JPWO2018173099A1 - Gateway and relay method - Google Patents
Gateway and relay method Download PDFInfo
- Publication number
- JPWO2018173099A1 JPWO2018173099A1 JP2019506569A JP2019506569A JPWO2018173099A1 JP WO2018173099 A1 JPWO2018173099 A1 JP WO2018173099A1 JP 2019506569 A JP2019506569 A JP 2019506569A JP 2019506569 A JP2019506569 A JP 2019506569A JP WO2018173099 A1 JPWO2018173099 A1 JP WO2018173099A1
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unit
- authentication
- source address
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
サーバゲートウェイ(130)は、認証された送信元アドレスを特定することのできるフィルタテーブルを記憶するフィルタテーブル記憶部(133)と、IPv6インターネットから、IPv6に対応したIPv6パケットを受信するIPv6通信部(131)と、IPv6パケットの送信元アドレスであるIPv6アドレスが、認証された送信元アドレスに一致するか否かを判断する第1INPUTフィルタ部(132)と、そのIPv6アドレスが、認証された送信元アドレスに一致する場合に、IPv6パケットを、IPv4に対応したIPv4パケットに変換するアドレス変換部(137)と、IPv4パケットをIPv4インターネットに送信するIPv4通信部(140)とを備える。The server gateway (130) includes a filter table storage unit (133) that stores a filter table that can specify an authenticated source address, and an IPv6 communication unit that receives an IPv6 packet corresponding to IPv6 from the IPv6 Internet ( 131), the first INPUT filter unit (132) for determining whether or not the IPv6 address that is the source address of the IPv6 packet matches the authenticated source address, and the IPv6 address is the authenticated source An address conversion unit (137) that converts an IPv6 packet into an IPv4 packet corresponding to IPv4 and an IPv4 communication unit (140) that transmits the IPv4 packet to the IPv4 Internet when the addresses match.
Description
本発明は、ゲートウェイ及び中継方法に関し、特に、プロトコルの変換を行うゲートウェイ及び中継方法に関する。 The present invention relates to a gateway and a relay method, and more particularly to a gateway and a relay method that perform protocol conversion.
IoT(Internet of Things)により、従来インターネットに接続する必要のなかった多くの機器をインターネットに接続する必要がでてきている。一方で、通常、インターネット接続に使われているIPv4(Internet Protocol Version 4)アドレスはすでに枯渇している。 With IoT (Internet of Things), it has become necessary to connect many devices that did not need to be connected to the Internet to the Internet. On the other hand, the IPv4 (Internet Protocol Version 4) address normally used for Internet connection has already been exhausted.
キャリア(プロバイダ)側で、NAT(Network Address Translation)を動作させ、機器側にはローカルIPv4アドレスを配布することで、このような状況に対処を行っているが、このような対処では、増大する一方の機器に対し、限界がある。 The carrier (provider) side operates NAT (Network Address Translation) and distributes the local IPv4 address to the device side to deal with such a situation. However, such a countermeasure increases. There is a limit to one device.
そのため、インターネット接続は、IPv4ではなく、アドレス空間が広大なIPv6(Internet Protocol Version 6)を使用することが始まっている。一方で、機器が接続する先のサーバは、IPv4のままの場合が多く、IPv6移行への障害となっている。 For this reason, the Internet connection has started using IPv6 (Internet Protocol Version 6), which has a large address space, instead of IPv4. On the other hand, the server to which the device is connected often remains IPv4, which is an obstacle to IPv6 migration.
RFC 6877−464XLATには、IPv4アドレスを有する、ユーザ側の機器が、IPv6に対応したインターネットを介して、IPv4アドレスを有する、プロバイダ側のサーバに接続することのできるアーキテクチャが記載されている。 RFC 6877-464XLAT describes an architecture in which a user-side device having an IPv4 address can connect to a provider-side server having an IPv4 address via the Internet corresponding to IPv6.
RFC 6877−464XLATによれば、ユーザ側に設置されたCLAT(customer−side translator)が、RFC6145に準拠したアドレス変換技術により、ユーザ側機器のプライベートIPv4アドレスを、グローバルIPv6アドレスに変換する。そして、プロバイダ側に設置されたPLAT(provider−side translator)が、RFC6146に準拠したアドレス変換技術により、グローバルIPv6アドレスを、グローバルIPv4アドレスに変換する。 According to RFC 6877-464XLAT, a CLAT (customer-side translator) installed on the user side converts the private IPv4 address of the user side device into a global IPv6 address by an address translation technology compliant with RFC6145. Then, a provider-side translator (PLAT) installed on the provider side converts the global IPv6 address into a global IPv4 address by using an address translation technology compliant with RFC6146.
このようなアーキテクチャにより、IPv6に対応したインターネットを介して、IPv4アドレスしか割り当てられていない機器及びサーバ間の通信を行うことができる。
なお、ユーザ側の機器にIPv6アドレスが割り当てられている場合でも、プロバイダ側には、IPv6アドレスをIPv4アドレスに変換する装置が必要となる。With such an architecture, communication between devices and servers to which only IPv4 addresses are assigned can be performed via the Internet corresponding to IPv6.
Even when an IPv6 address is assigned to a user-side device, a device that converts an IPv6 address into an IPv4 address is required on the provider side.
IPv6アドレスをIPv4アドレスに変換する装置としては、RFC6146−Stateful NAT64に準拠したNAT64が使われる。NAT64は、通常のNATと似た動作を行う。NAT64は、IPv6側からパケットを受け取ると、BIB(Binding Information Base)エントリと呼ばれる変換用のキャッシュを作成し、元のIPv6アドレスと変換先のIPv4アドレスを記録し、パケットのIPv6ヘッダをIPv4ヘッダに変換する。
NAT64がIPv4側からパケットを受け取った場合、該当する変換用のキャッシュが存在すると、キャッシュに記述されている元のIPv6アドレスを取り出し、IPv4ヘッダをIPv6ヘッダに変換する。変換キャッシュが存在しない場合、NAT64は、受け取ったIPv4パケットを破棄する。As a device for converting an IPv6 address into an IPv4 address, NAT64 conforming to RFC6146-Stateful NAT64 is used. The NAT 64 performs an operation similar to normal NAT. When the NAT 64 receives a packet from the IPv6 side, the NAT 64 creates a translation cache called a BIB (Binding Information Base) entry, records the original IPv6 address and the destination IPv4 address, and records the IPv6 header of the packet in the IPv4 header. Convert.
When the NAT 64 receives a packet from the IPv4 side, if the corresponding cache for conversion exists, the original IPv6 address described in the cache is extracted, and the IPv4 header is converted into an IPv6 header. If there is no translation cache, the NAT 64 discards the received IPv4 packet.
これは、IPv6側が通常のNATの内側に相当し、IPv4側が外側に相当する動作である。このような構成では、IPv6側はインターネットであるため、NAT64は、不特定多数のIPv6アドレスからパケットを受信しうる。IPv6側に制限をかけていない場合、NAT64は、無制限にIPv4アドレスへの変換を行おうとするため、NAT64のCPU(Central Processing Unit)及びメモリといったハードウェアリソースの他に、IPv4アドレスリソースを浪費することになる。
また、リソースを浪費しない場合でも、NAT64が、IPv6インターネットからIPv4側の他の装置を攻撃する際の踏み台に利用されるおそれがある。In this operation, the IPv6 side corresponds to the inside of the normal NAT, and the IPv4 side corresponds to the outside. In such a configuration, since the IPv6 side is the Internet, the NAT 64 can receive packets from an unspecified number of IPv6 addresses. If there is no restriction on the IPv6 side, the NAT64 tries to convert to an IPv4 address without restriction, and therefore, in addition to hardware resources such as the CPU (Central Processing Unit) and memory of the NAT64, the IPv4 address resource is wasted. It will be.
Even if resources are not wasted, NAT64 may be used as a platform when attacking other devices on the IPv4 side from the IPv6 Internet.
以上のような、NATを介したネットワークへの不正なアクセスを防止するために、特許文献1には、ローカルネットワークに接続された電子機器の型名(メーカ名及び製品型名)を用いた認証が成功するまで、ローカルネットワーク内のプライベートアドレスをグローバルアドレスへ変換しないルータが記載されている。
In order to prevent unauthorized access to the network via NAT as described above,
また、特許文献2には、ローカルネットワークに接続された端末の認証を行い、その端末のパケットを、IPv6ネットワークを経由して、IPv4ネットワークに送信する技術が記載されている。
特許文献2に記載されている技術では、認証サーバが、ローカルネットワークに接続された端末の認証を行い、認証に成功した場合には、ローカルネットワークとIPv6ネットワークとを接続するカスタマーエッジルータに、IPv6ネットワークとIPv4ネットワークとを接続するボーダールータのアドレスを、終点アドレスとして通知する。終点アドレスが通知されたカスタマーエッジルータは、端末から受信したIPv4パケットをIPv6ヘッダでカプセル化して、カプセル化されたIPv6パケットを終点アドレス宛に送信する。ボーダールータは、終点アドレスに到達したパケットを正規ユーザからのパケットであると判断して、認証を行わずデカプセル化及び転送を行う。
In the technique described in
特許文献1に記載されたルータは、ローカルネットワークからグローバルネットワークへのアクセスを制限するものとなっており、また、電子機器の型名を用いて認証を行っており、電子機器の型名を取得できない場合には、認証を行うことができない。
The router described in
特許文献2に記載されたボーダールータは、認証結果を受け取らないため、認証結果に応じて通信の遮断及び解放を動的に行うことができない。
また、特許文献2に記載された技術では、IPv6ネットワークが、回線業者、ISP(Internet Service Probide)内で閉じており、不特定多数に公開されていることを前提としていない。そのため、特許文献2に記載された技術は、ボーダールータ自体が攻撃されることを想定していない。
さらに、IPv4パケットをIPv6ネットワーク経由で通信するプロトコルとして、特許文献2に記載された技術は、トンネリングを使用することを前提としており、NATを用いることは考慮されていない。
加えて、特許文献2に記載された認証サーバは、通信先アドレスを返すことを第1の目的としており、通信の開始及び停止といったアカウンティングの概念を持っていない。Since the border router described in
In the technique described in
Furthermore, as a protocol for communicating IPv4 packets via an IPv6 network, the technique described in
In addition, the authentication server described in
そこで、本発明は、許可された機器のみが、第1のネットワークを介して、第2のネットワークにアクセスすることができるようにすることを目的とする。 Therefore, an object of the present invention is to allow only authorized devices to access the second network via the first network.
本発明の一態様に係るゲートウェイは、第1のプロトコルに対応した第1のネットワーク及び当該第1のプロトコルとは異なる第2のプロトコルに対応した第2のネットワークに接続され、当該第1のプロトコル及び当該第2のプロトコルとの間でプロトコル変換を行うゲートウェイであって、認証された送信元アドレスを特定することのできるフィルタ情報を記憶するフィルタ情報記憶部と、前記第1のネットワークから、前記第1のプロトコルに対応した第1のパケットを受信する第1の通信部と、前記第1のパケットの送信元アドレスである第1の送信元アドレスが、前記認証された送信元アドレスに一致するか否かを判断するフィルタ部と、前記第1の送信元アドレスが、前記認証された送信元アドレスに一致する場合に、前記第1のパケットを、前記第2のプロトコルに対応した第2のパケットに変換する変換部と、前記第2のパケットを前記第2のネットワークに送信する第2の通信部と、を備えることを特徴とする。 The gateway according to one aspect of the present invention is connected to a first network corresponding to the first protocol and a second network corresponding to a second protocol different from the first protocol, and the first protocol And a gateway that performs protocol conversion between the second protocol, a filter information storage unit that stores filter information that can identify an authenticated source address, and the first network, The first communication unit that receives the first packet corresponding to the first protocol and the first source address that is the source address of the first packet match the authenticated source address. A filter unit for determining whether or not the first transmission source address matches the authenticated transmission source address. A conversion unit that converts a packet into a second packet that corresponds to the second protocol, and a second communication unit that transmits the second packet to the second network. .
本発明の一態様に係る中継方法は、第1のプロトコルに対応した第1のネットワークから、当該第1のプロトコルに対応した第1のパケットを受信し、前記第1のパケットの送信元アドレスが、認証された送信元アドレスに一致する場合に、前記第1のパケットを、前記第1のプロトコルとは異なる第2のプロトコルに対応した第2のパケットに変換し、前記第2のパケットを前記第2のプロトコルに対応した第2のネットワークに送信することを特徴とする。 In the relay method according to one aspect of the present invention, a first packet corresponding to the first protocol is received from a first network corresponding to the first protocol, and a transmission source address of the first packet is The first packet is converted to a second packet corresponding to a second protocol different from the first protocol when the authenticated source address is matched, and the second packet is converted to the second packet It transmits to the 2nd network corresponding to a 2nd protocol, It is characterized by the above-mentioned.
本発明の一態様によれば、第1のネットワークから、第2のネットワークへのアクセスを制御することで、許可された機器のみが、第1のネットワークを介して、第2のネットワークにアクセスすることができる。 According to one aspect of the present invention, by controlling access from the first network to the second network, only authorized devices access the second network via the first network. be able to.
実施の形態1.
図1は、実施の形態1に係る通信システム100の構成を概略的に示すブロック図である。
通信システム100は、機器110と、IoTゲートウェイ120と、サーバゲートウェイ130と、サーバ150とを備える。
IoTゲートウェイ120及びサーバゲートウェイ130は、IPv6に準拠したインターネットであるIPv6インターネット101に接続されており、サーバゲートウェイ130及びサーバ150は、IPv4に準拠したインターネットであるIPv4インターネット102に接続されている。
FIG. 1 is a block diagram schematically showing a configuration of a
The
The
ここでは、IPv6を第1のプロトコル、IPv4を第2のプロトコル、IPv6インターネット101を第1のネットワーク及びIPv4インターネット102を第2のネットワークともいう。
Here, IPv6 is also referred to as a first protocol, IPv4 as a second protocol,
機器110は、IPv4に従って通信を行う。機器110は、ネットワークに接続するものであれば、どのようなものであってもよい。例えば、機器110は、PC(Personal Computer)等の情報処理装置、テレビ、冷蔵庫、洗濯機及びエアコン等の家電機器、並びに、温度、湿度及び速度等の物理量を検出するセンサー機器といったあらゆるものである。
IoTゲートウェイ120は、IPv4とIPv6との間のプロトコル変換を行う。例えば、IoTゲートウェイ120は、RFC6145に準拠したアドレス変換技術により、機器110のプライベートIPv4アドレスと、グローバルIPv6アドレスとの変換を行う。
サーバゲートウェイ130は、IPv4とIPv6との間のプロトコル変換を行う。例えば、サーバゲートウェイ130は、RFC6146に準拠したアドレス変換技術により、グローバルIPv6アドレスと、グローバルIPv4アドレスとの変換を行う。なお、サーバゲートウェイ130でパケットを中継する方法が、実施の形態1における中継方法である。
サーバ150は、IPv4に従って通信を行う。The
The
The
The
図2は、実施の形態1におけるサーバゲートウェイ130の構成を概略的に示すブロック図である。
サーバゲートウェイ130は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部134と、認証データベース(以下、認証DBという)135と、アカウントデータベース(以下、アカウントDBという)136と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。FIG. 2 is a block diagram schematically showing the configuration of the
The
IPv6通信部131は、IPv6インターネット101との間で通信を行う。例えば、IPv6通信部131は、IPv6インターネット101から、IPv6に対応したIPv6パケットを受信し、そのIPv6パケットを第1INPUTフィルタ部132に与える。
ここでは、IPv6通信部131で受信されたIPv6パケットを第1のパケットともいい、IPv6通信部131を第1の通信部ともいう。The
Here, the IPv6 packet received by the
第1INPUTフィルタ部132は、IPv6通信部131から与えられたIPv6パケットのフィルタリング処理を行う。
例えば、第1INPUTフィルタ部132には、認証及びアカウントの作成に使用されるパケットである認証アカウント用パケットを除く全てのパケットを通過させないように初期設定が行われている。第1INPUTフィルタ部132は、認証アカウント用パケットについては、無条件に通過させる。
そして、認証に成功した場合には、第1INPUTフィルタ部132を通過させるIPv6アドレスがフィルタテーブル記憶部133に記憶されているフィルタテーブルに登録される。このため、第1INPUTフィルタ部132は、認証アカウント用パケット以外のIPv6パケットについては、送信元IPv6アドレスがフィルタテーブルに登録されたものと一致するか否かを判断し、一致する場合のみ、通過させる。なお、第1INPUTフィルタ部132は、一致しない場合には、そのIPv6パケットを破棄する。The first
For example, the first
When the authentication is successful, the IPv6 address that passes through the first
なお、第1INPUTフィルタ部132を通過した認証アカウント用パケットについては、認証処理部134に与えられ、第1INPUTフィルタ部132を通過した、認証アカウント用パケット以外のIPv6パケットについては、アドレス変換部137に与えられる。
また、第1INPUTフィルタ部132は、認証及びアカウントの攻撃(ブルートフォース攻撃等)に備え、無条件に認証アカウント用パケットを通過させるのでなく、一定以下の受信レートになるように、認証アカウント用パケットを間引いてもよい。
なお、第1INPUTフィルタ部132を、単に、フィルタ部ともいう。The authentication account packet that has passed through the first
In addition, the first
The first
フィルタテーブル記憶部133は、認証に成功した場合に、第1INPUTフィルタ部132が通過させるIPv6アドレスを登録するフィルタテーブルを記憶する。フィルタテーブルに登録されているIPv6アドレスは、認証された送信元アドレスである。
ここで、フィルタテーブルをフィルタ情報ともいい、フィルタテーブル記憶部133をフィルタ情報記憶部ともいう。The filter
Here, the filter table is also referred to as filter information, and the filter
認証処理部134は、第1INPUTフィルタ部132を通過した認証アカウント用パケットに基づいて、その送信元の認証及びその送信元との通信するためのアカウントの作成を行う処理部である。
認証プロトコルは、RADIUS(Remote Authentication Dial In User Service)、RADIUSの後継であるDIAMETER及びTACACS+等があるが、これらに限られない。The authentication processing unit 134 is a processing unit that performs authentication of the transmission source and creation of an account for communication with the transmission source based on the authentication account packet that has passed through the first
Authentication protocols include, but are not limited to, RADIUS (Remote Authentication Dial In User Service), DIAMETER and TACACS +, which are successors of RADIUS.
IoTゲートウェイ120は、サーバゲートウェイ130とのIPv6通信を開始する際に、認証アカウント用パケットとして、認証要求パケットを送信する。
認証要求パケットのオプションとして、IoTゲートウェイ120に接続されている、これからパケットを送信しようとするIPv4機器である機器110の識別情報が付加される。この識別情報として、機器110のIPv4アドレスをIoTゲートウェイがIPv6アドレスに変換したものが使用される。When starting IPv6 communication with the
As an option of the authentication request packet, identification information of the
図3は、機器110のIPv4アドレスから変換されたIPv6アドレスを示す概略図である。
IPv6アドレス160は、IPv6プレフィックス160aと、インタフェース識別子160bとを備える。
IPv6プレフィックス160aは、ネットワークにおける位置を示す。このため、IPv6アドレス160では、IPv6プレフィックス160aのみで、IoTゲートウェイ120のIPv6インターネット101における位置を特定できる場合が多い。
インタフェース識別子160bは、ローカルネットワークにおいて、個々の機器を識別するために利用される。インタフェース識別子160bの下位32ビットには、オプションとしてIPv6アドレスに変換される前のIPv4アドレスを付加することができる。
なお、認証要求パケットにオプションを付加することができない場合は、機器110の識別情報(IPv4アドレス)は省略されてもよい。FIG. 3 is a schematic diagram showing an IPv6 address converted from the IPv4 address of the
The
The
The
If an option cannot be added to the authentication request packet, the identification information (IPv4 address) of the
図2に戻り、第1INPUTフィルタ部132から認証要求パケットを受け取ると、認証処理部134は、認証DB135を参照して、認証成功か否かを判断する。例えば、認証要求パケットに、機器110又はIoTゲートウェイ120のIPv6アドレスが含まれている場合には、認証処理部134は、このIPv6アドレスに対し、認証の成否を判断する。
そして、認証処理部134は、その判断結果を、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、IoTゲートウェイ120に応答する。例えば、認証処理部134は、認証に成功した場合には、認証の成功を示す認証成功パケットを応答し、認証に失敗した場合には、認証の失敗を示す認証失敗パケットを応答する。Returning to FIG. 2, when the authentication request packet is received from the first
Then, the authentication processing unit 134 responds the determination result to the
認証処理部134は、認証成功パケットをIoTゲートウェイ120に送信する際に、サーバゲートウェイ130の第1INPUTフィルタ部132のフィルタを解放する。第1INPUTフィルタ部132のフィルタを解放する際は、認証要求パケットのオプションに付加されている、機器110の送信元アドレスであるIPv6アドレスを通過させるように、そのIPv6アドレスを特定することのできるレコード(項目)をフィルタテーブル記憶部133に記憶されているフィルタテーブルに登録(追加)する。
The authentication processing unit 134 releases the filter of the first
認証処理部134は、認証要求パケットにオプションが存在しない場合は、認証成功時に、IoTゲートウェイ120のIPv6アドレスのプレフィックスに対し、サーバゲートウェイ130の第1INPUTフィルタ部132のフィルタを解放してもよい。IoTゲートウェイ120のIPv6アドレスは、認証要求パケットの送信元アドレスから入手できる。このような場合には、認証処理部134は、認証に成功したIoTゲートウェイ120のIPv6ブレフィックスをフィルタテーブルに登録する。これにより、送信元のIPv6アドレスがこのIPv6プレフィックスであるような、全てのIPv6パケットが、サーバゲートウェイ130の第1INPUTフィルタ部132を通過する。この場合には、IoTゲートウェイ120を介して通信を行う全ての機器110からのパケットが、サーバゲートウェイ130を通過できるようになる。
言い換えると、フィルタテーブルに登録するレコードは、IPv6アドレスそのものを示してもよく、IPv6アドレスのプレフィックスを示してもよい。If there is no option in the authentication request packet, the authentication processing unit 134 may release the filter of the first
In other words, the record registered in the filter table may indicate the IPv6 address itself, or may indicate the prefix of the IPv6 address.
認証DB135は、認証用のデータである認証データを記憶する認証データ記憶部である。認証データとして、認証プロトコルに応じて予め定められたデータが記憶されているものとする。
The
アカウントDB136は、通信の開始、継続及び停止を示すアカウント情報を記憶する。例えば、認証処理部134は、IoTゲートウェイ120と通信を開始する場合には、アカウント情報として、通信の開始時刻をIoTゲートウェイ120のIPv6アドレスに対応付けてアカウントDB136に記憶させ、通信を継続する場合には、アカウント情報として、通信の継続時刻(更新時刻)をIoTゲートウェイ120のIPv6アドレスに対応付けてアカウントDB136に記憶させ、通信を停止する場合には、アカウント情報として、通信の停止時刻をIoTゲートウェイ120のIPv6アドレスに対応付けてアカウントDB136に記憶させる。
The
アドレス変換部137は、第1INPUTフィルタ部132から認証アカウント用パケット以外のIPv6パケットを受け取ると、IPv6パケットをIPv4パケットに変換する。言い換えると、アドレス変換部137は、認証アカウント用パケット以外のIPv6パケットの送信元アドレスが認証された送信元アドレスと一致する場合に、IPv6パケットをIPv4パケットに変換する。なお、変換されたIPv4パケットを第2のパケットともいう。また、認証アカウント用パケット以外のIPv6パケットの送信元アドレスを第1の送信元アドレスともいう。
例えば、アドレス変換部137は、RFC6146に準拠したアドレス変換技術により、グローバルIPv6アドレスと、グローバルIPv4アドレスとの変換を行うことで、IPv6パケットをIPv4パケットに変換する。ここで、アドレス変換部137で変換されたIPv4アドレスを第2の送信元アドレスともいう。
また、アドレス変換部137は、RFC6146に従って、BIB記憶部138に記憶されているBIBに、元のIPv6アドレスと、変換先のIPv4アドレスとを含むエントリを記録する。
このようにして変換されたIPv4パケットは、第1OUTPUTフィルタ部139に与えられる。Upon receiving an IPv6 packet other than the authentication account packet from the first
For example, the
Further, the
The IPv4 packet converted in this way is given to the first
BIB記憶部138は、RFC6146に準拠したBIBを記憶する。
なお、通信中のパケットが一定時間途絶える場合、BIB記憶部138に記憶されているBIBの該当するエントリがタイムアウトする。この場合、第1INPUTフィルタ部132におけるフィルタテーブルの登録も不要であるため、認証処理部134は、BIBにおけるエントリの削除に連動して、フィルタテーブルの関連するレコードを削除してもよい。
言い換えると、アドレス変換部137が、IPv6パケット及びIPv4パケットの間の変換を、予め定められた期間行わない場合に、認証処理部134は、対応するレコードをフィルタテーブルから削除する。The
When a packet being communicated is interrupted for a certain time, the corresponding entry of the BIB stored in the
In other words, when the
第1OUTPUTフィルタ部139は、アドレス変換部137から与えられたIPv4パケットのフィルタリング処理を行う。実施の形態1では、第1OUTPUTフィルタ部139は、全てのIPv4パケットを通過させて、IPv4通信部140に与える。このため、実施の形態1では、第1OUTPUTフィルタ部139は、設けられていなくてもよい。
The first
IPv4通信部140は、IPv4インターネット102との間で通信を行う。例えば、IPv4通信部140は、第1OUTPUTフィルタ部139から与えられたIPv4パケットをサーバ150に送信する。
ここでは、IPv4通信部140を第2の通信部ともいう。The
Here, the
第2INPUTフィルタ部141は、IPv4通信部140から与えられたIPv4パケットのフィルタリング処理を行う。実施の形態1では、第2INPUTフィルタ部141は、全てのIPv4パケットを通過させて、アドレス変換部137に与える。このため、実施の形態1では、第2INPUTフィルタ部141は、設けられていなくてもよい。
The second
第2OUTPUTフィルタ部142は、アドレス変換部137及び認証処理部134から与えられたIPv6パケットのフィルタリング処理を行う。実施の形態1では、第2OUTPUTフィルタ部142は、全てのIPv6パケットを通過させて、IPv6通信部131に与える。このため、実施の形態1では、第2OUTPUTフィルタ部142は、設けられていなくてもよい。
The second
以上に記載されたIPv6通信部131、第1INPUTフィルタ部132、認証処理部134、アドレス変換部137、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142の一部又は全部は、例えば、図4(A)に示されているように、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuits)又はFPGA(Field Programmable Gate Array)等の処理回路10で構成することができる。
One of the
また、IPv6通信部131、第1INPUTフィルタ部132、認証処理部134、アドレス変換部137、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142の一部は、例えば、図4(B)に示されているように、メモリ11と、メモリ11に格納されているプログラムを実行するCPU(Central Processing Unit)等のプロセッサ12とにより構成することもできる。このようなプログラムは、ネットワークを通じて提供されてもよく、また、記録媒体に記録されて提供されてもよい。即ち、このようなプログラムは、プログラムプロダクトとして提供されてもよい。
The
なお、フィルタテーブル記憶部133、認証DB135及びアカウントDB136は、図示しない不揮発性のメモリにより構成することができる。
The filter
以上のように、実施の形態1によれば、IPv6インターネット101からの不特定多数の接続を制御し、許可された機器110のみ、IPv6インターネット101経由での通信を許可することができる。これにより、不特定多数の攻撃から、中継装置であるサーバゲートウェイ130を保護することができる。
As described above, according to the first embodiment, it is possible to control an unspecified number of connections from the
また、IPv4インターネット102に接続されているサーバ150が認識する、送信元のIPv4アドレスは、サーバゲートウェイ130がもつIPv4アドレスとなり、IoTゲートウェイ120の背後にあるIPv4に対応している機器110のアドレス情報が喪失し、実際の通信相手が分からない、という問題がある。
しかしながら、実施の形態1によれば、機器110のIPv4アドレスから変換されたIPv6アドレスが、アカウントログとしてアカウント情報に残るため、後日、アカウント情報を問題発生時の解析に使用することができる。The source IPv4 address recognized by the
However, according to
図1においては、サーバ150は、IPv4インターネット102に接続されているが、実施の形態1は、このような例に限定されるものではない。
例えば、図5に示されている通信システム100#1のように、例えば、サーバゲートウェイ130#1とサーバ150#1とが同一拠点に設置されており、サーバゲートウェイ130#1とサーバ150#1とがLAN(Local Area Network)103で接続されていてもよい。
このような場合には、サーバゲートウェイ130#1のアドレス変換部137#1(図2参照)は、グローバルIPv6アドレスと、ローカルIPv4アドレスとの変換を行う。In FIG. 1, the
For example, as in the
In such a case, the
また、図1は、RFC6877−464XLATに準拠した通信システム100が示されているが、実施の形態1は、RFC6877−464XLATに準拠した通信システム100に限定されない。
例えば、図6に示されているように、IPv6に対応した通信を行う機器110#1が、IPv6インターネット101に接続されていてもよい。
このような場合、機器110#1が、サーバ150に接続する際の宛先IPv6アドレスは、図3に示されている通りである。例えば、上位ビットのIPv6プレフィックス160aは、サーバゲートウェイ130のIPv6アドレスのプレフィックスが指定され、下位ビットのIPv4アドレスは、接続しようとするサーバ150のIPv4アドレスが指定される。1 shows a
For example, as shown in FIG. 6, a
In such a case, the destination IPv6 address when the
また、図6に示されている通信システム100#2では、IPv6に対応した機器110#1自体が、サーバゲートウェイ130の認証及びアカウントのクライアント機能を持つ必要がある。
但し、図7に示されている通信システム100#3のように、IPv6に対応した機器110#2が、IoTゲートウェイ120#1に接続されている場合には、機器110#2は、サーバゲートウェイ130の認証及びアカウントのクライアント機能を有する必要がない。このような場合、IoTゲートウェイ120#1は、サーバゲートウェイ130の認証及びアカウントのクライアント機能を有する他、DNS64に対応した処理を行う機能を有する。言い換えると、IoTゲートウェイ120#1は、IPv6に対応した機器110#2がIPv4に対応したサーバ150の名前解決を行う際に、IoTゲートウェイ120#1が名前解決要求の中継を行う。外部からの名前解決応答を受け取ったIoTゲートウェイ120#1は、応答結果のIPv4アドレスを、図3に示されている形式のIPv6アドレス160に書き換え、機器110#2に転送する。即ち、図7に示されている構成では、実施の形態1における処理をIoTゲートウェイ120#1が代行し、機器110#2は、標準的なIPv6に従った動作を行うのみでよい。In the
However, when the
図1に示されている通信システム100では、1つのサーバゲートウェイ130が備えられているが、実施の形態1におけるサーバゲートウェイ130の数は、1つに限定されるものではない。図8に示されている通信システム100#4のように、複数のサーバゲートウェイ130A、130Bが備えられていてもよい。
このような場合には、IoTゲートウェイ120#2は、予め、これら複数のサーバゲートウェイ130A、130BのIPv6アドレスを知っているものとする。In the
In such a case, it is assumed that the
そして、IoTゲートウェイ120#2は、サーバゲートウェイ130Aへの通信を開始するのに先立ち、認証要求パケットをサーバゲートウェイ130Aへ送信する。
サーバゲートウェイ130Aは、受け取った認証要求パケットが正規のIoTゲートウェイ120#2からのものであった場合でも、BIBエントリの登録数、フィルタテーブルの登録数、CPU負荷及び通信量等の事情から、サーバゲートウェイ130Aの負荷が高いと判断した場合には、拒否応答を返してもよい。Then, the
Even when the received authentication request packet is from the
次に、認証要求が拒否されたIoTゲートウェイ120#2は、他のサーバゲートウェイ130Bに要求を送信する。なお、サーバゲートウェイ130Aから応答がなかった場合は、IoTゲートウェイ120#2は、規定回数再送を行い、全て応答がなかった場合、他のサーバゲートウェイ130Bに要求を送信する。
そして、サーバゲートウェイ130Bから成功応答があった場合には、IoTゲートウェイ120#2は、サーバゲートウェイ130Bに対し、通信を開始する。Next, the
If there is a success response from the
以上のような動作により、サーバゲートウェイ130A、130Bの故障に備えた二重化と、負荷分散とを同時に行うことができる。
IoTゲートウェイ120#2がサーバゲートウェイ130A、130Bを選択する順番は、負荷の集中を避けるため、ランダム順とするのが望ましい。By the operation as described above, it is possible to simultaneously perform duplexing and load balancing in preparation for failure of the
The order in which the
実施の形態2.
実施の形態1においては、サーバゲートウェイ130において、IoTゲートウェイ120の認証を行っているが、外部の認証サーバに認証を行わせてもよい。
図9は、実施の形態2に係る通信システム200の構成を概略的に示すブロック図である。
通信システム200は、機器110と、IoTゲートウェイ120と、サーバゲートウェイ230と、サーバ150と、認証サーバ270とを備える。
実施の形態2に係る通信システム200は、サーバゲートウェイ230及び認証サーバ270を除いて、実施の形態1に係る通信システム100と同様に構成されている。
In the first embodiment, the
FIG. 9 is a block diagram schematically showing a configuration of the
The
The
IoTゲートウェイ120、サーバゲートウェイ230及び認証サーバ270は、IPv6インターネット101に接続されており、サーバゲートウェイ230及びサーバ150は、IPv4インターネット102に接続されている。
なお、サーバゲートウェイ230でパケットを中継する方法が、実施の形態2における中継方法である。The
Note that the method of relaying packets by the
図10は、実施の形態2におけるサーバゲートウェイ230の構成を概略的に示すブロック図である。
サーバゲートウェイ230は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部234と、アカウントDB136と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。
実施の形態2におけるサーバゲートウェイ230のIPv6通信部131、第1INPUTフィルタ部132、フィルタテーブル記憶部133、アカウントDB136、アドレス変換部137、BIB記憶部138、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142は、実施の形態1におけるサーバゲートウェイ130の対応する部分と同様に構成されている。FIG. 10 is a block diagram schematically showing the configuration of the
The
認証処理部234は、第1INPUTフィルタ部132を通過した認証アカウント用パケットに基づいて、IoTゲートウェイ120の認証を認証サーバ270に行わせるとともに、アカウントの作成を行う。アカウントの作成については、実施の形態1と同様である。
例えば、第1INPUTフィルタ部132から認証要求パケットを受け取ると、認証処理部234は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、認証要求パケットを認証サーバ270へ転送する。Based on the authentication account packet that has passed through the first
For example, when receiving the authentication request packet from the first
認証サーバ270は、図示しない認証データベースを参照して、認証成功か否かを判断する。例えば、認証要求パケットに、機器110又はIoTゲートウェイ120のIPv6アドレスが含まれている場合には、認証サーバ270は、このIPv6アドレスに対し、認証の成否を判断する。
そして、認証サーバ270は、その判断結果を、サーバゲートウェイ230に応答する。例えば、認証サーバ270は、認証に成功した場合には、認証の成功を示す認証成功パケットを応答し、認証に失敗した場合には、認証の失敗を示す認証失敗パケットを応答する。The
Then, the
認証処理部234は、IPv6通信部131及び第1INPUTフィルタ部132を介して、認証成功パケット及び認証失敗パケットを受け取ると、これらのパケットを第2OUTPUTフィルタ部142及びIPv6通信部131を介して、IoTゲートウェイ120に送信する。
ここで、認証処理部234は、認証成功パケットをIoTゲートウェイ120に送信する際に、サーバゲートウェイ230の第1INPUTフィルタ部132のフィルタを解放する。When the
Here, the
以上のように、実施の形態2においては、サーバゲートウェイ230は、認証処理を外部の認証サーバ270に行わせることができる。
As described above, in the second embodiment, the
実施の形態2に係る通信システム200においては、認証サーバ270がIPv6インターネット101に接続されているが、図11に示されている通信システム200#1のように、認証サーバ270#1がIPv4インターネット102に接続されていてもよい。
In the
図12は、実施の形態2の変形例におけるサーバゲートウェイ230#1の構成を概略的に示すブロック図である。
サーバゲートウェイ230#1は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部234#1と、アカウントDB136と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。
実施の形態2の変形例におけるサーバゲートウェイ230#1のIPv6通信部131、第1INPUTフィルタ部132、フィルタテーブル記憶部133、アカウントDB136、アドレス変換部137、BIB記憶部138、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142は、実施の形態1におけるサーバゲートウェイ130の対応する部分と同様に構成されている。FIG. 12 is a block diagram schematically showing a configuration of
The
認証処理部234#1は、第1INPUTフィルタ部132から認証要求パケットを受け取ると、第1OUTPUTフィルタ部139及びIPv4通信部140を介して、認証要求パケットを認証サーバ270#1へ転送する。
また、認証処理部234#1は、IPv4通信部140及び第2INPUTフィルタ部141を介して、認証成功パケット及び認証失敗パケットを受け取ると、これらのパケットを第2OUTPUTフィルタ部142及びIPv6通信部131を介して、IoTゲートウェイ120に送信する。
ここで、認証処理部234#1は、認証成功パケットをIoTゲートウェイ120に送信する際に、サーバゲートウェイ230の第1INPUTフィルタ部132のフィルタを解放する。Upon receiving the authentication request packet from the first
When the
Here, the
なお、実施の形態2においても、図5〜図8を用いて説明した変形例を適用することができる。 Note that the modification described with reference to FIGS. 5 to 8 can also be applied to the second embodiment.
実施の形態3.
実施の形態1では、認証成功時に、サーバゲートウェイ130の第1INPUTフィルタ部132のフィルタを解放している。この場合、フィルタの解放を解除し、指定されたIoTゲートウェイ120からのIPv6パケットを破棄できるようにするのはいつか、という問題がある。
そのため、実施の形態3では、認証成功時ではなく、アカウント開始時にフィルタを解放する方法を説明する。
In the first embodiment, when the authentication is successful, the filter of the first
Therefore, in the third embodiment, a method for releasing a filter at the start of an account, not at the time of successful authentication will be described.
図1に示されているように、実施の形態3に係る通信システム300は、機器110と、IoTゲートウェイ120と、サーバゲートウェイ330と、サーバ150とを備える。
実施の形態3に係る通信システム300は、サーバゲートウェイ330を除いて、実施の形態1に係る通信システム100と同様に構成されている。As illustrated in FIG. 1, the communication system 300 according to the third embodiment includes a
The communication system 300 according to the third embodiment is configured in the same manner as the
図2に示されているように、実施の形態3におけるサーバゲートウェイ330は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部334と、認証DB135と、アカウントDB136と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。
実施の形態3におけるサーバゲートウェイ330は、認証処理部334を除いて、実施の形態1におけるサーバゲートウェイ130と同様に構成されている。
なお、サーバゲートウェイ330でパケットを中継する方法が、実施の形態3における中継方法である。As shown in FIG. 2, the server gateway 330 in the third embodiment includes an
The server gateway 330 in the third embodiment is configured in the same manner as the
Note that the method of relaying packets by the server gateway 330 is the relay method in the third embodiment.
実施の形態3における認証処理部334は、実施の形態1における認証処理部134と同様に、第1INPUTフィルタ部132を通過した認証アカウント用パケットに基づいて、IoTゲートウェイ120の認証及びアカウントの作成を行う。但し、実施の形態3における認証処理部334は、アカウントの開始と、その停止に応じて、第1INPUTフィルタ部132のフィルタの解放と、その解放の停止とを行う。
The
例えば、認証処理部334は、認証アカウント用パケットである、アカウントの開始要求パケットに基づいて、アカウントを作成した場合に、その開始要求パケットの送信元アドレスであるIPv6アドレスを特定することのできるレコードをフィルタテーブルに登録する。そして、認証処理部334は、認証アカウント用パケットである、アカウントの停止要求パケットに基づいて、アカウントを停止した場合に、その停止要求パケットの送信元アドレスであるIPv6アドレスに対応するレコードをフィルタテーブルから削除する。
For example, when an account is created based on an account start request packet that is an authentication account packet, the
なお、認証処理部334が利用する認証プロトコルは、いずれも、アカウント機能を持っているものとする。認証プロトコルのアカウント機能は、通信開始と通信停止とを記録するもので、一般には通信の従量制課金に使われている。
Note that any authentication protocol used by the
図13は、実施の形態3におけるアカウントプロトコルによるIPv6フィルタ制御を示すシーケンス図である。
配下の機器110による、外部のサーバ150への通信開始を検知したIoTゲートウェイ120は、アカウントプロトコルの開始要求パケットをサーバゲートウェイ330に送信する(S10)。
サーバゲートウェイ330では、第1INPUTフィルタ部132が、IPv6通信部131を介して、開始要求パケットを受け取ると、それを認証処理部334に与える(S11)。FIG. 13 is a sequence diagram illustrating IPv6 filter control according to the account protocol in the third embodiment.
The
In the server gateway 330, when the first
認証処理部334は、開始要求パケットに含まれる要求者の識別情報が正しい場合、識別情報に対応付けて通信の開始をアカウントDB136に記録する(S12)。アカウントの要求者の識別情報は、機器110のIPv6アドレス又はIoTゲートウェイ120のIPv6アドレスである。
If the identification information of the requester included in the start request packet is correct, the
アカウントの開始の記録に成功した認証処理部334は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、成功応答パケットをIoTゲートウェイ120に返す(S13)。
また、認証処理部334は、フィルタテーブル記憶部133に記憶されているフィルタテーブルに識別情報を示すレコードを登録することで、第1INPUTフィルタ部132のフィルタを解放する(S14)。The
Also, the
アカウントの開始要求パケットに対して成功応答パケットを受け取ったIoTゲートウェイ120は、配下の機器110からのパケットをIPv6パケットに変換し、サーバゲートウェイ330への中継を開始する(S15)。
機器110の通信が継続している間、IoTゲートウェイ120は、アカウントの更新要求パケットをサーバゲートウェイ330に定期的に送信する(S16)。The
While the communication of the
サーバゲートウェイ330では、第1INPUTフィルタ部132が、IPv6通信部131を介して、更新要求パケットを受け取ると、それを認証処理部334に与える(S17)。
認証処理部334は、更新要求パケットに含まれる要求者の識別情報に対応する通信の継続をアカウントDB136に記録する(S18)。これにより、第1INPUTフィルタ部132のフィルタの解放が維持される。
そして、認証処理部334は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、成功応答パケットをIoTゲートウェイ120に返す(S19)。In the server gateway 330, when the first
The
Then, the
配下の機器110からの通信が終了したと判断したIoTゲートウェイ120は、アカウントの停止要求パケットをサーバゲートウェイ330に送信する(S20)。
サーバゲートウェイ330では、第1INPUTフィルタ部132が、IPv6通信部131を介して、停止要求パケットを受け取ると、それを認証処理部334に与える(S17)。
認証処理部334は、停止要求パケットに含まれる要求者の識別情報に対応する通信の停止をアカウントDB136に記録する(S22)。
そして、認証処理部334は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、成功応答パケットをIoTゲートウェイ120に返す(S23)。The
In the server gateway 330, when the first
The
Then, the
また、認証処理部334は、フィルタテーブル記憶部133に記憶されているフィルタテーブルから、停止要求パケットに含まれる要求者の識別情報を示すレコードを削除することで、第1INPUTフィルタ部132のフィルタの解放を停止する(S24)。
In addition, the
なお、アカウント開始後、一定時間、IoTゲートウェイ120からの更新要求パケットを受け取らない場合にも、認証処理部334は、対応するアカウントの停止をアカウントDB136に記録して、通信を停止するとともに、対応する識別情報を示すレコードをフィルタテーブルから削除して、フィルタの解放を停止する。
Even when the update request packet is not received from the
なお、実施の形態3においても、図5〜図8を用いて説明した変形例を適用することができる。 Note that the modification described with reference to FIGS. 5 to 8 can also be applied to the third embodiment.
実施の形態4.
実施の形態3においては、サーバゲートウェイ330において、アカウントの管理を行っているが、外部のアカウントサーバにアカウントの管理を行わせてもよい。
図14は、実施の形態4に係る通信システム400の構成を概略的に示すブロック図である。
通信システム400は、機器110と、IoTゲートウェイ120と、サーバゲートウェイ430と、サーバ150と、アカウントサーバ480とを備える。
実施の形態4に係る通信システム400は、サーバゲートウェイ430及びアカウントサーバ480を除いて、実施の形態1に係る通信システム100と同様に構成されている。
In the third embodiment, the account is managed in the server gateway 330, but an account may be managed by an external account server.
FIG. 14 is a block diagram schematically showing a configuration of a
The
The
IoTゲートウェイ120、サーバゲートウェイ430及びアカウントサーバ480は、IPv6インターネット101に接続されており、サーバゲートウェイ430及びサーバ150は、IPv4インターネット102に接続されている。
なお、サーバゲートウェイ430でパケットを中継する方法が、実施の形態4における中継方法である。The
Note that the method of relaying packets by the
図15は、実施の形態4におけるサーバゲートウェイ430の構成を概略的に示すブロック図である。
サーバゲートウェイ430は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部434と、認証DB135と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。
実施の形態4におけるサーバゲートウェイ430のIPv6通信部131、第1INPUTフィルタ部132、フィルタテーブル記憶部133、認証DB135、アドレス変換部137、BIB記憶部138、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142は、実施の形態1におけるサーバゲートウェイ130の対応する部分と同様に構成されている。FIG. 15 is a block diagram schematically showing the configuration of the
The
認証処理部434は、第1INPUTフィルタ部132を通過した認証アカウント用パケットに基づいて、認証を行うとともに、IoTゲートウェイ120との通信におけるアカウントの管理を、アカウントサーバ480に行わせる。認証処理については、実施の形態1と同様である。
The
なお、通信中のパケットが一定時間途絶える場合、BIB記憶部138に記憶されているBIBの該当するエントリがタイムアウトする。この場合、第1INPUTフィルタ部132におけるフィルタテーブルの登録も不要であるため、認証処理部434は、BIBにおけるエントリの削除に連動して、フィルタテーブルの関連するレコードを削除してもよい。フィルタテーブルから関連するレコードを削除した場合には、認証処理部434は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、アカウントサーバ480にその通知を行い、アカウントサーバ480は、通信の停止を記録する。
When a packet being communicated is interrupted for a certain time, the corresponding entry of the BIB stored in the
図16は、実施の形態4におけるアカウントプロトコルによるIPv6フィルタ制御を示すシーケンス図である。
配下の機器110による、外部のサーバ150への通信開始を検知したIoTゲートウェイ120は、アカウントプロトコルの開始要求パケットをサーバゲートウェイ430に送信する(S30)。
サーバゲートウェイ430では、認証処理部434が、IPv6通信部131及び第1INPUTフィルタ部132を介して、開始要求パケットを受け取ると、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、それをアカウントサーバ480に転送する(S31)。FIG. 16 is a sequence diagram illustrating IPv6 filter control according to the account protocol in the fourth embodiment.
The
In the
アカウントサーバ480は、開始要求パケットに含まれる要求者の識別情報が正しい場合、識別情報に対応付けて通信の開始を、図示しないアカウントデータベースに記録する(S32)。アカウントの要求者の識別情報は、機器110のIPv6アドレス又はIoTゲートウェイ120のIPv6アドレスである。
If the requester identification information included in the start request packet is correct, the
アカウントの開始の記録に成功したアカウントサーバ480は、アカウントの開始要求に対する成功応答パケットをサーバゲートウェイ430に応答する(S33)。
認証処理部434は、IPv6通信部131及び第1INPUTフィルタ部132を介して、成功応答パケットを受け取ると、フィルタテーブル記憶部133に記憶されているフィルタテーブルに識別情報を示すレコードを登録することで、第1INPUTフィルタ部132のフィルタを解放する(S34)。
そして、認証処理部434は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、成功応答パケットをIoTゲートウェイ120に転送する(S35)。The
Upon receiving the success response packet via the
Then, the
アカウントの開始要求パケットに対して成功応答パケットを受け取ったIoTゲートウェイ120は、配下の機器110からのパケットを、IPv6パケットに変換し、サーバゲートウェイ430への中継を開始する(S36)。
The
機器110の通信が継続している間、IoTゲートウェイ120は、アカウントの更新要求パケットをサーバゲートウェイ430に定期的に送信する(S37)。
認証処理部434は、IPv6通信部131及び第1INPUTフィルタ部132を介して、更新要求パケットを受け取ると、フィルタテーブル記憶部133に記憶されているフィルタテーブルにおいて、識別情報に対応するレコードを維持することで、第1INPUTフィルタ部132のフィルタの解放を維持する(S38)。
そして、認証処理部434は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、更新要求パケットをアカウントサーバ480に転送する(S39)。While the communication of the
Upon receiving the update request packet via the
Then, the
アカウントサーバ480は、更新要求パケットに含まれる要求者の識別情報に対応する通信の継続をアカウントデータベースに記録する(S40)。
そして、アカウントサーバ480は、成功応答パケットをサーバゲートウェイ430に応答する(S41)。
サーバゲートウェイ430の認証処理部434は、IPv6通信部131及び第1INPUTフィルタ部132を介して、成功応答パケットを受け取ると、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、その成功応答パケットをIoTゲートウェイ120に転送する(S42)。The
Then, the
Upon receiving the success response packet via the
配下の機器110からの通信が終了したと判断したIoTゲートウェイ120は、アカウントの停止要求パケットをサーバゲートウェイ430に送信する(S43)。
サーバゲートウェイ430の認証処理部434は、IPv6通信部131及び第1INPUTフィルタ部132を介して、停止要求パケットを受け取ると、フィルタテーブル記憶部133に記憶されているフィルタテーブルから、停止要求パケットに含まれる要求者の識別情報を示すレコードを削除することで、第1INPUTフィルタ部132のフィルタの解放を停止する(S44)。
また、認証処理部434は、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、その停止要求パケットをアカウントサーバ480に転送する(S45)。The
Upon receiving the stop request packet via the
Also, the
アカウントサーバ480は、停止要求パケットに含まれる要求者の識別情報に対応する通信の停止をアカウントデータベースに記録する(S46)。
そして、アカウントサーバ480は、停止要求に対する成功応答パケットをサーバゲートウェイ430に送信する(S47)。
サーバゲートウェイ430の認証処理部434は、IPv6通信部131及び第1INPUTフィルタ部132を介して、成功応答パケットを受け取ると、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、その成功応答パケットをIoTゲートウェイ120に転送する(S48)。The
Then, the
Upon receiving the success response packet via the
なお、アカウント開始後、一定時間、IoTゲートウェイ120からの更新要求パケットを受け取らない場合にも、認証処理部434は、対応する識別情報を示すレコードをフィルタテーブルから削除して、フィルタの解放を停止するとともに、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、停止要求パケットをアカウントサーバ480に送信する。
Even when the update request packet is not received from the
以上のように、実施の形態4では、外部のアカウントサーバ480でアカウントの管理を行うことができる。
As described above, in the fourth embodiment, accounts can be managed by the
実施の形態4に係る通信システム400においては、アカウントサーバ480がIPv6インターネット101に接続されているが、図17に示されている通信システム400#1のように、アカウントサーバ480#1がIPv4インターネット102に接続されていてもよい。
In the
図18は、実施の形態4の変形例におけるサーバゲートウェイ430#1の構成を概略的に示すブロック図である。
サーバゲートウェイ430#1は、IPv6通信部131と、第1INPUTフィルタ部132と、フィルタテーブル記憶部133と、認証処理部434#1と、認証DB135と、アドレス変換部137と、BIB記憶部138と、第1OUTPUTフィルタ部139と、IPv4通信部140と、第2INPUTフィルタ部141と、第2OUTPUTフィルタ部142とを備える。
実施の形態4の変形例におけるサーバゲートウェイ430#1のIPv6通信部131、第1INPUTフィルタ部132、フィルタテーブル記憶部133、認証DB135、アドレス変換部137、BIB記憶部138、第1OUTPUTフィルタ部139、IPv4通信部140、第2INPUTフィルタ部141及び第2OUTPUTフィルタ部142は、実施の形態1におけるサーバゲートウェイ130の対応する部分と同様に構成されている。FIG. 18 is a block diagram schematically showing a configuration of
The
認証処理部434#1は、第1INPUTフィルタ部132からアカウントの開始要求パケット、更新要求パケット及び停止要求パケットを受け取ると、第1OUTPUTフィルタ部139及びIPv4通信部140を介して、これらのパケットをアカウントサーバ480#1に転送する。
Upon receiving the account start request packet, the update request packet, and the stop request packet from the first
そして、認証処理部434#1は、IPv4通信部140及び第2INPUTフィルタ部141を介して、認証成功パケット及び認証失敗パケットを受け取ると、第2OUTPUTフィルタ部142及びIPv6通信部131を介して、これらのパケットをIoTゲートウェイ120に転送する。
ここで、認証処理部234#1は、認証成功パケットをIoTゲートウェイ120に送信する際に、フィルタテーブルに対応する識別情報を示すレコードを登録することで、フィルタを解放する。When the
Here, when transmitting the authentication success packet to the
また、認証処理部434#1は、更新要求パケットを転送する際に、フィルタテーブルにおいて対応する識別情報を示すレコードを維持することで、フィルタの解放を維持する。
さらに、認証処理部434#1は、停止要求パケットを転送する際に、フィルタテーブルにおいて対応する識別情報を示すレコードを削除することで、フィルタの解放を停止する。Further, when transferring the update request packet, the
Furthermore, when transferring the stop request packet, the
なお、実施の形態4においても、図5〜図8を用いて説明した変形例を適用することができる。
また、実施の形態4においても、実施の形態2のように、外部の認証サーバに認証を行わせることができる。Note that the modification described with reference to FIGS. 5 to 8 can also be applied to the fourth embodiment.
Also in the fourth embodiment, as in the second embodiment, an external authentication server can be authenticated.
100,100#1,100#2,100#3,100#4,200,200#1,300,400,400#1 通信システム、 110,110#1,110#2 機器、 120,120#1,120#2 IoTゲートウェイ、 130,130#1,230,230#1,330,430,430#1 サーバゲートウェイ、 131 IPv6通信部、 132 第1INPUTフィルタ部、 133 フィルタテーブル記憶部、 134,234,234#1,334,434,434#1 認証処理部、 135 認証DB、 136 アカウントDB、 137,137#1 アドレス変換部、 138 BIB記憶部、 139 第1OUTPUTフィルタ部、 140 IPv4通信部、 141 第2INPUTフィルタ部、 142 第2OUTPUTフィルタ部、 150,150#1 サーバ、 270,270#1 認証サーバ、 480,480#1 アカウントサーバ、 10 処理回路、 11 メモリ、 12 プロセッサ。
100, 100 # 1, 100 # 2, 100 # 3, 100 # 4, 200, 200 # 1, 300, 400, 400 # 1 communication system, 110, 110 # 1, 110 # 2 equipment, 120, 120 # 1 , 120 # 2 IoT gateway, 130, 130 # 1, 230, 230 # 1, 330, 430, 430 # 1 server gateway, 131 IPv6 communication unit, 132 first INPUT filter unit, 133 filter table storage unit, 134, 234 234 # 1, 334, 434, 434 # 1 Authentication processing unit, 135 Authentication DB, 136 Account DB, 137, 137 # 1 Address conversion unit, 138 BIB storage unit, 139 First OUTPUT filter unit, 140 IPv4 communication unit, 141
Claims (14)
認証された送信元アドレスを特定することのできるフィルタ情報を記憶するフィルタ情報記憶部と、
前記第1のネットワークから、前記第1のプロトコルに対応した第1のパケットを受信する第1の通信部と、
前記第1のパケットの送信元アドレスである第1の送信元アドレスが、前記認証された送信元アドレスに一致するか否かを判断するフィルタ部と、
前記第1の送信元アドレスが、前記認証された送信元アドレスに一致する場合に、前記第1のパケットを、前記第2のプロトコルに対応した第2のパケットに変換する変換部と、
前記第2のパケットを前記第2のネットワークに送信する第2の通信部と、を備えること
を特徴とするゲートウェイ。A first network corresponding to the first protocol and a second network corresponding to a second protocol different from the first protocol are connected between the first protocol and the second protocol. A gateway for protocol conversion,
A filter information storage unit that stores filter information that can identify an authenticated source address;
A first communication unit that receives a first packet corresponding to the first protocol from the first network;
A filter unit that determines whether or not a first source address that is a source address of the first packet matches the authenticated source address;
A conversion unit that converts the first packet into a second packet corresponding to the second protocol when the first source address matches the authenticated source address;
And a second communication unit that transmits the second packet to the second network.
を特徴とする請求項1に記載のゲートウェイ。The gateway according to claim 1, wherein the filter unit discards the first packet when the first transmission source address does not match the authenticated transmission source address.
前記処理部は、前記認証要求パケットの送信元の認証に成功した場合には、前記認証された送信元アドレスとして、前記認証要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
を特徴とする請求項1又は2に記載のゲートウェイ。A processing unit that performs an authentication process based on the authentication request packet received by the first communication unit;
When the authentication unit succeeds in authenticating the transmission source of the authentication request packet, the processing unit includes, in the filter information, an item that can identify the transmission source address of the authentication request packet as the authenticated transmission source address. The gateway according to claim 1, wherein the gateway is added.
前記処理部は、前記認証サーバにおいて前記認証要求パケットの送信元の認証に成功した場合には、前記認証された送信元アドレスとして、前記認証要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
を特徴とする請求項1又は2に記載のゲートウェイ。A processing unit that transfers the authentication request packet received by the first communication unit from the first communication unit or the second communication unit to an authentication server that performs an authentication process;
When the authentication server succeeds in authenticating the transmission source of the authentication request packet in the authentication server, the processing unit includes an item that can specify a transmission source address of the authentication request packet as the authenticated transmission source address. The gateway according to claim 1, wherein the gateway is added to the filter information.
を特徴とする請求項3又は4に記載のゲートウェイ。The gateway according to claim 3 or 4, wherein the item indicates the source address of the authentication request packet.
を特徴とする請求項3又は4に記載のゲートウェイ。The gateway according to claim 3 or 4, wherein the item indicates a prefix of the source address of the authentication request packet.
を特徴とする請求項3から6の何れか一項に記載のゲートウェイ。When the conversion unit converts the first packet into the second packet, the conversion unit converts the first transmission source address into a second transmission source address corresponding to the second protocol. The gateway according to any one of claims 3 to 6, wherein the gateway is converted into:
を特徴とする請求項7に記載のゲートウェイ。When the conversion unit does not perform conversion between the first transmission source address and the second transmission source address for a predetermined period, the processing unit deletes the item from the filter information. The gateway according to claim 7.
前記処理部は、前記開始要求パケットに基づいて前記アカウントを作成した場合に、前記認証された送信元アドレスとして、前記開始要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
を特徴とする請求項1又は2に記載のゲートウェイ。A processing unit that creates the account based on the account start request packet received by the first communication unit;
When the processing unit creates the account based on the start request packet, the processing unit adds, to the filter information, an item that can identify the source address of the start request packet as the authenticated source address The gateway according to claim 1 or 2, wherein:
前記処理部は、前記アカウントサーバにおいて前記開始要求パケットに基づいて前記アカウントが作成された場合に、前記認証された送信元アドレスとして、前記開始要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
を特徴とする請求項1又は2に記載のゲートウェイ。A processing unit that transfers the account start request packet received by the first communication unit from the first communication unit or the second communication unit to an account server that manages the account;
The processing unit, when the account is created based on the start request packet in the account server, an item that can specify a source address of the start request packet as the authenticated source address The gateway according to claim 1, wherein the gateway is added to the filter information.
を特徴とする請求項9又は10に記載のゲートウェイ。The gateway according to claim 9 or 10, wherein the item indicates the source address of the start request packet.
を特徴とする請求項9又は10に記載のゲートウェイ。The gateway according to claim 9 or 10, wherein the item indicates a prefix of the source address of the start request packet.
を特徴とする請求項9から12の何れか一項に記載のゲートウェイ。The processing unit deletes the item from the filter information based on the account stop request packet received by the first communication unit. The listed gateway.
前記第1のパケットの送信元アドレスが、認証された送信元アドレスに一致する場合に、前記第1のパケットを、前記第1のプロトコルとは異なる第2のプロトコルに対応した第2のパケットに変換し、
前記第2のパケットを前記第2のプロトコルに対応した第2のネットワークに送信すること
を特徴とする中継方法。Receiving a first packet corresponding to the first protocol from a first network corresponding to the first protocol;
When the source address of the first packet matches the authenticated source address, the first packet is changed to a second packet corresponding to a second protocol different from the first protocol. Converted,
The relay method according to claim 1, wherein the second packet is transmitted to a second network corresponding to the second protocol.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/011114 WO2018173099A1 (en) | 2017-03-21 | 2017-03-21 | Gateway and relay method |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2018173099A1 true JPWO2018173099A1 (en) | 2019-11-07 |
Family
ID=63585072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019506569A Pending JPWO2018173099A1 (en) | 2017-03-21 | 2017-03-21 | Gateway and relay method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JPWO2018173099A1 (en) |
WO (1) | WO2018173099A1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004364141A (en) * | 2003-06-06 | 2004-12-24 | Hitachi Communication Technologies Ltd | Ip address conversion device and packet transfer device |
JP2005197936A (en) * | 2004-01-06 | 2005-07-21 | Kddi Corp | Communication system, registering device, and communication device |
JP2007511971A (en) * | 2003-11-25 | 2007-05-10 | ノキア コーポレイション | Method and system for filtering multimedia traffic based on IP address binding |
US20090165091A1 (en) * | 2006-07-19 | 2009-06-25 | Ru Liang | Method and system for network access and network connection device |
JP2016152549A (en) * | 2015-02-18 | 2016-08-22 | 株式会社日立製作所 | Gateway system |
-
2017
- 2017-03-21 WO PCT/JP2017/011114 patent/WO2018173099A1/en active Application Filing
- 2017-03-21 JP JP2019506569A patent/JPWO2018173099A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004364141A (en) * | 2003-06-06 | 2004-12-24 | Hitachi Communication Technologies Ltd | Ip address conversion device and packet transfer device |
JP2007511971A (en) * | 2003-11-25 | 2007-05-10 | ノキア コーポレイション | Method and system for filtering multimedia traffic based on IP address binding |
JP2005197936A (en) * | 2004-01-06 | 2005-07-21 | Kddi Corp | Communication system, registering device, and communication device |
US20090165091A1 (en) * | 2006-07-19 | 2009-06-25 | Ru Liang | Method and system for network access and network connection device |
JP2016152549A (en) * | 2015-02-18 | 2016-08-22 | 株式会社日立製作所 | Gateway system |
Non-Patent Citations (1)
Title |
---|
BROCKNERS, F. ET AL.: ""Diameter Network Address and Port Translation Control Application"", RFC 6736, JPN6020000924, October 2012 (2012-10-01), ISSN: 0004264742 * |
Also Published As
Publication number | Publication date |
---|---|
WO2018173099A1 (en) | 2018-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
JP5790827B2 (en) | Control device, control method, and communication system | |
US8615604B2 (en) | Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change | |
US6813715B2 (en) | Method for accessing home-network using home-gateway and home-portal server and apparatus thereof | |
JP3557056B2 (en) | Packet inspection device, mobile computer device, and packet transfer method | |
JP4260116B2 (en) | Secure virtual private network | |
US7827601B2 (en) | Method and apparatus for firewall traversal | |
US20020046349A1 (en) | Communication system using home gateway and access server for preventing attacks to home network | |
EP1753180A1 (en) | Server for routing connection to client device | |
US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
JP2003348116A (en) | Address automatic setting system for in-home network | |
JP4290198B2 (en) | Flexible network security system and network security method permitting reliable processes | |
CN101902482B (en) | Method and system for realizing terminal security admission control based on IPv6 (Internet Protocol Version 6) automatic configuration | |
JP4524906B2 (en) | Communication relay device, communication relay method, communication terminal device, and program storage medium | |
JP3864743B2 (en) | Firewall device, information device, and information device communication method | |
CN104519077A (en) | Multimedia sharing method, registration method, server and proxy server | |
JP4713420B2 (en) | Communication system and network device sharing method | |
JP3779971B2 (en) | Server for routing connections to client devices | |
WO2018173099A1 (en) | Gateway and relay method | |
JP3935823B2 (en) | HTTP session tunneling system, method thereof, and program thereof | |
JP5797597B2 (en) | Relay device | |
JP2005217757A (en) | Firewall management system, firewall management method, and firewall management program | |
KR100818977B1 (en) | Server for routing connection to client device | |
JP2002084326A (en) | Device to be serviced, central unit and servicing device | |
JP6330814B2 (en) | COMMUNICATION SYSTEM, CONTROL INSTRUCTION DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190423 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200519 |