JP2006246291A - 中継装置、中継プログラム及び中継装置の動作方法 - Google Patents
中継装置、中継プログラム及び中継装置の動作方法 Download PDFInfo
- Publication number
- JP2006246291A JP2006246291A JP2005061917A JP2005061917A JP2006246291A JP 2006246291 A JP2006246291 A JP 2006246291A JP 2005061917 A JP2005061917 A JP 2005061917A JP 2005061917 A JP2005061917 A JP 2005061917A JP 2006246291 A JP2006246291 A JP 2006246291A
- Authority
- JP
- Japan
- Prior art keywords
- information
- prefix
- appropriate
- network
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】IPv6などにおいて、クローズドネットワークとの接続を適切に実現するための中継装置などを提供する。
【解決手段】ネットワークサービスプロバイダが接続サービスなどのサービスを提供するネットワークの範囲を示す情報と、そのネットワークへアクセスする端末装置が自身をそのネットワークに識別させるための送信元アドレスの一部を構成する情報と、を関連付けた情報である適正アクセス元情報を取得し、ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報と、を関連付けた情報であるトライ情報を取得し、適正アクセス元情報とトライ情報とが所定の関係にあるかどうかを判断し、パケットの処理を行なう中継装置を提供する。
【選択図】 図3
【解決手段】ネットワークサービスプロバイダが接続サービスなどのサービスを提供するネットワークの範囲を示す情報と、そのネットワークへアクセスする端末装置が自身をそのネットワークに識別させるための送信元アドレスの一部を構成する情報と、を関連付けた情報である適正アクセス元情報を取得し、ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報と、を関連付けた情報であるトライ情報を取得し、適正アクセス元情報とトライ情報とが所定の関係にあるかどうかを判断し、パケットの処理を行なう中継装置を提供する。
【選択図】 図3
Description
本発明は、中継装置、中継プログラム及び中継装置の動作方法に関し、特に、計算機のネットワーク間の通信を中継する中継装置及び中継装置の動作方法に関する。
現在主流の計算機のネットワークにおいては、IPv4に基づくアドレス体系が用いられている。IPv4においては、ネットワークに接続される計算機などは、4バイト(32ビット)の長さのIPアドレスによって識別される。しかし、ネットワークに接続される計算機などが増加するようになるにつれ、IPアドレスの枯渇の虞が発生している。そのため、インターネットなどに接続してサービスの提供を受ける利用者は、NAT(Network Address Translation)やIPマスカレードの技術を用いて、例えば、192.168.0.0/16などのプライベートなネットワークアドレスを用いて閉じたネットワークを形成してインターネットに接続をしている。
このような状況下において、一方で、IPv4の拡張として、128ビットの長さを持つIPアドレス体系を用いるIPv6が提案され、種々の実験を経て実用に供されつつある。IPv6のIPアドレス体系においては、IPv4と同様に、IPアドレスはネットワークを識別するプレフィックス部と計算機などを識別するアドレス部とから構成されるが、IPアドレスの長さが充分長いので、アドレス部に計算機などを識別するMACアドレスを使用し、IPアドレスにより個々の計算機などのネットワークに接続している機器を識別することができる。そこで、特定の機器がアクセスするためのネットワーク(以下「クローズドネットワーク」という)を作っておき、特定の機器がクローズドネットワークにアクセスすることが提案されている(例えば、非特許文献1参照)。これにより、例えば、コンテンツ配信の課金が適正に行なわれたり、家電製品がその家電メーカの提供する保守管理用のクローズドネットワークを利用したりすることができるようになる。
一方で、地域IP網(例えば、非特許文献2参照。)がインフラストラクチャとして整備され、利用者は、同時に複数のサービスプロバイダに接続を行なうことにより、複数のサービスプロバイダから同時にサービスを受けることができるようになってきた。
"じわり浸透,IPv6 なぜ? どんな分野で?"、<インターネット:http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040820/148802/index.shtml>、株式会社日経BP、2004年8月25日 "地域IP網"、<インターネット:http://e-words.jp/w/E59CB0E59F9FIPE7B6B2.html>、株式会社インセプト、2001年9月19日
"じわり浸透,IPv6 なぜ? どんな分野で?"、<インターネット:http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040820/148802/index.shtml>、株式会社日経BP、2004年8月25日 "地域IP網"、<インターネット:http://e-words.jp/w/E59CB0E59F9FIPE7B6B2.html>、株式会社インセプト、2001年9月19日
今後、IPv6が普及するにつれ、利用者が接続機器をインターネットなどの広域ネットワークに接続しつつ、クローズドネットワークにも接続する例が増えてくるものと考えられる。しかし、現状では、例えば、インターネットへの接続が何らかの理由で中断してしまうと、本来インターネットへ行くべき通信がクローズドネットワークへ中継されてしまったり、また、逆の場合が発生してしまったりして、問題が発生する。
図1は、利用者が、インターネットなどの広域ネットワークに接続しつつ、クローズドネットワークにも接続している様子を示す一例図である。クローズドネットワークへの接続を提供するサービスプロバイダであるxSP−Aのゲートウェイなどのアドレスのプレフィックスを2001:A::/32とし、広域ネットワークへの接続を提供するサービスプロバイダであるxSP−Bのゲートウェイなどのアドレスのプレフィックスを2001:B::/32とする。中継装置101(例えば、各家庭に設置される)は、家庭内などに設置された配下の端末装置102と端末装置103を、アクセス網を介してクローズドネットワーク、広域ネットワークに接続している。端末装置102は、クローズドネットワークと広域ネットワークとにアクセスするために、xSP−Aから割り当てられたアドレス2001:A:100::X/128とxSP−Bから割り当てられたアドレス2001:B:100::X/128を有し、端末装置103は、広域ネットワークにのみアクセスするために、xSP−Bから割り当てられたアドレス2001:B:100::Y/128を有する。
ここで、何らかの理由で中継装置101とxSP−Bとの通信が途絶えてしまったとする。中継装置101とxSP−Aとの通信が可能であるので、現状の技術では、中継装置101は例えば端末装置103から送信されたパケットを無条件にxSP−Aに中継してしまうことになる。このため、不必要なパケットがxSP−Aに送信され、無駄な通信が発生してしまう。また、中継装置101とxSP−Bとの通信ができる状態であるとして、端末装置103が、何らかの理由により、クローズドネットワークにアクセスしようとした場合、正しくは、xSP−Bを経由して広域ネットワークを介してクローズドネットワークへアクセスが行なわれるべきにもかかわらず、現状の技術では中継装置101は、端末装置103からのパケットをxSP−Aへ中継する。これではクローズドネットワークから正しく応答ができないという問題がある。
逆に、何らかの理由で中継装置101とxSP−Aとの通信が途絶えてしまったとすると、本来、端末装置102がクローズドネットワークと通信するためのパケットがxSP−Bへ中継されてしまう。このため、情報が意図されていないところへ流出してしまい、情報漏洩などの危険性が高まる。
また、端末装置102は、二つのアドレスを有している。このような場合における送信元アドレスの選択のアルゴリズムとして、RFC3484によるものが知られているが、端末装置102が広域ネットワークにアクセスする際、誤って2001:A::X/128が選択されてしまう場合もある。このような選択が行なわれると、広域ネットワークから正しく応答ができないという問題が生じる。
そこで、本発明は、クローズドネットワークとの接続を適切に実現するための中継装置などを提供することを目的とする。
かかる目的を達成するために、本発明は、(1)サービスプロバイダ(例えば、広域ネットワークへの接続のサービスを提供するインターネットサービスプロバイダ)がサービスを提供するネットワークの範囲を示す情報と、そのネットワークへアクセスする端末装置が自身をそのネットワークに識別させるための送信元アドレスの一部を構成する情報と、を関連付けた情報である適正アクセス元情報を取得し、(2)前記ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報と、を関連付けた情報であるトライ情報を取得し、(3)適正アクセス元情報とトライ情報とが所定の関係にあるかどうかを判断し、(4)その判断結果に基づいてパケットの処理を行なう中継装置を提供する。
パケットの処理には、端末装置が接続を試みるネットワークのアドレス情報が、サービスプロバイダがサービスを提供するネットワークの範囲外であれば、パケットを破棄するという処理があってもよい。
また、パケットの送信元アドレスのプレフィックス情報が、適正アクセス元情報の送信元アドレスの一部を構成する情報にマッチしなければ、パケットを破棄する処理や、送信元アドレスのプレフィックス情報を書き換えるという処理があってもよい。
また、適正アクセス元情報が端末装置を識別する情報―例えばMACアドレス―と関連付けて取得され、そのMACアドレスで識別される端末装置以外の端末装置からのパケットを破棄するという処理があってもよい。
また、そのMACアドレスで識別される端末装置から送信されたパケットの送信元アドレスが正しくなければ、送信元アドレスを書き換えるという処理があってもよい。
このような構成により、中継装置を介したクローズドネットワークとの適切な通信が実現される。
また、中継装置は、サービスプロバイダなどから取得した適性アクセス元情報を、個々の端末装置に向けて送信するようになっていてもよい。特に端末装置へ向けての送信は、ルータ通知として送信するようになっていてもよい。
このような構成により、例えば、RFC3484の実現のために端末装置内部で参照されるポリシーテーブルを適切に更新することが可能となり、無駄な通信の発生を防止することができる。
なお、本発明の概要を例示すると、図2のようになる。中継装置201は、配下の端末装置202と端末装置203とを、アクセス網を介して、xSP−AとxSP−Bとに接続可能な状態になっている。xSP−Aは例えばクローズドネットワークへのゲートウェイ機能を提供し、xSP−Bは広域ネットワークへのゲートウェイ機能を提供している。端末装置202、203などは、パーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話などの、専ら通信機能を提供することを目的とする機器のみならず、家電製品、あるいは、ガスメータや水道メータなどの従来は通信機能を通常は有さないと考えられてきた機器であってもよい。このような機器は、その通信先が決まっているのが通常である。特に、そのような通信先はクローズドネットワークに存在してもよい。例えば、音楽や映像コンテンツを配信する配信サーバ、家電製品などの機器を保守するための機器保守用サーバ、ガスメータや水道メータの検針を行なうガス会社のサーバや水道会社のサーバがクローズドネットワークに接続されていてもよい。
中継装置201は、サービスプロバイダであるxSP−A、xSP−Bより、適正アクセス元情報を取得して、データベースなどに保持する。保持された内容に従って、端末装置202などから送信されてくるパケットに対して、パケット破棄処理、ソースアドレスルーティング処理、ネットワークアドレストランスレーション処理などを行ない、パケットをアクセス網へ中継することを行なう。また、中継装置は、内部にルータ通知デーモンを動作させ、データベースに保持された適正アクセス元情報、あるいは、適正アクセス元情報に基づいて得られる情報を配下の端末装置202、203へ送信する。端末装置では、中継装置201から送信されてきた情報が受信されると、プレフィックス情報を記憶して、送信元アドレスの一部として使用したり、送信元アドレスを選択するためのポリシーテーブルの更新などを行なったりする。また、中継装置201のデータベースには、ルータ通知デーモンによる情報が端末に受信されたかどうかなどの受信状態を示す情報が格納されるようになっていてもよい。
本発明によれば、中継装置を介して、端末装置とクローズドネットワークとの接続が適切に実現される。また、ポリシーテーブルを適切に更新することができ、無駄な通信の発生を防止することができる。
以下、本発明を実施するための最良の形態について、図を用いて実施形態として説明する。なお、本発明は、これら実施形態に何ら限定されるものではなく、その要旨を逸脱しない範囲において、種々なる態様で実施し得る。
なお、実施形態と請求項との関係を示すと次のようになる。実施形態1は、主に請求項1、11、12について説明する。実施形態2は、主に請求項2について説明する。実施形態3は、主に請求項3について説明する。実施形態4は、主に請求項4について説明する。実施形態5は、主に請求項5について説明する。実施形態6は、主に請求項6について説明する。実施形態7は、主に請求項7、9について説明する。実施形態8は、主に請求項8、9について説明する。実施形態9は、主に請求項10について説明する。
(実施形態1)
本発明の実施形態1として、(1)サービスプロバイダが接続サービスなどのサービスを提供するネットワークの範囲を示す情報と、そのネットワークへアクセスする端末装置が自身をそのネットワークに識別させるための送信元アドレスの一部を構成する情報と、を関連付けた情報である適正アクセス元情報を取得し、(2)前記ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報と、を関連付けた情報であるトライ情報を取得し、(3)適正アクセス元情報とトライ情報とのが所定の関係にあるかどうかを判断し、(4)その判断結果に基づいてパケットの処理を行なう中継装置について説明する。
本発明の実施形態1として、(1)サービスプロバイダが接続サービスなどのサービスを提供するネットワークの範囲を示す情報と、そのネットワークへアクセスする端末装置が自身をそのネットワークに識別させるための送信元アドレスの一部を構成する情報と、を関連付けた情報である適正アクセス元情報を取得し、(2)前記ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報と、を関連付けた情報であるトライ情報を取得し、(3)適正アクセス元情報とトライ情報とのが所定の関係にあるかどうかを判断し、(4)その判断結果に基づいてパケットの処理を行なう中継装置について説明する。
(実施形態1:構成)
図3は、本発明の実施形態1に係る中継装置の機能ブロック図を例示する。中継装置300は、適正アクセス元情報取得部301と、トライ情報取得部302と、判断部303と、処理部304と、を有する。
図3は、本発明の実施形態1に係る中継装置の機能ブロック図を例示する。中継装置300は、適正アクセス元情報取得部301と、トライ情報取得部302と、判断部303と、処理部304と、を有する。
なお、本明細書においては、機能ブロック図により表わされる構成は、ハードウェアの存在として、任意の計算機のCPU、メモリ、その他のLSIなどにより実現され、また、ソフトウェアの存在として、メモリにロードされたプログラムなどにより実現されるものとする。また、ハードウェアとソフトウェアとの連携により実現することもできる。特にソフトウェアが用いられて実現される場合には、そのようなソフトウェアを構成するプログラムをフレキシブルディスクや光ディスクなどの媒体に記録することも可能である。
「適正アクセス元情報取得部」301は、適正アクセス元情報を取得可能な部である。特に、適正アクセス元情報取得部301は、アクセス網などを介して接続されるサービスプロバイダより、適正アクセス元情報を取得することが可能になっていてもよい。
図4は、適正アクセス元情報を概念的に示す図である。適正アクセス元情報は、到達可能領域情報と、適正プレフィックス情報と、を関連付けた情報である。例えば、適正アクセス元情報は、到達可能領域情報と適正プレフィックス情報とを含むようになっていてもよい。また、到達可能領域情報と適正プレフィックス情報とが識別情報などにより識別可能になっており、適正アクセス元情報はそれらの識別情報などを含むようになっていてもよい。
適正アクセス元情報取得部301が適正アクセス元情報を取得した場合、中継装置の記憶領域に適正アクセス元情報が記憶されるようになっていてもよい。また、記憶された適正アクセス元情報を削除する命令を取得する部があってもよく、そのような命令に従って、記憶された適正アクセス元情報が削除されるようになっていてもよい。また、適正アクセス元情報には、有効期間が設定され、その有効期間が過ぎれば、記憶された適正アクセス元情報が削除されるようになっていてもよい。
「到達可能領域情報」は、ネットワークサービスプロバイダが接続サービスを提供するネットワークの範囲を示す情報である。例えば、図1や図2において、xSP−Aのゲートウェイ機能などを利用して、xSP−Aが接続サービスを提供することができるクローズドネットワークを識別する情報である。このネットワークを識別する情報は、IPv6に基づくアドレス体系におけるプレフィックス情報により表わすことが可能である。
図5は、到達可能領域情報のフォーマットの一例図である。図5では、到達可能領域情報がOPTION_REACHABLE_PREFIXESのパケットとして例示されている。OPTION_REACHABLE_PREFIXESを示す値50の次には、このOPTION_REACHABLE_PREFIXESのパケットを示す値であるoption−lenの値が2オクテットの長さの領域に格納される。なお、正確には、option−lenの値は、OPTION_REACHABLE_PREFIXESのパケットの長さではなく、長さが可変の部分のオクテット数を示している。その次からは、長さが可変の部分であり、到達可能領域情報が示すプレフィックス情報1つに対して、20オクテットが割り当てられる。すなわち、1オクテット長の値として、prefix_lengthがあり、3バイトの予約領域が続き、その後に、16オクテット(128ビット)のIPv6プレフィックスが配置される。prefix_lengthは、IPv6プレフィックスを格納するIPv6_prefix領域に格納されるプレフィックス部分のビット数を示す。すなわち、IPv6プレフィックスのプレフィックスの最上位ビットから、prefix_lengthが示すビット数の部分が、プレフィックスを示す。
「適正プレフィックス情報」は、送信元アドレス情報の一部を構成する情報である。「送信元アドレス情報」とは、そのネットワークにアクセスする端末装置が自身をそのネットワークに識別させるための情報である。「そのネットワーク」とは、ネットワークサービスプロバイダが接続サービスを提供するネットワークを意味する。すなわち、端末装置が、適正アクセス元情報により関連付けられている到達可能領域情報が示すネットワークにパケットを送信する際に使用するべき送信元アドレスのプレフィックスを示す情報が、適正プレフィックス情報である。
図6は、適正プレフィックス情報のフォーマットの一例図である。図6では、適正プレフィックス情報がOPTION_PROVIDER_PREFIXのパケットして例示されている。OPTION_PROVIDER_PREFIXの値の次には、OPTION_REACHABLE_PREFIXESのパケットのように、16オクテットの長さのIPv6−prefix領域に格納される情報のプレフィックス部分を表わすビット数を示す数が格納される。なお、適正プレフィックス情報については、サービスプロバイダより中継装置へ通知するための従来技術が知られている。そこで、その技術を用いて適正プレフィックス情報をサービスプロバイダから中継装置へ通知してもよい。
「トライ情報取得部」302は、ネットワークへ接続を試みる端末装置が送信するパケットから、トライ情報を取得する。
図7は、トライ情報を概念的に示す図である。トライ情報は、プレフィックス情報と、アクセス先アドレス情報と、を関連付けた情報である。例えば、トライ情報は、プレフィックス情報とアクセス先アドレス情報とを含む情報である。ここに、プレフィックス情報とは、送信元アドレスのプレフィックスを示す情報である。また、アクセス先アドレス情報は、その端末装置が接続を試みるネットワークのアドレス情報である。したがって、トライ情報は、端末装置が送信したパケットのソースアドレスとデスティネーションアドレスとを取得することによりトライ情報を得ることができる。
「判断部」303は、トライ情報取得部で取得したトライ情報により示されるプレフィックス情報及びアクセス先アドレス情報が、前記適正アクセス元情報と、所定の関係にあるかどうかを判断する。「前記適正アクセス元情報」とは、適正アクセス元情報取得部で取得された適正アクセス元情報を指す。あるいは、適正アクセス元情報取得部による取得後、記憶領域に記憶された適正アクセス元情報であってもよい。所定の関係の例としては、トライ情報により示されるプレフィックス情報が、適正プレフィックス情報と等しい関係にあるかどうか、アクセス先アドレス情報のIPv6プレフィックスに相当する部分が等しくなる到達可能領域情報が記憶されているかどうか、などがある。
「処理部」304は、トライ情報取得部302で取得したトライ情報の源である前記端末装置から送信されるパケットを、判断部303での判断結果に基づいて、処理する。「前記端末装置」とは、処理部304で処理されるパケットが、トライ情報取得部がトライ情報を取得するきっかけとなったパケットであるような端末装置である。すなわち、図3において、パケット305を送信した端末装置であり、そのパケット305から、トライ情報取得部302によりトライ情報306が取得され、判断部303で判断がされ、処理部でパケット305が処理されるところの端末装置である。「処理する」とは、例えば、パケットを外部のアクセス網に向けて中継したり、パケットに対してソースアドレスルーティングの処理を行なって適切なサービスプロバイダに中継したり、パケットのソースアドレスの全て又は一部を書き換えたり、パケットを破棄したりすることを含む。
図8、図9は、中継装置801が、サービスプロバイダxSP−A、xSP−Bから適正アクセス元情報を受け取り、配下の端末装置802、803が送信したパケットの処理の一例を説明するための図である。中継装置801が、サービスプロバイダxSP−Aより、適正プレフィックス情報として、2001:A:100::/64を受信したとする。このことは、例えば、xSP−A及びその先のネットワークであるクローズドネットワークを利用するためには、ソースアドレスのプレフィックスが2001:A:100::/64でなければならないことを意味する(後述の図9とその説明を参照)。同様に、中継装置は、サービスプロバイダxSP−Bより、適正プレフィックス情報として、2001:B:100::/64を受信したとする。
図9は、これらの適正プレフィックス情報に関連付けて受信された到達可能領域情報が格納された状態を例示する。図9の表における適正プレフィックスという名前の列は、適正プレフィックス情報を格納し、到達可能領域という名前の列は、到達可能領域情報を格納する。同じ行に、適正プレフィックス情報と到達可能領域情報とが格納されることにより、その適正プレフィックス情報と到達可能領域情報とが関連付けられて取得されたことを示す。例えば、2001:A::/32及び2001:1A::/32というプレフィックスで示されるネットワークへアクセスするためには、送信元アドレスが2001:A:100::/64をプレフィックスとして有する必要があることを示す。同様に、::/0というプレフィックスで示されるネットワーク(すなわち、任意のネットワーク)へアクセスするためには、送信元アドレスが2001:B:100::/64というをプレフィックスとして有する必要があることを示す。
例えば、端末装置802が、アクセス先のアドレスとして、2001:C:100::1/128、送信元アドレスとして、2001:A::1/128、を用いてパケット803を中継装置801に送信したとする。このとき、中継装置801のトライ情報取得部により、プレフィックス情報として、2001:A:100::/64、アクセス先アドレス情報として、2001:C:100::1/128、となるトライ情報が取得される。判断部は、図9の表より、例えば、2001:C:100::1/128とマッチする到達可能領域を検索し、::/0を結果として得て、::/0に対応する適正プレフィックス情報である2001:B:100::/64を取得する。この適正プレフィックス情報と、2001:A:100::/64とを比較する。この比較の結果は異なるので、トライ情報により示されるプレフィックス情報及びアクセス先アドレス情報が、前記適正アクセス元情報と、マッチしないという判断が行なわれる。そして、処理部によって、このようなパケットは破棄される。あるいは、送信元アドレスのプレフィックスが2001:B:100::/64に書き換えられてアクセス網に中継される。
同様に、端末装置804が、アクセス先のアドレスとして、2001:A::10/128、送信元アドレスとして、2001:B:100::2/128、を用いてパケット805を送信したとする。このとき、中継装置801のトライ情報取得部により、プレフィックス情報として、2001:B:100::/64が、アクセス先アドレス情報として、2001:A::10/128が取得される。判断部は、図9の表を、例えば、適正プレフィックスの列を2001:B:100/64で検索して、図9の一番下の行を得る。そして、アクセス先情報の2001:A::10/128が、検索で得られた行の到達可能領域の::/0とマッチするかどうかを判断する。その結果、マッチするので、処理部は、パケットをアクセス網へ中継する。なお、中継装置は、図9の表に格納された行に対応する適正アクセス元情報がどのサービスプロバイダから取得されたかを管理するようになっていてもよい。このような管理が行なわれると、図8、図9の場合には、図9の最後の行に対応する適正アクセス元情報は、xSP−Bより取得されたことが管理されることになる。そこで、中継装置801は、パケット805が、xSP−Bへフォワードされるように、ソースアドレスルーティングを行なうようになっていてもよい。
(実施形態1:処理の流れ)
図10は、本実施形態における処理の流れを説明するフローチャートを例示する。このフローチャートの処理を実施する前提として、中継装置は、適正アクセス元情報取得部により、適正アクセス元情報を取得しておく(適正アクセス元情報取得ステップ)。また、取得された適正アクセス元情報を記憶してもよい。
図10は、本実施形態における処理の流れを説明するフローチャートを例示する。このフローチャートの処理を実施する前提として、中継装置は、適正アクセス元情報取得部により、適正アクセス元情報を取得しておく(適正アクセス元情報取得ステップ)。また、取得された適正アクセス元情報を記憶してもよい。
図10において、ステップS1001として、配下の端末装置からパケットを受信する。ステップS1002(トライ情報取得ステップ)として、ステップS1001で取得されたパケットからトライ情報を取得する。このステップは、トライ情報取得部302で行なわれる。ステップS1003(判断ステップ)として、ステップS1003で取得されたトライ情報と、適正アクセス元情報取得ステップで取得され、あるいは、取得された後に記憶された適正アクセス元情報と、が、所定の関係にあるかどうかを判断する。このステップは、判断部303で行なわれる。ステップS1004(処理ステップ)として、ステップS1003での判断結果に基づいて、ステップS1001で取得されたパケットの処理を行なう。このステップは、処理部304で行なわれる。
(実施形態1:主な効果)
本実施形態により、中継装置の配下の端末装置から受信されたパケットが、サービスプロバイダから取得された適正アクセス元情報に基づいて、適切な処理がされる。この結果、不必要な通信が防止されたり、適切な通信となるようにパケットのソースアドレスが書き換えられたり、適切なソースアドレスルーティングが行なわれるようになる。
本実施形態により、中継装置の配下の端末装置から受信されたパケットが、サービスプロバイダから取得された適正アクセス元情報に基づいて、適切な処理がされる。この結果、不必要な通信が防止されたり、適切な通信となるようにパケットのソースアドレスが書き換えられたり、適切なソースアドレスルーティングが行なわれるようになる。
また、サービスプロバイダから取得された適正アクセス元情報に基づいて処理がされるので、中継装置が設置される家庭などの居住者が、中継装置の設定を行なう必要がなくなる。
(実施形態2)
本発明の実施形態2として、トライ情報により示されるアクセス先アドレス情報が、適正アクセス元情報の到達可能領域情報にマッチしないなどの関係である場合には、パケットを破棄する中継装置について説明する。
本発明の実施形態2として、トライ情報により示されるアクセス先アドレス情報が、適正アクセス元情報の到達可能領域情報にマッチしないなどの関係である場合には、パケットを破棄する中継装置について説明する。
(実施形態2:構成)
図11は、本発明の実施形態2に係る中継装置の機能ブロック図を例示する。実施形態1に係る中継装置の機能ブロック図である図3と比較すると、本実施形態では、中継装置1100の判断部303がアクセス先判断手段1101を有し、処理部304が第一破棄手段1102を有することがわかる。
図11は、本発明の実施形態2に係る中継装置の機能ブロック図を例示する。実施形態1に係る中継装置の機能ブロック図である図3と比較すると、本実施形態では、中継装置1100の判断部303がアクセス先判断手段1101を有し、処理部304が第一破棄手段1102を有することがわかる。
「アクセス先判断手段」1101は、トライ情報取得部302にて取得されたトライ情報により示されるアクセス先アドレス情報と、前記到達可能領域情報とが、所定の関係である第一マッチ関係にあるか判断する。「前記到達可能領域情報」とは、適正アクセス元情報取得部301で取得された適正アクセス元情報により適正プレフィックス情報と関連付けられた到達可能領域情報である。例えば、図9に例示された表の到達可能領域の列に格納される情報である。
第一マッチ関係の例を挙げると、アクセス先アドレス情報にマッチする到達可能領域情報が存在するという関係がある。すなわち、この場合には、アクセス先判断手段は、図9に例示された表の到達可能領域の列を走査して、アクセス先アドレス情報とマッチするものが存在するかどうかを判断する。もし存在すれば、第一マッチ関係にあると判断する。
「第一破棄手段」1102は、アクセス先判断手段1101の判断結果が第一マッチ関係に無いとの判断結果である場合に、第一マッチ関係にないトライ情報が取得されたパケットを破棄する。
(実施形態2:処理の流れ)
図12は、本実施形態におけるアクセス先判断手段1101と第一破棄手段1102とに関係する処理の流れを説明するフローチャートである。ステップS1201として、アクセス先判断手段1101により、トライ情報により示されるアクセス先アドレス情報と到達可能領域情報とが第一マッチ関係にあるかどうかを判断する。この結果がYesであれば、ステップS1202へ処理を移行させ、パケットを中継する。あるいは、処理部304での他の処理を行なうようになっていてもよい。ステップS1201での判断結果がNoであれば、ステップS1203へ処理を移行させ、第一破棄手段1102により、パケットを破棄する。
図12は、本実施形態におけるアクセス先判断手段1101と第一破棄手段1102とに関係する処理の流れを説明するフローチャートである。ステップS1201として、アクセス先判断手段1101により、トライ情報により示されるアクセス先アドレス情報と到達可能領域情報とが第一マッチ関係にあるかどうかを判断する。この結果がYesであれば、ステップS1202へ処理を移行させ、パケットを中継する。あるいは、処理部304での他の処理を行なうようになっていてもよい。ステップS1201での判断結果がNoであれば、ステップS1203へ処理を移行させ、第一破棄手段1102により、パケットを破棄する。
(実施形態2:主な効果)
パケットから取得されたトライ情報により示されるアクセス先アドレス情報と到達可能領域情報とが第一マッチ関係にないということは、中継装置1100がサービスプロバイダから取得した適性アクセス元情報の到達可能領域情報には、そのアクセス先アドレス情報が含まれないということである。つまり、そのパケットはどこにも到達できないパケットである。したがって、このようなパケットを破棄することにより、無駄な通信が発生しないようにすることができる。
パケットから取得されたトライ情報により示されるアクセス先アドレス情報と到達可能領域情報とが第一マッチ関係にないということは、中継装置1100がサービスプロバイダから取得した適性アクセス元情報の到達可能領域情報には、そのアクセス先アドレス情報が含まれないということである。つまり、そのパケットはどこにも到達できないパケットである。したがって、このようなパケットを破棄することにより、無駄な通信が発生しないようにすることができる。
なお、図9に例示された表の場合には、到達可能領域の列には、任意のアドレスにマッチする::/0が格納されているので、図9に例示された表の場合には、第一マッチ関係は成り立たない。本実施形態では、中継装置が一つまたは複数のクローズドネットワークのみと接続される場合に効果が特に発揮される。
(実施形態3)
本発明の実施形態3として、トライ情報により示されるプレフィックス情報が、適正アクセス元情報の適正プレフィックス情報にマッチしないなどの関係である場合には、パケットを破棄する中継装置について説明する。
本発明の実施形態3として、トライ情報により示されるプレフィックス情報が、適正アクセス元情報の適正プレフィックス情報にマッチしないなどの関係である場合には、パケットを破棄する中継装置について説明する。
(実施形態3:構成)
図13は、本発明の実施形態3に係る中継装置の機能ブロック図を例示する。実施形態1又は2に係る中継装置の機能ブロック図である図3、図11と比較すると、本実施形態では、中継装置1300の判断部がプレフィックス判断手段1301を有し、処理部304が第二破棄手段1302を有することがわかる。
図13は、本発明の実施形態3に係る中継装置の機能ブロック図を例示する。実施形態1又は2に係る中継装置の機能ブロック図である図3、図11と比較すると、本実施形態では、中継装置1300の判断部がプレフィックス判断手段1301を有し、処理部304が第二破棄手段1302を有することがわかる。
「プレフィックス判断手段」1301は、トライ情報取得部302にて取得されたトライ情報により示されるプレフィックス情報と、前記適正プレフィックス情報とが、所定の関係である第二マッチ関係にあるか判断する。「前記プレフィックス情報」とは、適正アクセス元情報取得部301で取得された適正アクセス元情報により到達可能領域情報と関連付けられた適正プレフィックス情報である。例えば、図9に例示された表の適正プレフィックスの列に格納された情報である。
第二マッチ関係の例を挙げると、プレフィックス情報にマッチする適正プレフィックス情報が存在するという関係がある。すなわち、この場合には、プレフィックス判断手段1301は、図9に例示された表の適正プレフィックスの列を走査して、プレフィックス情報に等しい、あるいは、マッチするものが存在するかどうかを判断する。もし、存在すれば、第二マッチ関係にあると判断する。
「第二破棄手段」1302は、プレフィックス判断手段1301の判断結果が第二マッチ関係に無いとの判断結果である場合に、第二マッチ関係にないトライ情報が取得されたパケットを破棄する。
(実施形態3:処理の流れ)
図14は、本実施形態におけるプレフィックス判断手段1301と第二破棄手段1302とに関係する処理の流れを説明するフローチャートである。ステップS1401として、プレフィックス判断手段1301により、トライ情報により示されるプレフィックス情報と、適正アクセス元情報取得部により取得されあるいはその後に記憶された適正プレフィックス情報と、が第二マッチ関係にあるかどうかを判断する。この結果がYesであれば、ステップS1402へ処理を移行させ、パケットを中継する。あるいは、処理部304での他の処理を行なうようになっていてもよい。ステップS1401での判断結果がNoであれば、ステップS1403へ処理を移行させ、第二破棄手段1302により、パケットを破棄する。
図14は、本実施形態におけるプレフィックス判断手段1301と第二破棄手段1302とに関係する処理の流れを説明するフローチャートである。ステップS1401として、プレフィックス判断手段1301により、トライ情報により示されるプレフィックス情報と、適正アクセス元情報取得部により取得されあるいはその後に記憶された適正プレフィックス情報と、が第二マッチ関係にあるかどうかを判断する。この結果がYesであれば、ステップS1402へ処理を移行させ、パケットを中継する。あるいは、処理部304での他の処理を行なうようになっていてもよい。ステップS1401での判断結果がNoであれば、ステップS1403へ処理を移行させ、第二破棄手段1302により、パケットを破棄する。
(実施形態3:主な効果)
パケットから取得されたトライ情報により示されるプレフィックス情報と適正プレフィックス情報とが第二マッチ関係にないということは、一つには、中継装置1300の配下の端末装置の送信元アドレスが正しく設定されていないことを示している。この状態では、そのような端末装置から送信されるパケットを中継しても、そのパケットに対する返答は期待できない。したがって本実施形態では、そのような端末装置から送信されたパケットを破棄することにより、無駄な通信が発生しないようにすることができる。
パケットから取得されたトライ情報により示されるプレフィックス情報と適正プレフィックス情報とが第二マッチ関係にないということは、一つには、中継装置1300の配下の端末装置の送信元アドレスが正しく設定されていないことを示している。この状態では、そのような端末装置から送信されるパケットを中継しても、そのパケットに対する返答は期待できない。したがって本実施形態では、そのような端末装置から送信されたパケットを破棄することにより、無駄な通信が発生しないようにすることができる。
(実施形態4)
本発明の実施形態4として、実施形態3において第二マッチ関係にない場合に、パケットを破棄するかわりに、パケット送信元アドレスを書き換えることにより、第二マッチ関係となるようにして処理を行なう中継装置について説明する。
本発明の実施形態4として、実施形態3において第二マッチ関係にない場合に、パケットを破棄するかわりに、パケット送信元アドレスを書き換えることにより、第二マッチ関係となるようにして処理を行なう中継装置について説明する。
(実施形態4:構成)
図15は、本発明の実施形態4に係る中継装置の機能ブロック図を例示する。実施形態1又は2に係る中継装置の機能ブロック図である図3、図11と比較すると、本実施形態では、中継装置1500の処理部304が第一書換手段1501を有することがわかる。また、実施形態3のように、判断部303がプレフィックス判断手段1301を有していてもよい。
図15は、本発明の実施形態4に係る中継装置の機能ブロック図を例示する。実施形態1又は2に係る中継装置の機能ブロック図である図3、図11と比較すると、本実施形態では、中継装置1500の処理部304が第一書換手段1501を有することがわかる。また、実施形態3のように、判断部303がプレフィックス判断手段1301を有していてもよい。
「第一書換手段」1501は、第二マッチ関係にないプレフィックス情報が、前記適正プレフィックス情報と第二マッチ関係になるよう端末装置が送信するパケットを書き換える。例えば、図8に例示されたパケット803の送信元として示されている2001:A:100::1/128のプレフィックスである2001:A:100::/64を2001:B:100::/64に書き換えて、2001:B:100::1/128に書き換える。
(実施形態4:処理の流れ)
図16は、本実施形態における第一書換手段1501に関係する処理の流れを説明するフローチャートを例示する。ステップS1401として、トライ情報により示されるプレフィックス情報と適正プレフィックス情報とが第二マッチ関係にあるかどうかを判断する。この結果がNoであれば、ステップS1602へ処理を移行させ、パケットの送信元アドレスを書き換える。その後、ステップS1603へ処理を移行させる。ステップS1601の結果がYesであれば、ステップS1603へ処理を移行させ、パケットの中継などの処理を行なう。
図16は、本実施形態における第一書換手段1501に関係する処理の流れを説明するフローチャートを例示する。ステップS1401として、トライ情報により示されるプレフィックス情報と適正プレフィックス情報とが第二マッチ関係にあるかどうかを判断する。この結果がNoであれば、ステップS1602へ処理を移行させ、パケットの送信元アドレスを書き換える。その後、ステップS1603へ処理を移行させる。ステップS1601の結果がYesであれば、ステップS1603へ処理を移行させ、パケットの中継などの処理を行なう。
(実施形態4:主な効果)
本実施形態により、送信元アドレスが正しく設定されていない端末装置により発生した通信を正しく処理できるようになる。
本実施形態により、送信元アドレスが正しく設定されていない端末装置により発生した通信を正しく処理できるようになる。
(実施形態5)
本発明の実施形態5として、これまで説明した実施形態のいずれかにおいて、適正アクセス元情報が端末を識別する情報と関連付けて取得される中継装置について説明する。
本発明の実施形態5として、これまで説明した実施形態のいずれかにおいて、適正アクセス元情報が端末を識別する情報と関連付けて取得される中継装置について説明する。
(実施形態5:構成)
図17は、本発明の実施形態5における中継装置の機能ブロック図を例示する。図3、図11、図13、図15と比較すると、本実施形態では、中継装置1700の適正アクセス元情報取得部が、適正端末識別情報取得手段1701を有し、判断部303が端末識別情報判断手段1702を有し、処理部304が第三破棄手段を有することがわかる。
図17は、本発明の実施形態5における中継装置の機能ブロック図を例示する。図3、図11、図13、図15と比較すると、本実施形態では、中継装置1700の適正アクセス元情報取得部が、適正端末識別情報取得手段1701を有し、判断部303が端末識別情報判断手段1702を有し、処理部304が第三破棄手段を有することがわかる。
「適正端末識別情報取得手段」1701は、取得する適正アクセス元情報と関連付けて適正端末識別情報を取得する。「適正端末識別情報」とは、端末装置を識別する情報である。例えば、適正端末識別情報はMACアドレスであってもよい。
図18は、本実施形態において、適正アクセス元情報取得部301が取得する適正アクセス元情報を概念的に示す図である。図4と比較すると、本実施形態では、さらに適正端末識別情報も適正アクセス元情報に関連付けられて取得される。このような適正端末識別情報が取得された後は、適正アクセス元情報と関連付けられて中継装置に記憶されるようになっていてもよい。
図20と図21とは、適正アクセス元情報が中継装置に記憶される状態を説明する。図20において、xSP−Aから到達できるネットワークが2001:A::/32と2001:1A::/32というプレフィックス情報で識別され、xSP−Bから到達できるネットワークが、::/0というプレフィックスで識別されるとする。また、中継装置2001は、xSP−Aからは、適正プレフィックス情報として2001:A:100::/64を取得し、xSP−Bからは、適正プレフィックス情報として2001:B:100::/64を取得しているとする。さらに端末装置2002は、00:11:22:33:44:55という端末識別情報で識別され、中継装置2001は、端末装置2002について、xSP−AとxSP−Bとの両方から、この端末識別情報と関連付けられて到達可能情報と適正プレフィックス情報とを取得している。一方、端末装置2003は、aa:bb:cc:dd:ee:ffという端末識別情報で識別され、端末装置2003については、中継装置2001は、xSP−Aのみからこの端末識別情報と関連付けられて到達可能情報と適正プレフィックス情報とを取得しているとする。
この場合、中継装置2001は、例えば、図21に例示される表のように本実施形態に係る適正アクセス元情報を記憶してもよい。すなわち、MACアドレスの列に00:11:22:33:44:55が格納された行のうち、2行の適正プレフィックス情報の列に2001:A:100::/64が格納され、その内の1行の識別可能領域情報の列に2001:A::/32が格納され、もう一方の行の識別可能領域情報の列に2001:1A::/32が格納される。これにより、端末装置2002が2001:A:100::/64というプレフィックスを有する送信元アドレスを用いて、2001:A::/32と2001:1A::/32というプレフィックス情報で識別されるネットワークにアクセス可能であることが示される。
図19は、適正端末識別情報のフォーマットの一例図である。図19では、適正端末識別情報が、適正端末識別情報を中継装置が取得するためのOPTION_NODE_INFOパケットとして例示されている。OPTION_NODE_INFOを示す値である52の次には、option−lenの値が格納されている。その値は、端末を識別するための情報の長さを表わしており、MACアドレスなどの適正端末識別情報自体の長さに、次に説明するNode−ID−code、P−flag、予約領域のオクテット数である4を加えたものである。
Node−ID−codeは、適正端末識別情報の種類を示し、例えば、MACアドレスかどうかを示す。P−flagは、この適正端末識別情報に関連付けられる適正プレフィックス情報以外の適正プレフィックス情報を、適正端末識別情報により識別される端末装置に適用するかどうかを示す。例えば、P−flagが0x00であれば、全ての適正プレフィックス情報を端末装置に適用する。特に、適正端末識別情報と関連付けられていない適正プレフィックス情報も適用する。また、P−flagが0x01であれば、この適正端末識別情報に関連付けられる適正プレフィックス情報以外は適用しない。また、P−flagが0x02であれば、他のサービスプロバイダから受信された適正端末識別情報と関連付けられている適性プレフィックス情報を適用する。
なお、「適正プレフィックス情報を適用する」などという言葉を使用したが、これは、適正端末識別情報で識別される端末装置から送信されたパケットが中継装置によりアクセス網へ中継される場合には、送信元アドレスのプレフィックスを示す情報が、その適正プレフィックス情報となっていることを意味する。
「端末識別情報判断手段」1702は、端末装置の送信するパケットに含まれるトライ端末識別情報が適正端末識別情報取得手段1701で取得された適正端末識別情報と適合するかどうかを判断する。「トライ端末識別情報」とは、そのパケットを送信した端末装置を識別する情報である。例えば、端末装置2002が送信されたパケットからは、トライ端末識別情報として、00:11:22:33:44:55が取得される。また、「適合する」とは、等しい、あるいは、マッチするということを表わす。
「第三破棄手段」1703は、端末識別情報判断手段の判断結果が適合しないとの判断結果である場合には、適合しないトライ端末識別情報が取得されたパケットを破棄する。
(実施形態5:処理の流れ)
図22は、本実施形態における端末識別情報判断手段1702と第三破棄手段1703との処理の流れを説明するフローチャートを例示する。ステップS2201として、端末識別情報判断手段1702により、トライ端末識別情報が適正端末識別情報と適合するかどうかを判断する。もし判断結果がYesならば、ステップS2202へ処理を移行させ、もし判断結果がNoならば、ステップS2203へ処理を移行させる。ステップS2202では、処理部304での処理を行なう。例えば、アクセス網へパケットを中継する。ステップS2203では、第三破棄手段により、パケットを破棄する。
図22は、本実施形態における端末識別情報判断手段1702と第三破棄手段1703との処理の流れを説明するフローチャートを例示する。ステップS2201として、端末識別情報判断手段1702により、トライ端末識別情報が適正端末識別情報と適合するかどうかを判断する。もし判断結果がYesならば、ステップS2202へ処理を移行させ、もし判断結果がNoならば、ステップS2203へ処理を移行させる。ステップS2202では、処理部304での処理を行なう。例えば、アクセス網へパケットを中継する。ステップS2203では、第三破棄手段により、パケットを破棄する。
(実施形態5:主な効果)
本実施形態によれば、トライ端末識別情報が適正端末識別情報と適合するかどうかが判断されるので、正当な端末装置からの通信だけが許可される。これにより、想定外の端末装置が中継装置の配下として接続され、クローズドネットワークと通信が行なわれ、不正などが行なわれることを防止することができる。
本実施形態によれば、トライ端末識別情報が適正端末識別情報と適合するかどうかが判断されるので、正当な端末装置からの通信だけが許可される。これにより、想定外の端末装置が中継装置の配下として接続され、クローズドネットワークと通信が行なわれ、不正などが行なわれることを防止することができる。
(実施形態6)
本発明の実施形態6として、実施形態4のように、第二マッチ関係にない場合に、パケットを破棄するかわりに、パケット送信元アドレスを書き換えることにより、第二マッチ関係となるようにして処理を行なうこととした実施形態5の中継装置について説明する。
本発明の実施形態6として、実施形態4のように、第二マッチ関係にない場合に、パケットを破棄するかわりに、パケット送信元アドレスを書き換えることにより、第二マッチ関係となるようにして処理を行なうこととした実施形態5の中継装置について説明する。
(実施形態6:構成)
図23は、本発明の実施形態6に係る中継装置の機能ブロック図を例示する。実施形態5に係る中継装置の機能ブロック図17と比較すると、本実施形態では、中継装置2300の処理部が、さらに第二書換手段2301を有することがわかる。また、実施形態3のように、判断部303がプレフィックス判断手段1301を有していてもよい。
図23は、本発明の実施形態6に係る中継装置の機能ブロック図を例示する。実施形態5に係る中継装置の機能ブロック図17と比較すると、本実施形態では、中継装置2300の処理部が、さらに第二書換手段2301を有することがわかる。また、実施形態3のように、判断部303がプレフィックス判断手段1301を有していてもよい。
「第二書換手段」2301は、判断部による判断結果が第二マッチ関係にないとされ、かつ、端末識別情報判断手段1702の判断結果が適合するとの判断結果である場合には、第二マッチ関係にないと共に、適合すると判断されるパケットの送信元アドレスを、そのプレフィックス情報が前記適正プレフィックス情報に適合するように書き換える。
例えば、図20において、端末装置2003から、送信元アドレスのプレフィックス情報が2001:B:100::/64となっているパケットが中継装置により受信されたとする。図21より、端末装置2003に割り当てられたプレフィックスは、2001:A:100::/64であるので、プレフィックスを2001:B:100::/64から2001:A:100::/64に書き換えることを第二書換手段が行なう。
(実施形態6:処理の流れ)
図24は、本実施形態における処理の流れを説明するフローチャートである。ステップS2401として、受信したパケットに含まれる送信元アドレスとトライ端末識別情報に基づいて、第二マッチ関係になく、トライ端末識別情報が適正端末識別情報と適合するかどうか、を判断部303により判断する。もし判断結果がYesであれば、ステップS2402へ処理を移行させ、パケットの送信元アドレスを、適正プレフィックス情報に適合するように書き換える。もし判断結果がNoであれば、パケットをアクセス網へ中継したり、あるいは、破棄を行なったりするなどの処理部304の他の処理を行なう。
図24は、本実施形態における処理の流れを説明するフローチャートである。ステップS2401として、受信したパケットに含まれる送信元アドレスとトライ端末識別情報に基づいて、第二マッチ関係になく、トライ端末識別情報が適正端末識別情報と適合するかどうか、を判断部303により判断する。もし判断結果がYesであれば、ステップS2402へ処理を移行させ、パケットの送信元アドレスを、適正プレフィックス情報に適合するように書き換える。もし判断結果がNoであれば、パケットをアクセス網へ中継したり、あるいは、破棄を行なったりするなどの処理部304の他の処理を行なう。
(実施形態6:主な効果)
本実施形態においては、送信元アドレスが正しく設定されていない端末装置により発生した通信を正しく処理できるようになる。
本実施形態においては、送信元アドレスが正しく設定されていない端末装置により発生した通信を正しく処理できるようになる。
(実施形態7)
本発明の実施形態7として、配下の端末装置などへ適正プレフィックス情報を送信する実施形態5または6に係る中継装置について説明する。
本発明の実施形態7として、配下の端末装置などへ適正プレフィックス情報を送信する実施形態5または6に係る中継装置について説明する。
(実施形態7:構成と主な効果)
図25は、本発明の実施形態7に係る中継装置の機能ブロック図を例示する。実施形態5または6に係る中継装置の機能ブロック図である図17、図23と比較すると、本実施形態においては、中継装置2500が、適正プレフィックス情報送信部2501をさらに有するようになっている。
図25は、本発明の実施形態7に係る中継装置の機能ブロック図を例示する。実施形態5または6に係る中継装置の機能ブロック図である図17、図23と比較すると、本実施形態においては、中継装置2500が、適正プレフィックス情報送信部2501をさらに有するようになっている。
「適正プレフィックス情報送信部」2501は、端末装置が送信するパケットの送信元アドレスを構成するプレフィックス情報として、適正アクセス元情報取得部301が取得した適性アクセス元情報により関連付けられる適正プレフィックス情報を、適正端末識別情報取得手段1701が取得した適正端末識別情報で識別される端末装置へ送信する。例えば、図20、図21の場合においては、中継装置2001は、端末装置2002へは、2001:A:100::/64と2001:B:100::/64というプレフィックス情報を適正プレフィックス情報として送信する。また、中継装置2001は、端末装置2003へは、2001:A:100::/64というプレフィックス情報を送信する。これにより、端末装置は、特別な設定を行なうことなく、中継装置の配下のネットワークに接続された場合に、送信するパケットの送信元アドレスとして使用するべきプレフィックス情報を取得することができる。例えば、適正プレフィックス情報送信部2501は、図2に示されたルータ通知デーモンに相当する。
また、適正プレフィックス情報送信部2501が送信する適正プレフィックス情報は、IPv6におけるルータ通知として送信されるようになっていてもよい。IPv6では、接続される機器はルータ通知を処理できるようになっているので、本実施形態に係る中継装置の配下のネットワークに接続された場合に、特別な処理機構を備えることなく、適正プレフィックス情報が設定される。なお、「ルータ通知」とは、Router Advertisement(以下「RA」と略する)の日本語訳である。ただし、本明細書で「ルータ通知」という場合、従来技術におけるIPv6などにおけるRAを拡張したものを指す場合がある。例えば、後の実施形態で、到達可能領域情報が従来技術のRAに付加される場合がある。すなわち、ルータ装置が従来技術におけるルータ通知を送信する手段を拡張などして、適正プレフィックス情報が端末装置へ送信されるようになっていてもよい。
また、従来のルータ通知は、定期的に、中継装置から配下の端末装置などにブロードキャストされる。これに対して、本発明では、特定の端末装置に向けてユニキャストによって適正プレフィックス情報を含むルータ通知が送信されるようになっているとよい。これにより、例えば、ガスメータに対しては、ガス会社の提供するクローズドネットワークを利用するための適正プレフィックス情報が通知され、水道メータには、水道会社の提供するクローズドネットワークを利用するための適正プレフィックス情報が通知されるようになる。
(実施形態8)
本発明の実施形態8として、適正プレフィックス情報と関連づけて到達可能領域情報を送信する中継装置について説明する。
本発明の実施形態8として、適正プレフィックス情報と関連づけて到達可能領域情報を送信する中継装置について説明する。
(実施形態8:構成)
図26は、本発明の実施形態8に係る中継装置の機能ブロック図を例示する。実施形態7に係る中継装置の機能ブロック図である図25と比較すると、本実施形態に係る中継装置2600の適正プレフィックス情報送信部2501は、到達可能領域情報送信手段2601を有することがわかる。
図26は、本発明の実施形態8に係る中継装置の機能ブロック図を例示する。実施形態7に係る中継装置の機能ブロック図である図25と比較すると、本実施形態に係る中継装置2600の適正プレフィックス情報送信部2501は、到達可能領域情報送信手段2601を有することがわかる。
「到達可能領域情報送信手段」2601は、適正アクセス元情報に関連付けられて適正アクセス元情報取得部301により取得された到達可能領域情報を、適正プレフィックス情報と関連付けて、適正端末識別情報で識別される端末装置へ送信する。例えば、図20、図21の場合においては、端末装置2002へは、2001:A::/32、2001:1A::/32という到達可能領域情報が2001:A:100::/64と関連付けて送信され、また、::/0という到達可能領域情報が2001:B:100::/64と関連付けて送信される。
実施形態7で説明したように、本実施形態においても、到達可能領域情報と適正プレフィックス情報とが関連付けられた情報が、ルータ通知として送信されるようになっていてもよい。
図27は、本実施形態において到達可能領域情報送信手段2601により送信される到達可能領域情報を示すパケットのフォーマット2701の一例図である。フォーマット2701において、Type(8)のフィールド(領域)は(フォーマット2701においては、括弧で囲まれた数字はフィールドの長さをビット数で示すものとする。)、到達可能領域情報を示す値を有する。Length(8)のフィールドは、このパケットの長さを8オクテット単位で示す。したがって、到達可能領域情報が複数含まれる場合(Reachable Prefix(128)のフィールドが複数存在する場合)には、到達可能領域情報が一つ増えるたびに3ずつ増える。Valid Lifetime(32)のフィールドは、到達可能領域情報の有効時間を示す。このフィールドの値は、適正アクセス元情報に含まれており、そこから由来してもよい。Source Prefix(128)は、端末装置の適正プレフィックス情報である。ReachPrefixlen(8)は、Source Prefix(8)のプレフィックスの長さを示す。Reserverd2(56)は予約領域である。Reachable Prefix(128)は、到達可能領域情報を示す。
図28、図29、図30は、本実施形態において、端末装置が到達可能領域情報を受信した際の動作を説明するための図である。例えば、中継装置2801が、アクセス網を介して2001:A::/32というプレフィックスで示される範囲のネットワークに到達可能なサービスプロバイダであるxSP−Aと、2001:B::/32というプレフィックスで示される範囲のネットワークに到達可能なサービスプロバイダであるxSP−Bと、に接続されているとする。また、中継装置2801の配下のネットワークには、端末装置2802が接続されているとする。この場合、端末装置2802に、適正プレフィックス情報として2001:A:100::/64が割り当てられ、端末装置が2001:A:100::X/128のアドレスを有すると仮定する。
図29は、このとき、端末装置2802が、RFC3484における送信元アドレス選択を行なうために有するポリシーテーブルを例示する。RFC3484においては、あて先アドレスと送信元アドレスのそれぞれのLabel値が一致する場合、その送信元アドレスが優先して用いられる。したがって、図28の場合には、プレフィックス2001:A::/32と、2001:A::/32のネットワークへアクセスする際に使用するべきプレフィックスである2001:A:100::/64と、には、同じLabel値2が割り当てられている。
次に、ポリシーテーブルの更新について説明する。端末装置が有するポリシーテーブルが、図30(A)に示すようになっていたとする。ここで、図30(B)に示すような適正プレフィックス情報と到達可能領域情報とが関連付けられて端末装置に受信されたとする。このとき、端末装置は、ポリシーテーブルの中から、Prefixの列の値が、到達可能領域情報と等しい行を検索する。
もし、その検索の結果、そのような行が存在しないのであれば、未使用のLabel値を有するように、到達可能領域情報と適正プレフィックス情報とをポリシーテーブルの行として追加する。例えば、図30(A)の場合には、2というLabel値は未使用なので、Prefix、Precedence、Labelの列の値がそれぞれ2001:1A::/32、40、2という行と、2001:A:1::/64、40、2という行と、を追加する。
なお、到達可能領域情報として::/0が含まれている場合には行を追加しない。
もし、その検索の結果、そのような行が存在するのであれば、その行のLabelの列の値を未使用の値に更新する。
またValid Lifetime(32)のフィールドなどにより指定された有効期限が切れた場合には、その到達可能領域情報をPrefixの列の値として持つ行を削除する。
(実施形態8:主な効果)
本実施形態によれば、中継装置は、サービスプロバイダから取得した適性アクセス元情報に基づいて、配下の端末装置に、適正プレフィックス情報と到達可能領域情報とを送信することができ、その端末装置の送信元アドレスを選択するためのポリシーテーブルを適切に更新することができる。
本実施形態によれば、中継装置は、サービスプロバイダから取得した適性アクセス元情報に基づいて、配下の端末装置に、適正プレフィックス情報と到達可能領域情報とを送信することができ、その端末装置の送信元アドレスを選択するためのポリシーテーブルを適切に更新することができる。
(実施形態9)
本発明の実施形態9として、適正プレフィックス情報の受信状態を管理する中継装置について説明する。
本発明の実施形態9として、適正プレフィックス情報の受信状態を管理する中継装置について説明する。
(実施形態9:構成)
図31は、本発明の実施形態9に係る中継装置の機能ブロック図を例示する。本実施形態の7又は8に係る中継装置の機能ブロック図である図25、図26と比較すると、本実施形態では、中継装置3100の適正プレフィックス情報送信部は、受信状態管理手段3101を有する。
図31は、本発明の実施形態9に係る中継装置の機能ブロック図を例示する。本実施形態の7又は8に係る中継装置の機能ブロック図である図25、図26と比較すると、本実施形態では、中継装置3100の適正プレフィックス情報送信部は、受信状態管理手段3101を有する。
「受信状態管理手段」3101は、端末装置へ送信する適正プレフィックス情報のその端末装置による受信の状態を端末装置ごとに管理する。すなわち、端末装置が、適正プレフィックス情報送信部により送信された適正プレフィックス情報などを受信したかどうかを管理する。例えば、適正プレフィックス情報などの送信に対応して端末装置よりACKなどが返送されてきたどうかを記録することで管理してもよい。あるいは、適正プレフィックス情報の端末装置による受信の前提となる適正プレフィックス情報の端末装置への送信ができたかどうかを記録することで管理してもよい。すなわち、中継装置が適正プレフィックス情報を端末装置へ送信する場合、MACアドレスなどの端末装置を識別する情報を取得しなければならない場合があるが、このような場合に、MACアドレスなどの取得が成功して、適正プレフィックス情報を送信することができたかどうかを管理するようになっていてもよい。
図32は、この管理のために使用するテーブルを例示する。例えば、00:11:22:33:44:55というMACアドレスを有する端末装置は、適正プレフィックス情報などを受信したことが示され、aa:bb:cc:dd:ee:ffというMACアドレスを有する端末装置は、電源が入っておらず動作状態になっていなかったなどの理由で適正プレフィックス情報などを受信しなかったことを示している。また、端末装置から適正プレフィックス情報などの要求が中継装置により受信されたかどうかもテーブルに記録するようになっていてもよい。
(実施形態9:主な効果)
本実施形態により、端末装置別にルータ通知などにより送信された適正プレフィックス情報など(以下、「ルータ通知など」という)の受信状況がデータベースなどとして保持される。これにより、ルータ通知などの送信の失敗を一定回数以上検出した場合には、その端末装置を、ルータ通知などの送信リストから削除してルータ通知などを送信しないようにでき、無駄な通信の発生を防止することができる。
本実施形態により、端末装置別にルータ通知などにより送信された適正プレフィックス情報など(以下、「ルータ通知など」という)の受信状況がデータベースなどとして保持される。これにより、ルータ通知などの送信の失敗を一定回数以上検出した場合には、その端末装置を、ルータ通知などの送信リストから削除してルータ通知などを送信しないようにでき、無駄な通信の発生を防止することができる。
また、データベースを、ハードディスクなど不揮発性の記憶領域に保持することにより、ルータ通知などの受信状況を中継装置の起動時に読み込むことにより、端末からのルータ通知の要求を受信することなく、かつ、無駄な通信が発生しないように、ルータ通知などを送信することができる。
また、データベースを参照することにより、端末装置からルータ通知などの要求を受信したかどうかを参照して、端末装置がルータ通知などを送信する機能がないことを検出し、そのような端末装置に対しては、ルータ通知などの要求などがなくても定期的にルータ通知などを送信することにより、端末装置へ確実にルータ通知などを送信することができる。
本発明は、中継装置を介して、端末装置とクローズドネットワークとの接続が適切に実現される。また、ポリシーテーブルを適切に更新することができ、無駄な通信の発生を防止することができるなどの効果を有し、産業上有用である。
300 中継装置
301 適正アクセス元情報取得部
302 トライ情報取得部
303 判断部
304 処理部
305 パケット
306 トライ情報
301 適正アクセス元情報取得部
302 トライ情報取得部
303 判断部
304 処理部
305 パケット
306 トライ情報
Claims (12)
- ネットワークサービスプロバイダが接続サービスを提供するネットワークの範囲を示す情報である到達可能領域情報と、そのネットワークにアクセスする端末装置が自身をそのネットワークに識別させるための情報である送信元アドレスの一部を構成する情報である適正プレフィックス情報と、を関連付けた情報である適正アクセス元情報を取得可能な適正アクセス元情報取得部と、
ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報であるアクセス先アドレス情報と、を関連付けた情報であるトライ情報を取得するトライ情報取得部と、
前記トライ情報取得部にて取得したトライ情報により示されるプレフィックス情報及び、アクセス先アドレス情報が、前記適正アクセス元情報と、所定の関係にあるか判断する判断部と、
前記トライ情報取得部にて取得したトライ情報の源である前記端末装置から送信されるパケットを、前記判断部での判断結果に基づいて、処理する処理部と、
を有する中継装置。 - 前記判断部は、
前記トライ情報取得部にて取得されたトライ情報により示されるアクセス先アドレス情報と、前記到達可能領域情報とが、所定の関係である第一マッチ関係にあるか判断するアクセス先判断手段
を有し、
前記処理部は、
前記アクセス先判断手段の判断結果が第一マッチ関係にないとの判断結果である場合に、前記第一マッチ関係にないトライ情報が取得されたパケットを破棄する第一破棄手段を有する請求項1に記載の中継装置。 - 前記判断部は、
前記トライ情報取得部にて取得されたトライ情報により示されるプレフィックス情報と、前記適正プレフィックス情報とが、所定の関係である第二マッチ関係にあるか判断するプレフィックス判断手段
を有し、
前記処理部は、
前記プレフィックス判断手段の判断結果が第二マッチ関係にないとの判断結果である場合に、前記第二マッチ関係にないトライ情報が取得されたパケットを破棄する第二破棄手段を有する請求項1又は2に記載の中継装置。 - 前記処理部は、
前記第二マッチ関係にないプレフィックス情報が、前記適正プレフィックス情報と第二マッチ関係となるよう端末装置が送信するパケットを書き換える第一書換手段
を有する請求項1又は2に記載の中継装置。 - 前記適正アクセス元情報取得部は、
取得する適正アクセス元情報と関連づけて端末装置を識別する情報である適正端末識別情報を取得する適正端末識別情報取得手段を有し、
前記判断部は、
端末装置の送信するパケットに含まれるその端末装置を識別する情報であるトライ端末識別情報が前記適正端末識別情報取得手段で取得された適正端末識別情報と適合するかどうかを判断する端末識別情報判断手段を有し、
前記処理部は、
前記端末識別情報判断手段の判断結果が適合しないとの判断結果である場合には、適合しないトライ端末識別情報が取得されたパケットを破棄する第三破棄手段を有する請求項1から3のいずれか一に記載の中継装置。 - 前記処理部は、前記判断部による判断結果が第二マッチ関係にないとされ、かつ、前記端末識別情報判断手段の判断結果が適合するとの判断結果である場合には、
前記第二マッチ関係にないと共に適合すると判断されるパケットの送信元アドレスをそのプレフィックス情報が前記適正プレフィックス情報に適合するよう書き換える第二書換手段
を有する請求項5に記載の中継装置。 - 端末装置が送信するパケットの送信元アドレスを構成するプレフィックス情報として、前記適正アクセス元情報取得部が取得した適性アクセス元情報により関連付けられる適正プレフィックス情報を、前記適正端末識別情報取得手段が取得した適正端末識別情報で識別される端末装置へ送信する適正プレフィックス情報送信部
を有する請求項5又は6に記載の中継装置。 - 前記適正プレフィックス情報送信部は、
適正アクセス元情報に関連付けられて前記適正アクセス元情報取得部で取得された到達可能領域情報を、適正プレフィックス情報と関連付けて、前記適正端末識別情報で識別される端末装置へ送信する到達可能領域情報送信手段を有する請求項7に記載の中継装置。 - 前記適正プレフィックス情報送信部は、ルータ通知の一部として適正プレフィックス情報を送信する請求項7または8に記載の中継装置。
- 前記適正プレフィックス情報送信部は、端末装置へ送信する適正プレフィックス情報の前記端末装置による受信の状態を端末装置ごとに管理する受信状態管理手段を有する請求項7から9のいずれか一に記載の中継装置。
- ネットワークサービスプロバイダが接続サービスを提供するネットワークの範囲を示す情報である到達可能領域情報と、そのネットワークにアクセスする端末装置が自身を前記ネットワークに識別させるための情報である送信元アドレスの一部を構成する情報である適正プレフィックス情報と、を関連付けた情報である適正アクセス元情報を取得する適正アクセス元情報取得ステップと、
前記ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報であるアクセス先アドレス情報と、を関連付けた情報であるトライ情報を取得するトライ情報取得ステップと、
前記トライ情報取得ステップにて取得したトライ情報に示されるプレフィックス情報及び、アクセス先アドレス情報が、前記適正アクセス元情報と、所定の関係にあるか判断する判断ステップと、
前記トライ情報取得ステップにて取得したトライ情報の源である前記端末装置から送信されるパケットを、前記判断ステップでの判断結果に基づいて、処理する処理ステップと、
を計算機に実行させるための中継プログラム。 - ネットワークサービスプロバイダが接続サービスを提供するネットワークの範囲を示す情報である到達可能領域情報と、そのネットワークにアクセスする端末装置が自身を前記ネットワークに識別させるための情報である送信元アドレスの一部を構成する情報である適正プレフィックス情報と、を関連付けた情報である適正アクセス元情報を取得する適正アクセス元情報取得ステップと、
前記ネットワークへの接続を試みる端末装置が送信するパケットから、送信元アドレスのプレフィックス情報と、その端末装置が接続を試みるネットワークのアドレス情報であるアクセス先アドレス情報と、を関連付けた情報であるトライ情報を取得するトライ情報取得ステップと、
前記トライ情報取得ステップにて取得したトライ情報に示されるプレフィックス情報及び、アクセス先アドレス情報が、前記適正アクセス元情報と、所定の関係にあるか判断する判断ステップと、
前記トライ情報取得ステップにて取得したトライ情報の源である前記端末装置から送信されるパケットを、前記判断ステップでの判断結果に基づいて、処理する処理ステップと、
を含む中継装置の動作方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005061917A JP2006246291A (ja) | 2005-03-07 | 2005-03-07 | 中継装置、中継プログラム及び中継装置の動作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005061917A JP2006246291A (ja) | 2005-03-07 | 2005-03-07 | 中継装置、中継プログラム及び中継装置の動作方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006246291A true JP2006246291A (ja) | 2006-09-14 |
Family
ID=37052193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005061917A Pending JP2006246291A (ja) | 2005-03-07 | 2005-03-07 | 中継装置、中継プログラム及び中継装置の動作方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006246291A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019087908A (ja) * | 2017-11-08 | 2019-06-06 | Necプラットフォームズ株式会社 | IPv6ネットワークシステム、ホームゲートウェイ装置、マイグレーション技術適用方法、同適用プログラム |
-
2005
- 2005-03-07 JP JP2005061917A patent/JP2006246291A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019087908A (ja) * | 2017-11-08 | 2019-06-06 | Necプラットフォームズ株式会社 | IPv6ネットワークシステム、ホームゲートウェイ装置、マイグレーション技術適用方法、同適用プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2466857B1 (en) | Custodian-based routing in content-centric networks | |
| US8837483B2 (en) | Mapping private and public addresses | |
| US7639681B2 (en) | System and method for a distributed server for peer-to-peer networks | |
| US7526569B2 (en) | Router and address identification information management server | |
| JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
| US7706301B2 (en) | Routing in a data communication network | |
| JP5335886B2 (ja) | ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置 | |
| KR100803273B1 (ko) | 패킷 터널링하는 isatap 라우터 및 그 방법 | |
| US8554946B2 (en) | NAT traversal method and apparatus | |
| US20130173757A1 (en) | Method, System, Push Client, and User Equipment for Service Communication | |
| US20110268121A1 (en) | Address-sharing system | |
| JP2011004432A (ja) | 情報処理装置および受信装置 | |
| CN114258667A (zh) | 用于获得ip地址的方法和装置 | |
| JP2003298635A (ja) | ソースアドレス選択システム、ルータ装置、通信ノード及びソースアドレス選択方法 | |
| JP5034534B2 (ja) | 通信システム | |
| JP2006246291A (ja) | 中継装置、中継プログラム及び中継装置の動作方法 | |
| KR20010073827A (ko) | 인터넷 엣지 라우터에서의 인터넷 프로토콜 주소확장 방법 | |
| KR100939526B1 (ko) | 애드혹 네트워크를 위한 효율적인 sip 등록방법 및 이를 위한 게이트웨이 노드 | |
| KR101456699B1 (ko) | 단말, 단말 관리 장치, 단말의 패킷 전송 방법 및 단말 관리 방법 | |
| US20150032906A1 (en) | Apparatus and method for assigning ip address in communication system | |
| JP2006324736A (ja) | 情報処理システム、情報処理装置、サーバ装置、変更情報送信装置、及び情報処理方法 | |
| KR100679014B1 (ko) | 이동 애드혹 네트워크에서의 노드간 통신 방법 | |
| JP2003101563A (ja) | パケット転送装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061226 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20071005 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20071217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071219 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080208 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080520 |