网关装置制造方法及图纸

为了能使TCP/IP协议栈（205）处理应该与分配给XPTCP网关装置（101）的IP地址无关的分组，预先在改写表中记录附加在分组的发送源MAC地址、发送源IP地址、发送源端口编号、目的地MAC地址、目的地IP地址及目的地端口编号。而且，附加在所接收的分组的发送源MAC地址及发送源IP地址被改写为伪MAC地址及伪IP地址，目的地MAC地址及目的地IP地址被改写为分配给XPTCP网关装置（101）的IP地址及MAC地址，然后提供给TCP/IP协议栈（205）。

【技术实现步骤摘要】
【国外来华专利技术】网关装置
本专利技术涉及网关（networkgateway）装置。更具体涉及对已有的网络环境不强加任何设定变更而能够容易追加提高安全性的加密通信功能的网关装置。
技术介绍
专利技术人从互联网爆炸性地在普通层面普及的早期阶段，认识到TCP/IP网络的可能性和技术极限以及问题点。例如，互联网邮件基本上等同于明信片，如果在通信路径上进行窃听（tapping：窃听）就能够容易取得邮件报头及正文。再者，互联网邮件、web等的通信应用中要进行提高安全性的加密时，全部由应用程序来对应。因此，对应于加密通信的应用无法进行与未对应加密通信的应用的加密通信，陷入了不管经过多久都不会普及加密通信对应应用的困境。此外，加密通信环境很难普及这样的问题点，对网络层中实现加密通信的IPSec而言也是同样的。不是应用层的途径，而是在网络层中将所有的通信整个加密这样的IPSec的基本技术思想是很好的着眼点。但是，指出了难以联系到现实、联系到现实为止的设定太困难、通信易断或者必须另外考虑用户认证等的问题点，直至现在也未能根本解决问题而普及更是没有头绪。鉴于这样的TCP/IP网络的可能性和技术极限以及问题点，专利技术人专利技术了在传输层实现认证及加密通信的技术，直至今日致力于该技术的实际安装和改良。此外，在本说明书中将这以后基于专利文献1所公开的技术的、传输层中的认证及加密的技术，加进TCP的扩展（eXPand）的意思而称为“XPTCP”。专利文献1是专利技术人做出的传输层的加密协议相关的现有技术文献。专利文献1：日本特许3783142号公报。
技术实现思路
在将专利文献1中公开的XPTCP引入已有的网络环境时，最好尽量降低其引入壁垒。理想的是，网络上的所有终端为“零配置(ZeroConfiguration）”，即完全没有变更设定等或者引入新的软件，最好能利用XPTCP提供的新的功能。作为不向终端引入软件而实现新功能的方法，可考虑使网关装置介入网络的路径上的方法。但是，该网关装置对迄今所知道的装置、应用的形态来说，无论如何都需要终端的设定变更。例如，在网关装置为代理服务器的情况下，终端利用代理服务器对应应用程序，应用程序中必须设定代理服务器的IP地址和端口编号。即，如果应用程序不与代理服务器对应，则经由代理服务器的通信本身将无法实现。此外例如，在网关装置为路由器的情况下，终端必须重新设定默认网关的IP地址。而且，如果考虑网关装置被引入到已有的网络环境的情况，除了必须确定用于网关装置的空着的IP地址以外，对已有的成为默认网关的路由器等的其他的网络装置也需要进行设定变更。本专利技术目的在于提供一种网关装置以解决涉及的课题，对已有的网络环境不强加任何设定变更而能够容易追加提高安全性的加密通信功能。为了解决上述课题，本专利技术的网关装置包括：内侧NIC；外侧NIC；初始设定部，对内侧NIC及外侧NIC设定混杂模式（promiscuousmode）；TCP/IP协议栈，在内侧NIC及外侧NIC之间进行TCP/IP通信处理；以及地址变换处理部，将附加在从内侧NIC接收的接收分组的发送源MAC地址变换为第一伪装MAC地址，将发送源IP地址变换为第一伪装IP地址，将目的地MAC地址变换为附加在内侧NIC的内侧NICMAC地址，将目的地IP地址变换为附加在内侧NIC的内侧NICIP地址，向TCP/IP协议栈发送收发分组，并且将附加在从TCP/IP协议栈接收的发送分组的发送源MAC地址、发送源IP地址、目的地MAC地址及目的地IP地址回写为附加在接收分组的发送源MAC地址、发送源IP地址、目的地MAC地址及目的地IP地址而向外侧NIC发送。为了使TCP/IP协议栈能够处理应该与分配到内侧NIC及外侧NIC的IP地址无关的分组，将附加到接收分组的发送源MAC地址及发送源IP地址改写为伪MAC地址及伪IP地址，将目的地MAC地址及目的地IP地址改写为分配给内侧NIC的IP地址及MAC地址后，提供给TCP/IP协议栈。通过本专利技术，能够提供对已有的网络环境不强加任何设定变更而能够容易追加提高安全性的加密通信功能的网关装置。附图说明图1是包含本专利技术的实施方式的网关装置的网络的简略图；图2是XPTCP网关装置的功能块图；图3是示出XPTCP网关装置所具备的各种表格及列表的字段构成的图；图4是示出分组的结构的简略图；图5是地址变换处理部的功能块图；图6是内侧NIC接收处理部的功能块图；图7是外侧NIC接收处理部的功能块图；图8是外侧NIC发送处理部的功能块图；图9是内侧NIC发送处理部的功能块图；图10是XPTCP处理部的功能块图；图11是示出地址变换处理部的、内侧NIC中的分组接收处理动作的流程的流程图；图12是示出地址变换处理部的、外侧NIC中的分组接收处理动作的流程的流程图；图13是示出地址变换处理部的、外侧NIC中的分组发送处理动作的流程的流程图；图14是示出地址变换处理部的、内侧NIC中的分组发送处理动作的流程的流程图；图15是示出XPTCP处理部的XPTCP处理的流程的流程图；图16是示出套接字（socket）处理部的初始动作的流程的流程图；图17是示出套接字处理部的连接请求传输处理的流程的流程图；图18是示出通过XPTCP网关装置的分组的变化的简略图；图19是示出通过XPTCP网关装置的分组的变化的简略图；图20是示出通过XPTCP网关装置的分组的变化的简略图；图21是示出XPTCP网关装置中的、表示TCP连接确立序列的时序图整体的俯视图；图22是示出XPTCP网关装置中的、表示TCP连接确立序列的时序图之中前半处理内容的详细图；图23是示出XPTCP网关装置中的、表示TCP连接确立序列的时序图之中后半处理内容的详细图；图24是XPTCP网关装置中的、TCP数据传输序列的时序图；图25是示出XPTCP网关装置中的、表示TCP断开序列的时序图整体的俯视图；图26是示出XPTCP网关装置中的、表示TCP断开序列的时序图之中前半处理内容的详细图；图27是示出XPTCP网关装置中的、表示TCP断开序列的时序图之中后半处理内容的详细图；图28是说明XPTCP网关装置中改写所发送的分组的目的地IP地址的应用方式的简略图；图29是说明XPTCP网关装置中改写所发送的分组的发送源IP地址的应用方式的简略图。具体实施方式［网络的概要］图1是包含本专利技术的实施方式的网关装置的网络的简略图。本实施方式的网关装置提供XPTCP功能，因此下面将网关装置称为XPTCP网关装置101。图1中示出包含XPTCP网关装置101的网络。隔着XPTCP网关装置101而在左侧，非对应于XPTCP的两台终端即XPTCP非对应PC102及XPTCP非对应PC103，与XPTCP网关装置101的内侧NIC104连接。隔着XPTCP网关装置101而在右侧，非对应于XPTCP的终端即XPTCP非对应PC105和对应于XPTCP的终端即XPTCP对应PC106以及对应于XPTCP的服务器即XPTCP对应服务器107，与XPTCP网关装置101的外侧NIC108连接。下面，将隔着XPTCP网关装置101的左侧的网络称为XPTCP非对应网络109，将隔着XPTCP网关装置101的右侧的网络称为XPTCP对应网络110。即，XPTCP本文档来自技高网...

【技术保护点】
一种网关装置，包括：第一NIC；第二NIC；初始设定部，对所述第一NIC及所述第二NIC设定混杂模式；TCP/IP协议栈，在所述第一NIC及所述第二NIC之间进行TCP/IP通信处理；以及地址变换处理部，将附加在从所述第一NIC接收的接收分组的发送源MAC地址变换为第一假MAC地址，将发送源IP地址变换为第一假IP地址，将目的地MAC地址变换为附加在所述第一NIC的第一NICMAC地址，将目的地IP地址变换为附加在所述第一NIC的第一NICIP地址，向所述TCP/IP协议栈发送所述接收分组，并且将附加在从所述TCP/IP协议栈接收的发送分组的发送源MAC地址、发送源IP地址、目的地MAC地址及目的地IP地址回写为附加在所述接收分组的所述发送源MAC地址、所述发送源IP地址、所述目的地MAC地址及所述目的地IP地址而向所述第二NIC发送。

【技术特征摘要】
【国外来华专利技术】2011.08.22 JP 2011-1802151.一种网关装置，包括：第一NIC；第二NIC；初始设定部，对所述第一NIC及所述第二NIC设定混杂模式；TCP/IP协议栈，在所述第一NIC及所述第二NIC之间进行TCP/IP通信处理；以及地址变换处理部，将附加在从所述第一NIC接收的接收分组的发送源MAC地址变换为第一假MAC地址，将发送源IP地址变换为第一假IP地址，将目的地MAC地址变换为附加在所述第一NIC的第一NICMAC地址，将目的地IP地址变换为附加在所述第一NIC的第一NICIP地址，向所述TCP/IP协议栈发送所述接收分组，并且将附加在从所述TCP/IP协议栈接收的发送分组的发送源MAC地址、发送源IP地址、目的地MAC地址及目的地IP地址回写为附加在所述接收分组的所述发送源MAC地址、所述发送源IP地址、所述目的地MAC地址及所述目的地IP地址而向所述第二NIC发送。2.根据权利要求1所述的网关装置，还包括：地址变换表，具备存放附加在所述接收分组的所述发送源MAC地址的发送源MAC地址字段、存放附加在所述接收分组的所述发送源IP地址的发送源IP地址字段、存放附加在所述接收分组的所述目的地MAC地址的目的地MAC地址字段、记录附加在所述接收分组的所述目的地IP地址的目的地IP地址字段、和记录具有唯一性的用于索引的索引用端口编号的索引用端口编号字段，所述地址变换处理部将附加在所述接收分组的发送源端口编号变换为记录在所述索引用端口编号字段的所述索引用端口编号，并且以附加在所述发送分组的目的地端口编号来检索所述地址变换表的所述索引用端口编号字段，确定应该回写的记录。3.根据权利要求2所述的网关装置，还包括：扩展TCP处理部，对从所述TCP/IP协议栈接收的接收分组的有效载荷部分施行既定加密处理，再次送回所述TCP/IP协议栈。4.根据权利要求3所述的网关装置，还包括：套接字处理部，具备用于对所述第一NIC形成第一TCP连接的服务器功能、和用于对所述第二NIC形成第二TCP连接的客户端功能，并且在TCPFIN分组从所述第一NIC过来时，检测TCPFIN分组从所述第二NIC过来的情况，将断开所述第一TCP连接的指示发送给所述TCP/IP协议栈。5.根据权利要求4所述的网关装置，其中，所述地址变换处理部在TCPSYN分组从所述第一NIC过来时，向所述地址变换表追加记录。6.根据权利要求5所述的网关装置，其中，所述扩展TCP处理部对从所述第一TCP连接中产生并且要到达所述套接字处理部的流数据施行所述加密处理之后，向所述第二TCP连接传输。7.根据权利要求4所述的网关装置，其中，所述地址变换处理部在与TCPSYN分组从所述第一NIC过来的情况呼应而形成所述第二TCP连接时，若接收从所...

【专利技术属性】
技术研发人员：小川惠子，
申请(专利权)人：英托株式会社，
类型：
国别省市：