CN103026685B - 通信控制装置、通信系统 - Google Patents
通信控制装置、通信系统 Download PDFInfo
- Publication number
- CN103026685B CN103026685B CN201180036633.2A CN201180036633A CN103026685B CN 103026685 B CN103026685 B CN 103026685B CN 201180036633 A CN201180036633 A CN 201180036633A CN 103026685 B CN103026685 B CN 103026685B
- Authority
- CN
- China
- Prior art keywords
- mentioned
- communications packet
- address
- terminal installation
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
通信控制装置(1)与路由器(6)和终端装置(4)相连接,当接收到从该路由器(6)通过路由器通告发送的前缀信息时,存储该前缀信息。通信控制装置(1)在接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与所存储的前缀信息不同的情况下,拦截该通信包;在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是所存储的前缀信息的情况下,使该通信包通过。由此,在IPv6的网络环境下能够适当地拦截非法通信包。
Description
技术领域
本发明涉及一种使通信包通过或者将其拦截的通信控制装置、通信系统以及程序。
背景技术
以往,在IP(Internet Protocol:互联网协议)v4的网络中,设为从DHCP(Dynamic Host Configuration Protocol:动态主机配置协议)服务器对终端装置分配IPv4地址。在该环境下,通过防火墙来监视并捕获DHCP包。在终端装置使用从DHCP服务器分配的IPv4地址以外的地址进行通信的情况下,通过防火墙拦截该IPv4包。
例如,在下述的专利文献1中记载有以下内容:不允许利用交换式集线器对不是从DHCP服务器分配的IPv4地址的IPv4包进行通信。另外,作为其它的例子,在下述的专利文献2中记载有以下内容:通过网络装置来限制不是从DHCP服务器分配的IPv4地址的IPv4包。
专利文献1:日本特开2001-211180号公报(权利要求3、图7等)
专利文献2:日本特开2004-180211号公报(权利要求3、图11等)
发明内容
另外,在IPv6的网络环境下,作为终端装置获取IPv6地址的方法,例如可以列举出下面的两种方法。第一种方法是终端装置使用从路由器发送的路由器通告消息(RA:Router Advertisement)中包含的前缀(网络地址)来自动地生成IPv6地址。第二种方法是终端装置获取从DHCPv6服务器获取到的IPv6地址。
然而,在IPv6的网络环境下,不存在如上述的IPv4网络那样自动地构成拦截非法IPv6地址的IPv6包的规则的技术。
因此,本发明是鉴于上述实际情况而提出的,其目的在于提供一种在IPv6的网络环境下能够适当地拦截非法的通信包的通信控制装置、通信系统以及程序。
第一方式所涉及的通信控制装置的特征在于,具备:发送接收单元,其至少与路由器和发送接收通信包的终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;存储单元,其存储由上述发送接收单元接收到的前缀信息;以及控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过。
第二方式所涉及的通信控制装置是第一方式所涉及的通信控制装置,其特征在于,在通过上述路由器通告将DNS服务器信息发送到上述发送接收单元的情况下,上述存储单元存储该DNS服务器信息中包含的DNS服务器地址信息,在从上述终端装置发送的通信包的目的地地址是上述存储单元中存储的上述DNS服务器地址的情况下,上述控制单元使该通信包通过,在该通信包中包含的目的地地址与上述存储单元中存储的上述域名系统服务器地址、即DNS服务器地址不同的情况下,上述控制单元拦截该通信包。
第三方式所涉及的通信控制装置是第一方式所涉及的通信 控制装置,其特征在于,在通过上述路由器通告指定了上述终端装置的可到达时间的情况下,上述存储单元事先存储上述可到达时间以及通过上述发送接收单元接收到从上述终端装置发送的通信包的到达性确认包的时刻,在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间未超过针对该终端装置的可到达时间的情况下,上述控制单元使该通信包通过,在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间超过了针对该终端装置的可到达时间的情况下,直到下一次从该终端装置接收到到达性确认包为止上述控制单元拦截通信包。
第四方式所涉及的通信控制装置是第一方式所涉及的通信控制装置,其特征在于,上述发送接收单元与动态主机配置协议服务器、即DHCP服务器相连接,在通过上述路由器通告指定了上述终端装置使用由上述DHCP服务器分配的地址的情况下,上述存储单元存储由上述DHCP服务器分配给上述终端装置的地址信息,在作为上述存储单元中存储的地址信息而包含由上述发送接收单元接收到的通信包中包含的发送源地址的情况下,上述控制单元使该通信包通过,在作为上述存储单元中存储的地址信息而不包含接收到的该通信包中包含的发送源地址的情况下,上述控制单元拦截该通信包。
第五方式所涉及的通信控制装置是第四方式所涉及的通信控制装置,其特征在于,在通过上述路由器通告指定了上述终端装置使用由上述DHCP服务器分配的DNS服务器地址信息的情况下,上述存储单元存储由上述DHCP服务器分配的DNS服务器地址信息,在从上述终端装置发送的通信包中的端口号是DNS的情况下,在作为上述存储单元中存储的DNS服务器地址 信息而包含该通信包的目的地地址时,上述控制单元使该通信包通过,在作为上述存储单元中存储的DNS服务器地址信息而不包含该通信包的目的地地址时,上述控制单元拦截该通信包。
第六方式所涉及的通信控制装置是第一方式所涉及的通信控制装置,其特征在于,在紧接在上述终端装置启动之后该终端装置发送了用于接口ID的重复地址检测的消息的情况下,上述存储单元存储上述消息中包含的终端装置的接口ID,在从上述终端装置发送的通信包中包含的接口ID与上述存储单元中存储的接口ID一致的情况下,上述控制单元使该通信包通过,在从上述终端装置发送的通信包中包含的接口ID与上述存储单元中存储的接口ID不一致的情况下,上述控制单元拦截该通信包。
第七方式所涉及的通信系统的特征在于,具备:终端装置,其发送接收通信包;路由器,其通过路由器通告发送前缀信息,并且对被上述终端装置发送接收的通信包进行中继;以及通信控制装置,其控制上述通信包的拦截和通过,其中,上述通信控制装置具备:发送接收单元,其至少与路由器和终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;存储单元,其存储由上述发送接收单元接收到的前缀信息;以及控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过。
第八方式所涉及的通信控制装置的程序由通信控制装置来执行,该程序的特征在于,使该通信控制装置作为以下单元发挥功能:发送接收单元,其至少与路由器和发送接收通信包的 终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;存储单元,其存储由上述发送接收单元接收到的前缀信息;以及控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过。
根据本发明,事先存储从路由器通过路由器通告发送的前缀信息,在通信包中包含的发送源地址或者目的地地址的前缀信息与所存储的前缀信息不同的情况下拦截通信包,因此在IPv6的网络环境下,能够适当地拦截非法的通信包。
附图说明
图1是表示作为本发明的一个实施方式示出的通信系统的结构的框图。
图2是表示作为本发明的一个实施方式示出的通信系统中的通信控制装置的功能结构的框图。
图3是表示作为本发明的一个实施方式示出的通信系统中的通信控制装置中存储的信息的图。
图4是表示在作为本发明的一个实施方式示出的通信系统中第一实施例的动作的时序图。
图5是表示在作为本发明的一个实施方式示出的通信系统中第二实施例的动作的时序图。
图6是表示在作为本发明的一个实施方式示出的通信系统中第三实施例的动作的时序图。
图7是表示在作为本发明的一个实施方式示出的通信系统中第四实施例的动作的时序图。
图8是表示在作为本发明的一个实施方式示出的通信系统中第五实施例的动作的时序图。
图9是表示在作为本发明的一个实施方式示出的通信系统中第六实施例的动作的时序图。
具体实施方式
下面,参照附图说明本发明的实施方式。
作为本发明的实施方式示出的通信系统例如如图1所示那样构成。该通信系统包括通信控制装置1、无线终端装置2、家庭内设备3A、3B、终端装置4、DHCP(Dynamic Host Configur ation Protocol)v6服务器5、路由器6、DNS服务器7以及通信装置8。该通信系统按照IPv6来发送接收IPv6包。
路由器6对从无线终端装置2或者终端装置4经由通信控制装置1向通信装置8等发送的IPv6包进行中继,并且将发送给无线终端装置2或者终端装置4的地址的IPv6包中继到通信控制装置1。该路由器6将连接到通信控制装置1的住宅内网络的前缀信息作为路由器通告消息以组播的形式定期地发送到住宅内网络的所有节点地址。由此,路由器6能够将通过该路由器通告消息所发送的前缀信息用作构成无线终端装置2或者终端装置4的IPv6地址的前64位的前缀。
另外,路由器6也能够使路由器通告消息中还包含住宅内网络的无线终端装置2或者终端装置4所访问的DNS(Domain Name System:域名系统)服务器的信息、M标志、O标志之类的其它信息。
无线终端装置2或者终端装置4获取IPv6地址,将该IPv6地址用作自己的IPv6地址来发送接收IPv6包。无线终端装置2或者终端装置4通常使用路由器通告消息中包含的前缀信息以及基 于对自身设定的MAC(Media Access Control:介质访问控制)地址而求出的接口ID来生成128位的IPv6地址。
作为无线终端装置2或者终端装置4获取IPv6地址的方法,列举出两种方法。第一种方法是无线终端装置2或者终端装置4获取从路由器6发送的路由器通告消息(RA)中包含的前缀信息,将该前缀信息作为前64位的网络地址,基于自己的MAC地址来生成后64位,从而形成自己的IPv6地址。作为获取IPv6地址的其它方法,第二种方法是将从DHCPv6服务器5分配的IPv6地址用作自己的IPv6地址。无线终端装置2或者终端装置4使用通过某一种方法获取到的IPv6地址,任意地设定使用哪个IPv6地址。
例如在住宅内具备通信控制装置1、无线终端装置2、家庭内设备3A、3B以及终端装置4。通信控制装置1作为防火墙而发挥功能,监视无线终端装置2和终端装置4经由外部网络NW与通信装置8或者DNS服务器7之间进行的通信。由此,通信控制装置1拦截住宅内与外部之间非法通信。
在允许通信的情况下,通信控制装置1使从无线终端装置2或者终端装置4发送的IPv6包通过来传输到路由器6,在拦截通信的情况下,通信控制装置1将从无线终端装置2或者终端装置4发送的IPv6包丢弃。另外,在允许经由路由器6从网络NW侧的外部网络经由路由器6向通信控制装置1侧的住宅内网络的通信的情况下,通信控制装置1使从外部网络发送的IPv6包通过来传输到无线终端装置2或者终端装置4。另一方面,在拦截从外部网络向住宅内网络的通信的情况下,通信控制装置1将从外部网络发送的IPv6包丢弃。
如图2所示,通信控制装置1包括控制器11、存储部12、家庭网络I/F13以及广域网I/F14。
家庭网络I/F13与发送接收IPv6包的无线终端装置2和终端装置4相连接。广域网I/F14至少与路由器6相连接。在本例中,广域网I/F14与DHCPv6服务器5相连接。广域网I/F14接收从路由器6通过路由器通告消息发送的前缀信息。
存储部12存储由广域网I/F14接收到的前缀信息。存储部12捕获无线终端装置2或者终端装置4经由通信控制装置1进行通信的信息,存储如图3所示那样的包含前缀信息在内的各种信息。此外,在后面说明其它信息。
前缀信息包含于由路由器6发送到无线终端装置2或者终端装置4地址的路由器通告消息中,是通过由广域网I/F14捕获该路由器通告消息而获取到的。该前缀信息是构成无线终端装置2或者终端装置4的IPv6地址的前64位的网络地址。
在上述通信系统中,存在病毒、恶意攻击者使用非法的IPv6地址,或者无线终端装置2或者终端装置4的用户设定错误的IPv6地址的情况等。因此,通信系统中的通信控制装置1进行如下所述的处理。
(第一实施例)
在由家庭网络I/F13或者广域网I/F14接收到的IPv6包中包含的发送源IPv6地址或者目的地IPv6地址的前缀信息与存储部12中存储的前缀信息不同的情况下,控制器11拦截该IPv6包。另外,在由家庭网络I/F13和广域网I/F14接收到的IPv6包中包含的发送源IPv6地址或者目的地IPv6地址的前缀信息是存储部12中存储的前缀信息的情况下,控制器11使该IPv6包通过。由此,控制器11作为监视、拦截非法的IPv6包的控制单元发挥功能。
通信控制装置1仅使具有以通过路由器6被设为路由器通告消息的前缀信息为前64位的IPv6地址的无线终端装置2或者终 端装置4能够进行通信。因而,根据该通信控制装置1,即使未通过路由器6接收到路由器通告消息的非法的通信装置发送了IPv6包,也能够拦截该非法的IPv6包。
具体地说,如图4所示,通信控制装置1定期地捕获从路由器6发送的路由器通告消息S1。然后,通信控制装置1存储该路由器通告消息S1中包含的前缀信息。
之后,在无线终端装置2或者终端装置4与通信装置8之间发送接收IPv6包S2的情况下,通信控制装置1捕获该IPv6包S2。然后,在该IPv6包S2中包含的无线终端装置2或者终端装置4的IPv6地址的前缀与存储部12中存储的前缀信息相同的情况下,通信控制装置1允许IPv6包S2的通信。
这样,根据通信控制装置1,事先存储从路由器6通过路由器通告发送的前缀信息。而且,在IPv6包中包含的发送源IPv6地址或者目的地IPv6地址的前缀信息与所存储的前缀信息不同的情况下,通信控制装置1拦截IPv6包。由此,在IPv6的网络环境下,能够适当地拦截非法的IPv6包。
(第二实施例)
另外,在通过从路由器6发送的路由器通告消息向通信控制装置1发送了DNS服务器7的信息的情况下,存储部12存储该DNS服务器信息中包含的DNS服务器地址信息。
在从无线终端装置2或者终端装置4发送的IPv6包的目的地IPv6地址是存储部12中存储的DNS服务器地址的情况下,控制器11使该IPv6包通过。另一方面,在该IPv6包中包含的目的地IPv6地址与存储部12中存储的DNS服务器地址不同的情况下,控制器11拦截该IPv6包。
由此,通信控制装置1仅使通过路由器6被设为路由器通告消息的DNS服务器7能够与无线终端装置2或者终端装置4进行 通信。
具体地说,如图5所示,通信控制装置1定期地捕获从路由器6发送的路由器通告消息S11。然后,通信控制装置1将该路由器通告消息S11中包含的DNS服务器7的地址信息存储到存储部12。
之后,在无线终端装置2或者终端装置4对DNS服务器7发送了已指定主机名的地址请求消息S12的情况下,通信控制装置1捕获该地址请求消息S12。通信控制装置1基于TCP(Transmission Control Protocol:传输控制协议)中的端口号来识别该地址请求消息S12是否利用了DNS。然后,在该地址请求消息S12中包含的目的地IPv6地址与存储部12中存储的DNS服务器7的IPv6地址相同的情况下,通信控制装置1允许地址请求消息S12的通信。
DNS服务器7当接收到地址请求消息S12时获取与该地址请求消息S12中包含的主机名相对应的通信装置的IPv6地址。DNS服务器7将包含该IPv6地址的地址响应消息S13发送到无线终端装置2或者终端装置4。
通信控制装置1捕获该地址响应消息S13。通信控制装置1基于TCP中的端口号来识别该地址响应消息S13是否利用了DNS。然后,在该地址响应消息S13中包含的发送源IPv6地址与存储部12中存储的DNS服务器7的IPv6地址相同的情况下,通信控制装置1允许地址响应消息S13的通信。
此外,在本例中,设为根据从路由器6发送的路由器通告消息来指定DNS服务器地址,从无线终端装置2或者终端装置4仅能对DNS服务器7进行访问,但是也能够应用于其它的服务器。例如,在使无线终端装置2或者终端装置4仅与特定的SIP(Session Initiation Protocol:会话发起协议)服务器进行通信 的情况下,通过路由器通告消息,经由通信控制装置1将SIP服务器地址发送到无线终端装置2或者终端装置4。由此,通信控制装置1能够拦截与特定的SIP服务器以外的SIP服务器之间的通信。
作为其它例,在使无线终端装置2或者终端装置4仅与特定的NTP(Network Time Protocol:网络时间协议)服务器进行通信的情况下,通过路由器通告消息,经由通信控制装置1将NTP服务器地址发送到无线终端装置2或者终端装置4。由此,通信控制装置1能够拦截与特定的NTP服务器以外的NTP服务器之间的通信。
(第三实施例)
并且,在通信控制装置1中,在通过路由器通告消息指定了无线终端装置2或者终端装置4的可到达时间(Reachable Time)的情况下,存储部12事先存储可到达时间以及通过广域网I/F14接收到从无线终端装置2或者终端装置4发送的IPv6包的到达性确认包的时刻。该到达性确认包是用于在从无线终端装置2或者终端装置4向通信对象发送IPv6包时确认IPv6包是否到达通信对象的包。该到达性确认包例如是通过ICMP(Internet Control Message Protocol:网际控制消息协议)v6发送的包。
在从接收到到达性确认包的时刻起至接收到从无线终端装置2或者终端装置4发送的IPv6包的时刻为止的时间没有超过针对该无线终端装置2或者终端装置4的可到达时间的情况下,控制器11使该IPv6包通过。另一方面,在从接收到到达性确认包的时刻起至接收到从无线终端装置2或者终端装置4发送的IPv6包的时刻为止的时间超过了针对该无线终端装置2或者终端装置4的可到达时间的情况下,直到下一次从该无线终端装置2或者终端装置4接收到到达性确认包为止控制器11拦截IPv6包。
具体地说,如图6所示,设为在发送了包含可到达时间T1的路由器请求消息S21时,在该可到达时间T1以内的时刻Ta从无线终端装置2或者终端装置4发送了ICMPv6包S22。通信控制装置1接收到该ICMPv6包S22时尚未经过可到达时间T1,因此该通信控制装置1允许该ICMPv6包S22而使其通过。
另一方面,设为在经过了可到达时间T1之后的时刻Tb从无线终端装置2或者终端装置4、或者攻击者的通信装置发送了ICMPv6包S23。在该情况下,通信控制装置1接收到该ICMPv6包S23时已经过可到达时间T1,因此该通信控制装置1拦截该ICMPv6包S23。
由此,在通过路由器通告消息指定了无线终端装置2或者终端装置4的可到达时间的情况下,仅在通信控制装置1接收到从该无线终端装置2或者终端装置4发送的到达性确认包时该到达性确认包处于可到达时间内的情况下使到达性确认包通过。由此,通信控制装置1能够仅在可到达时间内允许通信,将该可到达时间外的通信视为非法来拦截。
(第四实施例)
另外,在通信控制装置1中,广域网I/F14与DHCPv6服务器5相连接。在通过路由器通告消息指定了无线终端装置2或者终端装置4使用由DHCPv6服务器5分配的IPv6地址的情况下,存储部12存储由DHCPv6服务器5分配给无线终端装置2或者终端装置4的IPv6地址信息。
此时,控制器11判断路由器通告消息中的M标志是否为“1”。由此,通信控制装置1判断为将从DHCPv6服务器5分配的IPv6地址用作无线终端装置2或者终端装置4的IPv6地址。在此,如图3所示,存储部12将用于识别无线终端装置2或者终端装置4的终端信息与由DHCPv6服务器5分配的IPv6地址相对应地进行 存储。
在作为存储部12中存储的地址信息而包含由家庭网络I/F13和广域网I/F14接收到的IPv6包中包含的发送源IPv6地址的情况下,控制器11使该IPv6包通过。另一方面,在作为存储部12中存储的地址信息而不包含接收到的IPv6包中包含的发送源IPv6地址的情况下,控制器11拦截该IPv6包。
由此,在通过路由器通告消息指定了将由DHCPv6服务器5分配的IPv6地址用作无线终端装置2或者终端装置4的IPv6地址的情况下,通信控制装置1能够拦截以所分配的该IPv6地址以外的地址为目的地IPv6地址、发送源IPv6地址的IPv6包。
具体地说,通信系统通过如图7所示的时序,在通信控制装置1中存储IPv6地址。
首先,当无线终端装置2或者终端装置4在启动时被设定成由DHCPv6服务器5分配IPv6地址时,该无线终端装置2或者终端装置4对路由器6发送路由器请求消息(RS:Router Solicitation message)S31。该路由器请求消息S31包含无线终端装置2或者终端装置4请求地址的DHCPv6服务器5的地址请求。经由通信控制装置1将该路由器请求消息S31供给至路由器6。
路由器6根据从无线终端装置2或者终端装置4发送的路由器请求消息S31来发送路由器通告消息S32。该路由器通告消息S32中包含无线终端装置2或者终端装置4进行通信的被DHCPv6服务器5分配的IPv6地址。另外,将该路由器通告消息S32的M标志设为“1”以表示不是使用定期发送的路由器通告消息的前缀信息而是使用由DHCPv6服务器5分配的IPv6地址。
当该路由器通告消息S32向无线终端装置2或者终端装置4发送时,由通信控制装置1将其捕获。通信控制装置1识别该路由器通告消息S32中包含的DHCPv6服务器5的地址信息以及M 标志,而识别出无线终端装置2或者终端装置4要使用由DHCPv6服务器5分配的IPv6地址。
无线终端装置2或者终端装置4响应于接收到路由器通告消息S32,使用该路由器通告消息S32中包含的DHCPv6服务器5的地址信息来向该DHCPv6服务器5发送地址信息的请求消息S33。
DHCPv6服务器5当接收到从无线终端装置2或者终端装置4发送的地址信息的请求消息S33时,获取要分配给无线终端装置2或者终端装置4的IPv6地址。然后,DHCPv6服务器5向无线终端装置2或者终端装置4发送,发送包含要分配的IPv6地址的地址信息的响应消息S34。
无线终端装置2或者终端装置4经由通信控制装置1接收从DHCPv6服务器5发送的地址信息的响应消息S34。无线终端装置2或者终端装置4使用所分配的IPv6地址制作以后的IPv6包来进行通信。
由此,根据该通信控制装置1,能够使使用了DHCPv6服务器5所分配的正规IPv6地址的IPv6包通过,丢弃使用了其它IPv6地址的IPv6包。另外,即使在从路由器6通过路由器通告消息定期地发送前缀信息的情况下,也能够设定成无线终端装置2或者终端装置4使用通过路由器请求消息而由DHCPv6服务器5分配的IPv6地址,在该情况下自动地创建利用所分配的该IPv6地址来拦截IPv6包的规则。
(第五实施例)
另外,在该通信系统中,在通过路由器通告消息指定了无线终端装置2或者终端装置4使用由DHCPv6服务器5分配的DNS服务器地址信息的情况下,存储部12存储由DHCPv6服务器5分配的DNS服务器地址信息。此时,控制器11通过判断路由 器通告消息中的O标志是否为“1”,来判断是否使用了从DHCPv6服务器5分配的DNS服务器的IPv6地址。
控制器11判断从无线终端装置2或者终端装置4发送的IPv6包中的端口号是否为DNS。在端口号是DNS的情况下,在作为存储部12中存储的DNS服务器地址信息而包含该IPv6包的目的地IPv6地址时,控制器11使该IPv6包通过。另一方面,在作为存储部12中存储的DNS服务器地址信息而不包含该IPv6包的目的地IPv6地址时,控制器11拦截该IPv6包。
由此,在通过路由器通告消息指定了使用由DHCPv6服务器5分配的DNS服务器7的IPv6地址作为无线终端装置2或者终端装置4的IPv6地址的情况下,通信控制装置1能够拦截以所分配的该DNS服务器7的IPv6地址以外的地址为目的地IPv6地址、发送源IPv6地址的IPv6包。
具体地说,通信系统进行如图8所示那样的时序的动作。
首先,无线终端装置2或者终端装置4在使用DHCPv6服务器5时,向路由器6发送路由器请求消息(RS:Router Solicitation message)S41。该路由器请求消息S41包含无线终端装置2或者终端装置4请求地址的DHCPv6服务器5的地址请求。经由通信控制装置1将该路由器请求消息S41供给至路由器6。
路由器6根据从无线终端装置2或者终端装置4发送的路由器请求消息S41来发送路由器通告消息S42。该路由器通告消息S42中包含无线终端装置2或者终端装置4进行通信的DHCPv6服务器5的IPv6地址。另外,该路由器通告消息S42的O标志被设为“1”以表示使用由DHCPv6服务器5分配的DNS服务器7的IPv6地址作为DNS服务器7的IPv6地址。
在向无线终端装置2或者终端装置4发送该路由器通告消息S42时,由通信控制装置1将其捕获。通信控制装置1识别该路 由器通告消息S42中包含的DHCPv6服务器5的地址信息和O标志,来识别无线终端装置2或者终端装置4是否使用了由DHCPv6服务器5分配的DNS服务器7的IPv6地址。
无线终端装置2或者终端装置4响应于接收到路由器通告消息S42,使用该路由器通告消息S42中包含的DHCPv6服务器5的地址信息,来发送该DNS服务器7的地址信息的请求消息S43。
DHCPv6服务器5当接收到从无线终端装置2或者终端装置4发送的DNS服务器7的地址信息的请求消息S43时,获取DNS服务器7的IPv6地址。然后,DHCPv6服务器5向无线终端装置2或者终端装置4发送,发送包含DNS服务器7的IPv6地址的地址信息的响应消息S44。
通信控制装置1存储该地址信息的响应消息S44中包含的DNS服务器7的IPv6地址。由此,仅在使用了由DHCPv6服务器5分配的DNS服务器7的IPv6地址的情况下,通信控制装置1使从无线终端装置2或者终端装置4向DNS服务器7发送的IPv6包通过。因此,通信控制装置1能够拦截使用了所分配的该DNS服务器7的IPv6地址以外的利用DNS的IPv6地址的IPv6包。
无线终端装置2或者终端装置4经由通信控制装置1接收从DHCPv6服务器5发送的地址信息的响应消息S44。无线终端装置2或者终端装置4使用由DHCPv6服务器5分配的DNS服务器7的IPv6地址来制作之后的DNS的IPv6包,进行通信。
根据该通信控制装置1,使无线终端装置2或者终端装置4仅访问通过路由器通告消息指定的DNS服务器7,由此不会被引导至其它非法的DNS服务器。
(第六实施例)
另外,在紧接在无线终端装置2或者终端装置4启动之后该终端装置使用MAC地址来设定IP地址并发送用于检测该IP地址 的重复地址的消息的情况下,通信控制装置1通过存储部12来存储消息中包含的终端装置的MAC地址。
控制器11判断从无线终端装置2或者终端装置4发送的IPv6包中包含的MAC地址是否与存储部12中存储的MAC地址一致。在IPv6包中包含的MAC地址存储于存储部12的情况下,控制器11使该IPv6包通过。另一方面,在IPv6包中包含的MAC地址未存储于存储部12的情况下,控制器11拦截该IPv6包。
由此,通信控制装置1能够拦截无线终端装置2或者终端装置4未使用MAC地址将IPv6地址的后64位的链路本地地址设定为网络接口来进行DAD(重复地址检测)的无线终端装置2或者终端装置4。
具体地说,如图9所示,无线终端装置2或者终端装置4通过组播通信发送链路本地地址的重复检测包S51。该重复检测包S51被通信控制装置1捕获,也到达路由器6和DHCPv6服务器5。
在该通信系统中,在不存在MAC地址与重复检测包S51中包含的作为链路本地地址的MAC地址不重复的其它通信装置的情况下,不对组播了重复检测包S51的无线终端装置2或者终端装置4发送响应。在从捕获了重复检测包S51的时刻起经过了规定时间都没有响应的情况下,通信控制装置1存储重复检测包S51中包含的无线终端装置2或者终端装置4的MAC地址(接口ID)。
之后,无线终端装置2或者终端装置4为了获取IPv6地址的前缀信息而向路由器6发送路由器请求消息S52。路由器6当接收到路由器请求消息S52时,响应于该路由器请求消息S52而将包含前缀信息的路由器通告消息S53返给无线终端装置2或者终端装置4。
无线终端装置2或者终端装置4当接收到路由器通告消息 S53时,生成以该路由器请求消息S52中包含的前缀信息为前64位、以自己的接口ID为后64位的IPv6地址。由此,无线终端装置2或者终端装置4能够在以后的通信中获取自己的IPv6地址。
另外,由通信控制装置1来捕获路由器通告消息S53。通信控制装置1以该路由器请求消息S52中包含的前缀信息为前64位、以重复检测包S51中包含的无线终端装置2或者终端装置4的接口ID为后64位,来生成无线终端装置2或者终端装置4的IPv6地址并存储到存储部12。由此,通信控制装置1能够仅使使用了存储部12中存储的IPv6地址的IPv6包通过,而拦截使用除此以外的IPv6地址的IPv6包。
此外,上述实施方式是本发明的一个例子。因此,本发明并不限定于上述实施方式,即使在该实施方式之外,只要不脱离本发明所涉及的技术思想的范围,就能够根据设计等进行各种变更,这是理所当然的。
产业上的可利用性
本发明能够使用于使通信包通过或者将其拦截的通信控制装置、通信系统以及程序。
附图标记说明
1:通信控制装置;2:无线终端装置;3:家庭内设备;4:终端装置;5:DHCPv6服务器;6:路由器;7:DNS服务器;8:通信装置;11:控制器;12:存储部;13:住宅内网络I/F;14:广域网I/F。
Claims (6)
1.一种通信控制装置,其特征在于,具备:
发送接收单元,其至少与路由器和发送接收通信包的终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
在通过上述路由器通告将域名系统、即DNS服务器信息发送到上述发送接收单元的情况下,上述存储单元存储该DNS服务器信息中包含的DNS服务器地址信息,
在从上述终端装置发送的通信包的目的地地址是上述存储单元中存储的上述DNS服务器地址的情况下,上述控制单元使该通信包通过,在该通信包中包含的目的地地址与上述存储单元中存储的上述DNS服务器地址不同的情况下,上述控制单元拦截该通信包。
2.一种通信控制装置,其特征在于,具备:
发送接收单元,其至少与路由器和发送接收通信包的终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
在通过上述路由器通告指定了上述终端装置的可到达时间的情况下,上述存储单元事先存储上述可到达时间以及通过上述发送接收单元接收到从上述终端装置发送的通信包的到达性确认包的时刻,
在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间未超过针对该终端装置的可到达时间的情况下,上述控制单元使该通信包通过,在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间超过了针对该终端装置的可到达时间的情况下,直到下一次从该终端装置接收到到达性确认包为止上述控制单元拦截通信包。
3.一种通信控制装置,其特征在于,具备:
发送接收单元,其至少与路由器和发送接收通信包的终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
上述发送接收单元与动态主机配置协议服务器、即DHCP服务器相连接,
在通过上述路由器通告指定了上述终端装置使用由上述DHCP服务器分配的DNS服务器地址信息的情况下,上述存储单元存储由上述DHCP服务器分配的DNS服务器地址信息,
在从上述终端装置发送的通信包中的端口号是DNS的情况下,在作为上述存储单元中存储的DNS服务器地址信息而包含该通信包的目的地地址时,上述控制单元使该通信包通过,在作为上述存储单元中存储的DNS服务器地址信息而不包含该通信包的目的地地址时,上述控制单元拦截该通信包。
4.一种通信系统,其特征在于,具备:
终端装置,其发送接收通信包;
路由器,其通过路由器通告发送前缀信息,并且对被上述终端装置发送接收的通信包进行中继;以及
通信控制装置,其控制上述通信包的拦截和通过,
其中,上述通信控制装置具备:
发送接收单元,其至少与路由器和终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
在通过上述路由器通告将域名系统、即DNS服务器信息发送到上述发送接收单元的情况下,上述存储单元存储该DNS服务器信息中包含的DNS服务器地址信息,
在从上述终端装置发送的通信包的目的地地址是上述存储单元中存储的上述DNS服务器地址的情况下,上述控制单元使该通信包通过,在该通信包中包含的目的地地址与上述存储单元中存储的上述DNS服务器地址不同的情况下,上述控制单元拦截该通信包。
5.一种通信系统,其特征在于,具备:
终端装置,其发送接收通信包;
路由器,其通过路由器通告发送前缀信息,并且对被上述终端装置发送接收的通信包进行中继;以及
通信控制装置,其控制上述通信包的拦截和通过,
其中,上述通信控制装置具备:
发送接收单元,其至少与路由器和终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
在通过上述路由器通告指定了上述终端装置的可到达时间的情况下,上述存储单元事先存储上述可到达时间以及通过上述发送接收单元接收到从上述终端装置发送的通信包的到达性确认包的时刻,
在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间未超过针对该终端装置的可到达时间的情况下,上述控制单元使该通信包通过,在从接收到上述到达性确认包的时刻起至接收到从上述终端装置发送的通信包的时刻为止的时间超过了针对该终端装置的可到达时间的情况下,直到下一次从该终端装置接收到到达性确认包为止上述控制单元拦截通信包。
6.一种通信系统,其特征在于,具备:
终端装置,其发送接收通信包;
路由器,其通过路由器通告发送前缀信息,并且对被上述终端装置发送接收的通信包进行中继;以及
通信控制装置,其控制上述通信包的拦截和通过,
其中,上述通信控制装置具备:
发送接收单元,其至少与路由器和终端装置相连接,接收从该路由器通过路由器通告发送的前缀信息;
存储单元,其存储由上述发送接收单元接收到的前缀信息;以及
控制单元,其在由上述发送接收单元接收到的通信包中包含的发送源地址或者目的地地址的前缀信息与上述存储单元中存储的前缀信息不同的情况下,拦截该通信包,在接收到的该通信包中包含的发送源地址或者目的地地址的前缀信息是上述存储单元中存储的前缀信息的情况下,使该通信包通过,
上述发送接收单元与动态主机配置协议服务器、即DHCP服务器相连接,
在通过上述路由器通告指定了上述终端装置使用由上述DHCP服务器分配的DNS服务器地址信息的情况下,上述存储单元存储由上述DHCP服务器分配的DNS服务器地址信息,
在从上述终端装置发送的通信包中的端口号是DNS的情况下,在作为上述存储单元中存储的DNS服务器地址信息而包含该通信包的目的地地址时,上述控制单元使该通信包通过,在作为上述存储单元中存储的DNS服务器地址信息而不包含该通信包的目的地地址时,上述控制单元拦截该通信包。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010-168370 | 2010-07-27 | ||
| JP2010168370A JP5385872B2 (ja) | 2010-07-27 | 2010-07-27 | 通信制御装置、通信システム及びプログラム |
| PCT/JP2011/067079 WO2012014931A1 (ja) | 2010-07-27 | 2011-07-27 | 通信制御装置、通信システム及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103026685A CN103026685A (zh) | 2013-04-03 |
| CN103026685B true CN103026685B (zh) | 2015-05-20 |
Family
ID=45530135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180036633.2A Active CN103026685B (zh) | 2010-07-27 | 2011-07-27 | 通信控制装置、通信系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9100433B2 (zh) |
| EP (1) | EP2600567A4 (zh) |
| JP (1) | JP5385872B2 (zh) |
| CN (1) | CN103026685B (zh) |
| WO (1) | WO2012014931A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130332586A1 (en) * | 2012-06-08 | 2013-12-12 | Apple Inc. | Providing ipv6 connectivity through shared external interfaces on electronic devices |
| US9445354B2 (en) * | 2013-02-05 | 2016-09-13 | Mediatek Inc. | Apparatus and method for acquiring IPv6 domain name system server and SIP server address |
| JP2014179809A (ja) * | 2013-03-14 | 2014-09-25 | Ricoh Co Ltd | サーバ装置、情報送信システム、情報送信プログラム、および情報送信プログラムを記憶したコンピュータ読み取り可能な記憶媒体 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| JP7359586B2 (ja) * | 2019-07-25 | 2023-10-11 | アズビル株式会社 | アドレス管理装置およびアドレス管理方法 |
| US20210377296A1 (en) * | 2020-05-29 | 2021-12-02 | Avaya Management L.P. | Method and system for discovering, reporting, and preventing duplicate address detection attacks |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001211180A (ja) | 2000-01-26 | 2001-08-03 | Nec Commun Syst Ltd | クライアント認証機能付きdhcpサーバ、及びその認証方法 |
| JP2003348116A (ja) * | 2002-05-28 | 2003-12-05 | Hitachi Ltd | 家庭内ネットワーク向けアドレス自動設定方式 |
| ES2384377T3 (es) | 2002-11-06 | 2012-07-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y adaptación para impedir el uso ilegítimo de direcciones IP |
| JP2004180211A (ja) | 2002-11-29 | 2004-06-24 | Fujitsu Ltd | 代理ネットワーク制御装置 |
| US20050041671A1 (en) * | 2003-07-28 | 2005-02-24 | Naoya Ikeda | Network system and an interworking apparatus |
| JP2005064570A (ja) * | 2003-08-12 | 2005-03-10 | Hitachi Ltd | ネットワークシステム及びインターネットワーク装置 |
| JP2006094416A (ja) | 2004-09-27 | 2006-04-06 | Nec Corp | 加入者回線収容装置およびパケットフィルタリング方法 |
| JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
-
2010
- 2010-07-27 JP JP2010168370A patent/JP5385872B2/ja active Active
-
2011
- 2011-07-27 CN CN201180036633.2A patent/CN103026685B/zh active Active
- 2011-07-27 EP EP11812520.2A patent/EP2600567A4/en not_active Withdrawn
- 2011-07-27 US US13/811,515 patent/US9100433B2/en active Active
- 2011-07-27 WO PCT/JP2011/067079 patent/WO2012014931A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP2600567A1 (en) | 2013-06-05 |
| JP5385872B2 (ja) | 2014-01-08 |
| EP2600567A4 (en) | 2015-06-10 |
| US20130124711A1 (en) | 2013-05-16 |
| WO2012014931A1 (ja) | 2012-02-02 |
| US9100433B2 (en) | 2015-08-04 |
| CN103026685A (zh) | 2013-04-03 |
| JP2012029222A (ja) | 2012-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103026685B (zh) | 通信控制装置、通信系统 | |
| Arkko et al. | Failure detection and locator pair exploration protocol for IPv6 multihoming | |
| CN101459594B (zh) | Bfd报文的发送方法、链路故障的探测方法及装置 | |
| CN101764734B (zh) | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| WO2006119358A3 (en) | Secure address proxying using multi-key cryptographically generated addresses | |
| CA2485175A1 (en) | Methods and apparatus for mobile ip dynamic home agent allocation | |
| JP2011205642A5 (zh) | ||
| CN102932371B (zh) | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 | |
| CN102025734B (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| Issac | Secure ARP and secure DHCP protocols to mitigate security attacks | |
| WO2009007570A3 (fr) | Procédés et dispositifs por la communication de données de diagnostic dans un réseau de communication temps réel | |
| CN102404334A (zh) | 拒绝服务攻击防护方法及装置 | |
| CN104427004A (zh) | 一种基于网络设备的arp报文管理方法 | |
| CN104796423A (zh) | Arp双向主动防御方法 | |
| JP6137178B2 (ja) | 通信情報検出装置及び通信情報検出方法 | |
| CN108667947A (zh) | 一种减少dns应答报文的长度的方法及装置 | |
| EP2690832B1 (en) | Communication device, communication system, and communication method | |
| Thaler | Teredo extensions | |
| CN101494536B (zh) | 一种防arp攻击的方法、装置和系统 | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| CN102045260A (zh) | 移动IPv6中报文传输方法及UTM设备 | |
| WO2016177185A1 (zh) | 媒体访问控制mac地址的处理方法及装置 | |
| Ahmed et al. | Securing the neighbour discovery protocol in IPv6 state-ful address auto-configuration | |
| Issac et al. | Secure unicast address resolution protocol (S-UARP) by extending DHCP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LT Free format text: FORMER OWNER: MATSUSHITA ELECTRIC INDUSTRIAL CO, LTD. Effective date: 20150906 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150906 Address after: Osaka Japan Patentee after: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT Co.,Ltd. Address before: Osaka Japan Patentee before: Matsushita Electric Industrial Co.,Ltd. |