JP2007104438A - Outdoor access system, server, and communication method - Google Patents
Outdoor access system, server, and communication method Download PDFInfo
- Publication number
- JP2007104438A JP2007104438A JP2005292913A JP2005292913A JP2007104438A JP 2007104438 A JP2007104438 A JP 2007104438A JP 2005292913 A JP2005292913 A JP 2005292913A JP 2005292913 A JP2005292913 A JP 2005292913A JP 2007104438 A JP2007104438 A JP 2007104438A
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication device
- packet
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、宅外アクセスシステム、宅外アクセスシステムで用いられるサーバ及び通信方法に関して、より特定的には、外部ネットワーク上の機器から所望のタイミングでLAN接続機器に対して通信を開始できる宅外アクセスシステム、及び宅外アクセスシステムで用いられ、外部ネットワーク上の機器とLAN接続機器との通信を仲介するサーバ、及び宅外アクセスシステムで用いられる通信方法に関する。 More specifically, the present invention relates to a remote access system, a server used in the remote access system, and a communication method. More specifically, communication from a device on an external network to a LAN connection device can be started at a desired timing. The present invention relates to an access system and a remote access system, a server that mediates communication between a device on an external network and a LAN connection device, and a communication method used in the remote access system.
近年のインターネット等のネットワーク(以下、外部ネットワークと記す)の普及により、電子メール、電子商取引など、ネットワークを介したサービスが増大し、家庭内にもネットワークに接続できる機器が増えつつある。このネットワークに接続できる家電、いわゆる「ネット家電」としては、例えば、エアコンや電子レンジなどの白物家電がある。これらの白物家電もネットワークに接続され、宅外からエアコンを制御したり、センター側からプログラムのバージョンアップを行うようなサービスも提案されている。 With the recent spread of networks such as the Internet (hereinafter referred to as external networks), services via networks such as e-mail and electronic commerce are increasing, and the number of devices that can be connected to the network is increasing in the home. As home appliances that can be connected to this network, so-called “net home appliances”, for example, there are white goods such as air conditioners and microwave ovens. These white goods are also connected to the network, and services that control the air conditioner from outside the house or upgrade the program from the center have been proposed.
[宅外アクセスシステムとは]
通常、家庭内もしくは企業内の通信機器は、ローカルエリアネットワーク(以下、「LAN」と称す)に接続され、家庭内・企業内のLAN内でのみ一意なプライベートIPアドレスが割り当てられている。LAN内の通信機器は、NAT(Network Address Translation)、またはNAPT(Network Address Port Translation)機能を搭載したルータを介して、外部ネットワークに接続される(以下、ルータを介して外部ネットワークに接続可能な機器を、「LAN接続機器」と称す)。LAN接続機器がパケットを送受信するとき、LAN接続機器のプライベートIPアドレス・ポート番号は、ルータによって、外部ネットワークで通用するグローバルIPアドレス・ポート番号に変換される。
[What is an external access system?]
Usually, communication devices in a home or company are connected to a local area network (hereinafter referred to as “LAN”), and a unique private IP address is assigned only within a LAN within the home or company. Communication devices in the LAN are connected to an external network via a router equipped with a NAT (Network Address Translation) or NAPT (Network Address Port Translation) function (hereinafter, connectable to an external network via the router). The device is referred to as “LAN connection device”). When a LAN connection device transmits / receives a packet, the private IP address / port number of the LAN connection device is converted by the router into a global IP address / port number that can be used in an external network.
ネット家電のサービスを考えると、LAN接続機器に対して、“別のネットワークに接続された通信機器”から、外部ネットワーク経由で通信を開始できることが必要となる。このような通信システムを総称して、「宅外アクセスシステム」と呼ぶことにする。例えば、宅外アクセスシステムには、以下のような2つのシステムが含まれる。
(1)遠隔制御システム:
例えば、宅外の機器(携帯電話など)から、外部ネットワーク経由で宅内機器にア クセスして、機器制御(レコーダーの録画予約など)を行なうシステム。通信を開始 するのは、常に宅外機器(宅内機器を制御する機器)側であり、宅内機器側は常に宅 外機器からのアクセスを待ち受ける。宅外機器には、グローバルIPアドレスが割り 当てられている場合もある(すなわち、宅外機器は、ルータ経由で外部ネットワーク に接続する必要がない場合もある)。
(2)P2P接続システム:
個人ユーザ間でのデータ交換や、対戦型のネットワークゲームなど、異なるLAN 間のクライアント機器同士が1対1の相互接続を行なうシステム。データ送受信時に はサーバを介さず、どちらのクライアント機器からでも通信を開始できる。また、両 方のクライアント機器がそれぞれルータを介して外部ネットワークに接続するケース が多い(すなわち、両方のクライアント機器が、LAN接続機器になり得る)。
Considering the service of Internet home appliances, it is necessary to be able to start communication via an external network from a “communication device connected to another network” to a LAN connection device. Such communication systems are collectively referred to as “external access system”. For example, an out-of-home access system includes the following two systems.
(1) Remote control system:
For example, a system that controls devices (such as recording reservations for recorders) by accessing devices at home via an external network from devices outside the home (such as mobile phones). Communication is always started on the side of the out-of-home device (device that controls the in-home device), and the in-home device always waits for access from the out-of-home device. In some cases, a global IP address is assigned to an external device (that is, the external device may not need to be connected to an external network via a router).
(2) P2P connection system:
A system in which client devices between different LANs perform one-to-one interconnection, such as data exchange between individual users and competitive network games. When sending and receiving data, communication can be started from either client device without going through the server. In many cases, both client devices are connected to an external network via a router (that is, both client devices can be LAN connection devices).
以降、遠隔制御システムを想定した説明では、宅外の通信機器に対して“宅外機器”、LANに接続された通信機器に対して“宅内機器”という用語を使うものとし、宅外機器はグローバルIPアドレスを持つ機器(LAN接続機器ではない)、宅内機器はLAN接続機器という前提を置くものとする。また、P2P接続のシステムを想定した説明では、クライアント機器として“クライアントA”と“クライアントB”という用語を使い、両方のクライアント機器がLAN接続機器であるという前提を置くものとする。 Hereinafter, in the description assuming the remote control system, the term “outside equipment” is used for communication equipment outside the home, and the “home equipment” is used for communication equipment connected to the LAN. Assume that a device having a global IP address (not a LAN connection device) and a home device are assumed to be LAN connection devices. Further, in the description assuming a P2P connection system, the terms “client A” and “client B” are used as client devices, and it is assumed that both client devices are LAN connection devices.
[宅外アクセスシステムにおける接続の難しさ]
宅内機器は、宅外のグローバルIPアドレスを持つサーバに接続する場合には、ルータを介して簡単に接続することができる。具体的には、宅内機器が宅外のサーバ宛にパケットを送信した段階では、パケットの送信元に宅内機器のプライベートIPアドレス・ポート番号が付与されているが、ルータがそれを自動的に外部ネットワーク上で解釈可能なグローバルIPアドレス・ポート番号に変換してくれるからである。ルータは、宅内機器から送信されたパケットに対してアドレス・ポート変更を行った場合、ルータ上のNAPTテーブルにその変換ルールを保存する。
[Difficulty of connection in outside access system]
When connecting to a server having a global IP address outside the home, the home device can be easily connected via a router. Specifically, when the home device sends a packet to a server outside the home, the private IP address / port number of the home device is assigned to the packet source, but the router automatically sends it to the external device. This is because it converts it into a global IP address and port number that can be interpreted on the network. When the router changes the address and port for the packet transmitted from the home device, the router stores the conversion rule in the NAPT table on the router.
また、サーバから宅内機器宛の応答パケットが届いたとき、ルータは応答パケットの宛先に設定されているグローバルIPアドレス・ポート番号の組に対応する変換ルールをNAPTテーブルから検索する。そして、ルータは、その検索結果を元に応答パケットの宛先に設定されているグローバルIPアドレス・ポート番号を逆変換によりプライベートIPアドレス・ポート番号に書き換えて、宅内機器に中継する。しかし、宅外機器は、以下の理由によって、所望のタイミングで宅内機器に対して自由に接続することができない。 When the response packet addressed to the home device arrives from the server, the router searches the NAPT table for a conversion rule corresponding to the global IP address / port number set as the destination of the response packet. Then, the router rewrites the global IP address / port number set as the destination of the response packet based on the search result into a private IP address / port number by reverse conversion, and relays it to the home device. However, the outside device cannot be freely connected to the home device at a desired timing for the following reason.
第1に、宅外機器から宅内機器のグローバルIPアドレスを知る手段が無いので、宅内機器宛にパケット送信する際の宛先が分からない。特に、宅内機器のグローバルIPアドレスがDHCP、PPPなどで割り当てられる場合、常に変化する可能性があるため、このアドレスを宅外機器に事前に通知することができない。 First, since there is no means for knowing the global IP address of the in-home device from the out-of-home device, the destination for packet transmission to the in-home device is unknown. In particular, when a global IP address of a home device is assigned by DHCP, PPP, or the like, there is a possibility that it will always change. Therefore, this address cannot be notified to the outside device in advance.
第2に、宅内機器のグローバルIPアドレスが分かったとしても、ルータのファイアウォールの機能に関する問題がある。ルータのNAPTテーブル上にある変換ルールは、LAN側の機器(宅内機器を含む)から外部ネットワーク側に送信されるパケットを中継する際に動的に生成される。しかしながら、ルータは、逆方向のパケットを中継する際には、外部からの侵入を防ぐという観点から、通常、変換ルールを新規に生成しない(逆方向のパケット中継時には、既存の変換ルールを使って逆変換するのみである)。そのため、宅外機器から宅内機器に対して接続要求パケットが送信された場合、ルータは、NAPTテーブルに変換ルールが登録されていないため、LAN内のどの機器にパケットを転送すべきかわからず、接続要求パケットを破棄してしまう。 Second, even if the global IP address of the home device is known, there is a problem regarding the firewall function of the router. The conversion rule on the NAPT table of the router is dynamically generated when a packet transmitted from the LAN side device (including the home device) to the external network side is relayed. However, when relaying a packet in the reverse direction, a router normally does not generate a new conversion rule from the viewpoint of preventing intrusion from the outside (when relaying a packet in the reverse direction, it uses an existing conversion rule). Only reverse conversion). Therefore, when a connection request packet is transmitted from an out-of-home device to the in-home device, since the conversion rule is not registered in the NAPT table, the router does not know to which device in the LAN the packet should be transferred. The request packet is discarded.
第3に、静的NAT機能を使う場合の問題がある。予めルータの設定を操作すれば、パケットの中継が発生しなくても、NAPTテーブルに所望の変換ルールを追加できる(静的NAT)。具体的には、送信元が宅外機器のグローバルIPアドレス・ポート番号、宛先が宅内機器のグローバルIPアドレス・ポート番号であるパケットに対して、宛先を宅内機器のプライベートIPアドレス・ポート番号に変換するようなルールを設定しておけば、第2の問題を防ぐことができる。しかしながら、この方法はユーザが予めルータに静的NATの変換ルールを設定しておく必要があり、その設定内容がネットワークに関する知識が無いエンドユーザにとっては難しいという問題がある。 Third, there is a problem when using the static NAT function. If the router setting is operated in advance, a desired conversion rule can be added to the NAPT table even if packet relay does not occur (static NAT). Specifically, for packets whose source is the global IP address / port number of the external device and whose destination is the global IP address / port number of the home device, the destination is converted into the private IP address / port number of the home device. If such a rule is set, the second problem can be prevented. However, this method requires a user to set a static NAT conversion rule in the router in advance, and there is a problem that the setting contents are difficult for an end user who does not have knowledge about the network.
上述した問題を解決するため、宅外アクセスシステムにおいて、従来、サーバを利用して宅外機器と宅内機器(あるいは、クライアントAとクライアントB)との間の接続する方法が提案されている(例えば、特許文献1参照)。図15は、従来の宅外アクセスシステムの接続方法を説明する図である。図15には、クライアントA802とクライアントB801とがP2P接続するネットワークシステムの処理シーケンスを示している。図15において、クライアントA802はルータA803を介して、クライアントB801はルータB806を介して、それぞれ外部ネットワーク804に接続されている。また、ロビーサーバ805は、P2P接続の最初に、クライアントA802及びクライアントB801に対して、互いの通信相手の宛先(送信先アドレスと送信先ポート番号)を通知する役割のサーバであり、外部ネットワーク804に接続されている。
In order to solve the above-described problem, a method for connecting between an out-of-home device and an in-home device (or client A and client B) using a server has been conventionally proposed in an out-of-home access system (for example, , See Patent Document 1). FIG. 15 is a diagram for explaining a connection method of a conventional outside-home access system. FIG. 15 shows a processing sequence of the network system in which the
登録フェーズ(ステップS810)において、クライアントA802及びクライアントB801は、ロビーサーバ805に自身のグローバルアドレス情報(グローバルIPアドレス:T−IP、ポート番号:T−Port)をそれぞれ登録する。具体的には、クライアントA802及びクライアントB801は、ロビーサーバ805にログイン要求パケットをそれぞれ送信する(ステップS811、S814)。ロビーサーバ805は、クライアントA802及びクライアントB801のグローバルアドレス情報(T−IP、T−Port)を自身のデータベースに登録し(ステップS812、S815)、クライアントA802及びクライアントB801にログイン応答パケットを送信する(ステップS813、S816)。
In the registration phase (step S810), the
ここで、図16〜17を用いて、ルータB806が中継するパケットとNAPTテーブルとの関係を説明する。図16は、ルータB806のNAPTテーブルの状態を示す図である。図16(a)は、初期状態におけるNAPTテーブルを示している。図16(b)は、ステップS814(すなわち、クライアントB801がロビーサーバ805宛にログイン要求パケットを送信した)直後のNATPテーブルを示している。図16を参照して、初期状態では何も登録されていなかったNAPTテーブルには、ルータB806がログイン要求パケットを中継することによってエントリ(変換ルール)が登録されている。
Here, the relationship between the packet relayed by the
図17は、クライアントB801から送信されたログイン要求パケットを示す図である。図17(a)は、クライアントB801から送信された直後のログイン要求パケットを示している。図17(b)は、ルータB806によって中継された直後のログイン要求パケットを示している。図17を参照して、クライアントB801から送信されたログイン要求パケットは、ルータB806で中継されることによって、送信元アドレス(S−IP)及び送信元ポート番号(D−Port)が、プライベートIPアドレス(IPca_P、Pca_P)からグローバルIPアドレス(IPca_G、Pca_G)に変換されている。
FIG. 17 is a diagram illustrating a login request packet transmitted from the client B 801. FIG. 17A shows a login request packet immediately after being transmitted from the client B 801. FIG. 17B shows a login request packet immediately after being relayed by the
図18は、ロビーサーバ805から送信されたログイン応答パケットを示す図である。図18(a)は、ロビーサーバ805から送信された直後のログイン応答パケットを示している。図18(b)は、ルータB806によって中継された直後のログイン応答パケットを示している。図18を参照して、ロビーサーバ805から送信されたログイン応答パケットは、ルータB806のNAPTテーブルのエントリ(NAT_B1)に対応するので、送信先アドレス(D−IP)及び送信元ポート番号(D−Port)が、グローバルIPアドレス(IPs_G、Ps_G)からプライベートIPアドレス(IPs_P、Ps_P)に逆変換されて、クライアントB801に中継される。
FIG. 18 is a diagram illustrating a login response packet transmitted from the
図15における接続要求フェーズ(ステップS820)の説明に戻る。接続要求フェーズ(ステップS820)において、クライアントA802は、クライアントB801とのP2P接続を希望する場合、ロビーサーバ805に対して、クライアントB801とのP2P接続を要求するパケットを送信する(ステップS821)。ロビーサーバ805は、クライアントA802からこのパケットを受信すると、クライアントB801に対して、クライアントA802からのP2P接続を要求するパケットを送信する(ステップS822)。このとき、ロビーサーバ805は、クライアントA802から受信したパケットに基づいてクライアントA802のグローバルアドレス情報を検出して、クライアントB801に対して送信する。
Returning to the description of the connection request phase (step S820) in FIG. In the connection request phase (step S820), when the
クライアントB801は、クライアントA802からのP2P接続要求を了承したら、ロビーサーバ805に対して接続を了承したことを示す応答パケットを送信する(ステップS823)。ロビーサーバ805は、この応答パケットを受信すると、クライアントA802に対して接続要求が成功したことを示す応答パケットを送信する(ステップS824)。このとき、ロビーサーバ805は、ステップS822と同様に、クライアントB801から受信したパケットに基づいてクライアントB801のグローバルアドレス情報を検出して、クライアントA802に対して送信する。このようにして、クライアントA802及びクライアントB801は、ロビーサーバ805を介して、互いのグローバルアドレス情報を交換することができる。
When the client B 801 approves the P2P connection request from the
また、ステップS822では、ロビーサーバ805から図18に示すログイン応答パケットと同じヘッダのパケットが送信される。このパケットは、ルータB806のNAPTテーブルのエントリ(NAT_B1)に適合するので、ルータB806を経由して正しくクライアントB801に中継される。すなわち、従来の方法において、クライアントA802は、ロビーサーバ805とクライアント間の既存のNAPTテーブルのエントリを利用することで、静的NATを設定することなく、LAN内の機器(クライアントB801)に対して接続要求を送ることができる。
In step S822, the
なお、図15の処理は、さらにPort変換予測フェーズ(ステップS830)に続く。Port変換予測フェーズ(ステップS830)は、P2P接続システムで特別に必要となる処理である。P2P接続の場合、ロビーサーバ805から得られた通信相手のグローバルアドレス情報が、そのままクライアント同士の通信に使えるわけではない。その理由は、グローバルIPアドレスはそのまま使えるが、ポート番号はロビーサーバ805に対する通信にしか使えないためである。そのために、クライアントA802及びクライアントB801は、クライアント同士の通信に使えるグローバルIPアドレス・ポート番号の組み合わせを、複数のパケットを送信することで予測している。この予測方法は本発明に直接関係しないため、ここでの説明を省略する。
The process of FIG. 15 further continues to the Port conversion prediction phase (step S830). The Port conversion prediction phase (step S830) is a process that is specially required in the P2P connection system. In the case of P2P connection, the global address information of the communication partner obtained from the
Port変換予測フェーズS830で直接クライアント間で通信できるポート番号が見つかったら、クライアントA802−クライアントB801間のP2P通信が可能になる(P2P通信フェーズ:ステップS840)。
When a port number that allows direct communication between clients is found in the Port conversion prediction phase S830, P2P communication between the
なお、図15ではP2P接続システムについて説明したが、遠隔制御システムに対しても、サーバを使ってグローバルIPアドレスの解決とNAPTテーブルの問題を解決する手順は同じである。具体的には、図15の中でクライアントB801を宅内機器に、クライアントA802とルータA803とを宅外機器に置き換えて遠隔制御システムにした場合、ステップS811〜S813のクライアントAに対する登録処理と、Port変換予測フェーズS830が不要になる。また、ステップS840のP2P通信フェーズは、宅内機器と宅外機器間の通信処理に置き換わる。
Although the P2P connection system has been described with reference to FIG. 15, the procedure for resolving the global IP address and the NAPT table using the server is the same for the remote control system. Specifically, in FIG. 15, when the client B 801 is replaced with an in-home device and the
このように、従来の方法では、サーバを利用して、LAN接続機器のグローバルIPアドレスとポート番号とを登録・解決している。また、LAN接続機器に対してLAN外の機器から接続要求しようとする場合のNAPTテーブルの問題に関しても、サーバを仲介させることで、生成済みのNAPTの変換ルールを使える。そのため、ルータに静的NATの設定をしなくても宅外アクセスシステムにおける通信が開始できる。
しかしながら、ルータB806のNAPTテーブルのエントリには、通常タイムアウト時間が設定されており、エントリに対応するパケット通信が途絶えると所定の時間後にエントリが削除されてしまう。そのため、例えば、登録フェーズ(図15のステップS810)でルータB806上に生成されたNAT_B1のエントリは、クライアントA802がP2P接続要求を発行した時点で削除されている可能性がある。そのため、クライアントA802は、タイミングによっては、クライアントB801に対して接続要求を出せない可能性がある。
However, a normal timeout period is set for the entry in the NAPT table of the
NAPTテーブルのエントリを削除させないためには、クライアントB801からロビーサーバ805に対して周期的にパケットを送信する(図15の場合は、登録フェーズS810と接続要求フェーズS820との間に周期的にパケットを送信する)方法が考えられる。しかし、従来の方法においては、ロビーサーバ805に以下の課題が発生する。
In order not to delete the entry in the NAPT table, a packet is periodically transmitted from the client B 801 to the lobby server 805 (in the case of FIG. 15, the packet is periodically transmitted between the registration phase S810 and the connection request phase S820). Can be considered). However, in the conventional method, the following problem occurs in the
[第1の課題:ロビーサーバの処理負荷]
ロビーサーバ805には、複数のクライアント機器が周期的に送信するパケットが集中して到着する。ロビーサーバ805は、クライアント機器から受信したパケットを処理しなければならないため、クライアント機器の接続台数が増えるほど、処理負荷が大きくなる。
[First issue: Lobby server processing load]
Packets periodically transmitted by a plurality of client devices arrive at the
[第2の課題:ロビーサーバがDoS攻撃にさらされやすくなる]
DoS攻撃などで攻撃しようとする悪意の第3者(攻撃者)にとっては、ロビーサーバ805が待ち受けしているアドレス、プロトコル、及びポート番号が判明すれば、攻撃しやすくなる。従来の方法のようにクライアント機器からロビーサーバ805宛に大量のパケットを送信する場合には、正規のクライアント機器を購入した攻撃者が、クライアント機器の送信パケットを解析するだけで、ロビーサーバ805のアドレス、プロトコル、及びポート番号が容易に判明してしまう。そのため、従来の方法では、ロビーサーバ805がDoS攻撃にさらされやすいという課題があった。
[Second issue: Lobby servers are likely to be exposed to DoS attacks]
For a malicious third party (attacker) who wants to attack by a DoS attack or the like, if the address, protocol, and port number on which the
それ故に、本発明の目的は、サーバの処理負荷を軽減し、攻撃者からDos攻撃の可能性を低くする宅外アクセスシステム及び宅外アクセスシステムで用いられるサーバを提供することである。 Therefore, an object of the present invention is to provide a remote access system and a server used in the remote access system that reduce the processing load on the server and reduce the possibility of Dos attack from an attacker.
本発明は、外部ネットワークにおいて、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーバに向けられている。そして上記目的を達成するために、本発明のサーバは、ダミーアドレス格納部と、宅内機器情報DBと、宅内機器登録処理部と、接続要求仲介部と、送信元情報変更部とを備える。 The present invention mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network in an external network. Is directed to the server. In order to achieve the above object, the server of the present invention includes a dummy address storage unit, a home device information DB, a home device registration processing unit, a connection request mediation unit, and a transmission source information change unit.
ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第1の通信機器宛に接続要求パケットを送信する。送信元情報変更部は、ダミーアドレス格納部に保存されている情報に基づいて、接続要求仲介部から送信された接続要求パケットの送信元情報を、ダミーアドレスに関連する情報に変更する。 The dummy address storage unit stores information related to the dummy address using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address. The in-home device information DB is a database for storing transmission source information of packets periodically transmitted by the first communication device as first in-home device information. The in-home device registration processing unit obtains the first in-home device information from the first communication device in response to reception of a registration packet transmitted by the first communication device to register its own address information. Register in the device information DB. When receiving a packet requesting connection from the second communication device to the first communication device, the connection request mediation unit addresses the first communication device based on the information stored in the home device information DB. Send a connection request packet to. The transmission source information changing unit changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address based on the information stored in the dummy address storage unit.
好ましくは、第2のネットワークは、第1の通信機器が接続されたローカルエリアネットワークとは異なるローカルエリアネットワークである。この場合、第1の通信機器と第2の通信機器とは、1対1の相互接続を行う。また、ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、第1の通信機器及び第2の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として、第2の通信機器が周期的に送信するパケットの送信元情報を第2の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、さらに、第2の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第2の通信機器から第2の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、さらに、第1の通信機器から第2の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第2の通信機器宛てに接続要求パケットを送信する。 Preferably, the second network is a local area network different from the local area network to which the first communication device is connected. In this case, the first communication device and the second communication device perform a one-to-one mutual connection. Further, the dummy address storage unit is an address different from its own address, and information related to the dummy address is set with the destination address of the packet periodically transmitted by the first communication device and the second communication device as a dummy address. Save. The in-home device information DB uses the transmission source information of the packet periodically transmitted by the first communication device as the first in-home device information, and the second transmission source information of the packet periodically transmitted by the second communication device. It is a database for storing as home appliance information. The in-home device registration processing unit further acquires second in-home device information from the second communication device in response to reception of a registration packet transmitted by the second communication device to register its own address information. And register in the home appliance information DB. The connection request mediation unit further receives the second communication based on the information stored in the home device information DB when receiving a packet requesting connection from the first communication device to the second communication device. A connection request packet is transmitted to the device.
また、サーバと外部ネットワークとの間には、ダミーアドレス宛のパケットを所定のルールに基づいて振り分けるサーバ側ファイアウォールがあってもよい。この場合、第1の通信機器が送信する登録用パケットの宛先には、ダミーアドレスが設定される。また、サーバ側ファイアウォールは、所定のルールに基づいて、登録用パケットをサーバに振り分け、第1の通信機器がダミーアドレス宛に周期的に送信するパケットを破棄する。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信した登録用パケットをサーバ側ファイアウォールを介して受信すると、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。 Further, a server-side firewall that distributes packets addressed to the dummy address based on a predetermined rule may be provided between the server and the external network. In this case, a dummy address is set as the destination of the registration packet transmitted by the first communication device. The server-side firewall distributes the registration packet to the server based on a predetermined rule, and discards the packet that the first communication device periodically transmits to the dummy address. Upon receiving the registration packet transmitted by the first communication device for registering its own address information through the server-side firewall, the home device registration processing unit receives the first home device information from the first communication device. Acquire and register in the home appliance information DB.
第1の宅内機器情報は、第1の通信機器が、ダミーアドレス宛に周期的に送信するパケットの送信元アドレスと送信元ポート番号とを含む。宅内機器登録処理部は、さらに、ダミーアドレスを送信元アドレスに設定した複数のパケットを、宛先ポート番号を変更しながら第1の通信機器に向けて送信し、第1の宅内機器情報の送信元ポート番号を推定する。 The first home device information includes a transmission source address and a transmission source port number of a packet that the first communication device periodically transmits to the dummy address. The in-home device registration processing unit further transmits a plurality of packets in which the dummy address is set as the transmission source address to the first communication device while changing the destination port number, and the transmission source of the first in-home device information Estimate the port number.
第1の通信機器が周期的に送信するパケットは、ルータのNAPTテーブルからエントリが消えない時間間隔で送信される。 Packets periodically transmitted by the first communication device are transmitted at a time interval at which the entry does not disappear from the router's NAPT table.
また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器と、外部ネットワークにおいて、第1の通信機器と第2の通信機器との通信を仲介するサーバとを備えた宅外アクセスシステムにも向けられている。そして、上記目的を達成するために、本発明の宅外アクセスシステムにおいて、第1の通信機器は、ダミーアドレス格納部と、周期的パケット送信部と、接続要求パケット処理部とを備える。ダミーアドレス格納部は、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。登録用パケット処理部は、自身のアドレス情報を登録するために登録用パケットをサーバに送信する。周期的パケット送信部は、ダミーアドレス宛に周期的にパケットを送信する。接続要求パケット処理部は、他の通信機器から送信された接続を要求するパケットをサーバを介して受信する。 The present invention also provides a first communication device connected to the local area network via a router, a second communication device connected to a second network different from the local area network, and an external network. The present invention is also directed to an outside access system including a server that mediates communication between one communication device and a second communication device. And in order to achieve the said objective, the 1st communication apparatus is provided with a dummy address storage part, a periodic packet transmission part, and a connection request packet process part in the remote access system of this invention. The dummy address storage unit stores information related to the dummy address using an address that is different from the address of the server and that is shared with the server as a dummy address. The registration packet processing unit transmits a registration packet to the server in order to register its address information. The periodic packet transmission unit periodically transmits packets to the dummy address. The connection request packet processing unit receives a packet requesting connection transmitted from another communication device via the server.
また、第2の通信機器は、第1の通信機器に対して接続を要求するパケットを送信する。また、サーバは、ダミーアドレス格納部と、宅内機器情報DBと、宅内機器登録処理部と、接続要求仲介部と、送信元情報変更部とを備える。ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第1の通信機器宛に接続要求パケットを送信する。送信元情報変更部は、ダミーアドレス格納部に保存されている情報に基づいて、接続要求仲介部から送信された接続要求パケットの送信元情報を、ダミーアドレスに関連する情報に変更する。 Further, the second communication device transmits a packet requesting connection to the first communication device. The server also includes a dummy address storage unit, a home device information DB, a home device registration processing unit, a connection request mediation unit, and a transmission source information change unit. The dummy address storage unit stores information related to the dummy address using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address. The in-home device information DB is a database for storing transmission source information of packets periodically transmitted by the first communication device as first in-home device information. The in-home device registration processing unit obtains the first in-home device information from the first communication device in response to reception of a registration packet transmitted by the first communication device to register its own address information. Register in the device information DB. When receiving a packet requesting connection from the second communication device to the first communication device, the connection request mediation unit addresses the first communication device based on the information stored in the home device information DB. Send a connection request packet to. The transmission source information changing unit changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address based on the information stored in the dummy address storage unit.
また、本発明は、ローカルエリアネットワークにルータを介して接続され、外部ネットワークに接続されたサーバを介して、ローカルエリアネットワークとは異なるネットワークに接続された他の通信機器との間で所定の通信を実現する通信機器にも向けられている。そして、上記目的を達成するために、本発明の通信機器は、サーバアドレス格納部と、ダミーアドレス格納部と、登録用パケット処理部と、周期的パケット送信部と、接続要求パケット処理部とを備える。サーバアドレス格納部は、サーバのアドレスに関連する情報を保存する。ダミーアドレス格納部は、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。登録用パケット処理部は、自身のアドレス情報を登録するために登録用パケットをサーバに送信する。周期的パケット送信部は、ダミーアドレス宛に周期的にパケットを送信する。接続要求パケット処理部は、他の通信機器から送信された接続を要求するパケットをサーバを介して受信する。 The present invention also provides predetermined communication with other communication devices connected to a network different from the local area network through a server connected to the local area network via a router and connected to an external network. It is also directed to communication equipment that realizes In order to achieve the above object, a communication device of the present invention includes a server address storage unit, a dummy address storage unit, a registration packet processing unit, a periodic packet transmission unit, and a connection request packet processing unit. Prepare. The server address storage unit stores information related to the server address. The dummy address storage unit stores information related to the dummy address using an address that is different from the address of the server and that is shared with the server as a dummy address. The registration packet processing unit transmits a registration packet to the server in order to register its address information. The periodic packet transmission unit periodically transmits packets to the dummy address. The connection request packet processing unit receives a packet requesting connection transmitted from another communication device via the server.
また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーが実行する通信方法にも向けられている。そして、上記目的を達成するために、本発明のサーバは、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットを受信するステップと、登録用パケットの受信を契機に、第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として取得する取得ステップと、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信するステップと、取得ステップで取得した第1の宅内機器情報に基づいて、第1の通信機器宛に接続要求パケットを送信する接続要求仲介ステップと、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、接続要求パケットの送信元アドレスを、ダミーアドレスに変更する送信元情報変更ステップとを備える。 The present invention also provides a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network. Is also directed to the communication method executed. In order to achieve the above object, the server of the present invention is triggered by the step of receiving the registration packet transmitted by the first communication device for registering its own address information and the reception of the registration packet. An acquisition step of acquiring transmission source information of a packet periodically transmitted by the first communication device as the first in-home device information, and a packet for requesting connection from the second communication device to the first communication device. And a connection request mediation step of transmitting a connection request packet to the first communication device based on the first home device information acquired in the acquisition step, and an address different from its own address, The destination address of the packet periodically transmitted by the first communication device is used as a dummy address, and the transmission source address of the connection request packet is changed to a dummy address. And a source information changing step.
また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器が、外部ネットワークに接続されたサーバを介して、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器と通信するための通信方法にも向けられている。この場合、第1の通信機器は、自身のアドレス情報を登録するために登録用パケットをサーバに送信するステップと、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレス宛に周期的にパケットを送信するステップと、第2の通信機器から送信された接続要求パケットをサーバを介して受信するステップとを備える。 According to the present invention, a first communication device connected to a local area network via a router is connected to a second network different from the local area network via a server connected to an external network. It is also directed to a communication method for communicating with two communication devices. In this case, the first communication device transmits a registration packet to the server for registering its own address information, and the address that is different from the server address and is shared with the server as a dummy address. , Periodically transmitting packets addressed to the dummy address, and receiving a connection request packet transmitted from the second communication device via the server.
以上のように、本発明によれば、宅内機器が周期的に送信するパケットを、サーバのアドレスとは異なるアドレスであるダミーアドレスに振り向ける。そのため、サーバに届くパケットは減少し、サーバの処理負荷を軽減できる。また、サーバが宅内機器からパケットを受信しなくても、宅内のルータにおけるNAT穴は、宅内機器がダミーアドレス宛に周期的に送信するパケットにより維持される。そのため、サーバから宅内機器に接続要求パケットを送信する経路を確保したまま、サーバの処理負荷だけを軽減できる。さらに、宅内機器201が送受信するパケットには、サーバ205のアドレスが含まれていないため、攻撃者にサーバの待ち受けポートを知られてしまう危険性が減少する。また、攻撃者がダミーアドレス宛にDoS攻撃を行なっても、サーバにはパケットが届かないので、サーバが処理不能に陥ることはない。
As described above, according to the present invention, a packet periodically transmitted by a home device is directed to a dummy address that is an address different from the server address. Therefore, the number of packets that reach the server is reduced, and the processing load on the server can be reduced. Even if the server does not receive a packet from the home device, the NAT hole in the home router is maintained by a packet that the home device periodically transmits to the dummy address. Therefore, it is possible to reduce only the processing load of the server while securing a route for transmitting the connection request packet from the server to the home device. Furthermore, since the packet transmitted / received by the in-
以下、本発明の実施形態について、図面を参照しながら説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
(第1の実施形態)
図1は、本発明の第1の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図である。図1において、第1の実施形態に係る宅外アクセスシステムは、LAN206に接続された宅内機器201と、インターネット等の外部ネットワーク204上の宅外機器202との間の通信を実現するものである。
(First embodiment)
FIG. 1 is a block diagram showing an example of a network configuration of an out-of-home access system according to the first embodiment of the present invention. In FIG. 1, the external access system according to the first embodiment realizes communication between an in-
図1において、本発明の第1の実施形態に係る宅外アクセスシステムは、宅内機器201、宅外機器202、ルータ203、及びサーバ205から構成される。外部ネットワーク204上の宅外機器202には、携帯電話やパーソナルコンピュータなどの通信機器を想定している。また、LAN206に接続された宅内機器201には、宅内に設置されたネット家電(DVDレコーダーなど)などの通信機器を想定している。
In FIG. 1, the outside access system according to the first embodiment of the present invention includes an in-
サーバ205は、外部ネットワーク204に接続され、宅外機器202−宅内機器201間の通信を仲介する。ルータ203は、宅内に設置され、LAN206と外部ネットワーク204とを接続する。宅内機器201は、ルータ203を介して、外部ネットワーク204上の宅外機器202等と通信する。
The
また、ルータ203は、NAPT機能を実装している。ルータ203の外部ネットワーク204側のアドレス(すなわち、グローバルIPアドレス)をIPi_Gとする。また、説明の便宜上、ルータ203のグローバルIPアドレスは1つしかないものとする。なお、ルータ203のグローバルIPアドレスは、インターネットサービスプロバイダ等からDHCPやPPPなどのプロトコルにより割り当てられている場合、動的に変化する可能性があり、IPi_Gはある時点で割り当てられたグローバルIPアドレスとする。さらに、宅内機器201のアドレス(プライベートIPアドレス)をIPi_P、サーバ205のアドレス(グローバルIPアドレス)をIPs_G、宅外機器202のアドレス(グローバルIPアドレス)をIPo_Gとする。
The
[本発明の通信方法]
図2は、本発明の第1の実施形態に係る宅外アクセスシステムの通信方法を示すシーケンス図である。図2を参照して、初期状態として、宅内機器201及びサーバ205は、予め何らかの方法によってダミーアドレスの関連情報を共有する。ここでダミーアドレスとは、宅内機器201が周期的に送信するパケットを待ち受けるアドレスであり、サーバ205のアドレス(IPs_G)とは異なるアドレスである。
[Communication Method of the Present Invention]
FIG. 2 is a sequence diagram showing a communication method of the outside access system according to the first embodiment of the present invention. Referring to FIG. 2, as an initial state, in-
宅内機器201及びサーバ205は、例えば、ユーザによって直接設定されることで、あるいはダミーアドレスの関連情報を含むメッセージを送受信することで、ダミーアドレスの関連情報を共有する。また、宅内機器201及びサーバ205には、工場出荷時にダミーアドレスの関連情報が設定されていてもよい。ダミーアドレスを持つ機器は、実際には存在する必要が無い。ダミーアドレスの関連情報は、ダミーアドレス(IPd_G)とポート番号(Pd_G)とを含むものとする。宅内機器201及びサーバ205は、これらの情報そのもの、もしくはこれらの情報を解決可能な情報(URLなど)を保持する。
For example, the
続いて、本発明の通信方法の4つの処理フェーズ、すなわち、
(1)宅内機器登録フェーズ(ステップS101)
(2)周期送信フェーズ(ステップS104)
(3)接続要求フェーズ(ステップS106)
(4)宅内機器−宅外機器間通信フェーズ(ステップS110)
について説明する。
Subsequently, the four processing phases of the communication method of the present invention, namely:
(1) Home appliance registration phase (step S101)
(2) Periodic transmission phase (step S104)
(3) Connection request phase (step S106)
(4) In-home device-external device communication phase (step S110)
Will be described.
(1)宅内機器登録フェーズ(ステップS101)について説明する。
宅内機器登録フェーズ(ステップS101)は、宅内機器201がサーバ205にアクセスして、宅外機器202からの接続要求を受け付け可能な状態になったことを通知するフェーズである。具体的には、宅内機器201は、サーバ205に向けて登録用パケットを送信する。サーバ205は、宅内機器201から受信した登録用パケットをトリガとして、宅内機器201のグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)を取得する(ステップS102)。サーバ205は、取得した宅内機器201のグローバルアドレス情報をデータベースに登録する(ステップS103)。ここでデータベースに登録されたグローバルアドレス情報は、次の周期送信フェーズ(ステップS104)において、周期的なパケット送信に使われる。なお、宅内機器登録フェーズ(ステップS101)については、複数のバリエーションがあるため、詳細は本実施形態及び他の実施形態の中で説明する。
(1) The home appliance registration phase (step S101) will be described.
The in-home device registration phase (step S101) is a phase for notifying that the in-
(2)周期送信フェーズ(ステップS104)について説明する。
周期送信フェーズ(ステップS104)は、ルータ203上のNAPTテーブルのエントリを維持するためのフェーズである。具体的には、宅内機器201は、ダミーアドレス(アドレス:IPd_G、ポート番号:Pd_G)向けに周期的にパケット(以下、周期送信パケットと記す)を送信する(ステップS105)。この周期送信パケットが送信される時間間隔は、ルータ203上のNAPTテーブルからエントリが消えない(すなわち、エントリが維持される)時間間隔である。なお、この時間間隔は、どのような方法で決定されてもよく、本発明は、この時間間隔の決定方法に依存するものではない。
(2) The periodic transmission phase (step S104) will be described.
The periodic transmission phase (step S104) is a phase for maintaining NAPT table entries on the
図3は、周期送信パケットの構成を示す図である。図3(a)は、宅内機器201が送信した周期送信パケットを示している。図3(b)は、ルータ203が中継した周期送信パケットを示している。ダミーアドレス宛に送信された周期送信パケットは、受信する通信機器が存在しない場合は最終的に破棄される。この周期送信パケットを中継することで、ルータ203は、NAPTテーブルのエントリ(NAT_D1)を維持することができる。NAPTテーブルのエントリ(NAT_D1)には、宅内機器201のグローバルIPアドレスに変換後のアドレス(IPi_G)及びポート番号(Pi_G)、ダミーアドレスである送信先アドレス(IPd_G)及びポート番号(Pd_G)が登録されている(図4参照)。
FIG. 3 is a diagram illustrating a configuration of a periodic transmission packet. FIG. 3A shows a periodic transmission packet transmitted by the
(3)接続要求フェーズ(ステップS106)について説明する。
接続要求フェーズ(ステップS106)は、宅外機器202から宅内機器201に対して接続を要求するためのフェーズである。具体的には、宅外機器202は、宅内機器201への接続要求パケットをサーバ205に向けて送信する(ステップS107)。サーバ205は、この接続要求パケットを受信すると、宅内機器201に対して接続要求パケットを送信する(ステップS109)。図5は、接続要求パケットの構成を示す図である。図5(a)は、宅外機器202が送信した接続要求パケットを示している。図5(b)は、サーバ205が送信した接続要求パケットを示している。図5を参照して、サーバ205は、宅外機器202から受信した接続要求パケットの宛先(すなわち、送信先アドレス:D_IP及び送信先ポート番号:D_Port)をデータベースに登録されている情報に基づいて、宅内機器201のグローバルIPアドレス(IPi_G、Pi_G)に設定する。さらに、サーバ205は、接続要求パケットの送信元(すなわち、送信元アドレス:S_IP及び送信元ポート番号:S_Port)を、サーバ205自身のアドレスではなく、ダミーアドレスの関連情報(IPd_G、Pd_G)に変更する(ステップS108)。サーバ205から送信された接続要求パケット(図5(b))は、ルータ203上のNAPTテーブルのエントリ(NAT_D1)にマッチするため、ルータ203を経由して正しく宅内機器201に転送される。なお、サーバ205は、接続要求パケットのペイロード部分に宅外機器202のグローバルアドレス情報(アドレス:IPo_G、ポート番号:Po_G)を追加して、宅内機器201に通知してもよい。
(3) The connection request phase (step S106) will be described.
The connection request phase (step S106) is a phase for requesting connection from the out-of-
(4)宅内機器−宅外機器間通信フェーズ(ステップS110)について説明する。
宅内機器−宅外機器間通信フェーズ(ステップS110)は、宅内機器201と宅外機器202とが直接通信を行うためのフェーズである。具体的には、宅内機器201は、ステップS109で取得した宅外機器202のグローバルアドレス情報を元に、直接、宅外機器202に接続する(宅外機器202がLAN接続機器でない場合、宅内機器201は、容易に宅外機器201へ接続することができる)。宅外機器202から宅内機器201への遠隔制御情報などは、この宅内機器201−宅外機器202間で確立された通信の上で送受信される。
(4) The communication phase between the home device and the external device (step S110) will be described.
The in-home device-external device communication phase (step S110) is a phase for direct communication between the in-
なお、本実施形態では、宅内機器201が宅外機器202からの接続要求パケットを受け付けた後、宅内機器201−宅外機器202間で直接通信路を確立する手順を説明したが、この手順に限定する必要はない。ステップS109の接続要求パケットを宅内機器201に送信した後の処理手順は、システムや機器に依存して変化し得る。例えば、サーバ205が宅内機器201と宅外機器202の通信を中継する仕組みを設けても良い。
In this embodiment, the procedure for establishing a direct communication path between the in-
このように、本発明に係る第1の実施形態の通信方法では、宅内機器201が周期的に送信するパケットが全くサーバ205に到着しないため、サーバ205の処理負荷が軽減される。また、周期送信フェーズ(ステップS104)において送信されるパケットには、ダミーアドレスの関連情報しか含まれないため、パケットを解析しても、サーバ205の情報(グローバルIPアドレスやポート番号)が判明しない。そのため、攻撃者からのDoS攻撃の可能性を低減できる。
As described above, in the communication method according to the first embodiment of the present invention, since the packet periodically transmitted by the
[宅内機器登録フェーズの詳細]
次に、図2で説明した宅内機器登録フェーズ(ステップS101)の詳細について説明する。図6は、宅内機器登録フェーズ(ステップS101)の具体的な処理シーケンスを示す図である。図6において、宅内機器201は、サーバ205宛に登録要求パケットを送信する(ステップS401)。この登録要求パケットは、周期送信フェーズ(ステップS104)で送信するパケット(図3参照)と異なり、送信先アドレス(D−IP、D−Port)に、サーバ205のアドレス(IPs_G、Ps_G)が設定される(図7参照)。宅内機器201から送信された登録要求パケットは、ルータ203によって中継され、サーバ205で受信される。サーバ205は、宅内機器201から登録要求パケットを受信すると、宅内機器201の登録の可否を判定する。登録してもよい場合には、登録要求パケットから、宅内機器201のグローバルIPアドレス(=IPi_G)とポート番号(=Pi_G)とを取り出して、データベースに登録する(ステップS402)。サーバ205は、取り出した情報をデータベースに登録すると、宅内機器201に応答パケットを送信する(ステップS403)。
[Details of home device registration phase]
Next, the details of the home appliance registration phase (step S101) described in FIG. 2 will be described. FIG. 6 is a diagram showing a specific processing sequence of the home appliance registration phase (step S101). In FIG. 6, the
なお、登録用パケットの送信によって、ルータ203上にはNAPTテーブルのエントリ(NAT_i1)が生成される。図8(a)に、ステップS401実行直後のNAPTテーブルを示す。しかしながら、NATPテーブルには、送信先アドレスとして、サーバ205のアドレス(=IPs_G)が登録されているので、周期送信フェーズ(ステップS104)における周期送信パケット用のNAPTテーブルのエントリとは一致しない。すなわち、サーバ205は、接続要求フェーズ(ステップS106)で宅内機器201に対して接続要求パケットを送信する際に、宅内機器側のポート番号が分からない状態である。そのため、サーバ205及び宅内機器201は、以降のS404〜S406の処理では、周期送信フェーズ(ステップS104)で使うNAPTテーブルのエントリを推測するための処理を行なう。
Note that an entry (NAT_i1) of the NAPT table is generated on the
図6において、宅内機器201は、周期送信フェーズ(ステップS104)で送信する周期送信パケットと同じパケットを送信し、ルータ203上にNAPTテーブルのエントリを作成する(ステップS404)。この時点で、ルータ203のNAPTテーブルは、図8(b)のようにNAT_i2のエントリが追加された状態になる。サーバ205は、NAT_i2エントリの変換後ポート番号(T−Port=Pi_G+x)を推測するため、T−Portの可能性があるポート番号を付与した調査パケットを複数送信する(ステップS405)。例えば、ルータ203のポート変換の方式によっては、送信元ポート番号(S−Port)と送信先ポート番号(D−Port)とが同じで、送信先IPアドレス(D−IP)だけが異なる場合がある。このような場合には、変換後のポート番号(T−Port)も送信元ポート番号(S−Port)と同じになる場合がある。
In FIG. 6, the in-
また、ルータ203のポート変換の方式によっては、変換後のポート番号(T−Port)を、直前に使用したポート番号を所定の数だけインクリメントして決定する場合がある。このような場合、宅内機器201が直前に送信したパケットに付与されていたポート番号(例えば、ステップS402で保存した宅内機器201のポート番号(=Pi_G))を、所定個数分だけインクリメントした範囲内に、変換後のポート番号(T−Port)が含まれている可能性がある。そのため、サーバ205は、変換後のポート番号(T−Port)である可能性があるポート番号を、送信先ポート番号に設定した調査パケットを複数送信する。その際、サーバ205は、調査パケットの送信先IPアドレスを“IPi_G”に、送信先ポート番号を“可変”に、送信元IPアドレスを“IPd_G”に、送信元ポート番号を“Ps_G”に設定する(送信元IPアドレスが、ダミーアドレスであることに注意)。さらに調査パケットのペイロード部分に、送信先ポート番号に設定したポート番号を格納しておく。
Also, depending on the port conversion method of the
サーバ205が送信した調査パケットの1つが、NAT_i2のエントリにマッチした場合、その調査パケットは宅内機器201に到達する(ステップS406)。宅内機器201は、送信元アドレスとしてダミーアドレス(すなわち、T−IP=IPd_G)が設定された調査パケットを受信すると、受信した調査パケットのペイロードを含む調査用応答パケットを、サーバ205宛に送信する(ステップS407)。
If one of the survey packets transmitted by the
サーバ205は、調査用応答パケットを受信すると、ルータ203のNAT_i2エントリに登録されているT−Portが、調査用応答パケットのペイロードに格納されたポート番号であることが確認できる。したがって、サーバ205は、調査用応答パケットを受信後、宅内機器201に対応するデータベースに、T−Portの番号を登録する(ステップS408)。
When the
なお、本実施形態における宅内機器登録フェーズ(ステップS101)におけるポート番号の予測方法は、上述した方法に限定されない。例えば、特許文献1で説明されている方法を使っても良い。 Note that the port number prediction method in the home appliance registration phase (step S101) in this embodiment is not limited to the method described above. For example, the method described in Patent Document 1 may be used.
[サーバ205の構成]
次に、図9を用いて、本発明の第1の実施形態に係る通信方法が実装されるサーバ205の具体的な構成について説明する。図9は、本発明の第1の実施形態に係るサーバ205の構成例を示すブロック図である。図9において、サーバ205は、宅内機器情報DB301、ダミーアドレス格納部302、宅内機器登録処理部303、接続要求仲介部304、送信元情報変更部305、及び通信処理部306を備える。
[Configuration of Server 205]
Next, a specific configuration of the
通信処理部306は、サーバ205が送受信するパケットに対して、汎用的な通信を行なう処理部である。通信処理部306は、他の処理部からパケット送信要求を受け付け、他の通信装置から受信したパケットを対応する処理部に引き渡す。なお、他の処理部からのパケット送信要求を受け付けたとき(または送受信用のソケット生成を要求されたとき)、特に指定がなければ、自動的にサーバ205自身のグローバルIPアドレス(IPs_G)を送信元アドレスに設定して、パケット送信するものとする。
The
ダミーアドレス格納部302は、ダミーアドレスの関連情報(アドレス:IPd_G、ポート番号:Pd_G)を保存する。宅内機器情報DB301は、宅内機器通信情報を記憶するデータベースである。ここで宅内機器通信情報とは、登録中の宅内機器201(すなわち、宅内機器登録フェーズ(ステップS101)を完了した宅内機器)に対して、少なくとも以下の情報を含むものとする。
・宅内機器を識別する情報(以後、機器IDと呼ぶ)
・宅内機器のグローバルIPアドレス
・宅内機器がダミーアドレス宛に周期的に送信したパケットの送信元ポート番号
その他、宅内機器を認証する情報を含んでもよい。
The dummy
・ Information for identifying home devices (hereinafter referred to as device ID)
The global IP address of the home device. The transmission source port number of the packet periodically transmitted from the home device to the dummy address. In addition, information for authenticating the home device may be included.
宅内機器登録処理部303は、図2の宅内機器登録フェーズ(ステップS101)に対応する処理を行なう。すなわち、宅内機器201から登録用パケット(図9のパケットa)を受信し、登録の可否を判定する。登録してもよい場合には、宅内機器通信情報を取得し、宅内機器情報DB301に登録する。宅内機器通信情報の取得には、1つ以上のパケット送受信が含まれても良い。また、サーバ205自身のアドレスを使ったパケット送受信を行なっても良い。なお、具体的な宅内機器通信情報の取得方法は、後述する。
The home appliance
接続要求仲介部304は、図2の接続要求フェーズ(ステップS106)に対応する処理を行なう。すなわち、宅外機器202から宅内機器201に対する接続要求(図9のパケットb)を受信し、それに対して、宅内機器201宛に接続要求パケット(図9のパケットc)を送信する。ここで、宅外機器202から受信するパケットの宛先は、サーバ205のアドレス(IPs_G)となっている。また、宅内機器に送信するパケットの送信先は、宅内機器情報DB301に格納された宅内機器201のアドレス(IPi_P)を設定する。
The connection
また、送信元情報変更部305は、接続要求仲介部304が宅内機器201宛に送信しようとする接続要求パケットに対して、送信元情報を書き換える処理部である。ダミーアドレス格納部302からダミーアドレスの関連情報を読み出し、接続要求パケットの送信元情報(S−IP、S_Port)をダミーアドレスの関連情報(IPd_G、Pd_G)に変更する。
The transmission source
[宅内機器201の構成]
次に、図10を用いて、本発明の第1の実施形態に係る通信方法が実装される宅内機器201の具体的な構成について説明する。図10は、本発明の第1の実施形態に係る宅内機器201の構成例を示すブロック図である。図10において、宅内機器201は、サーバアドレス格納部401、ダミーアドレス格納部402、通信処理部403、登録用パケット処理部404、周期的パケット送信部405、接続要求パケット処理部406、及び宅内機器−宅外機器間通信処理部407を備える。
[Configuration of home device 201]
Next, a specific configuration of the
サーバアドレス格納部401は、サーバ205のアドレスの関連情報(アドレス:IPs_G、ポート番号:Ps_G)を保存する。ダミーアドレス格納部402は、ダミーアドレスの関連情報(アドレス:IPd_G、ポート番号:Pd_G)を保存する。通信処理部403は、宅内機器201が送受信するパケットに対して、汎用的な通信を行う処理部である。登録用パケット処理部404は、図2の宅内機器登録フェーズ(ステップS101)に対応した処理を行う処理部である。すなわち、登録用パケット処理部404は、自身のアドレス情報を登録するために登録用パケットをサーバ205に送信する等の処理を行う。周期的パケット送信部405は、図2の周期送信フェーズ(ステップS104)に対応した処理を行う処理部である。すなわち、周期的パケット送信部405は、ダミーアドレス宛に周期的にパケットを送信する。
The server
接続要求パケット処理部406は、宅外機器202から送信された接続要求パケットを受信して、宅内機器−宅外機器間通信処理部407に通信処理を依頼する。なお、接続要求パケット処理部406は、サーバ205に対して、接続要求パケットの応答パケットを返信してもよい。宅内機器−宅外機器間通信処理部407は、図2の宅内機器−宅外機器間通信フェーズ(ステップS110)に対応した処理を行う処理部である。すなわち、宅内機器−宅外機器間通信処理部407は、宅外機器202からの接続要求に対応した処理を行う。この具体的な処理は、システムに依存して変化することになる。例えば、宅内機器−宅外機器間通信処理部407は、接続要求パケットの受信により、宅外機器202への接続を開始してもよいし、あるいは、宅外機器202への接続を開始せずに、予め決められた処理を行ってもよい。
The connection request
なお、宅内機器登録フェーズ(ステップS101)における周期送信用パケットは、登録用パケット処理部404から送信してもよいし、周期的パケット送信部405から送信してもよいものとする。
Note that the periodic transmission packet in the home appliance registration phase (step S101) may be transmitted from the registration
以上のように、本発明の第1の実施形態に係る宅外アクセスシステムは、宅内機器201が周期的に送信するパケットを、サーバ205のアドレスとは異なるアドレスであるダミーアドレスに振り向ける。そのため、サーバ205に届くパケットは減少し、サーバ205の処理負荷を軽減できる。また、サーバ205が宅内機器201からパケットを受信しなくても、宅内のルータ203におけるNAT穴は、宅内機器201がダミーアドレス宛に周期的に送信するパケットにより維持される。そのため、サーバ205から宅内機器201に接続要求パケットを送信する経路を確保したまま、サーバ205の処理負荷だけを軽減できる。さらに、宅内機器201が送受信するパケットには、サーバ205のアドレスが含まれていないため、攻撃者にサーバ205の待ち受けポートを知られてしまう危険性が減少する。また、攻撃者がダミーアドレス宛にDoS攻撃を行なっても、サーバ205にはパケットが届かないので、サーバ205が処理不能に陥ることはない。
As described above, the out-of-home access system according to the first embodiment of the present invention directs the packet periodically transmitted by the
なお、本実施形態では、ダミーアドレスを1つとして説明したが、宅内機器201及びサーバ205は、複数のダミーアドレスを持つことができるものとする。また、本発明は、ダミーアドレスの決定方法や、ダミーアドレスの運用方法には依存しないものとする。例えば、ダミーアドレスが複数であり、宅内機器201とダミーアドレスとの組み合わせが固定である場合、宅内機器201には、工場出荷時にダミーアドレスの関連情報が記録される。サーバ205は、宅内機器201とダミーアドレスとの対応関係を示すテーブルを保持することで、宅内機器201に送信する接続要求パケットの送信元アドレスを、宅内機器201に対応したダミーアドレスに変更することができる。
In the present embodiment, a single dummy address has been described. However, the
例えば、ダミーアドレスが複数であり、宅内機器201とダミーアドレスとの組み合わせが可変である場合、宅内機器201は、登録フェーズ(ステップS101)においてダミーアドレスを選択する。サーバ205は、宅内機器201からサーバ205に送信されるパケットでダミーアドレスを通知してもらうことで、宅内機器201が選択したダミーアドレスを取得する。
For example, when there are a plurality of dummy addresses and the combination of the
ダミーアドレスを複数にすることで、宅内アクセスシステムには、以下のようなメリットが生じる。例えば、ダミーアドレスを複数にすることよって、DoS攻撃等を行う攻撃者は、攻撃の度に使用されているダミーアドレスを調べる必要があるので、攻撃がより困難になる。また、例えば、サーバ側FW507を備えたシステム(図13参照)においては、ダミーアドレスを複数にすることで、異なるダミーアドレス宛のパケットを異なるFWで受信することができるようになり、FWの負荷を分散することができる。 By using a plurality of dummy addresses, the following advantages are produced in the home access system. For example, by using a plurality of dummy addresses, an attacker who performs a DoS attack or the like needs to examine a dummy address that is used for each attack, so that the attack becomes more difficult. Further, for example, in a system including the server side FW 507 (see FIG. 13), by setting a plurality of dummy addresses, packets addressed to different dummy addresses can be received by different FWs, and the load of the FW Can be dispersed.
また、本実施形態で説明したサーバ205は、1つの通信装置に限定されるわけではない。複数の通信装置を集めたサーバ群全体で、本実施形態で説明したサーバ205の処理を実現してもよい。
Further, the
また、本実施形態では、遠隔制御システムのネットワーク構成(図2)を例に、宅外アクセスシステムの処理シーケンスを説明したが、P2P接続システムのネットワーク構成においても同様の処理を行うことができる。図11は、宅外アクセスシステムがP2P接続システムである場合のネットワーク構成の一例を示す図である。図11において、P2P接続システムである宅外アクセスシステムは、LAN206a上に接続された宅内機器201aと、LAN206b上に接続された宅内機器201bとの間で1対1の通信を実現するものである。
In the present embodiment, the processing sequence of the remote access system has been described by taking the network configuration of the remote control system (FIG. 2) as an example, but the same processing can be performed in the network configuration of the P2P connection system. FIG. 11 is a diagram illustrating an example of a network configuration when the out-of-home access system is a P2P connection system. In FIG. 11, the outside access system that is a P2P connection system realizes one-to-one communication between a
図12は、宅外アクセスシステムがP2P接続システムである場合の通信方法を示すシーケンス図である。以下、P2P接続システムである宅外アクセスシステムについて、上述した遠隔制御システムの宅外アクセスシステムと異なる動作を説明する。図12を参照して、初期状態として、宅内機器201a、宅内機器201b、及びサーバ205xは、予め何らかの方法によってダミーアドレスの関連情報を共有する。
FIG. 12 is a sequence diagram illustrating a communication method when the outside-home access system is a P2P connection system. Hereinafter, the operation different from the remote access system of the remote control system described above will be described for the remote access system that is a P2P connection system. Referring to FIG. 12, as an initial state, in-
宅内機器登録フェーズ(ステップS101x)において、宅内機器201a及び宅内機器201bは、サーバ205xに向けて登録用パケットを送信する。サーバ205xは、宅内機器201a及び宅内機器201bから受信した登録用パケットをトリガとして、宅内機器201aのグローバルアドレス情報(グローバルIPアドレス:IPo_G、ポート番号:Po_G)、及び宅内機器201bのグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)を取得する(ステップS102a、S102b)。サーバ205xは、取得した宅内機器201a及び宅内機器201bのグローバルアドレス情報をデータベースに登録する(ステップS103x)。
In the home device registration phase (step S101x), the
周期送信フェーズ(ステップS104x)において、宅内機器201a及び宅内機器201bは、ダミーアドレス(アドレス:IPd_G、ポート番号:Pd_G)向けに周期的にパケットを送信する(ステップS105a、S105b)。このとき周期的に送信されるパケットには、送信元情報として、宅内機器登録フェーズ(ステップS101x)においてサーバ205xに登録した宅内機器201a及び宅内機器201bのグローバルアドレス情報が設定される。具体的には、宅内機器201aが周期的に送信するパケットには、送信元情報として、宅内機器201aのグローバルアドレス情報(グローバルIPアドレス:IPo_G、ポート番号:Po_G)が設定される。また、宅内機器201bが周期的に送信するパケットには、送信元情報として、宅内機器201bのグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)が設定される。また、この周期送信パケットが送信される時間間隔は、ルータ203上のNAPTテーブルからエントリが消えない(すなわち、エントリが維持される)時間間隔である。
In the periodic transmission phase (step S104x), the in-
接続要求フェーズ(ステップS106x)は、宅内機器201aから宅内機器201bに対して、あるいは宅内機器201bから宅内機器201aに対して接続を要求するためのフェーズである。なお、図12においては、宅内機器201aから宅内機器201bに対して接続を要求する場合しか記していないが、宅内機器201bから宅内機器201aに対しても接続を要求することができるものとする。
The connection request phase (step S106x) is a phase for requesting connection from the
なお、P2P接続システムである宅外アクセスシステムは、接続要求フェーズの後に、さらに、図15で説明したようなPort予測変換フェーズを備えてもよいものとする。Port変換予測フェーズは、P2P接続システムで特別に必要となる処理である。Port予測変換フェーズにおいて、宅内機器201a及び宅内機器201bは、機器同士の通信に使えるグローバルIPアドレス・ポート番号の組み合わせを、例えば、複数のパケットを送信することで予測する。
It should be noted that the out-of-home access system that is a P2P connection system may further include a Port prediction conversion phase as described with reference to FIG. 15 after the connection request phase. The Port conversion prediction phase is a process that is specially required in the P2P connection system. In the Port prediction conversion phase, the in-
(第2の実施形態)
次に、本発明の第2の実施形態に係る宅外アクセスのための通信方法について説明する。第1の実施形態では、宅内機器登録フェーズ(ステップS101)の処理方法として、宅内機器201の変換後のポート番号(T−Port)を推定する方法を説明した。この方法において宅内機器201は、サーバ205宛とダミーアドレス宛とを使い分けてパケット送信している。
(Second Embodiment)
Next, a communication method for remote access according to the second embodiment of the present invention will be described. In the first embodiment, the method of estimating the converted port number (T-Port) of the
第2の実施形態では、宅内機器登録フェーズ(ステップS101)の別の処理方法について説明する。なお、以後の第2の実施形態において、第1の実施形態と同様の機器および構成については、同一の参照符号を付して説明を省略する。図13は、本発明の第2の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図である。第1の実施形態におけるネットワーク構成(図1)との違いは、サーバ側ファイアウォール507とサーバ側ネットワーク508とが追加されていることである。
In the second embodiment, another processing method in the home appliance registration phase (step S101) will be described. In the following second embodiment, the same equipment and configuration as those of the first embodiment are denoted by the same reference numerals and description thereof is omitted. FIG. 13 is a block diagram illustrating an example of a network configuration of an out-of-home access system according to the second embodiment of the present invention. The difference from the network configuration (FIG. 1) in the first embodiment is that a server-
図13において、サーバ505は、第1の実施形態におけるサーバ205と比較して、宅内機器登録フェーズにおける処理が異なる。宅内機器501も同様に、宅内機器登録フェーズにおける処理が異なる。サーバ側ネットワーク508は、サーバ505を含むネットワークであり、サーバ側ファイアウォール507を中継して外部ネットワーク204と接続している。また、図13には記載していないが、本実施形態では、ダミーアドレスがサーバ側ネットワーク508に属するアドレスであることを前提とする。すなわち、ダミーアドレス宛のパケットは、一旦サーバ側ファイアウォール507に届くものとする。
In FIG. 13, the
次に、図14を使って、本発明の第2の実施形態に係る宅外アクセスシステムの通信方法の処理シーケンスを説明する。図14は、図2の宅内機器登録フェーズ(ステップS101)と周期送信フェーズ(ステップS104)とに相当する処理だけを取り出したものであり、それ以降の処理は、第1の実施形態と同様であるものとする。第2の実施形態において、宅内機器登録フェーズ(ステップS601)は、サーバ側ファイアウォール507が、ダミーアドレス宛のパケットの転送先を切り替えることにより実現する。具体的には、宅内機器501は、ダミーアドレス宛に送信するパケットのペイロードに、CommandTypeというフィールドを設け、宅内機器501が登録要求パケットを送信する場合には、CommandTypeを“登録モード”に設定する(ステップS602)。一方、宅内機器501は、周期送信用パケットを送信する場合には、CommandTypeを“周期送信”に設定する(S606)。
Next, the processing sequence of the communication method of the remote access system according to the second embodiment of the present invention will be described using FIG. FIG. 14 shows only the processing corresponding to the home appliance registration phase (step S101) and the periodic transmission phase (step S104) in FIG. 2, and the subsequent processing is the same as in the first embodiment. It shall be. In the second embodiment, the home appliance registration phase (step S601) is realized by the server-
ダミーアドレス宛のパケットを受け付けたサーバ側ファイアウォール507は、CommandTypeのフィールドを見て転送先を切り替える。具体的には、宛先アドレスがダミーアドレスで、かつ、CommandTypeが“登録モード”のときには、パケットをサーバ505に転送する(ステップS603)。一方、CommandTypeのフィールドが“周期送信”に設定されている場合には、そのままパケットを廃棄する(ステップS607)。
The server-
サーバ505は、サーバ側ファイアウォール507のこの処理により、宅内機器501から送信された登録要求パケットだけを受信でき、宅内機器501の所望の通信情報(周期送信パケットのNAPTテーブルのエントリに登録されている情報)をそのパケットから取得できる。そのため、サーバ505は、処理負荷を軽減できる。また、本実施形態では、宅内機器501が送信するパケットに、サーバ505のアドレスを含むものが全くなくなるため、サーバのアドレスが攻撃者に漏れることがなく、DoS攻撃などの可能性を低減できる。
The
本発明の宅外アクセスシステムは、宅外の通信機器と宅内の通信機器とが通信を行う場合等に有用である。 The outside access system of the present invention is useful when a communication device outside the home communicates with a communication device inside the home.
201、501 宅内機器
202 宅外機器
203、803、806 ルータ
204、804 外部ネットワーク
205、505、805 サーバ
206 LAN
301 宅内機器情報DB
302 ダミーアドレス格納部
303 宅内機器登録処理部
304 接続要求仲介部
305 送信元情報変更部
306 通信処理部
401 サーバアドレス格納部
402 ダミーアドレス格納部
403 通信処理部
404 登録用パケット処理部
405 周期的パケット送信部
406 接続要求パケット処理部
407 宅内機器−宅外機器間通信処理部
507 サーバ側ファイアウォール
508 サーバ側ネットワーク
801 クライアントB
802 クライアントA
201, 501
301 Home appliance information DB
302 dummy
802 Client A
Claims (9)
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
前記第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである宅内機器情報DBと、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する宅内機器登録処理部と、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第1の通信機器宛に接続要求パケットを送信する接続要求仲介部と、
前記ダミーアドレス格納部に保存されている情報に基づいて、前記接続要求仲介部から送信された前記接続要求パケットの送信元情報を、前記ダミーアドレスに関連する情報に変更する送信元情報変更部とを備える、サーバ。 In an external network, a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network There,
A dummy address storage unit that stores information related to the dummy address, using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address;
In-home device information DB, which is a database for storing source information of packets periodically transmitted by the first communication device as first in-home device information;
The first communication device acquires the first home device information from the first communication device when receiving a registration packet transmitted to register the address information of the first communication device, and the home device information DB A home device registration processing unit to register with
When a packet requesting connection to the first communication device is received from the second communication device, connection is made to the first communication device based on information stored in the home device information DB A connection request mediation unit that transmits a request packet;
Based on the information stored in the dummy address storage unit, a transmission source information change unit that changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address; Comprising a server.
前記第1の通信機器と前記第2の通信機器とは、1対1の相互接続を行い、
前記ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、前記第1の通信機器及び前記第2の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存し、
前記宅内機器情報DBは、前記第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として、前記第2の通信機器が周期的に送信するパケットの送信元情報を第2の宅内機器情報として保存するためのデータベースであり、
前記宅内機器登録処理部は、さらに、前記第2の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、前記第2の通信機器から前記第2の宅内機器情報を取得し、前記宅内機器情報DBに登録し、
前記接続要求仲介部は、さらに、前記第1の通信機器から前記第2の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第2の通信機器宛てに接続要求パケットを送信する、請求項1に記載のサーバ。 The second network is a local area network different from the local area network to which the first communication device is connected;
The first communication device and the second communication device perform a one-to-one interconnection,
The dummy address storage unit is an address different from its own address, and the destination address of a packet periodically transmitted by the first communication device and the second communication device is used as a dummy address and related to the dummy address. Save the information you want to
The in-home device information DB uses the transmission source information of a packet periodically transmitted by the first communication device as first in-home device information, and the transmission source information of a packet periodically transmitted by the second communication device. Is stored as second home device information,
The in-home device registration processing unit further receives the registration packet transmitted by the second communication device for registering its own address information, from the second communication device to the second in-home device. Information is acquired and registered in the home appliance information DB,
When the connection request mediation unit further receives a packet requesting connection from the first communication device to the second communication device, based on information stored in the in-home device information DB, The server according to claim 1, wherein the server transmits a connection request packet addressed to the second communication device.
前記第1の通信機器が送信する前記登録用パケットの宛先には、前記ダミーアドレスが設定されており、
前記サーバ側ファイアウォールは、前記所定のルールに基づいて、前記登録用パケットを前記サーバに振り分け、前記第1の通信機器が前記ダミーアドレス宛に周期的に送信するパケットを破棄し、
前記宅内機器登録処理部は、前記第1の通信機器が自身のアドレス情報を登録するために送信した前記登録用パケットを前記サーバ側ファイアウォールを介して受信すると、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する、請求項1に記載のサーバ。 Between the server and the external network, there is a server-side firewall that distributes packets addressed to the dummy address based on a predetermined rule,
The dummy address is set in the destination of the registration packet transmitted by the first communication device,
The server-side firewall distributes the registration packet to the server based on the predetermined rule, discards the packet that the first communication device periodically transmits to the dummy address,
Upon receiving the registration packet transmitted from the first communication device for registering its own address information through the server-side firewall, the in-home device registration processing unit receives the first communication device from the first communication device. The server according to claim 1, wherein one home device information is acquired and registered in the home device information DB.
前記宅内機器登録処理部は、さらに、前記ダミーアドレスを送信元アドレスに設定した複数のパケットを、宛先ポート番号を変更しながら前記第1の通信機器に向けて送信し、前記第1の宅内機器情報の送信元ポート番号を推定する、請求項1に記載のサーバ。 The first in-home device information includes a source address and a source port number of a packet that the first communication device periodically transmits to the dummy address,
The in-home device registration processing unit further transmits a plurality of packets in which the dummy address is set as a transmission source address to the first communication device while changing a destination port number, and the first in-home device The server according to claim 1, wherein a server port number of information is estimated.
前記第1の通信機器は、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信する登録用パケット処理部と、
前記ダミーアドレス宛に周期的にパケットを送信する周期的パケット送信部と、
前記他の通信機器から送信された接続を要求するパケットを前記サーバを介して受信する接続要求パケット処理部とを備え、
前記第2の通信機器は、前記第1の通信機器に対して接続を要求するパケットを送信し、
前記サーバは、
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
前記第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである宅内機器情報DBと、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信をトリガに、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する宅内機器登録処理部と、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第1の通信機器宛に接続要求パケットを送信する接続要求仲介部と、
前記ダミーアドレス格納部に保存されている情報に基づいて、前記接続要求仲介部から送信された前記接続要求パケットの送信元情報を、前記ダミーアドレスに関連する情報に変更する送信元情報変更部とを備える、宅外アクセスシステム。 A first communication device connected to a local area network via a router; a second communication device connected to a second network different from the local area network; and the first communication device in an external network. And a remote access system comprising a server that mediates communication with the second communication device,
The first communication device is:
A dummy address storage unit for storing information related to the dummy address, the address being different from the address of the server, and an address shared with the server as a dummy address;
A registration packet processing unit that transmits a registration packet to the server to register its own address information;
A periodic packet transmitter for periodically transmitting packets to the dummy address;
A connection request packet processing unit that receives a packet requesting connection transmitted from the other communication device via the server;
The second communication device transmits a packet requesting connection to the first communication device;
The server
A dummy address storage unit that stores information related to the dummy address, using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address;
In-home device information DB, which is a database for storing source information of packets periodically transmitted by the first communication device as first in-home device information;
The first communication device acquires the first home device information from the first communication device, triggered by reception of a registration packet transmitted to register its own address information, and the home device information DB A home device registration processing unit to register with
When a packet requesting connection to the first communication device is received from the second communication device, connection is made to the first communication device based on information stored in the home device information DB A connection request mediation unit that transmits a request packet;
Based on the information stored in the dummy address storage unit, a transmission source information change unit that changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address; A remote access system comprising:
前記サーバのアドレスに関連する情報を保存するサーバアドレス格納部と、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信する登録用パケット処理部と、
前記ダミーアドレス宛に周期的にパケットを送信する周期的パケット送信部と、
前記他の通信機器から送信された接続を要求するパケットを前記サーバを介して受信する接続要求パケット処理部とを備える、通信機器。 A communication device that is connected to a local area network via a router and that implements predetermined communication with another communication device connected to a network different from the local area network via a server connected to an external network Because
A server address storage unit for storing information related to the server address;
A dummy address storage unit for storing information related to the dummy address, the address being different from the address of the server, and an address shared with the server as a dummy address;
A registration packet processing unit that transmits a registration packet to the server to register its own address information;
A periodic packet transmitter for periodically transmitting packets to the dummy address;
A communication device comprising: a connection request packet processing unit that receives a packet requesting a connection transmitted from the other communication device via the server.
前記サーバが、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットを受信するステップと、
前記登録用パケットの受信を契機に、前記第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として取得する取得ステップと、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信するステップと、
前記取得ステップで取得した前記第1の宅内機器情報に基づいて、前記第1の通信機器宛に接続を要求するパケットを送信する接続要求ステップと、
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記接続を要求するパケットの送信元アドレスを、前記ダミーアドレスに変更する送信元情報変更ステップとを備える、通信方法。 A communication method executed by a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network Because
The server is
Receiving a registration packet that the first communication device transmits to register its address information;
An acquisition step of acquiring transmission source information of a packet periodically transmitted by the first communication device as the first home device information, triggered by reception of the registration packet;
Receiving from the second communication device a packet requesting connection to the first communication device;
A connection requesting step for transmitting a packet for requesting connection to the first communication device based on the first in-home device information acquired in the acquiring step;
The transmission source address of the packet requesting the connection is changed to the dummy address with the destination address of the packet periodically transmitted by the first communication device as a dummy address, which is different from its own address. A communication method comprising a transmission source information change step.
前記第1の通信機器が、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信するステップと、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレス宛に周期的にパケットを送信するステップと、
前記第2の通信機器から送信された接続を要求するパケットを前記サーバを介して受信するステップとを備える、通信方法。 A first communication device connected to a local area network via a router communicates with a second communication device connected to a network different from the local area network via a server connected to an external network. Communication method,
The first communication device is
Sending a registration packet to the server to register its address information;
A packet that is different from the address of the server and that is shared with the server as a dummy address, and periodically transmits packets to the dummy address;
Receiving a packet for requesting a connection transmitted from the second communication device via the server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005292913A JP2007104438A (en) | 2005-10-05 | 2005-10-05 | Outdoor access system, server, and communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005292913A JP2007104438A (en) | 2005-10-05 | 2005-10-05 | Outdoor access system, server, and communication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007104438A true JP2007104438A (en) | 2007-04-19 |
Family
ID=38030913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005292913A Pending JP2007104438A (en) | 2005-10-05 | 2005-10-05 | Outdoor access system, server, and communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007104438A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010045451A (en) * | 2008-08-08 | 2010-02-25 | Ntt Communications Kk | Packet sorter, communication system, packet processing method, and program |
CN114765614A (en) * | 2020-12-31 | 2022-07-19 | 华为技术有限公司 | Method for accessing local area network service equipment and electronic equipment |
WO2024004129A1 (en) * | 2022-06-30 | 2024-01-04 | 三菱電機株式会社 | Air conditioning system and outdoor unit |
-
2005
- 2005-10-05 JP JP2005292913A patent/JP2007104438A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010045451A (en) * | 2008-08-08 | 2010-02-25 | Ntt Communications Kk | Packet sorter, communication system, packet processing method, and program |
JP4648436B2 (en) * | 2008-08-08 | 2011-03-09 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Packet distribution device, communication system, packet processing method, and program |
CN114765614A (en) * | 2020-12-31 | 2022-07-19 | 华为技术有限公司 | Method for accessing local area network service equipment and electronic equipment |
WO2024004129A1 (en) * | 2022-06-30 | 2024-01-04 | 三菱電機株式会社 | Air conditioning system and outdoor unit |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5364671B2 (en) | Terminal connection status management in network authentication | |
US8312532B2 (en) | Connection supporting apparatus | |
KR100901790B1 (en) | CONTROL TUNNEL AND DIRECT TUNNEL CONFIGURATION METHOD IN IPv6 SERVICE PROVIDE SYSTEM BASED IPv4 NETWORK | |
EP2291979B1 (en) | Remote access between upnp devices | |
US8499083B2 (en) | Relay device and communication system | |
US11924164B2 (en) | Cloud access to local network addresses | |
US20080098088A1 (en) | Communication System, Terminal Device And Communication Device | |
US20050240758A1 (en) | Controlling devices on an internal network from an external network | |
EP2803177B1 (en) | Device arrangement and method for implementing a data transfer network used in remote control of properties | |
JP2006086800A (en) | Communication apparatus for selecting source address | |
US11159420B2 (en) | Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network | |
JPWO2006049251A1 (en) | Communication terminal and communication method | |
WO2006062290A1 (en) | Method for updating dns address in mobile ip terminal | |
EP3977712A1 (en) | Transparent multiplexing of ip endpoints | |
CN112565182B (en) | Data processing method, system, electronic device and gateway device | |
US20150215277A1 (en) | Network address translation apparatus with cookie proxy function and method for nat supporting cookie proxy function | |
JP2007104438A (en) | Outdoor access system, server, and communication method | |
JP5638063B2 (en) | COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM | |
JP6314500B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
WO2008069504A1 (en) | Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system | |
CN101997935B (en) | Communication apparatus and communication method | |
JP2008206081A (en) | Data relaying apparatus and data relaying method used for multi-homing communication system | |
KR101367180B1 (en) | An apparatus for switching and sharing network services and the method thereof | |
Enghardt et al. | TAPS Working Group A. Brunstrom, Ed. Internet-Draft Karlstad University Intended status: Informational T. Pauly, Ed. Expires: January 9, 2020 Apple Inc. | |
JP2012019361A (en) | Communication device, server device, communication system, communicating method, and integrated circuit |