JP2023072425A - Communication device, communication method, and program - Google Patents
Communication device, communication method, and program Download PDFInfo
- Publication number
- JP2023072425A JP2023072425A JP2021184974A JP2021184974A JP2023072425A JP 2023072425 A JP2023072425 A JP 2023072425A JP 2021184974 A JP2021184974 A JP 2021184974A JP 2021184974 A JP2021184974 A JP 2021184974A JP 2023072425 A JP2023072425 A JP 2023072425A
- Authority
- JP
- Japan
- Prior art keywords
- conversion
- packet
- information
- unit
- conversion rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 113
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000006243 chemical reaction Methods 0.000 claims abstract description 159
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 21
- 230000001419 dependent effect Effects 0.000 claims description 4
- 230000003068 static effect Effects 0.000 description 25
- 238000012545 processing Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 230000010365 information processing Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000013519 translation Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Abstract
Description
本発明は、通信装置、通信方法及びプログラムに関する。 The present invention relates to a communication device, communication method and program.
近年インターネットの普及により、HGW(Home Gate Way)と呼ばれる光ファイバーなどの固定回線による通信サービスにおいて、公衆回線網とプライベートネットワークの接続を担う機器が多くの家庭で利用されている。HGWはISP(インターネットサービスプロバイダ)への接続や家庭内のパソコンなどへのIPアドレスの割り当て、無線LANアクセスポイント(Wi-Fiアクセスポイント)など一般的なブロードバンドルータの機能を担っている。 2. Description of the Related Art In recent years, with the widespread use of the Internet, many homes use devices that connect a public line network and a private network in a communication service using a fixed line such as an optical fiber called HGW (Home Gate Way). The HGW performs general broadband router functions such as connection to an ISP (Internet Service Provider), assignment of IP addresses to personal computers in the home, and wireless LAN access point (Wi-Fi access point).
HGWの利用形態として、プライベートネットワーク内にウェブサーバを公開したり、NAS(Network Attached Storage)を設置したりするケースがある。プライベートネットワーク内に設置されているウェブサーバやNASは、HGWでNAT(Network Address Translation)されてプライベートアドレスが割り振られているが、インターネットなどの外部ネットワークからはHGWのグローバルIPアドレスしかわからないため、プライベートネットワークにあるウェブサーバやNASにアクセスすることはできない。この問題を解決するために、静的NATや静的IPマスカレードと呼ばれる技術があり、それらは多くのHGWやルータが具備している。 HGW is used in some cases, such as opening a web server in a private network and installing a NAS (Network Attached Storage). Web servers and NAS installed in a private network are assigned private addresses through NAT (Network Address Translation) by the HGW. You cannot access web servers or NAS on your network. To solve this problem, there are techniques called static NAT and static IP masquerading, which many HGWs and routers are equipped with.
静的NAT設定を使用する場合は、HGWのプライベートネットワーク内の機器に外部から通信する対向の装置のIPアドレスを予め知っておく必要がある。例えば、外出先の公衆Wi-FiなどからHGWのプライベートネットワーク内の機器に外部から通信する場合など、自装置のグローバルIPアドレスを把握できていない場合がある。このようなときは、外部から静的NATを利用して自宅のプライベートネットワーク内の機器にアクセスすることはできない。 When using a static NAT setting, it is necessary to know in advance the IP address of the peer device communicating externally to the device in the HGW's private network. For example, there is a case where the global IP address of the own device cannot be grasped, such as when communicating from the outside to a device in the private network of the HGW from a public Wi-Fi at an outside location. In such a case, it is not possible to access devices in the home private network from the outside using static NAT.
静的IPマスカレードを使用する場合は、HGWがもつグローバルIPアドレスの特定のポート宛に受信した通信を、プライベートネットワーク内の特定の機器の特定のポートに転送することになるため、誰でもプライベートネットワーク内の機器にアクセスすることができるため、セキュリティ上の問題がある。 When static IP masquerading is used, communications received to a specific port of the global IP address of the HGW are forwarded to a specific port of a specific device within the private network. This poses a security problem because it is possible to access the devices inside.
特許文献1には、プライベートネットワーク内の端末から外部サーバ等にポーリングパケットを送信し、これに対する応答パケットにて端末と通信を行う通信方式が開示されている。具体的には、ポーリングパケットを送信した際にルータに一定期間残される送信元のローカルアドレスとグローバルアドレスの対応関係を使用して外部サーバ等からプライベートネットワーク内の端末を制御することを可能としている。 Patent Literature 1 discloses a communication method in which a terminal within a private network transmits a polling packet to an external server or the like, and communicates with the terminal using a response packet to the polling packet. Specifically, it makes it possible to control terminals within a private network from an external server, etc., by using the correspondence between the source's local address and global address, which is left in the router for a certain period of time when a polling packet is sent. .
特許文献2には、静的IPマスカレードを使用してプライベートネットワーク内のWebサーバにアクセス可能とするルータが開示されている。ルータ内にメニュー表示用のWebサーバを有し、インターネット等の外部ネットワークからアクセス可能としている。該Webサーバにアクセスするとプライベートネットワーク内で公開中のWeb機器へのリンクがメニュー表示される。ユーザがリンクを選択すると、選択されたWeb機器へのアクセスが開始される。 Patent Document 2 discloses a router that uses static IP masquerading to enable access to web servers in a private network. A web server for menu display is provided in the router and can be accessed from an external network such as the Internet. When the Web server is accessed, a menu of links to Web devices open to the public within the private network is displayed. When the user selects the link, access to the selected web device is initiated.
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。 In addition, each disclosure of the above prior art documents is incorporated into this document by reference. The following analysis was made by the inventors.
上記特許文献1のように、ポーリングパケットを使用することによりプライベートネットワーク内の端末とグローバルアドレスを有するサーバとが通信が可能である。しかしながらこの方法では、UDP(User Datagram Protocol)でプライベートアドレスからグローバルアドレスへ通信を行う際にルータ上で作成される対応関係を用いるため、通信方法がパケットの到達が保証されないUDPによる通信に限定されるといった欠点がある。 As in Patent Document 1, polling packets are used to enable communication between a terminal in a private network and a server having a global address. However, in this method, since correspondence created on the router is used when communicating from a private address to a global address using UDP (User Datagram Protocol), the communication method is limited to UDP-based communication in which packet arrival is not guaranteed. There are drawbacks such as
一方で上記特許文献2のように、プライベートネットワークへのゲートウエイとなるWebサーバを配置した場合には、当該Webサーバに認証部を設けることで誰でもプライベートネットワーク内の機器にアクセスすることは不可能となるが一度ゲートウエイにアクセスするといった処理が介在するため接続のトランスペアレンシーが低く、利便性に欠けるといった欠点がある。 On the other hand, when a web server serving as a gateway to a private network is arranged as in Patent Document 2 above, it is impossible for anyone to access devices within the private network by providing an authentication unit in the web server. However, there is a drawback that the transparency of the connection is low and the convenience is lacking due to the intervening process of accessing the gateway once.
本発明は、主にグローバルアドレスからプライベートネットワーク内の機器に対してセキュリティが高く、かつ信頼性及び利便性の高い通信を行うことに寄与する通信装置、通信方法及びプログラムを提供することを主たる目的とする。 A main object of the present invention is to provide a communication device, a communication method, and a program that contribute to high-security, high-reliability, and high-convenience communication mainly from a global address to devices in a private network. and
本発明乃至開示の第一の視点によれば、第1のネットワークを介して送信されたパケットを受信する受信部と、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する変換ルール取得部と、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する変換部と、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する送信部と、を有する通信装置が提供される。 According to a first aspect of the present invention or disclosure, there are provided a receiving unit for receiving a packet transmitted via a first network, and a rule for referring to the packet and converting header information of the packet. a conversion rule acquisition unit for acquiring a conversion rule; a conversion unit for converting header information of the packet based on the conversion rule; and transmitting a packet to a second network based on the converted header information of the packet. A communication device is provided having a transmitter for transmitting.
本発明乃至開示の第二の視点によれば、第1のネットワークを介して送信されたパケットを受信するステップと、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得するステップと、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行するステップと、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信するステップと、を含む通信方法が提供される。 According to a second aspect of the present invention or disclosure, a step of receiving a packet transmitted via a first network; obtaining a rule; performing a transformation of header information of the packet based on the transformation rule; and transmitting a packet to a second network based on the transformed header information of the packet. A communication method is provided that includes:
本発明乃至開示の第三の視点によれば、第1のネットワークを介して送信されたパケットを受信する処理と、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する処理と、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する処理と、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する処理と、をコンピュータに実行させるためのプログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
According to a third aspect of the present invention or disclosure, a process of receiving a packet transmitted via a first network and a conversion process that is a rule for converting header information of the packet with reference to the packet acquiring a rule; performing conversion of header information of the packet based on the conversion rule; and transmitting the packet to a second network based on the converted header information of the packet. A program is provided for execution by a computer.
This program can be recorded in a computer-readable storage medium. The storage medium can be non-transient such as semiconductor memory, hard disk, magnetic recording medium, optical recording medium, and the like. The invention can also be embodied as a computer program product.
本発明乃至開示の各視点によれば、主にグローバルアドレスからプライベートネットワーク内の機器に対してセキュリティが高く、かつ信頼性及び利便性の高い通信を行うことに寄与する通信装置、通信方法及びプログラムが提供される。 According to each aspect of the present invention and the disclosure, a communication device, a communication method, and a program that contribute to high-security, high-reliability, and high-convenience communication mainly from a global address to devices in a private network is provided.
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インタフェースも同様である。 First, an overview of one embodiment will be described. It should be noted that the drawing reference numerals added to this outline are added to each element for convenience as an example to aid understanding, and the description of this outline does not intend any limitation. Also, connecting lines between blocks in each figure include both bi-directional and uni-directional. The unidirectional arrows schematically show the flow of main signals (data) and do not exclude bidirectionality. Furthermore, in the circuit diagrams, block diagrams, internal configuration diagrams, connection diagrams, etc. disclosed in the present application, an input port and an output port exist at the input end and the output end of each connection line, respectively, although not explicitly shown. The input/output interface is the same.
図1は一実施形態に係る通信装置の構成の一例を示す図である。この図にあるように、一実施形態に係る通信装置10は、受信部11と、変換ルール取得部12と、変換部13と、送信部14と、を有する。
FIG. 1 is a diagram showing an example of the configuration of a communication device according to one embodiment. As shown in this figure, the
受信部11は、第1のネットワークを介して送信されたパケットを受信する。「第1のネットワーク」とは、「第2のネットワーク」とは異なるネットワークセグメントであることを意味する。第1のネットワークと第2のネットワークとは通信装置10により分けられており、通信装置10により通信がルーティングされている。
The
変換ルール取得部12は、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する。「変換」とは、パケットのヘッダ部にあるルーティングのための情報を上書きすることにより、別のルーティングのための情報へ変更を行うことである。例えばIP(Internet Protocol)ヘッダの宛先IPアドレスや、TCP(Transmission Control Protocol)による通信の場合には、宛先ポート番号等が挙げられる。「変換ルール」とは上記変換のためのルールを定めたもののセットである。変換ルールは、例えば、変換前のヘッダ情報と変換後のヘッダ情報とが対応付けて記述されており、後述する変換部13にて変換前のヘッダ情報に該当するパケットが受信部11より送られてきた場合に対応する変換後のヘッダ情報へ変換を実行するといった処理をするためのものである。
The conversion
ここで「変換ルール」は、NATが可能なルータが保持するNATルールとその機能は一部共通するものであるが、本願発明の一実施形態の通信装置では、変換ルールは通信装置にあらかじめ保持されているものではなく、受信部11にて受信したパケットのペイロード部分に変換ルールが記載されている点に特徴を有する。変換ルール取得部12はこのペイロード部分の変換ルールを取得し、後述する変換部13に送ることでパケットのヘッダ情報を変換する。図2は本願発明の一実施形態における変換ルールの一例を示す図である。この図にあるように、変換ルールはパケットのペイロード部分に位置している。なお、図ではヘッダ情報の直後に変換ルールが位置しているが、これに限られず、ペイロード部分で変換ルールであると通信装置が認識可能な位置であればどこに位置していてもよい。
Here, the "conversion rule" has some functions in common with the NAT rule held by the router capable of NAT. It is characterized in that the conversion rule is described in the payload portion of the packet received by the receiving
変換部13は、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する。変換は、受信した当該パケットに対して即時に変換を行ってもよいし、最初のパケットを受信した際に変換ルールを読み込み、その最初のパケットに関しては破棄するといった処理を実行してもよい。変換部13にて変換されたパケットは、送信部14に送られる。
The
送信部14は、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する。変換部13にて変換されたパケットを受取り、変換されたヘッダ情報を読み取って、そのヘッダ情報に基づいて、第2のネットワークにパケットを転送する。
A
このように、一実施形態の通信装置によれば、第1のネットワークから受信した変換ルールを含んだパケットを読み取り、変換ルールに基づいてパケットのヘッダ情報を変換することで、送信元のアドレス情報等が変化したとしても、その変化に応じてパケットを第2のネットワークに転送することができる。これにより、例えばプライベートネットワーク内に位置している機器に対してグローバルアドレスから透過的にアクセスが可能である。また、例えば、送信元がDHCP(Dynamic Host Configuration Protocol)を用いて動的にIPアドレスを取得していて送信元のIPアドレスが変化する場合でも、通信装置10側の設定を直接変更することなく通信を続けることが可能である。
As described above, according to the communication apparatus of one embodiment, by reading a packet containing a conversion rule received from the first network and converting the header information of the packet based on the conversion rule, the source address information etc. change, the packet can be forwarded to the second network according to the change. This makes it possible, for example, to transparently access a device located in a private network from a global address. Further, for example, even if the source dynamically acquires an IP address using DHCP (Dynamic Host Configuration Protocol) and the IP address of the source changes, the setting on the
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。 Specific embodiments will be described in more detail below with reference to the drawings. In addition, the same code|symbol is attached|subjected to the same component in each embodiment, and the description is abbreviate|omitted.
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[First embodiment]
The first embodiment will be described in more detail with reference to the drawings.
図3は第1の実施形態に係る通信装置の構成の一例を示す図である。この図にあるように、第1の実施形態に係る通信装置10は、受信部11と、変換ルール取得部12と、変換部13と、送信部14と、を有する。これら構成要件については、上記で説明済みであるので記載は省略する。本実施形態の通信装置10はさらに変換ルール保持部15と、認証情報取得部16と、認証部17と、有効期間情報取得部18と、を有する。
FIG. 3 is a diagram showing an example of the configuration of the communication device according to the first embodiment. As shown in this figure, the
変換ルール保持部15は、前記変換ルール取得部12で取得された前記変換ルールを保持する。具体的には、例えば変換ルールに記載されている、変換前のヘッダ情報と変換後のヘッダ情報の対応付け情報を変換ルール取得部12より受取って保持し、変換部13が当該情報にアクセスして変換ルールを読み込む。
A conversion
図4は本実施形態の通信装置10が受信するパケットの一例である。この図にあるようにパケットは主にヘッダとペイロードに分けられ、ヘッダ情報には発信元及び宛先IPアドレスや、発信元及び宛先ポート番号等が含まれている。ペイロード部分には本実施形態の通信装置10における特徴である変換ルールと、認証情報と、有効期間情報とが含まれている。変換ルールは図に示すように、変換前の送信先アドレス及び送信先ポート番号と、変換後の送信先アドレス及び送信先ポート番号とが対応付けられている。ここで変換前の送信先アドレス及び送信先ポート番号は通信装置10のものであり、変換後の送信先アドレス及び送信先ポート番号は第2のネットワークに属する機器等のものとなっている。
FIG. 4 is an example of a packet received by the
認証情報取得部16は、前記パケットを参照して送信元を認証するための認証情報を取得する。送信元から送信され、受信部11で受信したパケットのペイロード部分の変換ルール内、もしくは変換ルール外に送信元の端末等を認証するための認証情報が含まれる。本実施形態の通信装置10は、パケットのヘッダ情報を変換することができるか否かを取得した認証情報により、後述する認証部17にて決定する。認証情報取得部16はこの認証情報を取得して、後述する認証部17に認証情報を渡す。
The authentication
認証部17は、前記認証情報により認証を実行する。認証の手段については端末等の機器認証に関する種々の手法が考えられ、特定の手段に限定されない。例えば、Ethernetフレームに含まれる送信先MACアドレスと送信元MACアドレスの組を用いて、あらかじめ認証部17に登録されている認証を許可するMACアドレスの組のリストと照合を行うことで認証を実行してもよい。
The
認証部17は認証を実行すると認証の結果を変換部13に送る。認証の結果が成功であれば、変換部13において上述した変換処理を実行する。認証の結果が失敗であった場合には、変換部13は変換処理を実行しない。変換部13はこの場合、パケットを破棄する処理を実行してもよい。
After executing the authentication, the
変換部13又は認証部17は、認証部17による認証の結果が失敗であった場合、変換ルール保持部15に保持されている変換ルールを削除する処理を実行してもよい。
The
有効期間情報取得部18は、前記パケットを参照して前記変換を実行する期間を定める情報である有効期間情報を取得する。受信部11にて受信するパケットにはペイロード部分の変換ルールの内部又は外部に有効期間情報が含まれていてもよい。「有効期間情報」とは変換ルール取得部12で取得された変換ルールが変換部13にて適用される期間を定めたものである。有効期間が徒過しているか否かの判断は変換部13にて行い、有効期間が徒過したパケットは受信部11において破棄されてもよい。
A validity period
変換部13は、有効期間が徒過しているとの判断結果の場合には、変換ルール保持部15に保持されている変換ルールを削除する処理を実行してもよい。
The
このように本実施形態の通信装置は、変換部13によりヘッダ情報を変換することで、ルータにおいて静的NATや、静的IPマスカレードなどの設定を行うことなく、第1のネットワークから第2のネットワークに透過的に接続をすることが可能である。また、ルータにおいて機器認証を行うことで、従来の静的IPマスカレードの様に、ルータの特定のポートへのアクセスをすべて別のネットワークの特定の機器に無条件で転送するようなセキュリティレベルの低い構成を回避することが可能である。
As described above, the communication apparatus according to the present embodiment converts the header information by the
さらに、変換ルールに有効期間情報を付加することで、変換ルールが有効な期間を制御可能である。これにより、変換ルールが適用されたままの状態が放置され、外部から不正なアクセスを受けるといったリスクを回避することが可能である。 Furthermore, by adding validity period information to the conversion rule, the validity period of the conversion rule can be controlled. As a result, it is possible to avoid the risk of being left unattended with the conversion rule applied and being illegally accessed from the outside.
[動作の説明]
本実施形態の通信装置10の通信時の動作の一例について図5を用いて説明する。図5は、第1の実施形態に係る通信装置の動作の一例を示すフローチャートである。通信装置10の通信動作が開始すると、受信部11が第1のネットワークを介して送信されたパケットを受信する(ステップS51)。次に認証情報取得部16がパケット内の認証情報を取得する(ステップS52)。次に認証部17で認証を行い、認証に成功したか否かの判断を行う(ステップS53)。ここで認証が成功したと判断されると、有効期間情報取得部18が有効期間情報を取得する(ステップS54)。認証が失敗の場合には、認証部17又は変換部13が、変換ルール保持部15に保持されている変換ルールを削除して(ステップS55)、次のパケットを受信する処理(ステップS51)に戻る。有効期間情報が取得されると(ステップS54)、変換部13は、取得されたパケットが有効期間内か否かを判断する(ステップS56)。有効期間内でないとの判断結果の場合には変換部13は変換ルール保持部15内の変換ルールを削除して(ステップS55)次のパケットを受信する処理(ステップS51)に戻る。有効期間内であるとの判断結果の場合には変換ルール取得部12は受信されたパケット内の変換ルールを取得する(ステップS57)。変換部13は取得された変換ルールに基づいてパケットのヘッダ情報を変換する(ステップS58)。変換後のパケットは、送信部14が第2のネットワークを介して送信し、次のパケットを受信する処理(ステップS51)に戻る。
[Explanation of operation]
An example of the operation during communication of the
なお、上記処理の順序は前後していてもよい。例えば、通信装置10は、先に変換ルールの取得処理(ステップS57)を実行し、その後認証情報取得処理(ステップS52)、認証処理(ステップS53)、有効期間情報取得処理(ステップS54)を実行してもよい。
Note that the order of the above processes may be changed. For example, the
[ハードウエア構成]
通信装置10は、情報処理装置(コンピュータ)により構成可能であり、図6に例示する構成を備える。例えば、通信装置10は、内部バス65により相互に接続される、CPU(Central Processing Unit)61、メモリ62、入出力インタフェース63及び通信手段であるNIC(Network Interface Card)64等を備える。
[Hardware configuration]
The
但し、図6に示す構成は、通信装置10のハードウエア構成を限定する趣旨ではない。通信装置10は、図示しないハードウエアを含んでもよいし、必要に応じて入出力インタフェース63を備えていなくともよい。また、通信装置10に含まれるCPU等の数も図6の例示に限定する趣旨ではなく、例えば、複数のCPUが通信装置10に含まれていてもよい。
However, the configuration shown in FIG. 6 is not meant to limit the hardware configuration of the
メモリ62は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
The
入出力インタフェース63は、図示しない表示装置や入力装置のインタフェースとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
The input/
通信装置10の機能は、メモリ62に格納されたエリア管理情報データ、グループ毎位置情報データ、処理モジュールである受信プログラム、変換ルール取得プログラム、変換プログラム、認証情報取得プログラム、認証プログラム、有効期間情報取得プログラム、送信プログラム等により実現される。当該処理モジュールは、例えば、メモリ62に格納された変換プログラムをCPU61が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウエア、及び/又は、ソフトウエアで実行する手段があればよい。
The functions of the
[ハードウエアの動作]
通信装置10は、動作を開始すると、受信プログラムがメモリ62から呼び出され、CPU61にて実行状態となり、第1のネットワークを介してNIC64によりパケットを受信する。次に認証情報取得プログラムがメモリ62から呼び出されCPU61にて実行状態となり、受信したパケットのペイロード部分の情報より認証情報を取得する。次に認証プログラムがメモリ62から呼び出され、CPU61にて実行状態となり、取得された認証情報により認証処理を実行する。
[Hardware operation]
When the
認証処理の結果、認証に成功した場合には、有効期間情報取得プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。同プログラムは受信したパケットのペイロード部分の情報より有効期間情報を取得する。
As a result of the authentication processing, if the authentication is successful, the validity period information acquisition program is called from the
認証処理の結果、認証に失敗した場合には再び受信プログラムによりパケットを受信する処理に戻る。この時、認証プログラムは、メモリ62に保持されている後述する変換ルールを削除する処理を実行してもよい。
As a result of the authentication process, if the authentication fails, the receiving program returns to the process of receiving the packet. At this time, the authentication program may execute a process of deleting a later-described conversion rule held in the
次に、変換プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。変換プログラムは、取得された有効期間情報を参照し、有効期間内であるか否かを判断する。ここで有効期間外であるとの判断結果の場合には、再び受信プログラムによりパケットを受信する処理に戻る。
Next, the conversion program is called from the
有効期間情報を参照し、有効期間内であるとの判断結果が得られた場合には変換ルール取得プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。変換ルール取得プログラムは、パケットの情報から変換ルールを取得し、メモリ62の指定されたアドレスに格納する。
The valid period information is referred to, and when it is determined that the valid period is valid, the conversion rule acquisition program is called from the
変換プログラムは、メモリ62に格納された変換ルールを読み込み、変換ルールに基づいて受信されたパケットのヘッダ情報を書き換える。次に送信プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。送信プログラムは書き換えられたヘッダ情報に基づいて第2のネットワークに対してパケットを転送する。
The conversion program reads the conversion rule stored in the
[効果の説明]
本実施形態の通信装置10により、あらかじめ通信装置10に対して静的NATや、静的IPマスカレード等のパケットの転送設定をすることなく異なるネットワークにパケットを転送することが可能である。また、受信したパケット情報内の認証情報や有効期間情報に基づいてセキュリティの高い通信を行うことが可能である。
[Explanation of effect]
With the
[第2の実施形態]
第2の実施形態について、図面を用いてより詳細に説明する。第2の実施形態では通信装置10に当たるHGW(Home Gate Way)と、送信元であるPCと、プライベートネットワーク内に位置するウェブサーバの通信との一例を示す。
[Second embodiment]
A second embodiment will be described in more detail with reference to the drawings. In the second embodiment, an example of communication between an HGW (Home Gate Way) corresponding to the
図7は本実施形態に係る通信システムの概要を示す図である。本構成では、HGW200は外部ネットワークとプライベートネットワークをWANとLANで切り離しており、WANにグローバルIPアドレスを保持し、そのグローバルIPアドレスを用いてインターネットなどの外部ネットワークと通信する。ウェブサーバ250はHGWのLANに接続し、プライベートIPアドレスを1つ保持し、80番ポートで待ち受けている。PC300はパソコンであり、HGW200とウェブサーバ250から見て、外部ネットワークに設置されていて、外部ネットワークからウェブサーバ250に通信する。
FIG. 7 is a diagram showing an outline of a communication system according to this embodiment. In this configuration, the HGW 200 separates an external network and a private network with a WAN and a LAN, holds a global IP address in the WAN, and uses the global IP address to communicate with an external network such as the Internet. The
図8は本実施形態の通信システムにおけるHGW200の構成の一例を示す図である。HGW200は情報処理部201、LANポート202、WANポート203、ルーティング制御部204を具備する。情報処理部201はHGW200に搭載される各機能を制御する。LANポート202はIEEE802.3に準拠し、プライベートネットワークの通信機器と通信をおこなう。WANポート203はIEEE802.3に準拠し、インターネットなどの外部ネットワークとの通信機器と通信をおこなう。ルーティング制御部204はLANポート202やWANポート203で受信した通信の転送先を決定し、転送する。プライベートネットワークと外部ネットワークとの通信はNAPT(Network Address Port Translation)されるものとする。
FIG. 8 is a diagram showing an example of the configuration of the HGW 200 in the communication system of this embodiment. The HGW 200 comprises an
図9は本実施形態の通信システムにおけるPC300の構成の一例を示す図である。PC300は情報処理部301、LANポート302、パケット生成ツール303を具備する。情報処理部301はPC300に搭載される各機能を制御する。LANポート302はIEEE802.3に準拠し、自身が接続されたネットワークの通信機器と通信をおこなう。パケット生成ツール303は、ユーザが指定した情報を埋め込んだパケットの生成をおこなう。
FIG. 9 is a diagram showing an example of the configuration of the PC 300 in the communication system of this embodiment. The PC 300 comprises an
図10は従来技術のTCPフレーム400を示す図である。TCPフレーム400は、イーサネットヘッダ、IPヘッダ、TCPヘッダ、TCPメッセージ、CRCで構成される。イーサネットヘッダには、発信元と宛先のMACアドレスなどの情報が含まれる。IPヘッダには、発信元と宛先のIPアドレスなどの情報が含まれる。TCPヘッダには、発信元と宛先のポート番号などの情報が含まれる。TCPメッセージには、任意の情報が含まれる。CRCは誤り補正の情報が含まれる。 FIG. 10 shows a prior art TCP frame 400. As shown in FIG. A TCP frame 400 is composed of an Ethernet header, an IP header, a TCP header, a TCP message, and a CRC. The Ethernet header contains information such as source and destination MAC addresses. The IP header contains information such as source and destination IP addresses. The TCP header contains information such as source and destination port numbers. TCP messages contain arbitrary information. The CRC contains error correction information.
図11は本実施形態の通信システムにおいてPC300が生成するTCPフレームの一例を示す図である。TCPフレーム500は、イーサネットヘッダ、IPヘッダ、TCPヘッダ、TCPメッセージ、CRCで構成される。イーサネットヘッダには、発信元と宛先のMACアドレスなどの情報が含まれる。IPヘッダには、発信元と宛先のIPアドレスなどの情報が含まれる。TCPヘッダには、発信元と宛先のポート番号などの情報が含まれる。TCPメッセージには、HGW200がPC300からの通信を許可するための認証情報、HGW200に対して行いたい処理の情報及びその処理がHGW200に適用される期間、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号及び任意の情報が含まれる。CRCは誤り補正の情報が含まれる。
FIG. 11 is a diagram showing an example of a TCP frame generated by the PC 300 in the communication system of this embodiment. A TCP frame 500 is composed of an Ethernet header, an IP header, a TCP header, a TCP message, and a CRC. The Ethernet header contains information such as source and destination MAC addresses. The IP header contains information such as source and destination IP addresses. The TCP header contains information such as source and destination port numbers. The TCP message includes authentication information for the HGW 200 to permit communication from the PC 300, information on processing to be performed on the HGW 200 and the period during which the processing is applied to the HGW 200, the private IP address and port number of the
[システムの動作の説明]
図7~11を用いて本実施形態の通信システムの動作の一例を説明する。図7の構成において、PC300はHGW200のプライベートネットワーク内に設置されたウェブサーバ250にアクセスするために、パケット生成ツール303で以下の情報を含んだパケットを生成する。
[Description of system operation]
An example of the operation of the communication system according to this embodiment will be described with reference to FIGS. In the configuration of FIG. 7, PC 300 generates a packet containing the following information with packet generation tool 303 in order to access
イーサネットヘッダ:発信元MACアドレス及び宛先MACアドレス
IPヘッダ:発信元IPアドレス及び宛先IPアドレス
TCPヘッダ:発信元ポート及び宛先ポート
TCPメッセージ:
認証情報:HGW200がこの通信を許可するために必要な情報であって、例えば、HGW200が予め保持しているHGW200のWEB設定画面の認証パスワードなどを用いてもよい。
コマンド:HGW200に対して行いたい処理の情報である。今回の場合は静的IPマスカレード設定である。
コマンドの有効期間:上記の静的IPマスカレード設定がHGW200に適用される期間。今回の場合は5分とする。
ウェブサーバ250のプライベートIPアドレス及びポート番号:PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号。
CRC情報
Ethernet Header: Source MAC Address and Destination MAC Address IP Header: Source IP Address and Destination IP Address TCP Header: Source Port and Destination Port TCP Message:
Authentication information: Information necessary for the HGW 200 to permit this communication, for example, an authentication password for the WEB setting screen of the HGW 200, which the HGW 200 holds in advance, may be used.
Command: information of processing to be performed on the HGW 200 . In this case, it is a static IP masquerading setting.
Command Validity Period: The period during which the static IP masquerading settings above are applied to the HGW 200 . In this case, 5 minutes.
Private IP address and port number of web server 250 : Global IP address and port number used when PC 300 communicates with
CRC information
次にPC300は上記で生成したTCPフレーム500をHGW200のグローバルIPアドレス宛に送信する。HGW200はWANポートでTCPフレーム500を受けると、情報処理部201でTCPフレーム500のTCPメッセージに付加された情報を解析する。
Next, the PC 300 transmits the TCP frame 500 generated above to the global IP address of the HGW 200 . When the HGW 200 receives the TCP frame 500 at the WAN port, the
情報処理部201はTCPフレーム500のTCPメッセージに付加された認証情報がHGW200にあらかじめ接待されているWEBGUIのユーザIDとパスワードが一致していれば、TCPフレーム500によるHGW200への設定を許可する。
The
情報処理部201はTCPフレーム500のTCPメッセージに付加された静的IPマスカレード設定コマンド、コマンドの有効期間、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号に基づいて、ルーティング制御部204に静的IPマスカレード設定を行う。
The
PC300はウェブサーバ250にアクセスするためにHGW200のグローバルIPアドレス宛の80番ポートに通信をおこなう。HGWでは上記の通り静的IPマスカレード設定がなされているため、HGW200のグローバルIPアドレスの80番ポート宛に受信した通信はHGWのLAN側のプライベートネットワーク内にあるウェブサーバ250のプライベートIPアドレス及び指定のポート宛に転送され、PC300とウェブサーバ250の通信は実現される。
In order to access the
なお、TCPフレーム500のTCPメッセージに付加されたコマンドの有効期間が満了すれば、情報処理部201はルーティング制御部204から、静的IPマスカレード設定情報を削除する。
Note that when the valid period of the command added to the TCP message of the TCP frame 500 expires, the
[効果の説明]
インターネットなどの外部ネットワークから自宅のプライベートネットワーク内に設置しているウェブサーバなどに、HGWに予め静的IPマスカレード設定などの外部からの通信を許可するルーティング設定をしていなくても、外部からHGWに静的IPマスカレード設定などのルーティング設定を行うことで外部からプライベートネットワーク内にある機器への通信を可能とする。また、HGWに予め静的IPマスカレード設定などのルーティング設定を行う場合は、常に指定されたポートが開放状態になってしまいセキュリティ的に脆弱となってしまうが、本発明を用いることで、HGWに静的IPマスカレード設定などのルーティングを通信が行う都度実施することで、HGWにポートを常時開放することなく、外部からプライベートネットワーク内にある機器への通信を可能とする。
[Explanation of effect]
Even if the HGW does not have a routing setting such as a static IP masquerade setting that permits external communication from an external network such as the Internet to a web server installed in the home private network, By performing routing settings such as static IP masquerade settings on the IP address, it is possible to communicate from the outside to devices in the private network. In addition, when routing settings such as static IP masquerade settings are performed in the HGW in advance, the specified port is always open and security is vulnerable. By performing routing such as static IP masquerade setting each time communication is performed, it is possible to communicate from the outside to devices in the private network without always opening the port to the HGW.
[第3の実施形態]
本実施形態の通信システムは、図13のPC700が、図7のウェブサーバ250との通信開始時のみに図11で示すようなTCPフレームで静的IPマスカレード情報を図12のHGW600に1度だけ通知するのではなく、PC700がウェブサーバ250宛に通信を行う際は、もともとのイーサネットフレームに加えて、図11のTCPメッセージに示すような静的IPマスカレード設定などの制御情報を常にイーサネットフレームに付加することで、プライベートネットワーク内にあるウェブサーバ250と外部ネットワークにあるPC700との通信を可能とする。
[Third embodiment]
In the communication system of this embodiment, PC 700 in FIG. 13 sends static IP masquerade information to HGW 600 in FIG. When the PC 700 communicates with the
図7の構成において、図13のPC700のウェブブラウザなどから図12のHGW600のプライベートネットワーク内に設置されたウェブサーバ250にアクセスを試みるため、情報処理部701からHGW600のグローバルIPアドレスの80番ポート宛に図10に示すような一般的なTCPフレーム400を送信する。
In the configuration of FIG. 7, in order to attempt to access the
PC700により送信されたTCPフレーム400は、パケット加工部703に渡され、もともと含まれていたTCPメッセージに加え、ここでTCPメッセージに図11に示す認証情報、コマンド発信元IPアドレス、宛先プライベートIPアドレス、発信元ポート、宛先ポートを付加する。
The TCP frame 400 transmitted by the PC 700 is passed to the
次に、PC700は生成したTCPフレーム500をHGW600のグローバルIPアドレス宛に送信する。HGW600はWANポートでTCPフレーム500を受けると、情報処理部601でTCPフレーム500のTCPメッセージに付加された情報を解析する。情報処理部601はTCPフレーム500のTCPメッセージに付加された認証情報がHGW600にあらかじめ設定されているWEBGUIのユーザIDとパスワードが一致していれば、TCPフレーム500によるHGW600への設定を許可する。
Next, PC 700 transmits the generated TCP frame 500 to the global IP address of HGW 600 . When the HGW 600 receives the TCP frame 500 at the WAN port, the
続いて、情報処理部601はTCPフレーム500のTCPメッセージに付加された静的IPマスカレード設定コマンド、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC700がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号に基づいて、TCPフレーム500をパケット加工部605に転送する。
Subsequently, the
このときTCPフレーム500はパケット加工部605に渡され、PC700のパケット加工部703で付与された、認証情報やコマンド情報などのデータを削除する。従って、TCPフレーム500は図10で示すようなTCPフレーム400のような一般的なTCPフレームになる。
At this time, the TCP frame 500 is passed to the packet processing unit 605, and data such as authentication information and command information added by the
パケット加工部605は、上述のTCPフレームをLANポート602を介して、ウェブサーバ250に転送する。上記の手順でPC700とウェブサーバ250の通信は実現される。
Packet processing unit 605 transfers the above-described TCP frame to
[効果の説明]
本手順を用いれば、通信が発生するたびに静的IPマスカレードなどのルーティング設定が実行されるため、第2の実施形態の通信システムよりも外部ネットワークにポートを開放している時間を短くできるため、セキュリティレベルが向上するといった効果を有する。
[Explanation of effect]
By using this procedure, routing settings such as static IP masquerading are executed each time communication occurs, so the time during which the port is open to the external network can be shortened compared to the communication system of the second embodiment. , the security level is improved.
上記の実施形態の一部又は全部は、以下のようにも記載され得るが、以下には限られな
い。
[形態1]
上述の第一の視点に係る通信装置のとおりである。
[形態2]
前記変換ルール取得部で取得された前記変換ルールを保持する変換ルール保持部をさらに有し、前記変換部は前記変換ルール保持部に保持されている前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する、好ましくは形態1の通信装置。
[形態3]
前記パケットを参照して送信元を認証するための認証情報を取得する認証情報取得部と、前記認証情報により認証を実行する認証部と、をさらに有し、前記変換部は前記認証部での認証結果に応じて前記変換を行うか否かを判断する、好ましくは形態1又は2の通信装置。
[形態4]
前記パケットを参照して前記変換を実行する期間を定める情報である有効期間情報を取得する有効期間情報取得部を有し、
前記変換部は前記有効期間情報取得部が取得した前記有効期間情報に応じて前記変換を行うか否かを判断する、好ましくは形態1から3のいずれか一の通信装置。
[形態5]
前記変換部は、前記認証部における認証結果が失敗であった場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、好ましくは形態2に従属する形態3の通信装置。
[形態6]
前記変換部は、前記有効期間情報取得部が取得した有効期間情報内の有効期間を徒過している場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、好ましくは形態2に従属する形態4の通信装置。
[形態7]
前記変換ルール取得部は、送信元のアドレスと送信先のアドレスとを対応付けた情報が含まれる前記変換ルールを取得し、
前記変換部は送信元のアドレス情報に応じて前記変換を行う、好ましくは形態1から6のいずれか一の通信装置。
[形態8]
前記変換ルール取得部は、前記受信部にて前記パケットを受信したポート番号と送信先のアドレス及びポート番号とを対応付けた情報が含まれる前記変換ルールを取得し、前記変換部は前記パケットを受信したポート番号に応じて前記変換を行う、好ましくは形態1から7のいずれか一の通信装置。
[形態9]
前記パケットのペイロード部分に前記変換ルールと、前記認証情報と、前記有効期間情報との少なくとも一が含まれる、好ましくは形態1から8のいずれか一の通信装置。
[形態10]
上述の第二の視点に係る通信方法のとおりである。
[形態11]
上述の第三の視点に係るプログラムのとおりである。
なお、形態10及び形態11は、形態1と同様に、形態2~形態9に展開することが可能である。
Some or all of the above embodiments may also be described as follows, but are not limited to the following.
[Mode 1]
This is the same as the communication device according to the first aspect described above.
[Mode 2]
further comprising a conversion rule holding unit holding the conversion rule acquired by the conversion rule acquisition unit, wherein the conversion unit stores header information of the packet based on the conversion rule held in the conversion rule holding unit; A communications device, preferably of Form 1, for performing transformations.
[Mode 3]
further comprising: an authentication information acquisition unit that acquires authentication information for authenticating a transmission source by referring to the packet; and an authentication unit that performs authentication based on the authentication information, wherein the conversion unit performs authentication in the authentication unit. Preferably, the communication device according to form 1 or 2, which determines whether or not to perform the conversion according to an authentication result.
[Mode 4]
a validity period information acquisition unit that acquires validity period information that is information that defines a period for executing the conversion by referring to the packet;
Preferably, the communication device according to any one of modes 1 to 3, wherein the converting unit determines whether to perform the conversion according to the valid period information acquired by the valid period information acquiring unit.
[Mode 5]
Preferably, the communication device of form 3 dependent on form 2, wherein the conversion unit deletes the conversion rule held in the conversion rule holding unit when the authentication result in the authentication unit is a failure.
[Mode 6]
The conversion unit deletes the conversion rule held in the conversion rule holding unit when the validity period in the validity period information acquired by the validity period information acquisition unit has expired, preferably form 2 A communication device of form 4 dependent on.
[Mode 7]
The conversion rule acquisition unit acquires the conversion rule including information that associates a source address and a destination address,
7. Preferably, the communication device according to any one of modes 1 to 6, wherein the conversion unit performs the conversion according to source address information.
[Mode 8]
The conversion rule acquisition unit acquires the conversion rule including information that associates a port number at which the packet was received by the reception unit with a destination address and port number, and the conversion unit converts the packet into 8. The communication device, preferably according to any one of aspects 1 to 7, wherein said conversion is performed according to the received port number.
[Mode 9]
9. The communication device, preferably according to any one of aspects 1 to 8, wherein a payload portion of said packet includes at least one of said transformation rule, said authentication information and said validity period information.
[Form 10]
This is the communication method according to the second aspect described above.
[Mode 11]
This is the same as the program related to the third viewpoint mentioned above.
It should be noted that
なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(特許請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、特許請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。 The disclosures of the cited patent documents and the like are incorporated herein by reference. Within the framework of the full disclosure of the present invention (including the scope of claims), modifications and adjustments of the embodiments and examples are possible based on the basic technical concept thereof. Also, various combinations or selections of various disclosure elements (including each element of each claim, each element of each embodiment or example, each element of each drawing, etc.) within the framework of the full disclosure of the present invention (including partial deletion) is possible. That is, the present invention naturally includes various variations and modifications that can be made by those skilled in the art according to the entire disclosure including claims and technical ideas. In particular, any numerical range recited herein should be construed as specifically recited for any numerical value or subrange within that range, even if not otherwise stated.
10 通信装置
11 受信部
12 変換ルール取得部
13 変換部
14 送信部
15 変換ルール保持部
16 認証情報取得部
17 認証部
18 有効期間情報取得部
61 CPU(Central Processing Unit)
62 メモリ
63 入出力インタフェース
64 NIC(Network Interface Card)
65 内部バス
200、600 HGW(Home Gate Way)
201、601 情報処理部
202 LANポート
203、603 WAN(Wide Area Network)ポート
204、604 ルーティング制御部
250 ウェブサーバ
300、700 PC(Personal Computer)
301、701 情報処理部
302、602、702 LAN(Local Area Network)ポート
303 パケット生成ツール
400、500 TCPフレーム
605、703 パケット加工部
10
62
65 internal bus 200, 600 HGW (Home Gate Way)
201, 601 Information processing section 202 LAN ports 203, 603 WAN (Wide Area Network) ports 204, 604
301, 701
Claims (10)
前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する変換ルール取得部と、
前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する変換部と、
前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する送信部と、
を有する通信装置。 a receiver that receives packets transmitted over a first network;
a conversion rule acquisition unit that acquires a conversion rule that is a rule for converting header information of the packet by referring to the packet;
a conversion unit that converts the header information of the packet based on the conversion rule;
a transmitting unit configured to transmit packets to a second network based on translated header information of the packets;
A communication device having
前記変換部は前記変換ルール保持部に保持されている前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する、
請求項1の通信装置。 further comprising a conversion rule holding unit that holds the conversion rule acquired by the conversion rule acquisition unit;
the conversion unit executes conversion of header information of the packet based on the conversion rule held in the conversion rule holding unit;
2. The communication device of claim 1.
前記認証情報により認証を実行する認証部と、
をさらに有し、
前記変換部は前記認証部での認証結果に応じて前記変換を行うか否かを判断する、
請求項1又は2の通信装置。 an authentication information acquisition unit that acquires authentication information for authenticating a sender by referring to the packet;
an authentication unit that performs authentication using the authentication information;
further having
the conversion unit determines whether to perform the conversion according to the authentication result of the authentication unit;
3. A communication device according to claim 1 or 2.
前記変換部は前記有効期間情報取得部が取得した前記有効期間情報に応じて前記変換を行うか否かを判断する、
請求項1から3のいずれか一の通信装置。 a validity period information acquisition unit that acquires validity period information that is information that defines a period for executing the conversion by referring to the packet;
the conversion unit determines whether to perform the conversion according to the validity period information acquired by the validity period information acquisition unit;
A communication device according to any one of claims 1 to 3.
請求項2に従属する請求項3の通信装置。 The conversion unit deletes the conversion rule held in the conversion rule holding unit when the authentication result in the authentication unit is unsuccessful.
The communication device of claim 3 when dependent on claim 2.
請求項2に従属する請求項4の通信装置。 The conversion unit deletes the conversion rule held in the conversion rule holding unit when the validity period in the validity period information acquired by the validity period information acquisition unit has expired.
A communication device as claimed in claim 4 when dependent on claim 2.
前記変換部は送信元のアドレス情報に応じて前記変換を行う、
請求項1から6のいずれか一の通信装置。 The conversion rule acquisition unit acquires the conversion rule including information that associates a source address and a destination address,
the conversion unit performs the conversion according to the address information of the transmission source;
7. A communication device according to any one of claims 1-6.
前記変換部は前記パケットを受信したポート番号に応じて前記変換を行う、
請求項1から7のいずれか一の通信装置。 The conversion rule acquisition unit acquires the conversion rule including information that associates a port number at which the packet was received by the reception unit with a destination address and port number,
The conversion unit performs the conversion according to the port number that received the packet.
Communication device according to any one of claims 1 to 7.
前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得するステップと、
前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行するステップと、
前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信するステップと、
を含む通信方法。 receiving packets transmitted over a first network;
obtaining a conversion rule, which is a rule for converting header information of the packet by referring to the packet;
performing conversion of header information of the packet based on the conversion rule;
transmitting a packet to a second network based on the translated header information of the packet;
communication methods, including
前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する処理と、
前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する処理と、
前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する処理と、
をコンピュータに実行させるためのプログラム。 a process of receiving packets transmitted over a first network;
A process of referring to the packet and obtaining a conversion rule that is a rule for converting the header information of the packet;
a process of converting the header information of the packet based on the conversion rule;
transmitting a packet to a second network based on the translated header information of the packet;
A program that causes a computer to run
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021184974A JP2023072425A (en) | 2021-11-12 | 2021-11-12 | Communication device, communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021184974A JP2023072425A (en) | 2021-11-12 | 2021-11-12 | Communication device, communication method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023072425A true JP2023072425A (en) | 2023-05-24 |
Family
ID=86424445
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021184974A Pending JP2023072425A (en) | 2021-11-12 | 2021-11-12 | Communication device, communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023072425A (en) |
-
2021
- 2021-11-12 JP JP2021184974A patent/JP2023072425A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8615604B2 (en) | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change | |
US8488569B2 (en) | Communication device | |
JP5050849B2 (en) | Remote access system and its IP address assignment method | |
US8363650B2 (en) | Method and systems for routing packets from a gateway to an endpoint | |
US7460488B2 (en) | Method and apparatus for router port configuration | |
US20090165091A1 (en) | Method and system for network access and network connection device | |
JP6118122B2 (en) | COMMUNICATION DEVICE, ITS CONTROL METHOD, PROGRAM | |
WO2009093308A1 (en) | Connection control method, connection control server device, connection control client device, and program | |
JP3858884B2 (en) | Network access gateway, network access gateway control method and program | |
JP4429059B2 (en) | Communication control method and program, communication control system, and communication control related apparatus | |
JP3970857B2 (en) | Communication system, gateway device | |
US10805260B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
JP2017010388A (en) | Http server and control method for the same, image forming apparatus, and program | |
JP2023072425A (en) | Communication device, communication method, and program | |
JP4921864B2 (en) | Communication control device, authentication system, and communication control program | |
JP4376094B2 (en) | Wireless communication device | |
JP3935823B2 (en) | HTTP session tunneling system, method thereof, and program thereof | |
WO2016189884A1 (en) | Packet relay apparatus and packet relay method | |
JP2010050750A (en) | Communication terminal, communication control method, communication control program, and communication system | |
WO2022127663A1 (en) | Wireless broadband router, message processing method and apparatus, and domain name resolution method and apparatus | |
JP4480605B2 (en) | Network, router apparatus, private address communication method used therefor, and program thereof | |
JP2007329791A (en) | Gateway device | |
TWI608749B (en) | Method for controlling a client device to access a network device, and associated control apparatus | |
JP6435002B2 (en) | COMMUNICATION DEVICE, ITS CONTROL METHOD, PROGRAM | |
JP2018157513A (en) | Communication control device, communication control system, communication control method, and communication control program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230301 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240319 |