JP2006352710A - Packet repeating apparatus and program - Google Patents

Packet repeating apparatus and program Download PDF

Info

Publication number
JP2006352710A
JP2006352710A JP2005178553A JP2005178553A JP2006352710A JP 2006352710 A JP2006352710 A JP 2006352710A JP 2005178553 A JP2005178553 A JP 2005178553A JP 2005178553 A JP2005178553 A JP 2005178553A JP 2006352710 A JP2006352710 A JP 2006352710A
Authority
JP
Japan
Prior art keywords
packet
terminal device
ipv6
network
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005178553A
Other languages
Japanese (ja)
Inventor
Makoto Saito
允 齊藤
Hiroshi Asakura
浩志 朝倉
Takamasa Uchiyama
貴允 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2005178553A priority Critical patent/JP2006352710A/en
Publication of JP2006352710A publication Critical patent/JP2006352710A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To perform packet passing and discarding control using a firewall even when performing IPv tunneling using a tunnel server. <P>SOLUTION: A packet repeating apparatus which includes a function of exchanging IPv6 packets through IPv4 tunneling and repeats IPv6 packets between an IPv6 network and an IPv4 network comprises: policy information containing rules for judging whether or not passing of an IPv6 packet is to be permitted; a packet filtering means for permitting or not passing of the IPv6 packet based on contents of said policy information; and a passing permission control means which receives a passing permission control instruction of an IPv6 packet, from a terminal device connected to the IPv4 network, regarding communication between the relevant terminal device connected to the IPv4 network and another terminal device, authenticates that said passing permission control instruction is sent from said terminal device, and changes the contents of said policy information in accordance with said passing permission control instruction if the authentication is made successful. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、パケットをカプセリングして通信を行うトンネリングサービスに関するものである。また、本発明は、外部ネットワークからの不許可アクセスを防止するファイアウォール技術にも関連する。   The present invention relates to a tunneling service for performing communication by encapsulating packets. The present invention also relates to firewall technology that prevents unauthorized access from external networks.

近年、インターネットプロトコルとしてIPv6が使われ始めているが、一般的には多くのネットワークでIPv4が使用されている。このような状況の中、IPv4のみに対応したネットワークに接続された端末が、IPv6に対応したネットワークに接続された端末と通信することを可能とする技術の一例としてIPv6パケットをIPv4パケットヘッダでカプセリングするIPv4トンネリング技術がある。図1を用いてこのIPv4トンネリング技術の概要を説明する。   In recent years, IPv6 has begun to be used as an Internet protocol, but IPv4 is generally used in many networks. Under such circumstances, as an example of a technique that enables a terminal connected to a network that supports only IPv4 to communicate with a terminal connected to a network that supports IPv6, an IPv6 packet is encapsulated with an IPv4 packet header. There is an IPv4 tunneling technology to do. The outline of this IPv4 tunneling technology will be described with reference to FIG.

図1に示すように、端末1がIPv4ネットワーク4に接続され、端末2及び端末3がそれぞれIPv6ネットワーク5に接続され、IPv4ネットワーク4とIPv6ネットワーク5の両方に接続される中継ノード(トンネルサーバ6)が備えられている。また、端末1は、例えばいわゆるホームネットワーク内の端末でありIPv4対応ファイアウォール7の配下にある。   As shown in FIG. 1, a terminal 1 is connected to an IPv4 network 4, a terminal 2 and a terminal 3 are connected to an IPv6 network 5, and a relay node (tunnel server 6) connected to both the IPv4 network 4 and the IPv6 network 5 is connected. ) Is provided. The terminal 1 is, for example, a terminal in a so-called home network and is under the IPv4-compatible firewall 7.

図1の構成において、端末1は、端末2又は端末3とIPv6パケットを用いて通信を行うが、IPv6パケットをIPv4ネットワーク4を介して送受信するために、IPv6パケットをIPv4パケットヘッダでカプセリングして送信し、受信したパケットをデカプセリングしてIPv6パケットを取り出す。また、トンネルサーバ6は、IPv6ネットワーク5を介して受信したIPv6パケットをIPv4パケットヘッダでカプセリングして端末1に送信し、端末1から受信したパケットをデカプセリングしてIPv6パケットを取り出し、それを通信相手端末2又は3に送信する。すなわち、端末1とトンネルサーバ6間でIPv4トンネルが構築され、そのトンネルを介して端末間でIPv6パケットの送受信が行われる。   In the configuration of FIG. 1, the terminal 1 communicates with the terminal 2 or the terminal 3 using the IPv6 packet. In order to transmit / receive the IPv6 packet via the IPv4 network 4, the IPv6 packet is encapsulated by the IPv4 packet header. Transmit and decapsulate the received packet to extract the IPv6 packet. Also, the tunnel server 6 encapsulates the IPv6 packet received via the IPv6 network 5 with the IPv4 packet header and transmits it to the terminal 1, decapsulates the packet received from the terminal 1, extracts the IPv6 packet, and communicates it. Transmit to partner terminal 2 or 3. That is, an IPv4 tunnel is established between the terminal 1 and the tunnel server 6, and IPv6 packets are transmitted / received between the terminals via the tunnel.

なお、関連技術として、特許文献1には、ホームネットワークに連結された情報機器と他ホームネットワークに連結された情報機器との間でVPNトンネルを介してデータをやり取りする技術が開示されている。
特開2004−320766号公報 国際公開公報WO2005/043281 As a related technique, Patent Literature 1 discloses a technique for exchanging data through an VPN tunnel between an information device connected to a home network and an information device connected to another home network.
JP 2004-320766 A International Publication No. WO2005 / 043481

上記のIPv4トンネル方式は実現も容易で利便性が高いものである。しかしながら、IPv4トンネルが構築された後、端末1を配下に持つIPv4ファイアウォール7は、全てのトンネルパケットを通過させることになり、IPv6ネットワークからの端末1への不正アクセス等の発生の恐れが生じ、セキュリティ上問題がある。   The IPv4 tunnel method is easy to implement and highly convenient. However, after the IPv4 tunnel is constructed, the IPv4 firewall 7 having the terminal 1 under its control passes all tunnel packets, which may cause unauthorized access to the terminal 1 from the IPv6 network, There is a security problem.

すなわち、IPv4トンネルが構築された後は、通信相手端末が送出したパケットはカプセリングにより隠蔽されるので、通信相手端末が送出したパケットヘッダを参照して通過、廃棄等の制御を行うIPv4ファイアウォールは、通信相手端末が送出したパケットに対する制御ができなくなり、全てのトンネルパケットを通過させることになる。   That is, after the IPv4 tunnel is established, the packet sent by the correspondent terminal is concealed by encapsulation, so the IPv4 firewall that controls passage, discard, etc. with reference to the packet header sent by the correspondent terminal, It becomes impossible to control the packet transmitted by the communication partner terminal, and all tunnel packets are allowed to pass.

本発明は上記の問題点に鑑みてなされたものであり、トンネルサーバを用いてIPv4トンネリングを行う場合でもファイアウォールによるパケット通過、廃棄制御を行うことを可能とする技術を提供することを目的とする。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a technique that enables packet passage and discard control by a firewall even when IPv4 tunneling is performed using a tunnel server. .

上記の課題は、IPv6パケットをIPv4トンネリングによりIPv4ネットワークを介して送受信する機能を備え、IPv6ネットワークとIPv4ネットワーク間でIPv6パケットの中継を行うパケット中継装置であって、IPv6パケットの通過許否判断を行うための規則を含むポリシー情報と、前記ポリシー情報の内容に基づきIPv6パケットの通過許否を行うパケットフィルタリング手段と、IPv4ネットワークに接続された端末装置から、当該端末装置と他の端末装置間の通信に関するIPv6パケットの通過許否制御命令をIPv4トンネルを経由して受信し、前記通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段とを備えるパケット中継装置により解決できる。   The above-described problem is a packet relay apparatus that has a function of transmitting and receiving IPv6 packets via an IPv4 network by IPv4 tunneling, and relays IPv6 packets between IPv6 networks and IPv4 networks, and determines whether or not to pass IPv6 packets. Policy information including rules for the above, packet filtering means for permitting passage of IPv6 packets based on the contents of the policy information, and communication between the terminal device and other terminal devices from the terminal device connected to the IPv4 network An IPv6 packet passage permission / inhibition control command is received via an IPv4 tunnel, authentication that the passage permission / inhibition control command is sent from the terminal device, and when the authentication is successful, the passage permission / inhibition control command According to the policy information It can be solved by the packet relay apparatus and a passage permission control means for changing the volume.

また、前記パケット中継装置は、IPv4ネットワークに接続された前記端末装置からトンネル接続要求を受信したときに、前記端末装置に対してIPv6アドレスを払い出し、前記端末装置の識別情報と当該IPv6アドレスとを対応付けて記憶手段に格納し、前記通過許否制御手段は、前記通過許否制御命令に含まれる前記端末装置のIPv6アドレスが、前記端末装置のIPv6アドレスとして前記記憶手段に存在するか否かを確認することにより前記認証を行うことができる。   Further, when the packet relay apparatus receives a tunnel connection request from the terminal apparatus connected to the IPv4 network, the packet relay apparatus issues an IPv6 address to the terminal apparatus, and provides the terminal apparatus identification information and the IPv6 address. The passage permission control means checks whether or not the IPv6 address of the terminal device included in the passage permission control command exists in the storage means as the IPv6 address of the terminal device. Thus, the authentication can be performed.

また、前記パケット中継装置は、前記端末装置を認証するための認証情報を前記端末装置と対応付けて記憶手段に保持し、前記通過許否制御手段は、前記通過許否制御命令に含まれる認証情報が、前記端末装置の認証情報として前記記憶手段に存在するか否かを確認することにより前記認証を行うようにしてもよい。   In addition, the packet relay device holds authentication information for authenticating the terminal device in the storage unit in association with the terminal device, and the passage permission control unit includes the authentication information included in the passage permission control command. The authentication may be performed by confirming whether or not it exists in the storage means as authentication information of the terminal device.

また、本発明は、IPv6パケットをIPv4トンネリングによりIPv4ネットワークを介して送受信する機能を備え、IPv6ネットワークとIPv4ネットワーク間でIPv6パケットの中継を行うパケット中継装置であって、前記パケット中継装置は、セッション管理装置と相互認証に基づく暗号化チャネルにより接続され、当該セッション管理装置は、IPv4ネットワークに接続された端末装置と相互認証に基づく暗号化チャネルにより接続され、IPv6ネットワークに接続された他の端末装置と相互認証に基づく暗号化チャネルにより接続され、前記端末装置と前記他の端末装置間の通信のためのセッション情報を中継するシグナリング機能を備え、前記パケット中継装置は、IPv6パケットの通過許否判断を行うための規則を含むポリシー情報と、前記ポリシー情報の内容に基づきIPv6パケットの通過許否を行うパケットフィルタリング手段と、前記セッション管理装置から、前記端末装置と前記他の端末装置間の通信に関するIPv6パケットの通過許否制御命令を受信し、当該通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段とを備えたことを特徴とするパケット中継装置として構成することもできる。   Further, the present invention is a packet relay device having a function of transmitting and receiving IPv6 packets via an IPv4 network by IPv4 tunneling, and relaying IPv6 packets between IPv6 networks and IPv4 networks, wherein the packet relay device includes a session The session management device is connected to the management device via an encrypted channel based on mutual authentication, and the session management device is connected to a terminal device connected to the IPv4 network via an encrypted channel based on mutual authentication, and connected to the IPv6 network. And a signaling function for relaying session information for communication between the terminal device and the other terminal device, and the packet relay device determines whether or not to pass an IPv6 packet. To do Policy information including rules, packet filtering means for permitting passage of IPv6 packets based on the contents of the policy information, and passage permission / rejection of IPv6 packets related to communication between the terminal device and the other terminal device from the session management device It is also possible to configure as a packet relay device comprising a pass permission control means for receiving a control command and changing the content of the policy information according to the pass permission control command.

また、本発明は、第1のネットワークと第2のネットワーク間でパケットの中継を行うパケット中継装置であって、所定のプロトコルに基づくトンネルを介して第1のネットワークに接続された端末装置とパケットの送受信を行う手段と、前記パケットの通過許否判断を行うための規則を格納したポリシー情報と、前記ポリシー情報の内容に基づき前記パケットの通過許否を行うパケットフィルタリング手段と、第1のネットワークに接続された前記端末装置から、当該端末装置と他の端末装置間の通信に関するパケットの通過許否制御命令を、前記端末装置と前記パケット中継装置間のトンネルを介して受信し、当該通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段とを備えたことを特徴とするパケット中継装置として構成することもできる。   The present invention also provides a packet relay apparatus that relays packets between a first network and a second network, and a terminal apparatus and a packet connected to the first network via a tunnel based on a predetermined protocol. Connected to the first network, a policy information storing a rule for determining whether or not to permit the passage of the packet, a packet filtering means for permitting or not allowing the packet based on the content of the policy information, and a first network From the received terminal device, a packet passing permission / inhibition control command relating to communication between the terminal device and another terminal device is received via a tunnel between the terminal device and the packet relay device, and the passing permission / inhibition control command is received. Authenticate that it is sent from the terminal device, and if the authentication is successful, the pass permission control command Thus it can be configured as a packet relay apparatus characterized by comprising a passage permission control unit that changes contents of the policy information.

本発明によれば、トンネルサーバとして機能するパケット中継装置にファイアウォール機能を備え、認証されたファイアウォール制御命令に基づきポリシー情報を設定することとしたので、トンネルサーバを用いてIPv4トンネリングを行う場合でもファイアウォールによるパケット通過、廃棄制御を行うことが可能となり、また、ファイアウォール制御を動的にかつ安全に行うことが可能となる。   According to the present invention, since the packet relay apparatus functioning as a tunnel server has a firewall function and policy information is set based on an authenticated firewall control command, the firewall can be used even when IPv4 tunneling is performed using the tunnel server. It is possible to perform packet passing and discarding control according to, and to perform firewall control dynamically and safely.

以下、図面を参照して本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

[第1の実施の形態]
まず、第1の実施の形態について説明する。図2に、第1の実施の形態におけるシステム構成を示す。図2に示す構成は、図1の構成と同様に、端末1がIPv4ネットワーク4に接続され、端末2及び端末3がそれぞれIPv6ネットワーク5に接続され、また、IPv4ネットワーク4とIPv6ネットワーク5の両方に接続されるトンネルサーバ6が備えられている。端末1は、IPv4対応ファイアウォール7の配下にある。 [First Embodiment]
First, the first embodiment will be described. FIG. 2 shows a system configuration in the first embodiment. 2, the terminal 1 is connected to the IPv4 network 4, the terminal 2 and the terminal 3 are respectively connected to the IPv6 network 5, and both the IPv4 network 4 and the IPv6 network 5 are configured. A tunnel server 6 connected to is provided. The terminal 1 is under the IPv4-compatible firewall 7.

本実施の形態のトンネルサーバ6は、従来のIPv4トンネリング機能に加えてファイアウォール機能を備えている。すなわち、IPv6ネットワーク5から受信するIPv6パケットに対しては、IPv4カプセリングを行う前に、IPv6パケットヘッダを参照してパケットのフィルタリングを行い、IPv4ネットワーク4から受信するIPv4トンネルパケットに対しては、デカプセリングを行って取り出したIPv6パケットのヘッダを参照してフィルタリングを行う。図2に示す端末1−端末2間のように、トンネルサーバ6にて許可された場合にのみIPv6通信が行われる。   The tunnel server 6 of the present embodiment has a firewall function in addition to the conventional IPv4 tunneling function. That is, for IPv6 packets received from the IPv6 network 5, packet filtering is performed by referring to the IPv6 packet header before performing IPv4 encapsulation, and for IPv4 tunnel packets received from the IPv4 network 4, the packet filtering is performed. Filtering is performed by referring to the header of the IPv6 packet taken out by encapsulation. IPv6 communication is performed only when it is permitted by the tunnel server 6 as between the terminal 1 and the terminal 2 shown in FIG.

パケットフィルタリングに関し、トンネルサーバ6は例えば図3に示すポリシーテーブルを保持し、このポリシーテーブルを参照してフィルタリングを行う。図3に示すポリシーの場合、トンネルサーバ6が取得したIPv6パケットの送信元アドレスが[2001:aaaa::a]かつ送信先アドレスが[2001:bbbb::b]、又は、送信元アドレスが[2001:bbbb::b]かつ送信先アドレスが[2001:aaaa::a]であればパケットを通過させ、それ以外の場合はパケットを廃棄する。また、このポリシーテーブルは端末1から動的に設定可能である。   For packet filtering, the tunnel server 6 holds, for example, a policy table shown in FIG. 3, and performs filtering with reference to this policy table. In the case of the policy shown in FIG. 3, the source address of the IPv6 packet acquired by the tunnel server 6 is [2001: aaaa :: a] and the destination address is [2001: bbbb :: b], or the source address is [ If 2001: bbbb :: b] and the destination address is [2001: aaaa :: a], the packet is allowed to pass; otherwise, the packet is discarded. This policy table can be set dynamically from the terminal 1.

以下、図4のシーケンスチャートを参照して、端末1と端末2が通信を行う場合のシステムの動作を説明する。以下の動作において、トンネルサーバ6は、予め登録した端末の認証情報(IDとパスワード)をその記憶装置に保持しているものとする。また、第1の実施の形態では、端末1は端末2のIPv6アドレス情報を予め有しているものとする。また、端末1とトンネルサーバ6間の通信パケットはIPv4対応ファイアウォール7を通過できるものとする。   Hereinafter, the operation of the system when the terminal 1 and the terminal 2 communicate with each other will be described with reference to the sequence chart of FIG. In the following operation, it is assumed that the tunnel server 6 holds the authentication information (ID and password) of the terminal registered in advance in the storage device. In the first embodiment, it is assumed that the terminal 1 has the IPv6 address information of the terminal 2 in advance. It is assumed that a communication packet between the terminal 1 and the tunnel server 6 can pass through the IPv4-compatible firewall 7.

まず、端末1は、トンネルサーバ6にIPv4により接続し、IDとパスワードをトンネルサーバ6に送信する(ステップ1)。   First, the terminal 1 connects to the tunnel server 6 by IPv4, and transmits the ID and password to the tunnel server 6 (step 1).

トンネルサーバ6は、端末1から受信したID及びパスワードが、予め登録されたものであるかどうかを確認し(ステップ2)、予め登録されたものであることの確認が取れれば端末1に対してIPv6アドレスを払い出す(ステップ3)。また、端末1に対して払い出したIPv6アドレスを、端末1のIPv4アドレス及び認証情報(IDとパスワード)と対応付けて記憶装置に記録しておく(ステップ4)。   The tunnel server 6 confirms whether the ID and password received from the terminal 1 are registered in advance (step 2), and if it can be confirmed that the ID and password are registered in advance, the tunnel server 6 An IPv6 address is paid out (step 3). The IPv6 address paid out to the terminal 1 is recorded in the storage device in association with the IPv4 address and authentication information (ID and password) of the terminal 1 (step 4).

以降、端末1とトンネルサーバ6間でのIPv6パケットのIPv4トンネル通信が可能となる。ただし、この時点では、トンネルサーバ6におけるポリシーテーブルには端末1の通信に関するポリシーは登録されていないので、端末1はIPv6ネットワーク5に接続された端末との通信を行うことができない。すなわち、この時点では、端末1はIPv6ネットワーク5からのアクセスから守られている。   Subsequently, IPv4 tunnel communication of IPv6 packets between the terminal 1 and the tunnel server 6 becomes possible. However, at this point, since the policy regarding the communication of the terminal 1 is not registered in the policy table in the tunnel server 6, the terminal 1 cannot communicate with the terminal connected to the IPv6 network 5. That is, at this point, the terminal 1 is protected from access from the IPv6 network 5.

次に、端末1は、UPnP(Universal Plug & Play)の機能を用いて、通信相手端末のIPv6アドレスを含むファイアウォール制御命令(UPnPパケット)をトンネルサーバ6に送信する(ステップ5)。このUPnPパケットはIPv6パケットである。また、端末1はUPnPパケットをIPv4でカプセリングしてトンネルサーバ6に送信する。なお、UPnPの機能を用いずにファイアウォール制御命令を送信してもよい。   Next, the terminal 1 transmits a firewall control command (UPnP packet) including the IPv6 address of the communication partner terminal to the tunnel server 6 by using a UPnP (Universal Plug & Play) function (step 5). This UPnP packet is an IPv6 packet. Further, the terminal 1 encapsulates the UPnP packet with IPv4 and transmits it to the tunnel server 6. Note that the firewall control command may be transmitted without using the UPnP function.

トンネルサーバ6では、IPv4トンネルパケットをデカプセリングしてUPnPパケットを取り出し、IPv4トンネルパケットの送信元IPv4アドレスとUPnPパケットの送信元IPv6アドレスの組み合わせが記憶装置に登録されているかどうかをチェックすることにより当該ファイアウォール制御命令が、確かに端末1から送信されたものかどうかの認証を行う(ステップ6)。なお、ファイアウォール制御命令に認証情報を含め、その認証情報を用いて認証を行ってもよい。   The tunnel server 6 decapsulates the IPv4 tunnel packet, extracts the UPnP packet, and checks whether the combination of the source IPv4 address of the IPv4 tunnel packet and the source IPv6 address of the UPnP packet is registered in the storage device. It is authenticated whether or not the firewall control command is surely transmitted from the terminal 1 (step 6). Note that authentication information may be included in the firewall control command, and authentication may be performed using the authentication information.

そして、認証に成功し、ファイアウォール制御命令が端末1のアドレスに関する制御命令である場合に、トンネルサーバ6は、ファイアウォール制御命令の内容に基づきポリシーテーブルを書き換える(ステップ7)。例えば、ポリシーテーブルに図3の最下行のみが存在する場合において、ファイアウォール制御命令が、送信元端末アドレス[2001:aaaa::a]と送信先アドレス[2001:bbbb::b]間の相互通信許可を要求するものであれば、ポリシーテーブルには図3の1行目、2行目が記録されることになる。   When the authentication is successful and the firewall control command is a control command related to the address of the terminal 1, the tunnel server 6 rewrites the policy table based on the content of the firewall control command (step 7). For example, in the case where only the bottom line of FIG. 3 exists in the policy table, the firewall control instruction performs the mutual communication between the source terminal address [2001: aaaa :: a] and the destination address [2001: bbbb :: b]. If permission is requested, the first and second lines in FIG. 3 are recorded in the policy table.

その後、IPv4トンネルを介して端末1と端末2間でIPv6パケットによる通信が行われる。本実施の形態によれば、IPv4のみに対応したネットワークからトンネルサーバ6にトンネルを張った場合でも、IPv6パケットによる不正アクセスを防止できるという効果がある。更に、ホームネットワーク等に備えられたIPv4ファイアウォールを越えてUPnPパケットを送信できるので、トンネルサーバ6のファイアウォールをUPnPにより動的に制御できるという効果がある。   Thereafter, communication using the IPv6 packet is performed between the terminal 1 and the terminal 2 via the IPv4 tunnel. According to the present embodiment, even when a tunnel is established from the network that supports only IPv4 to the tunnel server 6, there is an effect that unauthorized access by the IPv6 packet can be prevented. Further, since UPnP packets can be transmitted over an IPv4 firewall provided in a home network or the like, there is an effect that the firewall of the tunnel server 6 can be dynamically controlled by UPnP.

[第2の実施の形態]
次に、第2の実施の形態について説明する。第2の実施の形態は、SIP(Session Initiation Protocol)サーバを利用したセキュアなP2Pチャネル構築技術を利用して、SIPサーバもしくは端末からトンネルサーバに対するファイアウォール制御を行うものである。なお、SIPサーバを利用したセキュアなP2Pチャネル構築技術は特許文献2に記載されている。 [Second Embodiment]
Next, a second embodiment will be described. In the second embodiment, firewall control for a tunnel server is performed from a SIP server or a terminal by using a secure P2P channel construction technology using a SIP (Session Initiation Protocol) server. A secure P2P channel construction technique using a SIP server is described in Patent Document 2.

図5にシステム構成例を示す。図5に示す通り、図2の構成に対し、SIPサーバ8がIPv6ネットワーク5上に追加された構成である。   FIG. 5 shows a system configuration example. As shown in FIG. 5, the SIP server 8 is added on the IPv6 network 5 to the configuration of FIG. 2.

各端末は第1の実施の形態で説明した機能に加えて、SIPサーバ8との間でSIPメッセージによるシグナリングを実行するシグナリング機能を有している。   In addition to the functions described in the first embodiment, each terminal has a signaling function for executing signaling with the SIP server 8 using SIP messages.

SIPサーバ8は、シグナリングを各端末との間で実行するシグナリング機能、端末間の接続許可等を制御する接続ポリシー制御機能、各端末を認証するための認証機能、端末の名前からIPアドレスを取得する名前解決機能、名前とIPアドレス等を対応付けて格納するデータベース等を備えている。   SIP server 8 obtains an IP address from a signaling function for performing signaling with each terminal, a connection policy control function for controlling connection permission between terminals, an authentication function for authenticating each terminal, and a terminal name A name resolution function, a database for storing names in association with IP addresses, and the like.

また、本実施の形態のトンネルサーバ6は、第1の実施の形態で説明した機能に加えて、各端末及びSIPサーバ6とSIPに基づく通信を行う機能を有している。また、SIPサーバ8とトンネルサーバ6とは相互認証に基づく暗号化チャネルで予め接続されており、端末1とSIPサーバ8間のIPv6通信はトンネルサーバ6において許可されているものとする。   In addition to the functions described in the first embodiment, the tunnel server 6 according to the present embodiment has a function of performing communication based on SIP with each terminal and the SIP server 6. In addition, it is assumed that the SIP server 8 and the tunnel server 6 are connected in advance through an encrypted channel based on mutual authentication, and IPv6 communication between the terminal 1 and the SIP server 8 is permitted in the tunnel server 6.

図5の構成において、端末1とトンネルサーバ6間のIPv4トンネルを構築するまでの動作は第1の実施の形態と同じである。すなわち、端末1はトンネルサーバ6にIPv4を用いて接続し、トンネルサーバ6はID、パスワードに基づき端末1の認証を行い、認証OKであればIPv6アドレスを端末1に払い出す。   In the configuration of FIG. 5, the operation until the IPv4 tunnel is established between the terminal 1 and the tunnel server 6 is the same as that of the first embodiment. That is, the terminal 1 connects to the tunnel server 6 using IPv4, and the tunnel server 6 authenticates the terminal 1 based on the ID and password. If the authentication is OK, the IPv6 address is paid out to the terminal 1.

この後の動作を図6、図7のシーケンス図を用いて説明する。図6は、端末1と端末2間でセッション情報の交換を完了するまでの動作を示しており、ここでのシーケンスは端末1、SIPサーバ8、端末2間で実行されることから、図6ではトンネルサーバ6の図示を省略している。   The subsequent operation will be described with reference to the sequence diagrams of FIGS. FIG. 6 shows the operation until the exchange of the session information is completed between the terminal 1 and the terminal 2, and the sequence here is executed among the terminal 1, the SIP server 8, and the terminal 2, so that FIG. However, illustration of the tunnel server 6 is omitted.

図6において、まず端末1−SIPサーバ8間、端末2−SIPサーバ8間の各々でセキュアシグナリングチャネルを構築して、名前の登録を行う。詳細は下記の通りである。   In FIG. 6, first, a secure signaling channel is established between the terminal 1 and the SIP server 8 and between the terminal 2 and the SIP server 8 to register names. Details are as follows.

予め端末1、端末2の各々の(セキュアシグナリングチャネル構築のための)IDとパスワードがSIPサーバ8に配布され、SIPサーバ8のID、パスワードが端末1、端末2に配布されている。まず、端末1−SIPサーバ8間でIPsec等の暗号通信で用いる鍵情報の交換を行う(ステップ11)。その後、自分のID、パスワードを含む情報を暗号化して相手側に送信することにより、相互に認証を行う(ステップ12)。認証後は、セキュアシグナリングチャネル(暗号化シグナリングチャネル)が確立された状態となり、そのチャネルを用いて、端末1は名前とIPv6アドレスの登録をSIPサーバ8に対して行う(ステップ13)。端末1の通信相手となる端末2とSIPサーバ8間でも同様のシーケンスが実行され、端末2の名前とIPv6アドレスがSIPサーバ8に登録される(ステップ14、15、16)。   The ID and password of each of the terminal 1 and terminal 2 (for establishing a secure signaling channel) are distributed to the SIP server 8 in advance, and the ID and password of the SIP server 8 are distributed to the terminal 1 and terminal 2. First, key information used for encryption communication such as IPsec is exchanged between the terminal 1 and the SIP server 8 (step 11). Thereafter, mutual authentication is performed by encrypting information including its own ID and password and transmitting it to the other party (step 12). After the authentication, a secure signaling channel (encrypted signaling channel) is established, and the terminal 1 registers the name and IPv6 address with the SIP server 8 using the channel (step 13). A similar sequence is executed between the terminal 2 that is the communication partner of the terminal 1 and the SIP server 8, and the name and IPv6 address of the terminal 2 are registered in the SIP server 8 (steps 14, 15, and 16).

その後、端末1から端末2への接続要求が、セキュアシグナリングチャネルを介して送信される(ステップ17)。接続要求には、端末2の名前とセッション情報(端末1のIPv6アドレス、暗号通信用の鍵情報(暗号鍵生成用の情報)等)が含まれる。接続要求を受信したSIPサーバ8は、端末1からの接続要求に関して、端末1が嘘をついていないことをチェックし(発信者詐称チェック)、更に、アクセス許可リストを用いて端末1と端末2の通信が許可されているかをチェックし(ステップ18)、許可されていれば、名前解決機能を用いてデータベースを参照することにより端末2の名前から端末2のIPv6アドレスを取得し(ステップ19)、セキュアシグナリングチャネルを介して端末2へ接続要求を転送する(ステップ20)。端末1と端末2の通信が許可されていなければ、端末1の接続要求は拒否される。このとき、端末2に関する情報は端末1には全く送信されない。   Thereafter, a connection request from the terminal 1 to the terminal 2 is transmitted via the secure signaling channel (step 17). The connection request includes the name of the terminal 2 and session information (the IPv6 address of the terminal 1, key information for encryption communication (information for generating the encryption key), etc.). The SIP server 8 that has received the connection request checks that the terminal 1 is not lying with respect to the connection request from the terminal 1 (caller spoofing check), and further uses the access permission list to connect the terminal 1 and the terminal 2. Check whether communication is permitted (step 18), and if permitted, obtain the IPv6 address of the terminal 2 from the name of the terminal 2 by referring to the database using the name resolution function (step 19), The connection request is transferred to the terminal 2 via the secure signaling channel (step 20). If communication between the terminal 1 and the terminal 2 is not permitted, the connection request for the terminal 1 is rejected. At this time, information regarding the terminal 2 is not transmitted to the terminal 1 at all.

接続要求を受信した端末2は、接続要求に対する応答として、自分のセッション情報(端末2のIPv6アドレス、暗号通信用の鍵情報等)を含む応答メッセージをセキュアシグナリングチャネルを介してSIPサーバ8に送信し(ステップ21)、SIPサーバ8が、ステップ18と同様のポリシー制御等を行って、その応答メッセージを端末1に送る(ステップ22)。   Upon receiving the connection request, the terminal 2 sends a response message including its session information (the IPv6 address of the terminal 2, key information for encryption communication, etc.) to the SIP server 8 via the secure signaling channel as a response to the connection request. Then (step 21), the SIP server 8 performs the same policy control as in step 18, and sends the response message to the terminal 1 (step 22).

上記のシーケンスにおいて、セキュアシグナリングチャネルの確立及び名前登録のためにREGISTERリクエストメッセージを用い、端末1−端末2間のセキュアデータチャネル確立のためにINVITEリクエストメッセージを用いる。また、ステップ17の後の発信者詐称チェックは次のようにして行うことができる。   In the above sequence, the REGISTER request message is used for establishing a secure signaling channel and registering a name, and the INVITE request message is used for establishing a secure data channel between the terminal 1 and the terminal 2. Further, the sender spoofing check after step 17 can be performed as follows.

SIPサーバ8は、端末1の名前、IPv6アドレス、ポート番号、端末1とSIPサーバ8間のセキュアシグナリングチャネルのコネクションを識別する情報(例えばIPsecSA)を対応付けて保持している。従って、SIPサーバ8は、INVITEリクエストメッセージを受信したコネクション情報から、端末1の名前と端末1のIPv6アドレスとを把握でき、それらと、INVITEリクエストメッセージの中のFrom行(メッセージの送信元の名前が記述される行)に記述された名前と、Contact行(メッセージの送信元のIPv6アドレスが記述される行)に記述されるIPv6アドレスとを比較することにより、名前やIPv6アドレスに詐称がないことを判断できる。   The SIP server 8 holds the name of the terminal 1, the IPv6 address, the port number, and information (for example, IPsec SA) that identifies the connection of the secure signaling channel between the terminal 1 and the SIP server 8. Therefore, the SIP server 8 can grasp the name of the terminal 1 and the IPv6 address of the terminal 1 from the connection information that has received the INVITE request message, and the From line (name of the sender of the message) in the INVITE request message. The name or IPv6 address is not spoofed by comparing the name described in the line) and the IPv6 address described in the Contact line (line in which the IPv6 address of the message transmission source is described). Can be judged.

ステップ22により、端末1は端末2のIPv6アドレスを取得するので、そのIPv6アドレスを用いてトンネルサーバ6に対するファイアウォール制御を行う。   In step 22, the terminal 1 obtains the IPv6 address of the terminal 2, and performs firewall control for the tunnel server 6 using the IPv6 address.

ファイアウォール制御は、第1の実施の形態の形態と同様にしてUPnPパケットを用いて行うことができる(図7の(a)の場合)。UPnPパケットを用いることの他、SIPメッセージにファイアウォール制御命令を含め、端末1からSIPサーバ8経由でトンネルサーバ6に対してSIPメッセージを送信することによりファイアウォール制御を行うこともできる。この場合、端末1は、トンネルサーバが端末1を認証するための認証情報(例えばIPv6アドレス払い出し時に用いたIDとパスワード)をSIPメッセージに含め、トンネルサーバ6は、その情報が、端末1のものとして予め格納された認証情報と一致するか否か(認証情報が端末1のIPv6アドレスと対応付けて格納されているか否か)を確認することにより、SIPメッセージが確かに端末1を発信元として送られたものであることを確認し、確認できた場合にのみポリシーテーブルの変更を行う(図7の(b)の場合)。なお、トンネルサーバ6とSIPサーバ8間、各端末とSIPサーバ8間では、相互認証に基づく相互信頼関係が構築されているので、ファイアウォール制御命令に認証情報を含めなくてもよい。すなわち、トンネルサーバ6は、認証情報による認証を行うことなく、SIPサーバ8から受信するファイアウォール制御命令に従ってファイアウォール制御を行ってもよい。   Firewall control can be performed using UPnP packets in the same manner as in the first embodiment (in the case of FIG. 7A). In addition to using UPnP packets, firewall control can also be performed by including a firewall control command in the SIP message and transmitting the SIP message from the terminal 1 to the tunnel server 6 via the SIP server 8. In this case, the terminal 1 includes authentication information (for example, an ID and a password used when the IPv6 address is issued) for the tunnel server to authenticate the terminal 1 in the SIP message. By confirming whether or not the authentication information matches the authentication information stored in advance (whether or not the authentication information is stored in association with the IPv6 address of the terminal 1), the SIP message is surely sent from the terminal 1 as a source. The policy table is changed only when it is confirmed that it has been sent (in the case of (b) in FIG. 7). In addition, since the mutual trust relationship based on mutual authentication is established between the tunnel server 6 and the SIP server 8 and between each terminal and the SIP server 8, it is not necessary to include authentication information in the firewall control command. That is, the tunnel server 6 may perform firewall control according to the firewall control command received from the SIP server 8 without performing authentication based on the authentication information.

また、ファイアウォール制御命令を含むSIPメッセージをSIPサーバ8がトンネルサーバ6に対して送信することによりファイアウォール制御を行ってもよい。この場合、図6のステップ21において、端末2から送信された応答メッセージ(200 OK メッセージ)をSIPサーバ8が受信した時点で、SIPサーバ8は端末1−端末2間でのP2P通信が行われると判断し、端末1−端末2間の通信が可能になるようにファイアウォール制御命令をトンネルサーバ6に送信する。トンネルサーバ6はSIPサーバ8から送られたファイアウォール制御命令に基づきポリシーテーブルの変更を行う(図7の(c)の場合)。   Further, firewall control may be performed by the SIP server 8 transmitting a SIP message including a firewall control command to the tunnel server 6. In this case, when the SIP server 8 receives the response message (200 OK message) transmitted from the terminal 2 in step 21 in FIG. 6, the SIP server 8 performs P2P communication between the terminal 1 and the terminal 2. The firewall control command is transmitted to the tunnel server 6 so that communication between the terminal 1 and the terminal 2 is possible. The tunnel server 6 changes the policy table based on the firewall control command sent from the SIP server 8 (in the case of (c) in FIG. 7).

ファイアウォール制御により、トンネルサーバ6において端末1−端末2間の通信が許可された後、端末1−端末2間でのP2P通信が実施される。   After the communication between the terminal 1 and the terminal 2 is permitted in the tunnel server 6 by the firewall control, the P2P communication between the terminal 1 and the terminal 2 is performed.

なお、第1の実施の形態と第2の実施の形態において、ポリシーの削除もポリシーの追加と同様の手順で行うことが可能である。また、第2の実施の形態において、SIPサーバ8をIPv4ネットワーク上に設置することとしてもよい。この場合、端末1からSIPサーバ8への接続はトンネルサーバ6を経由することなく行われる。   In the first embodiment and the second embodiment, it is possible to delete a policy in the same procedure as that for adding a policy. In the second embodiment, the SIP server 8 may be installed on the IPv4 network. In this case, the connection from the terminal 1 to the SIP server 8 is made without going through the tunnel server 6.

[機能構成]
次に、図8を参照して、端末1、トンネルサーバ、端末2の機能構成について説明する。なお、図8は、第1の実施の形態、第2の実施の形態のいずれにも対応可能な構成を示している。 [Function configuration]
Next, functional configurations of the terminal 1, the tunnel server, and the terminal 2 will be described with reference to FIG. FIG. 8 shows a configuration that can handle both the first embodiment and the second embodiment.

図8に示す通り、トンネルサーバ6は、SIP認証モジュール11、ファイアウォール制御モジュール121を含むSIPスタック12、UPnPモジュール13、トンネルサービス用認証モジュール14、IPv6中継モジュール15、IPv6ファイアウォールモジュール16、IPv6モジュール17、及びトンネルモジュール18を有している。   As shown in FIG. 8, the tunnel server 6 includes a SIP authentication module 11, a SIP stack 12 including a firewall control module 121, a UPnP module 13, a tunnel service authentication module 14, an IPv6 relay module 15, an IPv6 firewall module 16, and an IPv6 module 17. And a tunnel module 18.

端末1は、アプリケーション21、SIP認証モジュール22、ファイアウォール制御モジュール231を含むSIPスタック23、UPnPモジュール24、トンネルサービス用認証モジュール25、IPv6モジュール26、トンネルモジュール27を有している。また、端末2は、アプリケーション31、SIPスタック32、IPv6モジュール33を有している。以下、主要な構成要素について詳細に説明する。   The terminal 1 includes an application 21, a SIP authentication module 22, a SIP stack 23 including a firewall control module 231, a UPnP module 24, a tunnel service authentication module 25, an IPv6 module 26, and a tunnel module 27. The terminal 2 includes an application 31, a SIP stack 32, and an IPv6 module 33. Hereinafter, main components will be described in detail.

トンネルモジュール18、27は、IPv6とIPv4間の変換を行うモジュールである。トンネルモジュール18により、トンネルサーバ6は、端末1に対してIPv6パケットをIPv4でカプセリングして送信し、端末1から受信するパケットからIPv4ヘッダを取り外し、IPv6パケットを抽出する。また、トンネルモジュール18は、トンネルサービス用認証モジュール14により端末1の認証が取れたときにIPv6アドレスを端末1に払い出す機能を有している。   The tunnel modules 18 and 27 are modules that perform conversion between IPv6 and IPv4. With the tunnel module 18, the tunnel server 6 encapsulates the IPv6 packet by IPv4 and transmits it to the terminal 1, removes the IPv4 header from the packet received from the terminal 1, and extracts the IPv6 packet. The tunnel module 18 has a function of paying out an IPv6 address to the terminal 1 when the terminal 1 is authenticated by the tunnel service authentication module 14.

トンネルサーバ6におけるトンネルサービス用認証モジュール14は、端末1のトンネルサービス用認証モジュール25により送られる認証情報に基づき端末1を認証する。また、端末1に払い出されたIPv6アドレスを端末1の識別情報及び認証情報と対応付けて記憶装置に格納し、端末1から受信したUPnPパケットの認証を第1の実施の形態で説明した方法で行う機能も有している。   The tunnel service authentication module 14 in the tunnel server 6 authenticates the terminal 1 based on the authentication information sent by the tunnel service authentication module 25 of the terminal 1. The IPv6 address issued to the terminal 1 is stored in the storage device in association with the identification information and authentication information of the terminal 1, and the authentication of the UPnP packet received from the terminal 1 is described in the first embodiment. It also has a function to perform in

UPnPモジュール24、13は、UPnPパケットを用いてファイアウォール制御を行う場合に使用されるモジュールである。端末1のUPnPモジュール24は、ファイアウォール制御モジュール231にて生成されるファイアウォール制御命令を含むUPnPパケットを生成する。トンネルサーバ6のUPnPモジュール13は、端末1から受信したUPnPパケットに基づく認証が成功した場合に、UPnPパケットに記載されたファイアウォール制御命令をファイアウォール制御モジュール121に渡す。   The UPnP modules 24 and 13 are modules used when firewall control is performed using UPnP packets. The UPnP module 24 of the terminal 1 generates a UPnP packet including a firewall control command generated by the firewall control module 231. The UPnP module 13 of the tunnel server 6 passes the firewall control command described in the UPnP packet to the firewall control module 121 when the authentication based on the UPnP packet received from the terminal 1 is successful.

トンネルサーバ6のファイアウォール制御モジュール121は、ファイアウォール制御命令をIPv6ファイアウォールモジュール16に伝達し、IPv6ファイアウォールモジュール16はポリシーテーブルを変更する。また、IPv6ファイアウォールモジュールは、ポリシーテーブルを参照してパケットのフィルタリングを行う。   The firewall control module 121 of the tunnel server 6 transmits a firewall control command to the IPv6 firewall module 16, and the IPv6 firewall module 16 changes the policy table. Further, the IPv6 firewall module performs packet filtering by referring to the policy table.

トンネルサーバ6のSIP認証モジュール11は、ファイアウォール制御命令を含むSIPメッセージをSIPスタックを介して受信する場合にSIPメッセージの認証を行う機能を有し、第2の実施の形態で説明したように、SIPメッセージに含まれる認証情報を用いて認証を行うことが可能である。   The SIP authentication module 11 of the tunnel server 6 has a function of authenticating a SIP message when receiving a SIP message including a firewall control command via the SIP stack. As described in the second embodiment, Authentication can be performed using authentication information included in the SIP message.

なお、端末1、トンネルサーバ、端末2はそれぞれCPU、記憶装置、通信装置等を有するコンピュータに、図に示す機能を実現するためのプログラムを搭載することにより実現されるものである。また、図8に示した構成は一例であり、第1の実施の形態、第2の実施の形態で説明した動作を実現できる構成であればどのような構成を採用してもよい。   Note that the terminal 1, the tunnel server, and the terminal 2 are realized by installing a program for realizing the functions shown in the figure in a computer having a CPU, a storage device, a communication device, and the like. Further, the configuration shown in FIG. 8 is an example, and any configuration may be adopted as long as the configuration described in the first embodiment and the second embodiment can be realized.

[効果について]
これまでに説明したトンネルサーバ6を導入することにより、IPv4のみに対応したホームネットワークからトンネルサーバ6にトンネルを張った場合でも、IPv6パケットによる不正アクセスを防止できる。 [Effect]
By introducing the tunnel server 6 described so far, even when a tunnel is established from the home network supporting only IPv4 to the tunnel server 6, it is possible to prevent unauthorized access by the IPv6 packet.

また、トンネルサーバ6にユーザ固有のセキュリティポリシーを保存しておくことにより、ホテルや空港等、どこからトンネルサーバ6に接続しても同じセキュリティポリシーに基づき、端末をインターネットに接続させることが可能になる。   Further, by storing a user-specific security policy in the tunnel server 6, it becomes possible to connect the terminal to the Internet based on the same security policy regardless of where the tunnel server 6 is connected, such as a hotel or an airport. .

また、実施の形態ではIPv4トンネルサービスを例にとり説明したが、トンネルサーバにトンネルの内側のパケットに対するファイアウォール機能を設けるという仕組みは、IPv4以外の種々のトンネルサービスに適用することが可能である。例えば、ホームネットワーク内の端末から、インターネットを介して会社のゲートウェイサーバにVPN接続する場合において、会社のネットワークとホームネットワーク間の通信を制御するために、会社のゲートウェイサーバ内に設けたファイアウォールを本発明の実施の形態で説明した方法で制御することが可能である。これにより、ホームネットワーク内の端末への会社ネットワークからの不許可アクセスを防止できる。   Further, although the IPv4 tunnel service has been described as an example in the embodiment, the mechanism of providing a firewall function for packets inside the tunnel in the tunnel server can be applied to various tunnel services other than IPv4. For example, when a VPN connection is made from a terminal in a home network to a company gateway server via the Internet, a firewall provided in the company gateway server is used to control communication between the company network and the home network. It is possible to control by the method described in the embodiment of the invention. Thereby, unauthorized access from the company network to terminals in the home network can be prevented.

なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.

従来のIPv4トンネリング技術の概要を説明するための図である。It is a figure for demonstrating the outline | summary of the conventional IPv4 tunneling technique. 第1の実施の形態におけるシステム構成図である。It is a system configuration figure in a 1st embodiment. トンネルサーバ6が保持するポリシーテーブルの一例である。It is an example of the policy table which the tunnel server 6 hold | maintains. 第1の実施の形態におけるシステムの動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the system in 1st Embodiment. 第2の実施の形態におけるシステム構成図である。It is a system configuration figure in a 2nd embodiment. 第2の実施の形態におけるシステムの動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the system in 2nd Embodiment. 第2の実施の形態におけるシステムの動作を説明するためのシーケンス図である。It is a sequence diagram for demonstrating operation | movement of the system in 2nd Embodiment. 端末1、トンネルサーバ、端末2の機能構成図である。2 is a functional configuration diagram of a terminal 1, a tunnel server, and a terminal 2. FIG.

符号の説明Explanation of symbols

1、2、3 端末
4 IPv4ネットワーク
5 IPv6ネットワーク
6 トンネルサーバ
7 IPv4ファイアウォール
8 SIPサーバ
11、22 SIP認証モジュール
121、231 ファイアウォール制御モジュール
12、23、32 SIPスタック
13、24 UPnPモジュール
14、25 トンネルサービス用認証モジュール
15 IPv6中継モジュール
16 IPv6ファイアウォールモジュール
17、26、33 IPv6モジュール
18、27 トンネルモジュール
21、31 アプリケーション 1, 2, 3 Terminal 4 IPv4 network 5 IPv6 network 6 Tunnel server 7 IPv4 firewall 8 SIP server 11, 22 SIP authentication module 121, 231 Firewall control module 12, 23, 32 SIP stack 13, 24 UPnP module 14, 25 Tunnel service Authentication module 15 IPv6 relay module 16 IPv6 firewall module 17, 26, 33 IPv6 module 18, 27 Tunnel module 21, 31 Application

Claims (7)

IPv6パケットをIPv4トンネリングによりIPv4ネットワークを介して送受信する機能を備え、IPv6ネットワークとIPv4ネットワーク間でIPv6パケットの中継を行うパケット中継装置であって、
IPv6パケットの通過許否判断を行うための規則を含むポリシー情報と、
前記ポリシー情報の内容に基づきIPv6パケットの通過許否を行うパケットフィルタリング手段と、
IPv4ネットワークに接続された端末装置から、当該端末装置と他の端末装置間の通信に関するIPv6パケットの通過許否制御命令をIPv4トンネルを経由して受信し、前記通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段と
を備えたことを特徴とするパケット中継装置。 A packet relay device having a function of transmitting and receiving an IPv6 packet via an IPv4 network by IPv4 tunneling, and relaying an IPv6 packet between the IPv6 network and the IPv4 network,
Policy information including rules for determining whether or not to pass IPv6 packets;
Packet filtering means for permitting or denying passage of IPv6 packets based on the contents of the policy information;
A terminal device connected to the IPv4 network receives an IPv6 packet passage permission / inhibition control command related to communication between the terminal device and another terminal device via an IPv4 tunnel, and the passage permission / inhibition control command is transmitted from the terminal device. And a passage permission / refusal control means for changing the content of the policy information in accordance with the passage permission / inhibition control command when the authentication is successful. 前記パケット中継装置は、IPv4ネットワークに接続された前記端末装置からトンネル接続要求を受信したときに、前記端末装置に対してIPv6アドレスを払い出し、前記端末装置の識別情報と当該IPv6アドレスとを対応付けて記憶手段に格納し、
前記通過許否制御手段は、前記通過許否制御命令に含まれる前記端末装置のIPv6アドレスが、前記端末装置のIPv6アドレスとして前記記憶手段に存在するか否かを確認することにより前記認証を行う請求項1に記載のパケット中継装置。 When the packet relay device receives a tunnel connection request from the terminal device connected to the IPv4 network, the packet relay device issues an IPv6 address to the terminal device, and associates the identification information of the terminal device with the IPv6 address. Stored in the storage means,
The said passage permission control means performs the said authentication by confirming whether the IPv6 address of the said terminal device contained in the said passage permission control command exists in the said memory | storage means as an IPv6 address of the said terminal device. 1. The packet relay device according to 1. 前記パケット中継装置は、前記端末装置を認証するための認証情報を前記端末装置と対応付けて記憶手段に保持し、
前記通過許否制御手段は、前記通過許否制御命令に含まれる認証情報が、前記端末装置の認証情報として前記記憶手段に存在するか否かを確認することにより前記認証を行う請求項1に記載のパケット中継装置。 The packet relay device holds authentication information for authenticating the terminal device in a storage unit in association with the terminal device,
The said passage permission control means performs the said authentication by confirming whether the authentication information contained in the said passage permission control command exists in the said memory | storage means as the authentication information of the said terminal device. Packet relay device. IPv6パケットをIPv4トンネリングによりIPv4ネットワークを介して送受信する機能を備え、IPv6ネットワークとIPv4ネットワーク間でIPv6パケットの中継を行うパケット中継装置であって、
前記パケット中継装置は、セッション管理装置と相互認証に基づく暗号化チャネルにより接続され、当該セッション管理装置は、IPv4ネットワークに接続された端末装置と相互認証に基づく暗号化チャネルにより接続され、IPv6ネットワークに接続された他の端末装置と相互認証に基づく暗号化チャネルにより接続され、前記端末装置と前記他の端末装置間の通信のためのセッション情報を中継するシグナリング機能を備え、
前記パケット中継装置は、
IPv6パケットの通過許否判断を行うための規則を含むポリシー情報と、
前記ポリシー情報の内容に基づきIPv6パケットの通過許否を行うパケットフィルタリング手段と、
前記セッション管理装置から、前記端末装置と前記他の端末装置間の通信に関するIPv6パケットの通過許否制御命令を受信し、当該通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段と
を備えたことを特徴とするパケット中継装置。 A packet relay device having a function of transmitting and receiving an IPv6 packet via an IPv4 network by IPv4 tunneling, and relaying an IPv6 packet between the IPv6 network and the IPv4 network,
The packet relay device is connected to a session management device through an encrypted channel based on mutual authentication, and the session management device is connected to a terminal device connected to the IPv4 network through an encrypted channel based on mutual authentication, and is connected to the IPv6 network. A signaling function for relaying session information for communication between the terminal device and the other terminal device, connected by an encrypted channel based on mutual authentication with the other connected terminal device;
The packet relay device is:
Policy information including rules for determining whether or not to pass IPv6 packets;
Packet filtering means for permitting or denying passage of IPv6 packets based on the contents of the policy information;
A passage permission / rejection control unit that receives an IPv6 packet passage permission / inhibition control command related to communication between the terminal device and the other terminal device from the session management device and changes the content of the policy information according to the passage permission / inhibition control command; A packet relay device comprising: 第1のネットワークと第2のネットワーク間でパケットの中継を行うパケット中継装置であって、
所定のプロトコルに基づくトンネルを介して第1のネットワークに接続された端末装置とパケットの送受信を行う手段と、

前記パケットの通過許否判断を行うための規則を格納したポリシー情報と、
前記ポリシー情報の内容に基づき前記パケットの通過許否を行うパケットフィルタリング手段と、
第1のネットワークに接続された前記端末装置から、当該端末装置と他の端末装置間の通信に関するパケットの通過許否制御命令を、前記端末装置と前記パケット中継装置間のトンネルを介して受信し、当該通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段と
を備えたことを特徴とするパケット中継装置。 A packet relay device that relays a packet between a first network and a second network,
Means for transmitting and receiving packets to and from a terminal device connected to the first network via a tunnel based on a predetermined protocol;

Policy information storing rules for determining whether or not to allow passage of the packet;
Packet filtering means for permitting passage of the packet based on the content of the policy information;
From the terminal device connected to the first network, a packet passing permission / inhibition control command regarding communication between the terminal device and another terminal device is received via a tunnel between the terminal device and the packet relay device, And a passage permission control unit that authenticates that the passage permission control command is sent from the terminal device and changes the content of the policy information according to the passage permission control command when the authentication is successful. A packet relay device. IPv6パケットをIPv4トンネリングによりIPv4ネットワークを介して送受信する機能と、IPv6ネットワークとIPv4ネットワーク間でIPv6パケットの中継を行う機能を備えたパケット中継装置を、
IPv6パケットの通過許否判断を行うための規則を含むポリシー情報に基づきIPv6パケットの通過許否を行うパケットフィルタリング手段、
IPv4ネットワークに接続された端末装置から、当該端末装置と他の端末装置間の通信に関するIPv6パケットの通過許否制御命令をIPv4トンネルを経由して受信し、前記通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段、
として機能させるためのプログラム。 A packet relay apparatus having a function of transmitting and receiving an IPv6 packet via an IPv4 network by IPv4 tunneling and a function of relaying an IPv6 packet between the IPv6 network and the IPv4 network,
A packet filtering means for permitting passage of IPv6 packets based on policy information including a rule for determining whether passage of IPv6 packets is permitted;
A terminal device connected to the IPv4 network receives an IPv6 packet passage permission / inhibition control command related to communication between the terminal device and another terminal device via an IPv4 tunnel, and the passage permission / inhibition control command is transmitted from the terminal device. A pass permission control unit that performs authentication of the authentication information and changes the content of the policy information according to the pass permission control instruction when the authentication is successful.
Program to function as. 第1のネットワークと第2のネットワーク間でパケットの中継を行うパケット中継装置であって、所定のプロトコルに基づくトンネルを介して第1のネットワークに接続された端末装置とパケットの送受信を行う手段を備えたパケット中継装置を、
前記パケットの通過許否判断を行うための規則を格納したポリシー情報の内容に基づき前記パケットの通過許否を行うパケットフィルタリング手段、
第1のネットワークに接続された前記端末装置から、当該端末装置と他の端末装置間の通信に関するパケットの通過許否制御命令を、前記端末装置と前記パケット中継装置間のトンネルを介して受信し、当該通過許否制御命令が前記端末装置から送られたものであることの認証を行い、認証に成功した場合に前記通過許否制御命令に従って前記ポリシー情報の内容を変更する通過許否制御手段、
として機能させるためのプログラム。 A packet relay device that relays packets between a first network and a second network, and means for transmitting and receiving packets to and from a terminal device connected to the first network via a tunnel based on a predetermined protocol Equipped packet relay device,
Packet filtering means for permitting passage of the packet based on the content of policy information storing rules for determining whether to permit passage of the packet;
From the terminal device connected to the first network, a packet passing permission / inhibition control command regarding communication between the terminal device and another terminal device is received via a tunnel between the terminal device and the packet relay device, Authenticating that the passage permission / inhibition control instruction is sent from the terminal device, and passing permission / inhibition control means for changing the content of the policy information in accordance with the passage permission / inhibition control instruction when the authentication is successful;
Program to function as.
JP2005178553A 2005-06-17 2005-06-17 Packet repeating apparatus and program Pending JP2006352710A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005178553A JP2006352710A (en) 2005-06-17 2005-06-17 Packet repeating apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005178553A JP2006352710A (en) 2005-06-17 2005-06-17 Packet repeating apparatus and program

Publications (1)

Publication Number Publication Date
JP2006352710A true JP2006352710A (en) 2006-12-28

Family

ID=37648032

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005178553A Pending JP2006352710A (en) 2005-06-17 2005-06-17 Packet repeating apparatus and program

Country Status (1)

Country Link
JP (1) JP2006352710A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251842A (en) * 2006-03-17 2007-09-27 Ricoh Co Ltd Network apparatus
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system
CN110392129A (en) * 2019-08-20 2019-10-29 清华大学 The method of IPv6 client computer and IPv6 client computer and server communication

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003229893A (en) * 2002-02-06 2003-08-15 Nippon Telegr & Teleph Corp <Ntt> Method and system for providing internet telephone service in provider's ip network
JP2003244214A (en) * 2002-02-18 2003-08-29 Telecommunication Advancement Organization Of Japan Packet communication method for setting tunnel path
JP2004282788A (en) * 2002-11-29 2004-10-07 Freebit Co Ltd Internet connection system
JP2005160005A (en) * 2003-11-04 2005-06-16 Ntt Communications Kk Building method of encryption communication channel between terminals, device for it, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003229893A (en) * 2002-02-06 2003-08-15 Nippon Telegr & Teleph Corp <Ntt> Method and system for providing internet telephone service in provider's ip network
JP2003244214A (en) * 2002-02-18 2003-08-29 Telecommunication Advancement Organization Of Japan Packet communication method for setting tunnel path
JP2004282788A (en) * 2002-11-29 2004-10-07 Freebit Co Ltd Internet connection system
JP2005160005A (en) * 2003-11-04 2005-06-16 Ntt Communications Kk Building method of encryption communication channel between terminals, device for it, and program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251842A (en) * 2006-03-17 2007-09-27 Ricoh Co Ltd Network apparatus
US8737396B2 (en) 2011-03-10 2014-05-27 Fujitsu Limited Communication method and communication system
CN110392129A (en) * 2019-08-20 2019-10-29 清华大学 The method of IPv6 client computer and IPv6 client computer and server communication

Similar Documents

Publication Publication Date Title
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
Patel et al. Securing L2TP using IPsec
US7734647B2 (en) Personal remote firewall
US7472411B2 (en) Method for stateful firewall inspection of ICE messages
EP2590368B1 (en) Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
JPWO2008146395A1 (en) Network relay device, communication terminal, and encrypted communication method
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
US11302451B2 (en) Internet of things connectivity device and method
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US20020143922A1 (en) Relay server and relay system
US20020178356A1 (en) Method for setting up secure connections
JP2004328029A (en) Network access system
JP2006352710A (en) Packet repeating apparatus and program
JP2010283762A (en) Communication route setting device, communication route setting method, program, and storage medium
JP4555311B2 (en) Tunnel communication system, control device, and tunnel communication device
JP4630296B2 (en) Gateway device and authentication processing method
JP4619059B2 (en) Terminal device, firewall device, method for firewall device control, and program
CN110351308B (en) Virtual private network communication method and virtual private network device
JP2009258965A (en) Authentication system, authentication apparatus, communication setting apparatus, and authentication method
JP2009260847A (en) Vpn connection method, and communication device
JP2009015616A (en) Server device, communication system, and communication terminal
JP4571006B2 (en) Network control device, network system, and program
JP2011077887A (en) Packet transfer system, packet transfer method, communication apparatus and packet transfer program
JP2007286820A (en) Information sharing system and information sharing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100316

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100608