局18a、18bは、暗号化パケット90の復号も実行しない。したがって、復号されず、また通信の途中で蓄積されないので、通信の安全性を従来より高く維持することが容易に可能である。
【0117】
このようなVPN暗号データ208による通信は、第1端末12aにとっては、例えばTCP/IP210aを利用した通信であり(図4参照)、第2端末12aにとっては、例えばTCP/IP210cを利用した通信である(図4参照)。なお、本実施形態2では、ゲートウェイ基地局18aとゲートウェイ基地局18bとの間では、TCP/IPによる通信、または、UDP/IPによる通信を行うことができる(図4の210b)。
【0118】
C.変形例
これまで述べた実施形態1〜2では、主として端末が2台の場合を説明したが、もちろん、3台以上存在する場合でも同様の技術が適用可能である。また、以上説明した実施形態は、本発明の実現手段としての一例であり、本発明が適用される装置の構成や各種条件によって適宜修正又は変更されるべきものであり、本発明は本実施形態1と実施形態2の態様に限定されるものではない。
【符号の説明】
【0119】
1、9 端末
3 インターネット
4a 暗号化/端末認証
4b 端末間認証
5 サイト
7 基地局
10 通信システム
12a 第1端末
12b 第2端末
14a、14b アプリケーション
16a、16b 端末側フレームワーク
18 ゲートウェイ基地局
18a 第1ゲートウェイ基地局
18b 第2ゲートウェイ基地局
20 セキュリティー設定管理機能
22 認証及びVPN機能
30 アプリ接続指令
32、42 端末認証要求
34、44 端末認証処理
36、46 VPN用TCP情報生成
38、48 端末認証応答
40、50 VPN用TCP情報
52、54 端末間認証要求
56、58 端末間認証処理
60、62 認証情報
64、66 端末間認証応答
68、70 TCP接続要求アクセス
72 VPN用TCP中継接続完了
74、76 VPN接続要求
78、80 VPN諸元交換
82、84 VPN接続応答
86、92 第2端末VPNアドレス
90 暗号化パケット
94 第1端末VPNアドレス
96 アプリデータ用TCP/UDP
98 アプリデータ
100 TCP/IP
200a、200b 端末認証
200c 情報共有
202a、202b、202c 端末間認証
204 ゲートウェイ基地局間情報共有
206a、206b、206c VPN接続
208 VPN暗号データ
210a、210c TCP/IP
210b TCP/IP or UDP/IP
300、308、400、410 端末
302、402、520、620 インターネット
303、403 暗号化/端末認証
304、404、500 サイト
306、406、502 RAS
504a、504b、644a、644b サーバ
510a、510b、510c 携帯情報端末
630a、630b LAN
640a、640b ルーター
642 トンネル
図1
図2
図3
図4
図5
図6
図7
図8
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.