| 发明名称 | 网络系统 | ||
| 摘要 | 本发明提供一种网络系统,在用户终端与服务提供服务器之间存在NAPT路由器的环境中,可以通过追加了UDP头的IPsec隧道模式形式分组进行加密通信。服务提供服务器侧的加密通信模块向认证、密钥交换服务器通知对服务提供服务器侧的NAPT路由器分配的全局IP地址、以及在全局侧使用的外侧UDP头的端口号。在从用户终端侧的加密通信模块接收到加密分组时,使用外侧IP头的发送源、发送目的地IP地址重写内侧IP头的发送源、发送目的地IP地址。另外,将内侧TCP·UDP头的发送源端口号变更成在外侧IP头的发送源IP地址相同的加密通信中针对每个通信会话唯一的值。在朝向用户终端侧的加密通信模块发送分组时进行相逆的头转换。 | ||
| 申请公布号 | CN101420423A | 申请公布日期 | 2009.04.29 |
| 申请号 | CN200810161779.X | 申请日期 | 2008.09.26 |
| 申请人 | 株式会社日立制作所 | 发明人 | 柘植宗俊;星野和义;锻忠司 |
| 分类号 | H04L29/06(2006.01)I;H04L29/12(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 中国国际贸易促进委员会专利商标事务所 | 代理人 | 吴丽丽 |
| 主权项 | 1. 一种网络系统,分别具有通信接口的第一计算机、第二计算机、第一分组中继装置经由网络连接,其特征在于:对上述第一计算机以及上述第二计算机的通信接口分配有独立的网络地址,上述第一计算机具备在该第一计算机中动作的第一软件,上述第二计算机具备在该第二计算机中动作的第二软件,上述第一软件与上述第二软件使用通信分组进行通信,该通信分组包括表示发送源计算机的通信接口的网络地址、表示发送目的地计算机的通信接口的网络地址、表示发送源软件的标识符、表示发送目的地软件的标识符,进而,上述第一计算机具备第一加密、解密处理部或者与该第一加密、解密处理部连接,上述第二计算机具备第二加密、解密处理部或者与该第二加密、解密处理部连接,上述第一加密、解密处理部对上述第一软件朝向上述第二软件发送的通信分组整体进行加密,新附加表示该通信分组的发送源以及发送目的地的网络地址以及标识符,对该通信分组进行中继,进而从上述第二软件朝向上述第一软件发送的通信分组去除表示发送源以及发送目的地的网络地址以及标识符并对剩余的部分进行解密,对该通信分组进行中继,上述第二加密、解密处理部对上述第二软件朝向上述第一软件发送的通信分组整体进行加密,新附加表示该通信分组的发送源以及发送目的地的网络地址以及标识符,对该通信分组进行中继,进而从上述第一软件朝向上述第二软件发送的通信分组去除表示发送源以及发送目的地的网络地址以及标识符并对剩余的部分进行解密,对该通信分组进行中继,进而,对上述第一分组中继装置具备的通信接口分配有网络地址,上述第一分组中继装置在上述第一软件朝向上述第二软件发送的通信分组中,将上述第一加密、解密处理部新附加的表示该通信分组的发送源即上述第一计算机的通信接口的网络地址以及表示上述第一软件的标识符转换成上述第一分组中继装置的通信接口的网络地址以及上述第一分组中继装置任意分配的标识符,对该通信分组进行中继,进而对上述第二软件朝向上述第一分组中继装置发送的通信分组,将上述第二加密、解密处理部新附加的该通信分组的发送目的地即上述第一分组中继装置的通信接口的网络地址以及上述任意分配的标识符转换成表示上述第一计算机的通信接口的网络地址以及表示上述第一软件的标识符,对该通信分组进行中继,进而,上述第二加密、解密处理部在针对上述第一软件朝向上述第二软件发送的通信分组,去除由上述第一加密、解密处理部附加且由上述第一分组中继装置转换的表示发送源以及发送目的地的网络地址以及标识符而对剩余的部分进行解密时,利用对解密前的通信分组由上述第一加密、解密处理部附加并由上述第一分组中继装置转换的发送源网络地址,置换解密后的该通信分组中包含的发送源的网络地址,将与该发送源网络地址相同的其他通信不同的唯一的值作为新的标识符进行分配,利用上述新的标识符置换解密后的该通信分组中包含的发送源的标识符,存储上述网络地址以及标识符的置换规则,对上述第二软件朝向上述第一软件发送的通信分组的发送目的地网络地址以及标识符,逆向应用上述置换规则。 | ||
| 地址 | 日本东京 | ||