JP2007104438A - Outdoor access system, server, and communication method - Google Patents

Outdoor access system, server, and communication method Download PDF

Info

Publication number
JP2007104438A
JP2007104438A JP2005292913A JP2005292913A JP2007104438A JP 2007104438 A JP2007104438 A JP 2007104438A JP 2005292913 A JP2005292913 A JP 2005292913A JP 2005292913 A JP2005292913 A JP 2005292913A JP 2007104438 A JP2007104438 A JP 2007104438A
Authority
JP
Japan
Prior art keywords
address
communication device
packet
server
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005292913A
Other languages
Japanese (ja)
Inventor
Yukie Goshima
雪絵 五島
Takeshi Kokado
健 古門
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2005292913A priority Critical patent/JP2007104438A/en
Publication of JP2007104438A publication Critical patent/JP2007104438A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an outdoor access system capable of starting a communication with an indoor apparatus 201 at a desired timing from an outdoor apparatus 202. <P>SOLUTION: An indoor apparatus 201 registers its own global IP (Internet Protocol) address and a port number in a server 205 (step 103), and periodically sends packets to a dummy address in order to maintain an NAPT (Network Address Port Translation) table of a router 203 (step S105). The router 203 periodically receives the packets destined to the dummy address from an indoor apparatus 201, thereby mainlining NAT (Network Address Translation) slots to the indoor apparatus 201 from the server 205. Upon receipt of a connection request from the outdoor apparatus 202 to the indoor apparatus 201, the server 205 changes the sending source to the dummy address to send packets of the connection request to the indoor apparatus 201 (step S109). <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、宅外アクセスシステム、宅外アクセスシステムで用いられるサーバ及び通信方法に関して、より特定的には、外部ネットワーク上の機器から所望のタイミングでLAN接続機器に対して通信を開始できる宅外アクセスシステム、及び宅外アクセスシステムで用いられ、外部ネットワーク上の機器とLAN接続機器との通信を仲介するサーバ、及び宅外アクセスシステムで用いられる通信方法に関する。   More specifically, the present invention relates to a remote access system, a server used in the remote access system, and a communication method. More specifically, communication from a device on an external network to a LAN connection device can be started at a desired timing. The present invention relates to an access system and a remote access system, a server that mediates communication between a device on an external network and a LAN connection device, and a communication method used in the remote access system.

近年のインターネット等のネットワーク(以下、外部ネットワークと記す)の普及により、電子メール、電子商取引など、ネットワークを介したサービスが増大し、家庭内にもネットワークに接続できる機器が増えつつある。このネットワークに接続できる家電、いわゆる「ネット家電」としては、例えば、エアコンや電子レンジなどの白物家電がある。これらの白物家電もネットワークに接続され、宅外からエアコンを制御したり、センター側からプログラムのバージョンアップを行うようなサービスも提案されている。   With the recent spread of networks such as the Internet (hereinafter referred to as external networks), services via networks such as e-mail and electronic commerce are increasing, and the number of devices that can be connected to the network is increasing in the home. As home appliances that can be connected to this network, so-called “net home appliances”, for example, there are white goods such as air conditioners and microwave ovens. These white goods are also connected to the network, and services that control the air conditioner from outside the house or upgrade the program from the center have been proposed.

[宅外アクセスシステムとは]
通常、家庭内もしくは企業内の通信機器は、ローカルエリアネットワーク(以下、「LAN」と称す)に接続され、家庭内・企業内のLAN内でのみ一意なプライベートIPアドレスが割り当てられている。LAN内の通信機器は、NAT(Network Address Translation)、またはNAPT(Network Address Port Translation)機能を搭載したルータを介して、外部ネットワークに接続される(以下、ルータを介して外部ネットワークに接続可能な機器を、「LAN接続機器」と称す)。LAN接続機器がパケットを送受信するとき、LAN接続機器のプライベートIPアドレス・ポート番号は、ルータによって、外部ネットワークで通用するグローバルIPアドレス・ポート番号に変換される。 [What is an external access system?]
Usually, communication devices in a home or company are connected to a local area network (hereinafter referred to as “LAN”), and a unique private IP address is assigned only within a LAN within the home or company. Communication devices in the LAN are connected to an external network via a router equipped with a NAT (Network Address Translation) or NAPT (Network Address Port Translation) function (hereinafter, connectable to an external network via the router). The device is referred to as “LAN connection device”). When a LAN connection device transmits / receives a packet, the private IP address / port number of the LAN connection device is converted by the router into a global IP address / port number that can be used in an external network.

ネット家電のサービスを考えると、LAN接続機器に対して、“別のネットワークに接続された通信機器”から、外部ネットワーク経由で通信を開始できることが必要となる。このような通信システムを総称して、「宅外アクセスシステム」と呼ぶことにする。例えば、宅外アクセスシステムには、以下のような2つのシステムが含まれる。
(1)遠隔制御システム:
例えば、宅外の機器(携帯電話など)から、外部ネットワーク経由で宅内機器にア クセスして、機器制御(レコーダーの録画予約など)を行なうシステム。通信を開始 するのは、常に宅外機器(宅内機器を制御する機器)側であり、宅内機器側は常に宅 外機器からのアクセスを待ち受ける。宅外機器には、グローバルIPアドレスが割り 当てられている場合もある(すなわち、宅外機器は、ルータ経由で外部ネットワーク に接続する必要がない場合もある)。
(2)P2P接続システム:
個人ユーザ間でのデータ交換や、対戦型のネットワークゲームなど、異なるLAN 間のクライアント機器同士が1対1の相互接続を行なうシステム。データ送受信時に はサーバを介さず、どちらのクライアント機器からでも通信を開始できる。また、両 方のクライアント機器がそれぞれルータを介して外部ネットワークに接続するケース が多い(すなわち、両方のクライアント機器が、LAN接続機器になり得る)。 Considering the service of Internet home appliances, it is necessary to be able to start communication via an external network from a “communication device connected to another network” to a LAN connection device. Such communication systems are collectively referred to as “external access system”. For example, an out-of-home access system includes the following two systems.
(1) Remote control system:
For example, a system that controls devices (such as recording reservations for recorders) by accessing devices at home via an external network from devices outside the home (such as mobile phones). Communication is always started on the side of the out-of-home device (device that controls the in-home device), and the in-home device always waits for access from the out-of-home device. In some cases, a global IP address is assigned to an external device (that is, the external device may not need to be connected to an external network via a router).
(2) P2P connection system:
A system in which client devices between different LANs perform one-to-one interconnection, such as data exchange between individual users and competitive network games. When sending and receiving data, communication can be started from either client device without going through the server. In many cases, both client devices are connected to an external network via a router (that is, both client devices can be LAN connection devices).

以降、遠隔制御システムを想定した説明では、宅外の通信機器に対して“宅外機器”、LANに接続された通信機器に対して“宅内機器”という用語を使うものとし、宅外機器はグローバルIPアドレスを持つ機器(LAN接続機器ではない)、宅内機器はLAN接続機器という前提を置くものとする。また、P2P接続のシステムを想定した説明では、クライアント機器として“クライアントA”と“クライアントB”という用語を使い、両方のクライアント機器がLAN接続機器であるという前提を置くものとする。   Hereinafter, in the description assuming the remote control system, the term “outside equipment” is used for communication equipment outside the home, and the “home equipment” is used for communication equipment connected to the LAN. Assume that a device having a global IP address (not a LAN connection device) and a home device are assumed to be LAN connection devices. Further, in the description assuming a P2P connection system, the terms “client A” and “client B” are used as client devices, and it is assumed that both client devices are LAN connection devices.

[宅外アクセスシステムにおける接続の難しさ]
宅内機器は、宅外のグローバルIPアドレスを持つサーバに接続する場合には、ルータを介して簡単に接続することができる。具体的には、宅内機器が宅外のサーバ宛にパケットを送信した段階では、パケットの送信元に宅内機器のプライベートIPアドレス・ポート番号が付与されているが、ルータがそれを自動的に外部ネットワーク上で解釈可能なグローバルIPアドレス・ポート番号に変換してくれるからである。ルータは、宅内機器から送信されたパケットに対してアドレス・ポート変更を行った場合、ルータ上のNAPTテーブルにその変換ルールを保存する。 [Difficulty of connection in outside access system]
When connecting to a server having a global IP address outside the home, the home device can be easily connected via a router. Specifically, when the home device sends a packet to a server outside the home, the private IP address / port number of the home device is assigned to the packet source, but the router automatically sends it to the external device. This is because it converts it into a global IP address and port number that can be interpreted on the network. When the router changes the address and port for the packet transmitted from the home device, the router stores the conversion rule in the NAPT table on the router.

また、サーバから宅内機器宛の応答パケットが届いたとき、ルータは応答パケットの宛先に設定されているグローバルIPアドレス・ポート番号の組に対応する変換ルールをNAPTテーブルから検索する。そして、ルータは、その検索結果を元に応答パケットの宛先に設定されているグローバルIPアドレス・ポート番号を逆変換によりプライベートIPアドレス・ポート番号に書き換えて、宅内機器に中継する。しかし、宅外機器は、以下の理由によって、所望のタイミングで宅内機器に対して自由に接続することができない。   When the response packet addressed to the home device arrives from the server, the router searches the NAPT table for a conversion rule corresponding to the global IP address / port number set as the destination of the response packet. Then, the router rewrites the global IP address / port number set as the destination of the response packet based on the search result into a private IP address / port number by reverse conversion, and relays it to the home device. However, the outside device cannot be freely connected to the home device at a desired timing for the following reason.

第1に、宅外機器から宅内機器のグローバルIPアドレスを知る手段が無いので、宅内機器宛にパケット送信する際の宛先が分からない。特に、宅内機器のグローバルIPアドレスがDHCP、PPPなどで割り当てられる場合、常に変化する可能性があるため、このアドレスを宅外機器に事前に通知することができない。   First, since there is no means for knowing the global IP address of the in-home device from the out-of-home device, the destination for packet transmission to the in-home device is unknown. In particular, when a global IP address of a home device is assigned by DHCP, PPP, or the like, there is a possibility that it will always change. Therefore, this address cannot be notified to the outside device in advance.

第2に、宅内機器のグローバルIPアドレスが分かったとしても、ルータのファイアウォールの機能に関する問題がある。ルータのNAPTテーブル上にある変換ルールは、LAN側の機器(宅内機器を含む)から外部ネットワーク側に送信されるパケットを中継する際に動的に生成される。しかしながら、ルータは、逆方向のパケットを中継する際には、外部からの侵入を防ぐという観点から、通常、変換ルールを新規に生成しない(逆方向のパケット中継時には、既存の変換ルールを使って逆変換するのみである)。そのため、宅外機器から宅内機器に対して接続要求パケットが送信された場合、ルータは、NAPTテーブルに変換ルールが登録されていないため、LAN内のどの機器にパケットを転送すべきかわからず、接続要求パケットを破棄してしまう。   Second, even if the global IP address of the home device is known, there is a problem regarding the firewall function of the router. The conversion rule on the NAPT table of the router is dynamically generated when a packet transmitted from the LAN side device (including the home device) to the external network side is relayed. However, when relaying a packet in the reverse direction, a router normally does not generate a new conversion rule from the viewpoint of preventing intrusion from the outside (when relaying a packet in the reverse direction, it uses an existing conversion rule). Only reverse conversion). Therefore, when a connection request packet is transmitted from an out-of-home device to the in-home device, since the conversion rule is not registered in the NAPT table, the router does not know to which device in the LAN the packet should be transferred. The request packet is discarded.

第3に、静的NAT機能を使う場合の問題がある。予めルータの設定を操作すれば、パケットの中継が発生しなくても、NAPTテーブルに所望の変換ルールを追加できる(静的NAT)。具体的には、送信元が宅外機器のグローバルIPアドレス・ポート番号、宛先が宅内機器のグローバルIPアドレス・ポート番号であるパケットに対して、宛先を宅内機器のプライベートIPアドレス・ポート番号に変換するようなルールを設定しておけば、第2の問題を防ぐことができる。しかしながら、この方法はユーザが予めルータに静的NATの変換ルールを設定しておく必要があり、その設定内容がネットワークに関する知識が無いエンドユーザにとっては難しいという問題がある。   Third, there is a problem when using the static NAT function. If the router setting is operated in advance, a desired conversion rule can be added to the NAPT table even if packet relay does not occur (static NAT). Specifically, for packets whose source is the global IP address / port number of the external device and whose destination is the global IP address / port number of the home device, the destination is converted into the private IP address / port number of the home device. If such a rule is set, the second problem can be prevented. However, this method requires a user to set a static NAT conversion rule in the router in advance, and there is a problem that the setting contents are difficult for an end user who does not have knowledge about the network.

上述した問題を解決するため、宅外アクセスシステムにおいて、従来、サーバを利用して宅外機器と宅内機器(あるいは、クライアントAとクライアントB)との間の接続する方法が提案されている(例えば、特許文献1参照)。図15は、従来の宅外アクセスシステムの接続方法を説明する図である。図15には、クライアントA802とクライアントB801とがP2P接続するネットワークシステムの処理シーケンスを示している。図15において、クライアントA802はルータA803を介して、クライアントB801はルータB806を介して、それぞれ外部ネットワーク804に接続されている。また、ロビーサーバ805は、P2P接続の最初に、クライアントA802及びクライアントB801に対して、互いの通信相手の宛先(送信先アドレスと送信先ポート番号)を通知する役割のサーバであり、外部ネットワーク804に接続されている。   In order to solve the above-described problem, a method for connecting between an out-of-home device and an in-home device (or client A and client B) using a server has been conventionally proposed in an out-of-home access system (for example, , See Patent Document 1). FIG. 15 is a diagram for explaining a connection method of a conventional outside-home access system. FIG. 15 shows a processing sequence of the network system in which the client A 802 and the client B 801 are P2P connected. In FIG. 15, a client A 802 is connected to an external network 804 via a router A 803, and a client B 801 is connected to an external network 804 via a router B 806. The lobby server 805 is a server that plays a role of notifying the client A 802 and the client B 801 of destinations (transmission destination address and transmission destination port number) of each other at the beginning of the P2P connection. It is connected to the.

登録フェーズ(ステップS810)において、クライアントA802及びクライアントB801は、ロビーサーバ805に自身のグローバルアドレス情報(グローバルIPアドレス:T−IP、ポート番号:T−Port)をそれぞれ登録する。具体的には、クライアントA802及びクライアントB801は、ロビーサーバ805にログイン要求パケットをそれぞれ送信する(ステップS811、S814)。ロビーサーバ805は、クライアントA802及びクライアントB801のグローバルアドレス情報(T−IP、T−Port)を自身のデータベースに登録し(ステップS812、S815)、クライアントA802及びクライアントB801にログイン応答パケットを送信する(ステップS813、S816)。   In the registration phase (step S810), the client A 802 and the client B 801 register their own global address information (global IP address: T-IP, port number: T-Port) in the lobby server 805, respectively. Specifically, the client A 802 and the client B 801 each transmit a login request packet to the lobby server 805 (steps S811 and S814). The lobby server 805 registers the global address information (T-IP, T-Port) of the client A 802 and the client B 801 in its own database (steps S812 and S815), and transmits a login response packet to the client A 802 and the client B 801 ( Steps S813 and S816).

ここで、図16〜17を用いて、ルータB806が中継するパケットとNAPTテーブルとの関係を説明する。図16は、ルータB806のNAPTテーブルの状態を示す図である。図16(a)は、初期状態におけるNAPTテーブルを示している。図16(b)は、ステップS814(すなわち、クライアントB801がロビーサーバ805宛にログイン要求パケットを送信した)直後のNATPテーブルを示している。図16を参照して、初期状態では何も登録されていなかったNAPTテーブルには、ルータB806がログイン要求パケットを中継することによってエントリ(変換ルール)が登録されている。   Here, the relationship between the packet relayed by the router B 806 and the NAPT table will be described with reference to FIGS. FIG. 16 is a diagram illustrating a state of the NAPT table of the router B 806. FIG. 16A shows the NAPT table in the initial state. FIG. 16B shows the NATP table immediately after step S814 (that is, the client B 801 transmits a login request packet to the lobby server 805). Referring to FIG. 16, an entry (conversion rule) is registered in the NAPT table in which nothing is registered in the initial state by router B 806 relaying the login request packet.

図17は、クライアントB801から送信されたログイン要求パケットを示す図である。図17(a)は、クライアントB801から送信された直後のログイン要求パケットを示している。図17(b)は、ルータB806によって中継された直後のログイン要求パケットを示している。図17を参照して、クライアントB801から送信されたログイン要求パケットは、ルータB806で中継されることによって、送信元アドレス(S−IP)及び送信元ポート番号(D−Port)が、プライベートIPアドレス(IPca_P、Pca_P)からグローバルIPアドレス(IPca_G、Pca_G)に変換されている。   FIG. 17 is a diagram illustrating a login request packet transmitted from the client B 801. FIG. 17A shows a login request packet immediately after being transmitted from the client B 801. FIG. 17B shows a login request packet immediately after being relayed by the router B 806. Referring to FIG. 17, the login request packet transmitted from client B 801 is relayed by router B 806, so that the source address (S-IP) and source port number (D-Port) are private IP addresses. (IPca_P, Pca_P) to global IP address (IPca_G, Pca_G).

図18は、ロビーサーバ805から送信されたログイン応答パケットを示す図である。図18(a)は、ロビーサーバ805から送信された直後のログイン応答パケットを示している。図18(b)は、ルータB806によって中継された直後のログイン応答パケットを示している。図18を参照して、ロビーサーバ805から送信されたログイン応答パケットは、ルータB806のNAPTテーブルのエントリ(NAT_B1)に対応するので、送信先アドレス(D−IP)及び送信元ポート番号(D−Port)が、グローバルIPアドレス(IPs_G、Ps_G)からプライベートIPアドレス(IPs_P、Ps_P)に逆変換されて、クライアントB801に中継される。   FIG. 18 is a diagram illustrating a login response packet transmitted from the lobby server 805. FIG. 18A shows a login response packet immediately after being transmitted from the lobby server 805. FIG. 18B shows a login response packet immediately after being relayed by the router B 806. Referring to FIG. 18, since the login response packet transmitted from lobby server 805 corresponds to the entry (NAT_B1) in the NAPT table of router B 806, the destination address (D-IP) and the source port number (D- Port) is reversely converted from the global IP address (IPs_G, Ps_G) to the private IP address (IPs_P, Ps_P) and relayed to the client B 801.

図15における接続要求フェーズ(ステップS820)の説明に戻る。接続要求フェーズ(ステップS820)において、クライアントA802は、クライアントB801とのP2P接続を希望する場合、ロビーサーバ805に対して、クライアントB801とのP2P接続を要求するパケットを送信する(ステップS821)。ロビーサーバ805は、クライアントA802からこのパケットを受信すると、クライアントB801に対して、クライアントA802からのP2P接続を要求するパケットを送信する(ステップS822)。このとき、ロビーサーバ805は、クライアントA802から受信したパケットに基づいてクライアントA802のグローバルアドレス情報を検出して、クライアントB801に対して送信する。   Returning to the description of the connection request phase (step S820) in FIG. In the connection request phase (step S820), when the client A 802 desires the P2P connection with the client B 801, the client A 802 transmits a packet requesting the P2P connection with the client B 801 to the lobby server 805 (step S821). Upon receiving this packet from the client A 802, the lobby server 805 transmits a packet requesting a P2P connection from the client A 802 to the client B 801 (step S822). At this time, the lobby server 805 detects the global address information of the client A 802 based on the packet received from the client A 802 and transmits it to the client B 801.

クライアントB801は、クライアントA802からのP2P接続要求を了承したら、ロビーサーバ805に対して接続を了承したことを示す応答パケットを送信する(ステップS823)。ロビーサーバ805は、この応答パケットを受信すると、クライアントA802に対して接続要求が成功したことを示す応答パケットを送信する(ステップS824)。このとき、ロビーサーバ805は、ステップS822と同様に、クライアントB801から受信したパケットに基づいてクライアントB801のグローバルアドレス情報を検出して、クライアントA802に対して送信する。このようにして、クライアントA802及びクライアントB801は、ロビーサーバ805を介して、互いのグローバルアドレス情報を交換することができる。   When the client B 801 approves the P2P connection request from the client A 802, the client B 801 transmits a response packet indicating that the connection is accepted to the lobby server 805 (step S823). Upon receiving this response packet, the lobby server 805 transmits a response packet indicating that the connection request is successful to the client A 802 (step S824). At this time, the lobby server 805 detects the global address information of the client B 801 based on the packet received from the client B 801 and transmits it to the client A 802 as in step S822. In this way, the client A 802 and the client B 801 can exchange global address information with each other via the lobby server 805.

また、ステップS822では、ロビーサーバ805から図18に示すログイン応答パケットと同じヘッダのパケットが送信される。このパケットは、ルータB806のNAPTテーブルのエントリ(NAT_B1)に適合するので、ルータB806を経由して正しくクライアントB801に中継される。すなわち、従来の方法において、クライアントA802は、ロビーサーバ805とクライアント間の既存のNAPTテーブルのエントリを利用することで、静的NATを設定することなく、LAN内の機器(クライアントB801)に対して接続要求を送ることができる。   In step S822, the lobby server 805 transmits a packet having the same header as the login response packet shown in FIG. Since this packet conforms to the NAPT table entry (NAT_B1) of the router B 806, the packet is correctly relayed to the client B 801 via the router B 806. In other words, in the conventional method, the client A 802 uses the existing NAPT table entry between the lobby server 805 and the client to set up a device (client B 801) in the LAN without setting a static NAT. A connection request can be sent.

なお、図15の処理は、さらにPort変換予測フェーズ(ステップS830)に続く。Port変換予測フェーズ(ステップS830)は、P2P接続システムで特別に必要となる処理である。P2P接続の場合、ロビーサーバ805から得られた通信相手のグローバルアドレス情報が、そのままクライアント同士の通信に使えるわけではない。その理由は、グローバルIPアドレスはそのまま使えるが、ポート番号はロビーサーバ805に対する通信にしか使えないためである。そのために、クライアントA802及びクライアントB801は、クライアント同士の通信に使えるグローバルIPアドレス・ポート番号の組み合わせを、複数のパケットを送信することで予測している。この予測方法は本発明に直接関係しないため、ここでの説明を省略する。   The process of FIG. 15 further continues to the Port conversion prediction phase (step S830). The Port conversion prediction phase (step S830) is a process that is specially required in the P2P connection system. In the case of P2P connection, the global address information of the communication partner obtained from the lobby server 805 is not directly usable for communication between clients. This is because the global IP address can be used as it is, but the port number can only be used for communication with the lobby server 805. Therefore, the client A 802 and the client B 801 predict a global IP address / port number combination that can be used for communication between clients by transmitting a plurality of packets. Since this prediction method is not directly related to the present invention, description thereof is omitted here.

Port変換予測フェーズS830で直接クライアント間で通信できるポート番号が見つかったら、クライアントA802−クライアントB801間のP2P通信が可能になる(P2P通信フェーズ:ステップS840)。   When a port number that allows direct communication between clients is found in the Port conversion prediction phase S830, P2P communication between the client A 802 and the client B 801 becomes possible (P2P communication phase: step S840).

なお、図15ではP2P接続システムについて説明したが、遠隔制御システムに対しても、サーバを使ってグローバルIPアドレスの解決とNAPTテーブルの問題を解決する手順は同じである。具体的には、図15の中でクライアントB801を宅内機器に、クライアントA802とルータA803とを宅外機器に置き換えて遠隔制御システムにした場合、ステップS811〜S813のクライアントAに対する登録処理と、Port変換予測フェーズS830が不要になる。また、ステップS840のP2P通信フェーズは、宅内機器と宅外機器間の通信処理に置き換わる。   Although the P2P connection system has been described with reference to FIG. 15, the procedure for resolving the global IP address and the NAPT table using the server is the same for the remote control system. Specifically, in FIG. 15, when the client B 801 is replaced with an in-home device and the client A 802 and the router A 803 are replaced with an external device to form a remote control system, the registration processing for the client A in steps S 811 to S 813, Port The conversion prediction phase S830 becomes unnecessary. Also, the P2P communication phase in step S840 is replaced with communication processing between the home device and the external device.

このように、従来の方法では、サーバを利用して、LAN接続機器のグローバルIPアドレスとポート番号とを登録・解決している。また、LAN接続機器に対してLAN外の機器から接続要求しようとする場合のNAPTテーブルの問題に関しても、サーバを仲介させることで、生成済みのNAPTの変換ルールを使える。そのため、ルータに静的NATの設定をしなくても宅外アクセスシステムにおける通信が開始できる。
特開2004−180003号公報 As described above, in the conventional method, the global IP address and the port number of the LAN connection device are registered and resolved using the server. In addition, regarding the NAPT table problem when a connection request is made to a LAN connection device from a device outside the LAN, the generated NAPT conversion rule can be used by mediating the server. Therefore, communication in the outside access system can be started without setting static NAT in the router.
JP 2004-180003 A

しかしながら、ルータB806のNAPTテーブルのエントリには、通常タイムアウト時間が設定されており、エントリに対応するパケット通信が途絶えると所定の時間後にエントリが削除されてしまう。そのため、例えば、登録フェーズ(図15のステップS810)でルータB806上に生成されたNAT_B1のエントリは、クライアントA802がP2P接続要求を発行した時点で削除されている可能性がある。そのため、クライアントA802は、タイミングによっては、クライアントB801に対して接続要求を出せない可能性がある。   However, a normal timeout period is set for the entry in the NAPT table of the router B 806, and when the packet communication corresponding to the entry is interrupted, the entry is deleted after a predetermined time. Therefore, for example, the NAT_B1 entry generated on the router B 806 in the registration phase (step S810 in FIG. 15) may be deleted when the client A 802 issues a P2P connection request. Therefore, there is a possibility that the client A 802 cannot issue a connection request to the client B 801 depending on the timing.

NAPTテーブルのエントリを削除させないためには、クライアントB801からロビーサーバ805に対して周期的にパケットを送信する(図15の場合は、登録フェーズS810と接続要求フェーズS820との間に周期的にパケットを送信する)方法が考えられる。しかし、従来の方法においては、ロビーサーバ805に以下の課題が発生する。   In order not to delete the entry in the NAPT table, a packet is periodically transmitted from the client B 801 to the lobby server 805 (in the case of FIG. 15, the packet is periodically transmitted between the registration phase S810 and the connection request phase S820). Can be considered). However, in the conventional method, the following problem occurs in the lobby server 805.

[第1の課題:ロビーサーバの処理負荷]
ロビーサーバ805には、複数のクライアント機器が周期的に送信するパケットが集中して到着する。ロビーサーバ805は、クライアント機器から受信したパケットを処理しなければならないため、クライアント機器の接続台数が増えるほど、処理負荷が大きくなる。 [First issue: Lobby server processing load]
Packets periodically transmitted by a plurality of client devices arrive at the lobby server 805 in a concentrated manner. Since the lobby server 805 has to process a packet received from a client device, the processing load increases as the number of connected client devices increases.

[第2の課題:ロビーサーバがDoS攻撃にさらされやすくなる]
DoS攻撃などで攻撃しようとする悪意の第3者(攻撃者)にとっては、ロビーサーバ805が待ち受けしているアドレス、プロトコル、及びポート番号が判明すれば、攻撃しやすくなる。従来の方法のようにクライアント機器からロビーサーバ805宛に大量のパケットを送信する場合には、正規のクライアント機器を購入した攻撃者が、クライアント機器の送信パケットを解析するだけで、ロビーサーバ805のアドレス、プロトコル、及びポート番号が容易に判明してしまう。そのため、従来の方法では、ロビーサーバ805がDoS攻撃にさらされやすいという課題があった。 [Second issue: Lobby servers are likely to be exposed to DoS attacks]
For a malicious third party (attacker) who wants to attack by a DoS attack or the like, if the address, protocol, and port number on which the lobby server 805 is waiting are found, the attack becomes easy. When a large amount of packets are transmitted from the client device to the lobby server 805 as in the conventional method, an attacker who has purchased a legitimate client device simply analyzes the transmitted packet of the client device, and the lobby server 805 The address, protocol, and port number are easily identified. Therefore, the conventional method has a problem that the lobby server 805 is easily exposed to a DoS attack.

それ故に、本発明の目的は、サーバの処理負荷を軽減し、攻撃者からDos攻撃の可能性を低くする宅外アクセスシステム及び宅外アクセスシステムで用いられるサーバを提供することである。   Therefore, an object of the present invention is to provide a remote access system and a server used in the remote access system that reduce the processing load on the server and reduce the possibility of Dos attack from an attacker.

本発明は、外部ネットワークにおいて、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーバに向けられている。そして上記目的を達成するために、本発明のサーバは、ダミーアドレス格納部と、宅内機器情報DBと、宅内機器登録処理部と、接続要求仲介部と、送信元情報変更部とを備える。   The present invention mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network in an external network. Is directed to the server. In order to achieve the above object, the server of the present invention includes a dummy address storage unit, a home device information DB, a home device registration processing unit, a connection request mediation unit, and a transmission source information change unit.

ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第1の通信機器宛に接続要求パケットを送信する。送信元情報変更部は、ダミーアドレス格納部に保存されている情報に基づいて、接続要求仲介部から送信された接続要求パケットの送信元情報を、ダミーアドレスに関連する情報に変更する。   The dummy address storage unit stores information related to the dummy address using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address. The in-home device information DB is a database for storing transmission source information of packets periodically transmitted by the first communication device as first in-home device information. The in-home device registration processing unit obtains the first in-home device information from the first communication device in response to reception of a registration packet transmitted by the first communication device to register its own address information. Register in the device information DB. When receiving a packet requesting connection from the second communication device to the first communication device, the connection request mediation unit addresses the first communication device based on the information stored in the home device information DB. Send a connection request packet to. The transmission source information changing unit changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address based on the information stored in the dummy address storage unit.

好ましくは、第2のネットワークは、第1の通信機器が接続されたローカルエリアネットワークとは異なるローカルエリアネットワークである。この場合、第1の通信機器と第2の通信機器とは、1対1の相互接続を行う。また、ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、第1の通信機器及び第2の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として、第2の通信機器が周期的に送信するパケットの送信元情報を第2の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、さらに、第2の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第2の通信機器から第2の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、さらに、第1の通信機器から第2の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第2の通信機器宛てに接続要求パケットを送信する。   Preferably, the second network is a local area network different from the local area network to which the first communication device is connected. In this case, the first communication device and the second communication device perform a one-to-one mutual connection. Further, the dummy address storage unit is an address different from its own address, and information related to the dummy address is set with the destination address of the packet periodically transmitted by the first communication device and the second communication device as a dummy address. Save. The in-home device information DB uses the transmission source information of the packet periodically transmitted by the first communication device as the first in-home device information, and the second transmission source information of the packet periodically transmitted by the second communication device. It is a database for storing as home appliance information. The in-home device registration processing unit further acquires second in-home device information from the second communication device in response to reception of a registration packet transmitted by the second communication device to register its own address information. And register in the home appliance information DB. The connection request mediation unit further receives the second communication based on the information stored in the home device information DB when receiving a packet requesting connection from the first communication device to the second communication device. A connection request packet is transmitted to the device.

また、サーバと外部ネットワークとの間には、ダミーアドレス宛のパケットを所定のルールに基づいて振り分けるサーバ側ファイアウォールがあってもよい。この場合、第1の通信機器が送信する登録用パケットの宛先には、ダミーアドレスが設定される。また、サーバ側ファイアウォールは、所定のルールに基づいて、登録用パケットをサーバに振り分け、第1の通信機器がダミーアドレス宛に周期的に送信するパケットを破棄する。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信した登録用パケットをサーバ側ファイアウォールを介して受信すると、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。   Further, a server-side firewall that distributes packets addressed to the dummy address based on a predetermined rule may be provided between the server and the external network. In this case, a dummy address is set as the destination of the registration packet transmitted by the first communication device. The server-side firewall distributes the registration packet to the server based on a predetermined rule, and discards the packet that the first communication device periodically transmits to the dummy address. Upon receiving the registration packet transmitted by the first communication device for registering its own address information through the server-side firewall, the home device registration processing unit receives the first home device information from the first communication device. Acquire and register in the home appliance information DB.

第1の宅内機器情報は、第1の通信機器が、ダミーアドレス宛に周期的に送信するパケットの送信元アドレスと送信元ポート番号とを含む。宅内機器登録処理部は、さらに、ダミーアドレスを送信元アドレスに設定した複数のパケットを、宛先ポート番号を変更しながら第1の通信機器に向けて送信し、第1の宅内機器情報の送信元ポート番号を推定する。   The first home device information includes a transmission source address and a transmission source port number of a packet that the first communication device periodically transmits to the dummy address. The in-home device registration processing unit further transmits a plurality of packets in which the dummy address is set as the transmission source address to the first communication device while changing the destination port number, and the transmission source of the first in-home device information Estimate the port number.

第1の通信機器が周期的に送信するパケットは、ルータのNAPTテーブルからエントリが消えない時間間隔で送信される。   Packets periodically transmitted by the first communication device are transmitted at a time interval at which the entry does not disappear from the router's NAPT table.

また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器と、外部ネットワークにおいて、第1の通信機器と第2の通信機器との通信を仲介するサーバとを備えた宅外アクセスシステムにも向けられている。そして、上記目的を達成するために、本発明の宅外アクセスシステムにおいて、第1の通信機器は、ダミーアドレス格納部と、周期的パケット送信部と、接続要求パケット処理部とを備える。ダミーアドレス格納部は、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。登録用パケット処理部は、自身のアドレス情報を登録するために登録用パケットをサーバに送信する。周期的パケット送信部は、ダミーアドレス宛に周期的にパケットを送信する。接続要求パケット処理部は、他の通信機器から送信された接続を要求するパケットをサーバを介して受信する。   The present invention also provides a first communication device connected to the local area network via a router, a second communication device connected to a second network different from the local area network, and an external network. The present invention is also directed to an outside access system including a server that mediates communication between one communication device and a second communication device. And in order to achieve the said objective, the 1st communication apparatus is provided with a dummy address storage part, a periodic packet transmission part, and a connection request packet process part in the remote access system of this invention. The dummy address storage unit stores information related to the dummy address using an address that is different from the address of the server and that is shared with the server as a dummy address. The registration packet processing unit transmits a registration packet to the server in order to register its address information. The periodic packet transmission unit periodically transmits packets to the dummy address. The connection request packet processing unit receives a packet requesting connection transmitted from another communication device via the server.

また、第2の通信機器は、第1の通信機器に対して接続を要求するパケットを送信する。また、サーバは、ダミーアドレス格納部と、宅内機器情報DBと、宅内機器登録処理部と、接続要求仲介部と、送信元情報変更部とを備える。ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。宅内機器情報DBは、第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである。宅内機器登録処理部は、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、第1の通信機器から第1の宅内機器情報を取得し、宅内機器情報DBに登録する。接続要求仲介部は、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信した場合、宅内機器情報DBに保存されている情報に基づいて、第1の通信機器宛に接続要求パケットを送信する。送信元情報変更部は、ダミーアドレス格納部に保存されている情報に基づいて、接続要求仲介部から送信された接続要求パケットの送信元情報を、ダミーアドレスに関連する情報に変更する。   Further, the second communication device transmits a packet requesting connection to the first communication device. The server also includes a dummy address storage unit, a home device information DB, a home device registration processing unit, a connection request mediation unit, and a transmission source information change unit. The dummy address storage unit stores information related to the dummy address using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address. The in-home device information DB is a database for storing transmission source information of packets periodically transmitted by the first communication device as first in-home device information. The in-home device registration processing unit obtains the first in-home device information from the first communication device in response to reception of a registration packet transmitted by the first communication device to register its own address information. Register in the device information DB. When receiving a packet requesting connection from the second communication device to the first communication device, the connection request mediation unit addresses the first communication device based on the information stored in the home device information DB. Send a connection request packet to. The transmission source information changing unit changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address based on the information stored in the dummy address storage unit.

また、本発明は、ローカルエリアネットワークにルータを介して接続され、外部ネットワークに接続されたサーバを介して、ローカルエリアネットワークとは異なるネットワークに接続された他の通信機器との間で所定の通信を実現する通信機器にも向けられている。そして、上記目的を達成するために、本発明の通信機器は、サーバアドレス格納部と、ダミーアドレス格納部と、登録用パケット処理部と、周期的パケット送信部と、接続要求パケット処理部とを備える。サーバアドレス格納部は、サーバのアドレスに関連する情報を保存する。ダミーアドレス格納部は、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレスに関連する情報を保存する。登録用パケット処理部は、自身のアドレス情報を登録するために登録用パケットをサーバに送信する。周期的パケット送信部は、ダミーアドレス宛に周期的にパケットを送信する。接続要求パケット処理部は、他の通信機器から送信された接続を要求するパケットをサーバを介して受信する。   The present invention also provides predetermined communication with other communication devices connected to a network different from the local area network through a server connected to the local area network via a router and connected to an external network. It is also directed to communication equipment that realizes In order to achieve the above object, a communication device of the present invention includes a server address storage unit, a dummy address storage unit, a registration packet processing unit, a periodic packet transmission unit, and a connection request packet processing unit. Prepare. The server address storage unit stores information related to the server address. The dummy address storage unit stores information related to the dummy address using an address that is different from the address of the server and that is shared with the server as a dummy address. The registration packet processing unit transmits a registration packet to the server in order to register its address information. The periodic packet transmission unit periodically transmits packets to the dummy address. The connection request packet processing unit receives a packet requesting connection transmitted from another communication device via the server.

また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーが実行する通信方法にも向けられている。そして、上記目的を達成するために、本発明のサーバは、第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットを受信するステップと、登録用パケットの受信を契機に、第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として取得する取得ステップと、第2の通信機器から第1の通信機器に対して接続を要求するパケットを受信するステップと、取得ステップで取得した第1の宅内機器情報に基づいて、第1の通信機器宛に接続要求パケットを送信する接続要求仲介ステップと、自身のアドレスとは異なるアドレスであり、かつ第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、接続要求パケットの送信元アドレスを、ダミーアドレスに変更する送信元情報変更ステップとを備える。   The present invention also provides a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network. Is also directed to the communication method executed. In order to achieve the above object, the server of the present invention is triggered by the step of receiving the registration packet transmitted by the first communication device for registering its own address information and the reception of the registration packet. An acquisition step of acquiring transmission source information of a packet periodically transmitted by the first communication device as the first in-home device information, and a packet for requesting connection from the second communication device to the first communication device. And a connection request mediation step of transmitting a connection request packet to the first communication device based on the first home device information acquired in the acquisition step, and an address different from its own address, The destination address of the packet periodically transmitted by the first communication device is used as a dummy address, and the transmission source address of the connection request packet is changed to a dummy address. And a source information changing step.

また、本発明は、ローカルエリアネットワークにルータを介して接続された第1の通信機器が、外部ネットワークに接続されたサーバを介して、ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器と通信するための通信方法にも向けられている。この場合、第1の通信機器は、自身のアドレス情報を登録するために登録用パケットをサーバに送信するステップと、サーバのアドレスとは異なるアドレスであり、かつサーバと共有するアドレスをダミーアドレスとして、ダミーアドレス宛に周期的にパケットを送信するステップと、第2の通信機器から送信された接続要求パケットをサーバを介して受信するステップとを備える。   According to the present invention, a first communication device connected to a local area network via a router is connected to a second network different from the local area network via a server connected to an external network. It is also directed to a communication method for communicating with two communication devices. In this case, the first communication device transmits a registration packet to the server for registering its own address information, and the address that is different from the server address and is shared with the server as a dummy address. , Periodically transmitting packets addressed to the dummy address, and receiving a connection request packet transmitted from the second communication device via the server.

以上のように、本発明によれば、宅内機器が周期的に送信するパケットを、サーバのアドレスとは異なるアドレスであるダミーアドレスに振り向ける。そのため、サーバに届くパケットは減少し、サーバの処理負荷を軽減できる。また、サーバが宅内機器からパケットを受信しなくても、宅内のルータにおけるNAT穴は、宅内機器がダミーアドレス宛に周期的に送信するパケットにより維持される。そのため、サーバから宅内機器に接続要求パケットを送信する経路を確保したまま、サーバの処理負荷だけを軽減できる。さらに、宅内機器201が送受信するパケットには、サーバ205のアドレスが含まれていないため、攻撃者にサーバの待ち受けポートを知られてしまう危険性が減少する。また、攻撃者がダミーアドレス宛にDoS攻撃を行なっても、サーバにはパケットが届かないので、サーバが処理不能に陥ることはない。   As described above, according to the present invention, a packet periodically transmitted by a home device is directed to a dummy address that is an address different from the server address. Therefore, the number of packets that reach the server is reduced, and the processing load on the server can be reduced. Even if the server does not receive a packet from the home device, the NAT hole in the home router is maintained by a packet that the home device periodically transmits to the dummy address. Therefore, it is possible to reduce only the processing load of the server while securing a route for transmitting the connection request packet from the server to the home device. Furthermore, since the packet transmitted / received by the in-home device 201 does not include the address of the server 205, the risk that an attacker knows the server's standby port is reduced. Also, even if an attacker performs a DoS attack addressed to a dummy address, the server does not fall into an unprocessable state because the packet does not reach the server.

以下、本発明の実施形態について、図面を参照しながら説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

(第1の実施形態)
図1は、本発明の第1の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図である。図1において、第1の実施形態に係る宅外アクセスシステムは、LAN206に接続された宅内機器201と、インターネット等の外部ネットワーク204上の宅外機器202との間の通信を実現するものである。 (First embodiment)
FIG. 1 is a block diagram showing an example of a network configuration of an out-of-home access system according to the first embodiment of the present invention. In FIG. 1, the external access system according to the first embodiment realizes communication between an in-home device 201 connected to a LAN 206 and an external device 202 on an external network 204 such as the Internet. .

図1において、本発明の第1の実施形態に係る宅外アクセスシステムは、宅内機器201、宅外機器202、ルータ203、及びサーバ205から構成される。外部ネットワーク204上の宅外機器202には、携帯電話やパーソナルコンピュータなどの通信機器を想定している。また、LAN206に接続された宅内機器201には、宅内に設置されたネット家電(DVDレコーダーなど)などの通信機器を想定している。   In FIG. 1, the outside access system according to the first embodiment of the present invention includes an in-home device 201, an out-of-home device 202, a router 203, and a server 205. As the outside device 202 on the external network 204, a communication device such as a mobile phone or a personal computer is assumed. The home device 201 connected to the LAN 206 is assumed to be a communication device such as an Internet home appliance (DVD recorder or the like) installed in the home.

サーバ205は、外部ネットワーク204に接続され、宅外機器202−宅内機器201間の通信を仲介する。ルータ203は、宅内に設置され、LAN206と外部ネットワーク204とを接続する。宅内機器201は、ルータ203を介して、外部ネットワーク204上の宅外機器202等と通信する。   The server 205 is connected to the external network 204 and mediates communication between the outside device 202 and the inside device 201. The router 203 is installed in the home and connects the LAN 206 and the external network 204. The in-home device 201 communicates with an out-of-home device 202 on the external network 204 via the router 203.

また、ルータ203は、NAPT機能を実装している。ルータ203の外部ネットワーク204側のアドレス(すなわち、グローバルIPアドレス)をIPi_Gとする。また、説明の便宜上、ルータ203のグローバルIPアドレスは1つしかないものとする。なお、ルータ203のグローバルIPアドレスは、インターネットサービスプロバイダ等からDHCPやPPPなどのプロトコルにより割り当てられている場合、動的に変化する可能性があり、IPi_Gはある時点で割り当てられたグローバルIPアドレスとする。さらに、宅内機器201のアドレス(プライベートIPアドレス)をIPi_P、サーバ205のアドレス(グローバルIPアドレス)をIPs_G、宅外機器202のアドレス(グローバルIPアドレス)をIPo_Gとする。   The router 203 has a NAPT function. An address on the external network 204 side of the router 203 (that is, a global IP address) is IPi_G. For convenience of explanation, it is assumed that the router 203 has only one global IP address. Note that the global IP address of the router 203 may change dynamically when it is assigned by a protocol such as DHCP or PPP from an Internet service provider or the like, and IPi_G is a global IP address assigned at a certain point in time. To do. Further, the address (private IP address) of the in-home device 201 is IPi_P, the address of the server 205 (global IP address) is IPs_G, and the address of the outside device 202 (global IP address) is IPo_G.

[本発明の通信方法]
図2は、本発明の第1の実施形態に係る宅外アクセスシステムの通信方法を示すシーケンス図である。図2を参照して、初期状態として、宅内機器201及びサーバ205は、予め何らかの方法によってダミーアドレスの関連情報を共有する。ここでダミーアドレスとは、宅内機器201が周期的に送信するパケットを待ち受けるアドレスであり、サーバ205のアドレス(IPs_G)とは異なるアドレスである。 [Communication Method of the Present Invention]
FIG. 2 is a sequence diagram showing a communication method of the outside access system according to the first embodiment of the present invention. Referring to FIG. 2, as an initial state, in-home device 201 and server 205 share the dummy address related information in advance by some method. Here, the dummy address is an address that waits for a packet that the home device 201 periodically transmits, and is an address different from the address (IPs_G) of the server 205.

宅内機器201及びサーバ205は、例えば、ユーザによって直接設定されることで、あるいはダミーアドレスの関連情報を含むメッセージを送受信することで、ダミーアドレスの関連情報を共有する。また、宅内機器201及びサーバ205には、工場出荷時にダミーアドレスの関連情報が設定されていてもよい。ダミーアドレスを持つ機器は、実際には存在する必要が無い。ダミーアドレスの関連情報は、ダミーアドレス(IPd_G)とポート番号(Pd_G)とを含むものとする。宅内機器201及びサーバ205は、これらの情報そのもの、もしくはこれらの情報を解決可能な情報(URLなど)を保持する。   For example, the home device 201 and the server 205 share the dummy address related information by being directly set by the user or by transmitting and receiving a message including the dummy address related information. In addition, in the home device 201 and the server 205, related information of dummy addresses may be set at the time of factory shipment. A device having a dummy address need not actually exist. The related information of the dummy address includes a dummy address (IPd_G) and a port number (Pd_G). The in-home device 201 and the server 205 hold the information itself or information (such as a URL) that can resolve the information.

続いて、本発明の通信方法の4つの処理フェーズ、すなわち、
(1)宅内機器登録フェーズ(ステップS101)
(2)周期送信フェーズ(ステップS104)
(3)接続要求フェーズ(ステップS106)
(4)宅内機器−宅外機器間通信フェーズ(ステップS110)
について説明する。 Subsequently, the four processing phases of the communication method of the present invention, namely:
(1) Home appliance registration phase (step S101)
(2) Periodic transmission phase (step S104)
(3) Connection request phase (step S106)
(4) In-home device-external device communication phase (step S110)
Will be described.

(1)宅内機器登録フェーズ(ステップS101)について説明する。
宅内機器登録フェーズ(ステップS101)は、宅内機器201がサーバ205にアクセスして、宅外機器202からの接続要求を受け付け可能な状態になったことを通知するフェーズである。具体的には、宅内機器201は、サーバ205に向けて登録用パケットを送信する。サーバ205は、宅内機器201から受信した登録用パケットをトリガとして、宅内機器201のグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)を取得する(ステップS102)。サーバ205は、取得した宅内機器201のグローバルアドレス情報をデータベースに登録する(ステップS103)。ここでデータベースに登録されたグローバルアドレス情報は、次の周期送信フェーズ(ステップS104)において、周期的なパケット送信に使われる。なお、宅内機器登録フェーズ(ステップS101)については、複数のバリエーションがあるため、詳細は本実施形態及び他の実施形態の中で説明する。 (1) The home appliance registration phase (step S101) will be described.
The in-home device registration phase (step S101) is a phase for notifying that the in-home device 201 has accessed the server 205 and is ready to accept a connection request from the out-of-home device 202. Specifically, the home device 201 transmits a registration packet to the server 205. The server 205 acquires global address information (global IP address: IPi_G, port number: Pi_G) of the home device 201 using the registration packet received from the home device 201 as a trigger (step S102). The server 205 registers the acquired global address information of the home device 201 in the database (step S103). Here, the global address information registered in the database is used for periodic packet transmission in the next periodic transmission phase (step S104). Since the home appliance registration phase (step S101) has a plurality of variations, the details will be described in this embodiment and other embodiments.

(2)周期送信フェーズ(ステップS104)について説明する。
周期送信フェーズ(ステップS104)は、ルータ203上のNAPTテーブルのエントリを維持するためのフェーズである。具体的には、宅内機器201は、ダミーアドレス(アドレス:IPd_G、ポート番号:Pd_G)向けに周期的にパケット(以下、周期送信パケットと記す)を送信する(ステップS105)。この周期送信パケットが送信される時間間隔は、ルータ203上のNAPTテーブルからエントリが消えない(すなわち、エントリが維持される)時間間隔である。なお、この時間間隔は、どのような方法で決定されてもよく、本発明は、この時間間隔の決定方法に依存するものではない。 (2) The periodic transmission phase (step S104) will be described.
The periodic transmission phase (step S104) is a phase for maintaining NAPT table entries on the router 203. Specifically, the home device 201 periodically transmits a packet (hereinafter referred to as a periodic transmission packet) toward a dummy address (address: IPd_G, port number: Pd_G) (step S105). The time interval at which the periodic transmission packet is transmitted is a time interval in which the entry is not deleted from the NAPT table on the router 203 (that is, the entry is maintained). This time interval may be determined by any method, and the present invention does not depend on this time interval determination method.

図3は、周期送信パケットの構成を示す図である。図3(a)は、宅内機器201が送信した周期送信パケットを示している。図3(b)は、ルータ203が中継した周期送信パケットを示している。ダミーアドレス宛に送信された周期送信パケットは、受信する通信機器が存在しない場合は最終的に破棄される。この周期送信パケットを中継することで、ルータ203は、NAPTテーブルのエントリ(NAT_D1)を維持することができる。NAPTテーブルのエントリ(NAT_D1)には、宅内機器201のグローバルIPアドレスに変換後のアドレス(IPi_G)及びポート番号(Pi_G)、ダミーアドレスである送信先アドレス(IPd_G)及びポート番号(Pd_G)が登録されている(図4参照)。   FIG. 3 is a diagram illustrating a configuration of a periodic transmission packet. FIG. 3A shows a periodic transmission packet transmitted by the home device 201. FIG. 3B shows a periodic transmission packet relayed by the router 203. The periodic transmission packet transmitted to the dummy address is finally discarded when there is no communication device to receive. By relaying this periodic transmission packet, the router 203 can maintain the NAPT table entry (NAT_D1). In the entry (NAT_D1) of the NAPT table, the address (IPi_G) and port number (Pi_G) after conversion into the global IP address of the home device 201, the transmission destination address (IPd_G) and the port number (Pd_G) which are dummy addresses are registered. (See FIG. 4).

(3)接続要求フェーズ(ステップS106)について説明する。
接続要求フェーズ(ステップS106)は、宅外機器202から宅内機器201に対して接続を要求するためのフェーズである。具体的には、宅外機器202は、宅内機器201への接続要求パケットをサーバ205に向けて送信する(ステップS107)。サーバ205は、この接続要求パケットを受信すると、宅内機器201に対して接続要求パケットを送信する(ステップS109)。図5は、接続要求パケットの構成を示す図である。図5(a)は、宅外機器202が送信した接続要求パケットを示している。図5(b)は、サーバ205が送信した接続要求パケットを示している。図5を参照して、サーバ205は、宅外機器202から受信した接続要求パケットの宛先(すなわち、送信先アドレス:D_IP及び送信先ポート番号:D_Port)をデータベースに登録されている情報に基づいて、宅内機器201のグローバルIPアドレス(IPi_G、Pi_G)に設定する。さらに、サーバ205は、接続要求パケットの送信元(すなわち、送信元アドレス:S_IP及び送信元ポート番号:S_Port)を、サーバ205自身のアドレスではなく、ダミーアドレスの関連情報(IPd_G、Pd_G)に変更する(ステップS108)。サーバ205から送信された接続要求パケット(図5(b))は、ルータ203上のNAPTテーブルのエントリ(NAT_D1)にマッチするため、ルータ203を経由して正しく宅内機器201に転送される。なお、サーバ205は、接続要求パケットのペイロード部分に宅外機器202のグローバルアドレス情報(アドレス:IPo_G、ポート番号:Po_G)を追加して、宅内機器201に通知してもよい。 (3) The connection request phase (step S106) will be described.
The connection request phase (step S106) is a phase for requesting connection from the out-of-home device 202 to the in-home device 201. Specifically, the out-of-home device 202 transmits a connection request packet to the in-home device 201 to the server 205 (step S107). Upon receiving this connection request packet, the server 205 transmits a connection request packet to the home device 201 (step S109). FIG. 5 is a diagram illustrating a configuration of a connection request packet. FIG. 5A shows a connection request packet transmitted by the outside device 202. FIG. 5B shows a connection request packet transmitted by the server 205. Referring to FIG. 5, server 205 is based on the information registered in the database for the destination of the connection request packet received from outside device 202 (that is, destination address: D_IP and destination port number: D_Port). The global IP address (IPi_G, Pi_G) of the home device 201 is set. Further, the server 205 changes the source of the connection request packet (that is, the source address: S_IP and the source port number: S_Port) to the related information (IPd_G, Pd_G) of the dummy address instead of the address of the server 205 itself. (Step S108). The connection request packet (FIG. 5B) transmitted from the server 205 matches the NAPT table entry (NAT_D1) on the router 203, and is thus correctly transferred to the home device 201 via the router 203. The server 205 may add the global address information (address: IPo_G, port number: Po_G) of the out-of-home device 202 to the payload portion of the connection request packet and notify the in-home device 201.

(4)宅内機器−宅外機器間通信フェーズ(ステップS110)について説明する。
宅内機器−宅外機器間通信フェーズ(ステップS110)は、宅内機器201と宅外機器202とが直接通信を行うためのフェーズである。具体的には、宅内機器201は、ステップS109で取得した宅外機器202のグローバルアドレス情報を元に、直接、宅外機器202に接続する(宅外機器202がLAN接続機器でない場合、宅内機器201は、容易に宅外機器201へ接続することができる)。宅外機器202から宅内機器201への遠隔制御情報などは、この宅内機器201−宅外機器202間で確立された通信の上で送受信される。 (4) The communication phase between the home device and the external device (step S110) will be described.
The in-home device-external device communication phase (step S110) is a phase for direct communication between the in-home device 201 and the out-of-home device 202. Specifically, the in-home device 201 directly connects to the out-of-home device 202 based on the global address information of the out-of-home device 202 acquired in step S109 (if the out-of-home device 202 is not a LAN connection device, the in-home device 201 can be easily connected to the external device 201). Remote control information or the like from the outside device 202 to the inside device 201 is transmitted / received through communication established between the inside device 201 and the outside device 202.

なお、本実施形態では、宅内機器201が宅外機器202からの接続要求パケットを受け付けた後、宅内機器201−宅外機器202間で直接通信路を確立する手順を説明したが、この手順に限定する必要はない。ステップS109の接続要求パケットを宅内機器201に送信した後の処理手順は、システムや機器に依存して変化し得る。例えば、サーバ205が宅内機器201と宅外機器202の通信を中継する仕組みを設けても良い。   In this embodiment, the procedure for establishing a direct communication path between the in-home device 201 and the out-of-home device 202 after the in-home device 201 has received the connection request packet from the out-of-home device 202 has been described. There is no need to limit. The processing procedure after transmitting the connection request packet in step S109 to the in-home device 201 can vary depending on the system and the device. For example, a mechanism in which the server 205 relays communication between the in-home device 201 and the out-of-home device 202 may be provided.

このように、本発明に係る第1の実施形態の通信方法では、宅内機器201が周期的に送信するパケットが全くサーバ205に到着しないため、サーバ205の処理負荷が軽減される。また、周期送信フェーズ(ステップS104)において送信されるパケットには、ダミーアドレスの関連情報しか含まれないため、パケットを解析しても、サーバ205の情報(グローバルIPアドレスやポート番号)が判明しない。そのため、攻撃者からのDoS攻撃の可能性を低減できる。   As described above, in the communication method according to the first embodiment of the present invention, since the packet periodically transmitted by the home device 201 does not arrive at the server 205 at all, the processing load on the server 205 is reduced. Further, since the packet transmitted in the periodic transmission phase (step S104) includes only the information related to the dummy address, the information (global IP address and port number) of the server 205 is not found even if the packet is analyzed. . Therefore, the possibility of DoS attack from an attacker can be reduced.

[宅内機器登録フェーズの詳細]
次に、図2で説明した宅内機器登録フェーズ(ステップS101)の詳細について説明する。図6は、宅内機器登録フェーズ(ステップS101)の具体的な処理シーケンスを示す図である。図6において、宅内機器201は、サーバ205宛に登録要求パケットを送信する(ステップS401)。この登録要求パケットは、周期送信フェーズ(ステップS104)で送信するパケット(図3参照)と異なり、送信先アドレス(D−IP、D−Port)に、サーバ205のアドレス(IPs_G、Ps_G)が設定される(図7参照)。宅内機器201から送信された登録要求パケットは、ルータ203によって中継され、サーバ205で受信される。サーバ205は、宅内機器201から登録要求パケットを受信すると、宅内機器201の登録の可否を判定する。登録してもよい場合には、登録要求パケットから、宅内機器201のグローバルIPアドレス(=IPi_G)とポート番号(=Pi_G)とを取り出して、データベースに登録する(ステップS402)。サーバ205は、取り出した情報をデータベースに登録すると、宅内機器201に応答パケットを送信する(ステップS403)。 [Details of home device registration phase]
Next, the details of the home appliance registration phase (step S101) described in FIG. 2 will be described. FIG. 6 is a diagram showing a specific processing sequence of the home appliance registration phase (step S101). In FIG. 6, the home device 201 transmits a registration request packet to the server 205 (step S401). The registration request packet is different from the packet (see FIG. 3) transmitted in the periodic transmission phase (step S104), and the address (IPs_G, Ps_G) of the server 205 is set in the transmission destination address (D-IP, D-Port). (See FIG. 7). The registration request packet transmitted from the home device 201 is relayed by the router 203 and received by the server 205. When the server 205 receives the registration request packet from the home device 201, the server 205 determines whether or not the home device 201 can be registered. If registration is allowed, the global IP address (= IPi_G) and port number (= Pi_G) of the home device 201 are extracted from the registration request packet and registered in the database (step S402). When the server 205 registers the extracted information in the database, the server 205 transmits a response packet to the home device 201 (step S403).

なお、登録用パケットの送信によって、ルータ203上にはNAPTテーブルのエントリ(NAT_i1)が生成される。図8(a)に、ステップS401実行直後のNAPTテーブルを示す。しかしながら、NATPテーブルには、送信先アドレスとして、サーバ205のアドレス(=IPs_G)が登録されているので、周期送信フェーズ(ステップS104)における周期送信パケット用のNAPTテーブルのエントリとは一致しない。すなわち、サーバ205は、接続要求フェーズ(ステップS106)で宅内機器201に対して接続要求パケットを送信する際に、宅内機器側のポート番号が分からない状態である。そのため、サーバ205及び宅内機器201は、以降のS404〜S406の処理では、周期送信フェーズ(ステップS104)で使うNAPTテーブルのエントリを推測するための処理を行なう。   Note that an entry (NAT_i1) of the NAPT table is generated on the router 203 by transmitting the registration packet. FIG. 8A shows the NAPT table immediately after execution of step S401. However, since the address of the server 205 (= IPs_G) is registered as the transmission destination address in the NATP table, it does not match the entry in the NAPT table for the periodic transmission packet in the periodic transmission phase (step S104). That is, when the server 205 transmits a connection request packet to the home device 201 in the connection request phase (step S106), the server 205 does not know the port number on the home device side. Therefore, the server 205 and the home device 201 perform processing for estimating an entry in the NAPT table used in the periodic transmission phase (step S104) in the subsequent processing of S404 to S406.

図6において、宅内機器201は、周期送信フェーズ(ステップS104)で送信する周期送信パケットと同じパケットを送信し、ルータ203上にNAPTテーブルのエントリを作成する(ステップS404)。この時点で、ルータ203のNAPTテーブルは、図8(b)のようにNAT_i2のエントリが追加された状態になる。サーバ205は、NAT_i2エントリの変換後ポート番号(T−Port=Pi_G+x)を推測するため、T−Portの可能性があるポート番号を付与した調査パケットを複数送信する(ステップS405)。例えば、ルータ203のポート変換の方式によっては、送信元ポート番号(S−Port)と送信先ポート番号(D−Port)とが同じで、送信先IPアドレス(D−IP)だけが異なる場合がある。このような場合には、変換後のポート番号(T−Port)も送信元ポート番号(S−Port)と同じになる場合がある。   In FIG. 6, the in-home device 201 transmits the same packet as the periodic transmission packet transmitted in the periodic transmission phase (step S104), and creates a NAPT table entry on the router 203 (step S404). At this time, the NAPT table of the router 203 is in a state where an entry of NAT_i2 is added as shown in FIG. The server 205 transmits a plurality of investigation packets to which a port number having a possibility of T-Port is assigned in order to infer the converted port number (T-Port = Pi_G + x) of the NAT_i2 entry (step S405). For example, depending on the port conversion method of the router 203, the source port number (S-Port) and the destination port number (D-Port) may be the same, but only the destination IP address (D-IP) may be different. is there. In such a case, the converted port number (T-Port) may be the same as the source port number (S-Port).

また、ルータ203のポート変換の方式によっては、変換後のポート番号(T−Port)を、直前に使用したポート番号を所定の数だけインクリメントして決定する場合がある。このような場合、宅内機器201が直前に送信したパケットに付与されていたポート番号(例えば、ステップS402で保存した宅内機器201のポート番号(=Pi_G))を、所定個数分だけインクリメントした範囲内に、変換後のポート番号(T−Port)が含まれている可能性がある。そのため、サーバ205は、変換後のポート番号(T−Port)である可能性があるポート番号を、送信先ポート番号に設定した調査パケットを複数送信する。その際、サーバ205は、調査パケットの送信先IPアドレスを“IPi_G”に、送信先ポート番号を“可変”に、送信元IPアドレスを“IPd_G”に、送信元ポート番号を“Ps_G”に設定する(送信元IPアドレスが、ダミーアドレスであることに注意)。さらに調査パケットのペイロード部分に、送信先ポート番号に設定したポート番号を格納しておく。   Also, depending on the port conversion method of the router 203, the converted port number (T-Port) may be determined by incrementing the port number used immediately before by a predetermined number. In such a case, the port number assigned to the packet transmitted immediately before by the home device 201 (for example, the port number (= Pi_G) of the home device 201 stored in step S402) is incremented by a predetermined number. There is a possibility that the port number (T-Port) after conversion is included. Therefore, the server 205 transmits a plurality of investigation packets in which the port number that may be the converted port number (T-Port) is set as the transmission destination port number. At that time, the server 205 sets the destination IP address of the investigation packet to “IPi_G”, the destination port number to “variable”, the source IP address to “IPd_G”, and the source port number to “Ps_G”. (Note that the source IP address is a dummy address). Furthermore, the port number set as the transmission destination port number is stored in the payload portion of the survey packet.

サーバ205が送信した調査パケットの1つが、NAT_i2のエントリにマッチした場合、その調査パケットは宅内機器201に到達する(ステップS406)。宅内機器201は、送信元アドレスとしてダミーアドレス(すなわち、T−IP=IPd_G)が設定された調査パケットを受信すると、受信した調査パケットのペイロードを含む調査用応答パケットを、サーバ205宛に送信する(ステップS407)。   If one of the survey packets transmitted by the server 205 matches the entry of NAT_i2, the survey packet reaches the home device 201 (step S406). Upon receipt of a survey packet in which a dummy address (that is, T-IP = IPd_G) is set as a transmission source address, the home device 201 transmits a survey response packet including the payload of the received survey packet to the server 205. (Step S407).

サーバ205は、調査用応答パケットを受信すると、ルータ203のNAT_i2エントリに登録されているT−Portが、調査用応答パケットのペイロードに格納されたポート番号であることが確認できる。したがって、サーバ205は、調査用応答パケットを受信後、宅内機器201に対応するデータベースに、T−Portの番号を登録する(ステップS408)。   When the server 205 receives the investigation response packet, the server 205 can confirm that the T-Port registered in the NAT_i2 entry of the router 203 is the port number stored in the payload of the investigation response packet. Therefore, after receiving the survey response packet, the server 205 registers the T-Port number in the database corresponding to the home device 201 (step S408).

なお、本実施形態における宅内機器登録フェーズ(ステップS101)におけるポート番号の予測方法は、上述した方法に限定されない。例えば、特許文献1で説明されている方法を使っても良い。   Note that the port number prediction method in the home appliance registration phase (step S101) in this embodiment is not limited to the method described above. For example, the method described in Patent Document 1 may be used.

[サーバ205の構成]
次に、図9を用いて、本発明の第1の実施形態に係る通信方法が実装されるサーバ205の具体的な構成について説明する。図9は、本発明の第1の実施形態に係るサーバ205の構成例を示すブロック図である。図9において、サーバ205は、宅内機器情報DB301、ダミーアドレス格納部302、宅内機器登録処理部303、接続要求仲介部304、送信元情報変更部305、及び通信処理部306を備える。 [Configuration of Server 205]
Next, a specific configuration of the server 205 on which the communication method according to the first embodiment of the present invention is implemented will be described with reference to FIG. FIG. 9 is a block diagram illustrating a configuration example of the server 205 according to the first embodiment of the present invention. In FIG. 9, the server 205 includes a home device information DB 301, a dummy address storage unit 302, a home device registration processing unit 303, a connection request mediating unit 304, a transmission source information changing unit 305, and a communication processing unit 306.

通信処理部306は、サーバ205が送受信するパケットに対して、汎用的な通信を行なう処理部である。通信処理部306は、他の処理部からパケット送信要求を受け付け、他の通信装置から受信したパケットを対応する処理部に引き渡す。なお、他の処理部からのパケット送信要求を受け付けたとき(または送受信用のソケット生成を要求されたとき)、特に指定がなければ、自動的にサーバ205自身のグローバルIPアドレス(IPs_G)を送信元アドレスに設定して、パケット送信するものとする。   The communication processing unit 306 is a processing unit that performs general-purpose communication with respect to packets transmitted and received by the server 205. The communication processing unit 306 receives a packet transmission request from another processing unit, and delivers a packet received from another communication device to the corresponding processing unit. When a packet transmission request from another processing unit is accepted (or when a socket generation for transmission / reception is requested), unless otherwise specified, the server 205's own global IP address (IPs_G) is automatically transmitted. The packet is transmitted with the original address set.

ダミーアドレス格納部302は、ダミーアドレスの関連情報(アドレス:IPd_G、ポート番号:Pd_G)を保存する。宅内機器情報DB301は、宅内機器通信情報を記憶するデータベースである。ここで宅内機器通信情報とは、登録中の宅内機器201(すなわち、宅内機器登録フェーズ(ステップS101)を完了した宅内機器)に対して、少なくとも以下の情報を含むものとする。
・宅内機器を識別する情報(以後、機器IDと呼ぶ)
・宅内機器のグローバルIPアドレス
・宅内機器がダミーアドレス宛に周期的に送信したパケットの送信元ポート番号
その他、宅内機器を認証する情報を含んでもよい。 The dummy address storage unit 302 stores information related to dummy addresses (address: IPd_G, port number: Pd_G). The home device information DB 301 is a database that stores home device communication information. Here, the home device communication information includes at least the following information for the home device 201 being registered (that is, the home device that has completed the home device registration phase (step S101)).
・ Information for identifying home devices (hereinafter referred to as device ID)
The global IP address of the home device. The transmission source port number of the packet periodically transmitted from the home device to the dummy address. In addition, information for authenticating the home device may be included.

宅内機器登録処理部303は、図2の宅内機器登録フェーズ(ステップS101)に対応する処理を行なう。すなわち、宅内機器201から登録用パケット(図9のパケットa)を受信し、登録の可否を判定する。登録してもよい場合には、宅内機器通信情報を取得し、宅内機器情報DB301に登録する。宅内機器通信情報の取得には、1つ以上のパケット送受信が含まれても良い。また、サーバ205自身のアドレスを使ったパケット送受信を行なっても良い。なお、具体的な宅内機器通信情報の取得方法は、後述する。   The home appliance registration processing unit 303 performs processing corresponding to the home appliance registration phase (step S101) of FIG. That is, a registration packet (packet a in FIG. 9) is received from the in-home device 201 to determine whether registration is possible. If registration is possible, the home device communication information is acquired and registered in the home device information DB 301. Acquisition of in-home device communication information may include one or more packet transmissions / receptions. Further, packet transmission / reception using the address of the server 205 itself may be performed. Note that a specific method for acquiring in-home device communication information will be described later.

接続要求仲介部304は、図2の接続要求フェーズ(ステップS106)に対応する処理を行なう。すなわち、宅外機器202から宅内機器201に対する接続要求(図9のパケットb)を受信し、それに対して、宅内機器201宛に接続要求パケット(図9のパケットc)を送信する。ここで、宅外機器202から受信するパケットの宛先は、サーバ205のアドレス(IPs_G)となっている。また、宅内機器に送信するパケットの送信先は、宅内機器情報DB301に格納された宅内機器201のアドレス(IPi_P)を設定する。   The connection request mediation unit 304 performs processing corresponding to the connection request phase (step S106) in FIG. That is, a connection request (packet b in FIG. 9) to the home device 201 is received from the outside device 202, and a connection request packet (packet c in FIG. 9) is transmitted to the home device 201 in response to the connection request. Here, the destination of the packet received from the outside device 202 is the address (IPs_G) of the server 205. Further, the address (IPi_P) of the home device 201 stored in the home device information DB 301 is set as the transmission destination of the packet to be transmitted to the home device.

また、送信元情報変更部305は、接続要求仲介部304が宅内機器201宛に送信しようとする接続要求パケットに対して、送信元情報を書き換える処理部である。ダミーアドレス格納部302からダミーアドレスの関連情報を読み出し、接続要求パケットの送信元情報(S−IP、S_Port)をダミーアドレスの関連情報(IPd_G、Pd_G)に変更する。   The transmission source information changing unit 305 is a processing unit that rewrites transmission source information for a connection request packet that the connection request mediating unit 304 intends to transmit to the home device 201. The dummy address related information is read from the dummy address storage unit 302, and the transmission source information (S-IP, S_Port) of the connection request packet is changed to the dummy address related information (IPd_G, Pd_G).

[宅内機器201の構成]
次に、図10を用いて、本発明の第1の実施形態に係る通信方法が実装される宅内機器201の具体的な構成について説明する。図10は、本発明の第1の実施形態に係る宅内機器201の構成例を示すブロック図である。図10において、宅内機器201は、サーバアドレス格納部401、ダミーアドレス格納部402、通信処理部403、登録用パケット処理部404、周期的パケット送信部405、接続要求パケット処理部406、及び宅内機器−宅外機器間通信処理部407を備える。 [Configuration of home device 201]
Next, a specific configuration of the home device 201 in which the communication method according to the first embodiment of the present invention is implemented will be described using FIG. FIG. 10 is a block diagram illustrating a configuration example of the home device 201 according to the first embodiment of the present invention. In FIG. 10, a home device 201 includes a server address storage unit 401, a dummy address storage unit 402, a communication processing unit 403, a registration packet processing unit 404, a periodic packet transmission unit 405, a connection request packet processing unit 406, and a home device. -The communication processing part 407 between apparatuses outside a house is provided.

サーバアドレス格納部401は、サーバ205のアドレスの関連情報(アドレス:IPs_G、ポート番号:Ps_G)を保存する。ダミーアドレス格納部402は、ダミーアドレスの関連情報(アドレス:IPd_G、ポート番号:Pd_G)を保存する。通信処理部403は、宅内機器201が送受信するパケットに対して、汎用的な通信を行う処理部である。登録用パケット処理部404は、図2の宅内機器登録フェーズ(ステップS101)に対応した処理を行う処理部である。すなわち、登録用パケット処理部404は、自身のアドレス情報を登録するために登録用パケットをサーバ205に送信する等の処理を行う。周期的パケット送信部405は、図2の周期送信フェーズ(ステップS104)に対応した処理を行う処理部である。すなわち、周期的パケット送信部405は、ダミーアドレス宛に周期的にパケットを送信する。   The server address storage unit 401 stores related information (address: IPs_G, port number: Ps_G) of the server 205 address. The dummy address storage unit 402 stores information related to dummy addresses (address: IPd_G, port number: Pd_G). The communication processing unit 403 is a processing unit that performs general-purpose communication with respect to packets transmitted and received by the home device 201. The registration packet processing unit 404 is a processing unit that performs processing corresponding to the home appliance registration phase (step S101) of FIG. That is, the registration packet processing unit 404 performs processing such as transmitting a registration packet to the server 205 in order to register its own address information. The periodic packet transmission unit 405 is a processing unit that performs processing corresponding to the periodic transmission phase (step S104) in FIG. That is, the periodic packet transmission unit 405 periodically transmits packets to the dummy address.

接続要求パケット処理部406は、宅外機器202から送信された接続要求パケットを受信して、宅内機器−宅外機器間通信処理部407に通信処理を依頼する。なお、接続要求パケット処理部406は、サーバ205に対して、接続要求パケットの応答パケットを返信してもよい。宅内機器−宅外機器間通信処理部407は、図2の宅内機器−宅外機器間通信フェーズ(ステップS110)に対応した処理を行う処理部である。すなわち、宅内機器−宅外機器間通信処理部407は、宅外機器202からの接続要求に対応した処理を行う。この具体的な処理は、システムに依存して変化することになる。例えば、宅内機器−宅外機器間通信処理部407は、接続要求パケットの受信により、宅外機器202への接続を開始してもよいし、あるいは、宅外機器202への接続を開始せずに、予め決められた処理を行ってもよい。   The connection request packet processing unit 406 receives the connection request packet transmitted from the outside device 202 and requests the communication processing unit 407 between the in-home device and the outside device for communication processing. Note that the connection request packet processing unit 406 may return a response packet of the connection request packet to the server 205. The in-home device-external device communication processing unit 407 is a processing unit that performs processing corresponding to the in-home device-external device communication phase (step S110) in FIG. That is, the in-home device-external device communication processing unit 407 performs processing corresponding to the connection request from the external device 202. This specific process changes depending on the system. For example, the in-home device-outdoor device communication processing unit 407 may start the connection to the out-of-home device 202 by receiving the connection request packet, or does not start the connection to the out-of-home device 202. In addition, a predetermined process may be performed.

なお、宅内機器登録フェーズ(ステップS101)における周期送信用パケットは、登録用パケット処理部404から送信してもよいし、周期的パケット送信部405から送信してもよいものとする。   Note that the periodic transmission packet in the home appliance registration phase (step S101) may be transmitted from the registration packet processing unit 404 or may be transmitted from the periodic packet transmission unit 405.

以上のように、本発明の第1の実施形態に係る宅外アクセスシステムは、宅内機器201が周期的に送信するパケットを、サーバ205のアドレスとは異なるアドレスであるダミーアドレスに振り向ける。そのため、サーバ205に届くパケットは減少し、サーバ205の処理負荷を軽減できる。また、サーバ205が宅内機器201からパケットを受信しなくても、宅内のルータ203におけるNAT穴は、宅内機器201がダミーアドレス宛に周期的に送信するパケットにより維持される。そのため、サーバ205から宅内機器201に接続要求パケットを送信する経路を確保したまま、サーバ205の処理負荷だけを軽減できる。さらに、宅内機器201が送受信するパケットには、サーバ205のアドレスが含まれていないため、攻撃者にサーバ205の待ち受けポートを知られてしまう危険性が減少する。また、攻撃者がダミーアドレス宛にDoS攻撃を行なっても、サーバ205にはパケットが届かないので、サーバ205が処理不能に陥ることはない。   As described above, the out-of-home access system according to the first embodiment of the present invention directs the packet periodically transmitted by the home device 201 to a dummy address that is an address different from the address of the server 205. Therefore, the number of packets that reach the server 205 is reduced, and the processing load on the server 205 can be reduced. Even if the server 205 does not receive a packet from the home device 201, the NAT hole in the home router 203 is maintained by a packet that the home device 201 periodically transmits to the dummy address. Therefore, it is possible to reduce only the processing load of the server 205 while securing a route for transmitting the connection request packet from the server 205 to the home device 201. Furthermore, since the packet transmitted / received by the in-home device 201 does not include the address of the server 205, the risk that an attacker knows the standby port of the server 205 is reduced. Further, even if the attacker performs a DoS attack addressed to the dummy address, the packet does not reach the server 205, so the server 205 does not fall out of processing.

なお、本実施形態では、ダミーアドレスを1つとして説明したが、宅内機器201及びサーバ205は、複数のダミーアドレスを持つことができるものとする。また、本発明は、ダミーアドレスの決定方法や、ダミーアドレスの運用方法には依存しないものとする。例えば、ダミーアドレスが複数であり、宅内機器201とダミーアドレスとの組み合わせが固定である場合、宅内機器201には、工場出荷時にダミーアドレスの関連情報が記録される。サーバ205は、宅内機器201とダミーアドレスとの対応関係を示すテーブルを保持することで、宅内機器201に送信する接続要求パケットの送信元アドレスを、宅内機器201に対応したダミーアドレスに変更することができる。   In the present embodiment, a single dummy address has been described. However, the home device 201 and the server 205 can have a plurality of dummy addresses. Further, the present invention does not depend on a dummy address determination method or a dummy address operation method. For example, when there are a plurality of dummy addresses and the combination of the home device 201 and the dummy address is fixed, the home device 201 records information related to the dummy address at the time of factory shipment. The server 205 changes the transmission source address of the connection request packet transmitted to the home device 201 to a dummy address corresponding to the home device 201 by holding a table indicating the correspondence between the home device 201 and the dummy address. Can do.

例えば、ダミーアドレスが複数であり、宅内機器201とダミーアドレスとの組み合わせが可変である場合、宅内機器201は、登録フェーズ(ステップS101)においてダミーアドレスを選択する。サーバ205は、宅内機器201からサーバ205に送信されるパケットでダミーアドレスを通知してもらうことで、宅内機器201が選択したダミーアドレスを取得する。   For example, when there are a plurality of dummy addresses and the combination of the home device 201 and the dummy address is variable, the home device 201 selects the dummy address in the registration phase (step S101). The server 205 obtains the dummy address selected by the home device 201 by notifying the dummy address in a packet transmitted from the home device 201 to the server 205.

ダミーアドレスを複数にすることで、宅内アクセスシステムには、以下のようなメリットが生じる。例えば、ダミーアドレスを複数にすることよって、DoS攻撃等を行う攻撃者は、攻撃の度に使用されているダミーアドレスを調べる必要があるので、攻撃がより困難になる。また、例えば、サーバ側FW507を備えたシステム(図13参照)においては、ダミーアドレスを複数にすることで、異なるダミーアドレス宛のパケットを異なるFWで受信することができるようになり、FWの負荷を分散することができる。   By using a plurality of dummy addresses, the following advantages are produced in the home access system. For example, by using a plurality of dummy addresses, an attacker who performs a DoS attack or the like needs to examine a dummy address that is used for each attack, so that the attack becomes more difficult. Further, for example, in a system including the server side FW 507 (see FIG. 13), by setting a plurality of dummy addresses, packets addressed to different dummy addresses can be received by different FWs, and the load of the FW Can be dispersed.

また、本実施形態で説明したサーバ205は、1つの通信装置に限定されるわけではない。複数の通信装置を集めたサーバ群全体で、本実施形態で説明したサーバ205の処理を実現してもよい。   Further, the server 205 described in the present embodiment is not limited to one communication device. The processing of the server 205 described in the present embodiment may be realized by the entire server group in which a plurality of communication devices are collected.

また、本実施形態では、遠隔制御システムのネットワーク構成(図2)を例に、宅外アクセスシステムの処理シーケンスを説明したが、P2P接続システムのネットワーク構成においても同様の処理を行うことができる。図11は、宅外アクセスシステムがP2P接続システムである場合のネットワーク構成の一例を示す図である。図11において、P2P接続システムである宅外アクセスシステムは、LAN206a上に接続された宅内機器201aと、LAN206b上に接続された宅内機器201bとの間で1対1の通信を実現するものである。   In the present embodiment, the processing sequence of the remote access system has been described by taking the network configuration of the remote control system (FIG. 2) as an example, but the same processing can be performed in the network configuration of the P2P connection system. FIG. 11 is a diagram illustrating an example of a network configuration when the out-of-home access system is a P2P connection system. In FIG. 11, the outside access system that is a P2P connection system realizes one-to-one communication between a home device 201a connected on the LAN 206a and a home device 201b connected on the LAN 206b. .

図12は、宅外アクセスシステムがP2P接続システムである場合の通信方法を示すシーケンス図である。以下、P2P接続システムである宅外アクセスシステムについて、上述した遠隔制御システムの宅外アクセスシステムと異なる動作を説明する。図12を参照して、初期状態として、宅内機器201a、宅内機器201b、及びサーバ205xは、予め何らかの方法によってダミーアドレスの関連情報を共有する。   FIG. 12 is a sequence diagram illustrating a communication method when the outside-home access system is a P2P connection system. Hereinafter, the operation different from the remote access system of the remote control system described above will be described for the remote access system that is a P2P connection system. Referring to FIG. 12, as an initial state, in-home device 201a, in-home device 201b, and server 205x share the related information of the dummy address in advance by some method.

宅内機器登録フェーズ(ステップS101x)において、宅内機器201a及び宅内機器201bは、サーバ205xに向けて登録用パケットを送信する。サーバ205xは、宅内機器201a及び宅内機器201bから受信した登録用パケットをトリガとして、宅内機器201aのグローバルアドレス情報(グローバルIPアドレス:IPo_G、ポート番号:Po_G)、及び宅内機器201bのグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)を取得する(ステップS102a、S102b)。サーバ205xは、取得した宅内機器201a及び宅内機器201bのグローバルアドレス情報をデータベースに登録する(ステップS103x)。   In the home device registration phase (step S101x), the home device 201a and the home device 201b transmit a registration packet to the server 205x. The server 205x uses the registration packet received from the home device 201a and the home device 201b as a trigger, and the global address information (global IP address: IPo_G, port number: Po_G) of the home device 201a and the global address information ( Global IP address: IPi_G, port number: Pi_G) is acquired (steps S102a and S102b). The server 205x registers the acquired global address information of the home device 201a and the home device 201b in the database (step S103x).

周期送信フェーズ(ステップS104x)において、宅内機器201a及び宅内機器201bは、ダミーアドレス(アドレス:IPd_G、ポート番号:Pd_G)向けに周期的にパケットを送信する(ステップS105a、S105b)。このとき周期的に送信されるパケットには、送信元情報として、宅内機器登録フェーズ(ステップS101x)においてサーバ205xに登録した宅内機器201a及び宅内機器201bのグローバルアドレス情報が設定される。具体的には、宅内機器201aが周期的に送信するパケットには、送信元情報として、宅内機器201aのグローバルアドレス情報(グローバルIPアドレス:IPo_G、ポート番号:Po_G)が設定される。また、宅内機器201bが周期的に送信するパケットには、送信元情報として、宅内機器201bのグローバルアドレス情報(グローバルIPアドレス:IPi_G、ポート番号:Pi_G)が設定される。また、この周期送信パケットが送信される時間間隔は、ルータ203上のNAPTテーブルからエントリが消えない(すなわち、エントリが維持される)時間間隔である。   In the periodic transmission phase (step S104x), the in-home device 201a and the in-home device 201b periodically transmit packets for dummy addresses (address: IPd_G, port number: Pd_G) (steps S105a, S105b). At this time, global address information of the home device 201a and the home device 201b registered in the server 205x in the home device registration phase (step S101x) is set as the transmission source information in the packet periodically transmitted. Specifically, global address information (global IP address: IPo_G, port number: Po_G) of the home device 201a is set as transmission source information in a packet periodically transmitted by the home device 201a. In addition, global address information (global IP address: IPi_G, port number: Pi_G) of the home device 201b is set as transmission source information in a packet periodically transmitted by the home device 201b. Further, the time interval at which this periodic transmission packet is transmitted is a time interval at which the entry is not deleted from the NAPT table on the router 203 (that is, the entry is maintained).

接続要求フェーズ(ステップS106x)は、宅内機器201aから宅内機器201bに対して、あるいは宅内機器201bから宅内機器201aに対して接続を要求するためのフェーズである。なお、図12においては、宅内機器201aから宅内機器201bに対して接続を要求する場合しか記していないが、宅内機器201bから宅内機器201aに対しても接続を要求することができるものとする。   The connection request phase (step S106x) is a phase for requesting connection from the home device 201a to the home device 201b or from the home device 201b to the home device 201a. In FIG. 12, only the case where a connection is requested from the in-home device 201a to the in-home device 201b is described. However, the in-home device 201b can also request a connection from the in-home device 201a.

なお、P2P接続システムである宅外アクセスシステムは、接続要求フェーズの後に、さらに、図15で説明したようなPort予測変換フェーズを備えてもよいものとする。Port変換予測フェーズは、P2P接続システムで特別に必要となる処理である。Port予測変換フェーズにおいて、宅内機器201a及び宅内機器201bは、機器同士の通信に使えるグローバルIPアドレス・ポート番号の組み合わせを、例えば、複数のパケットを送信することで予測する。   It should be noted that the out-of-home access system that is a P2P connection system may further include a Port prediction conversion phase as described with reference to FIG. 15 after the connection request phase. The Port conversion prediction phase is a process that is specially required in the P2P connection system. In the Port prediction conversion phase, the in-home device 201a and the in-home device 201b predict a global IP address / port number combination that can be used for communication between the devices, for example, by transmitting a plurality of packets.

(第2の実施形態)
次に、本発明の第2の実施形態に係る宅外アクセスのための通信方法について説明する。第1の実施形態では、宅内機器登録フェーズ(ステップS101)の処理方法として、宅内機器201の変換後のポート番号(T−Port)を推定する方法を説明した。この方法において宅内機器201は、サーバ205宛とダミーアドレス宛とを使い分けてパケット送信している。 (Second Embodiment)
Next, a communication method for remote access according to the second embodiment of the present invention will be described. In the first embodiment, the method of estimating the converted port number (T-Port) of the home device 201 has been described as the processing method of the home device registration phase (step S101). In this method, the in-home device 201 transmits a packet separately for the server 205 and the dummy address.

第2の実施形態では、宅内機器登録フェーズ(ステップS101)の別の処理方法について説明する。なお、以後の第2の実施形態において、第1の実施形態と同様の機器および構成については、同一の参照符号を付して説明を省略する。図13は、本発明の第2の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図である。第1の実施形態におけるネットワーク構成(図1)との違いは、サーバ側ファイアウォール507とサーバ側ネットワーク508とが追加されていることである。   In the second embodiment, another processing method in the home appliance registration phase (step S101) will be described. In the following second embodiment, the same equipment and configuration as those of the first embodiment are denoted by the same reference numerals and description thereof is omitted. FIG. 13 is a block diagram illustrating an example of a network configuration of an out-of-home access system according to the second embodiment of the present invention. The difference from the network configuration (FIG. 1) in the first embodiment is that a server-side firewall 507 and a server-side network 508 are added.

図13において、サーバ505は、第1の実施形態におけるサーバ205と比較して、宅内機器登録フェーズにおける処理が異なる。宅内機器501も同様に、宅内機器登録フェーズにおける処理が異なる。サーバ側ネットワーク508は、サーバ505を含むネットワークであり、サーバ側ファイアウォール507を中継して外部ネットワーク204と接続している。また、図13には記載していないが、本実施形態では、ダミーアドレスがサーバ側ネットワーク508に属するアドレスであることを前提とする。すなわち、ダミーアドレス宛のパケットは、一旦サーバ側ファイアウォール507に届くものとする。   In FIG. 13, the server 505 differs from the server 205 in the first embodiment in the processing in the home appliance registration phase. Similarly, the processing in the home device registration phase is different for the home device 501. The server side network 508 is a network including the server 505, and is connected to the external network 204 through the server side firewall 507. Although not shown in FIG. 13, in the present embodiment, it is assumed that the dummy address is an address belonging to the server-side network 508. That is, the packet addressed to the dummy address is assumed to reach the server side firewall 507 once.

次に、図14を使って、本発明の第2の実施形態に係る宅外アクセスシステムの通信方法の処理シーケンスを説明する。図14は、図2の宅内機器登録フェーズ(ステップS101)と周期送信フェーズ(ステップS104)とに相当する処理だけを取り出したものであり、それ以降の処理は、第1の実施形態と同様であるものとする。第2の実施形態において、宅内機器登録フェーズ(ステップS601)は、サーバ側ファイアウォール507が、ダミーアドレス宛のパケットの転送先を切り替えることにより実現する。具体的には、宅内機器501は、ダミーアドレス宛に送信するパケットのペイロードに、CommandTypeというフィールドを設け、宅内機器501が登録要求パケットを送信する場合には、CommandTypeを“登録モード”に設定する(ステップS602)。一方、宅内機器501は、周期送信用パケットを送信する場合には、CommandTypeを“周期送信”に設定する(S606)。   Next, the processing sequence of the communication method of the remote access system according to the second embodiment of the present invention will be described using FIG. FIG. 14 shows only the processing corresponding to the home appliance registration phase (step S101) and the periodic transmission phase (step S104) in FIG. 2, and the subsequent processing is the same as in the first embodiment. It shall be. In the second embodiment, the home appliance registration phase (step S601) is realized by the server-side firewall 507 switching the transfer destination of the packet addressed to the dummy address. Specifically, the in-home device 501 provides a field called CommandType in the payload of a packet transmitted to the dummy address, and sets the CommandType to “registration mode” when the in-home device 501 transmits a registration request packet. (Step S602). On the other hand, when transmitting the periodic transmission packet, the in-home device 501 sets CommandType to “periodic transmission” (S606).

ダミーアドレス宛のパケットを受け付けたサーバ側ファイアウォール507は、CommandTypeのフィールドを見て転送先を切り替える。具体的には、宛先アドレスがダミーアドレスで、かつ、CommandTypeが“登録モード”のときには、パケットをサーバ505に転送する(ステップS603)。一方、CommandTypeのフィールドが“周期送信”に設定されている場合には、そのままパケットを廃棄する(ステップS607)。   The server-side firewall 507 that has received the packet addressed to the dummy address switches the transfer destination by looking at the CommandType field. Specifically, when the destination address is a dummy address and the CommandType is “registration mode”, the packet is transferred to the server 505 (step S603). On the other hand, if the CommandType field is set to “periodic transmission”, the packet is discarded as it is (step S607).

サーバ505は、サーバ側ファイアウォール507のこの処理により、宅内機器501から送信された登録要求パケットだけを受信でき、宅内機器501の所望の通信情報(周期送信パケットのNAPTテーブルのエントリに登録されている情報)をそのパケットから取得できる。そのため、サーバ505は、処理負荷を軽減できる。また、本実施形態では、宅内機器501が送信するパケットに、サーバ505のアドレスを含むものが全くなくなるため、サーバのアドレスが攻撃者に漏れることがなく、DoS攻撃などの可能性を低減できる。   The server 505 can receive only the registration request packet transmitted from the home device 501 by this processing of the server side firewall 507, and is registered in the desired communication information of the home device 501 (the entry in the NAPT table of the periodic transmission packet). Information) can be obtained from the packet. Therefore, the server 505 can reduce the processing load. Further, in this embodiment, since the packet transmitted from the home device 501 does not include any server 505 address, the server address is not leaked to the attacker, and the possibility of a DoS attack or the like can be reduced.

本発明の宅外アクセスシステムは、宅外の通信機器と宅内の通信機器とが通信を行う場合等に有用である。   The outside access system of the present invention is useful when a communication device outside the home communicates with a communication device inside the home.

本発明の第1の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図1 is a block diagram showing an example of a network configuration of an external access system according to a first embodiment of the present invention 本発明の第1の実施形態に係る宅外アクセスシステムの通信方法を示すシーケンス図The sequence diagram which shows the communication method of the outside access system which concerns on the 1st Embodiment of this invention 周期送信パケットの構成を示す図Diagram showing the structure of a periodic transmission packet ルータ203上のNAPTテーブルの一例を示す図The figure which shows an example of the NAPT table on the router 203 接続要求パケットの構成を示す図Diagram showing the structure of a connection request packet 宅内機器登録フェーズ(ステップS101)の具体的な処理シーケンスを示す図The figure which shows the specific process sequence of in-home apparatus registration phase (step S101) 登録要求パケットの構成を示す図Diagram showing the structure of a registration request packet ルータ203上のNAPTテーブルの一例を示す図The figure which shows an example of the NAPT table on the router 203 本発明の第1の実施形態に係るサーバ205の構成例を示すブロック図FIG. 2 is a block diagram showing a configuration example of a server 205 according to the first embodiment of the present invention. 本発明の第1の実施形態に係る宅内機器201の構成例を示すブロック図The block diagram which shows the structural example of the household appliance 201 which concerns on the 1st Embodiment of this invention. 宅外アクセスシステムがP2P接続システムである場合のネットワーク構成の一例を示す図The figure which shows an example of a network structure in case a remote access system is a P2P connection system 宅外アクセスシステムがP2P接続システムである場合の通信方法を示すシーケンス図Sequence diagram showing a communication method when the remote access system is a P2P connection system 本発明の第2の実施形態に係る宅外アクセスシステムのネットワーク構成の一例を示すブロック図The block diagram which shows an example of the network configuration of the outside access system which concerns on the 2nd Embodiment of this invention 本発明の第2の実施形態に係る宅外アクセスシステムの通信方法を示すシーケンス図The sequence diagram which shows the communication method of the remote access system which concerns on the 2nd Embodiment of this invention 従来の方法の概要を説明する図Diagram explaining the outline of the conventional method ルータB806のNAPTテーブルの状態を示す図The figure which shows the state of the NAPT table of router B806 クライアントB801から送信されたログイン要求パケットを示す図The figure which shows the login request packet transmitted from client B801. ロビーサーバ805から送信されたログイン応答パケットを示す図The figure which shows the login response packet transmitted from the lobby server 805

符号の説明Explanation of symbols

201、501 宅内機器
202 宅外機器
203、803、806 ルータ
204、804 外部ネットワーク
205、505、805 サーバ
206 LAN
301 宅内機器情報DB
302 ダミーアドレス格納部
303 宅内機器登録処理部
304 接続要求仲介部
305 送信元情報変更部
306 通信処理部
401 サーバアドレス格納部
402 ダミーアドレス格納部
403 通信処理部
404 登録用パケット処理部
405 周期的パケット送信部
406 接続要求パケット処理部
407 宅内機器−宅外機器間通信処理部
507 サーバ側ファイアウォール
508 サーバ側ネットワーク
801 クライアントB
802 クライアントA 201, 501 Home device 202 Outside device 203, 803, 806 Router 204, 804 External network 205, 505, 805 Server 206 LAN
301 Home appliance information DB
302 dummy address storage unit 303 home appliance registration processing unit 304 connection request mediation unit 305 transmission source information change unit 306 communication processing unit 401 server address storage unit 402 dummy address storage unit 403 communication processing unit 404 packet processing unit for registration 405 periodic packet Transmission unit 406 Connection request packet processing unit 407 In-home device-external device communication processing unit 507 Server-side firewall 508 Server-side network 801 Client B
802 Client A

Claims (9)

外部ネットワークにおいて、ローカルエリアネットワークにルータを介して接続された第1の通信機器と、前記ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーバであって、
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
前記第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである宅内機器情報DBと、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する宅内機器登録処理部と、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第1の通信機器宛に接続要求パケットを送信する接続要求仲介部と、
前記ダミーアドレス格納部に保存されている情報に基づいて、前記接続要求仲介部から送信された前記接続要求パケットの送信元情報を、前記ダミーアドレスに関連する情報に変更する送信元情報変更部とを備える、サーバ。 In an external network, a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network There,
A dummy address storage unit that stores information related to the dummy address, using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address;
In-home device information DB, which is a database for storing source information of packets periodically transmitted by the first communication device as first in-home device information;
The first communication device acquires the first home device information from the first communication device when receiving a registration packet transmitted to register the address information of the first communication device, and the home device information DB A home device registration processing unit to register with
When a packet requesting connection to the first communication device is received from the second communication device, connection is made to the first communication device based on information stored in the home device information DB A connection request mediation unit that transmits a request packet;
Based on the information stored in the dummy address storage unit, a transmission source information change unit that changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address; Comprising a server. 前記第2のネットワークは、前記第1の通信機器が接続された前記ローカルエリアネットワークとは異なるローカルエリアネットワークであり、
前記第1の通信機器と前記第2の通信機器とは、1対1の相互接続を行い、
前記ダミーアドレス格納部は、自身のアドレスとは異なるアドレスであり、前記第1の通信機器及び前記第2の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存し、
前記宅内機器情報DBは、前記第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として、前記第2の通信機器が周期的に送信するパケットの送信元情報を第2の宅内機器情報として保存するためのデータベースであり、
前記宅内機器登録処理部は、さらに、前記第2の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信を契機に、前記第2の通信機器から前記第2の宅内機器情報を取得し、前記宅内機器情報DBに登録し、
前記接続要求仲介部は、さらに、前記第1の通信機器から前記第2の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第2の通信機器宛てに接続要求パケットを送信する、請求項1に記載のサーバ。 The second network is a local area network different from the local area network to which the first communication device is connected;
The first communication device and the second communication device perform a one-to-one interconnection,
The dummy address storage unit is an address different from its own address, and the destination address of a packet periodically transmitted by the first communication device and the second communication device is used as a dummy address and related to the dummy address. Save the information you want to
The in-home device information DB uses the transmission source information of a packet periodically transmitted by the first communication device as first in-home device information, and the transmission source information of a packet periodically transmitted by the second communication device. Is stored as second home device information,
The in-home device registration processing unit further receives the registration packet transmitted by the second communication device for registering its own address information, from the second communication device to the second in-home device. Information is acquired and registered in the home appliance information DB,
When the connection request mediation unit further receives a packet requesting connection from the first communication device to the second communication device, based on information stored in the in-home device information DB, The server according to claim 1, wherein the server transmits a connection request packet addressed to the second communication device. 前記サーバと前記外部ネットワークとの間には、前記ダミーアドレス宛のパケットを所定のルールに基づいて振り分けるサーバ側ファイアウォールがあり、
前記第1の通信機器が送信する前記登録用パケットの宛先には、前記ダミーアドレスが設定されており、
前記サーバ側ファイアウォールは、前記所定のルールに基づいて、前記登録用パケットを前記サーバに振り分け、前記第1の通信機器が前記ダミーアドレス宛に周期的に送信するパケットを破棄し、
前記宅内機器登録処理部は、前記第1の通信機器が自身のアドレス情報を登録するために送信した前記登録用パケットを前記サーバ側ファイアウォールを介して受信すると、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する、請求項1に記載のサーバ。 Between the server and the external network, there is a server-side firewall that distributes packets addressed to the dummy address based on a predetermined rule,
The dummy address is set in the destination of the registration packet transmitted by the first communication device,
The server-side firewall distributes the registration packet to the server based on the predetermined rule, discards the packet that the first communication device periodically transmits to the dummy address,
Upon receiving the registration packet transmitted from the first communication device for registering its own address information through the server-side firewall, the in-home device registration processing unit receives the first communication device from the first communication device. The server according to claim 1, wherein one home device information is acquired and registered in the home device information DB. 前記第1の宅内機器情報は、前記第1の通信機器が、前記ダミーアドレス宛に周期的に送信するパケットの送信元アドレスと送信元ポート番号とを含み、
前記宅内機器登録処理部は、さらに、前記ダミーアドレスを送信元アドレスに設定した複数のパケットを、宛先ポート番号を変更しながら前記第1の通信機器に向けて送信し、前記第1の宅内機器情報の送信元ポート番号を推定する、請求項1に記載のサーバ。 The first in-home device information includes a source address and a source port number of a packet that the first communication device periodically transmits to the dummy address,
The in-home device registration processing unit further transmits a plurality of packets in which the dummy address is set as a transmission source address to the first communication device while changing a destination port number, and the first in-home device The server according to claim 1, wherein a server port number of information is estimated. 前記第1の通信機器が周期的に送信するパケットは、前記ルータのNAPTテーブルからエントリが消えない時間間隔で送信される、請求項1に記載のサーバ。   The server according to claim 1, wherein the packet periodically transmitted by the first communication device is transmitted at a time interval at which an entry does not disappear from the NAPT table of the router. ローカルエリアネットワークにルータを介して接続された第1の通信機器と、前記ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器と、外部ネットワークにおいて、前記第1の通信機器と前記第2の通信機器との通信を仲介するサーバとを備えた宅外アクセスシステムであって、
前記第1の通信機器は、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信する登録用パケット処理部と、
前記ダミーアドレス宛に周期的にパケットを送信する周期的パケット送信部と、
前記他の通信機器から送信された接続を要求するパケットを前記サーバを介して受信する接続要求パケット処理部とを備え、
前記第2の通信機器は、前記第1の通信機器に対して接続を要求するパケットを送信し、
前記サーバは、
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
前記第1の通信機器が周期的に送信するパケットの送信元情報を、第1の宅内機器情報として保存するためのデータベースである宅内機器情報DBと、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットの受信をトリガに、前記第1の通信機器から前記第1の宅内機器情報を取得し、前記宅内機器情報DBに登録する宅内機器登録処理部と、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信した場合、前記宅内機器情報DBに保存されている情報に基づいて、前記第1の通信機器宛に接続要求パケットを送信する接続要求仲介部と、
前記ダミーアドレス格納部に保存されている情報に基づいて、前記接続要求仲介部から送信された前記接続要求パケットの送信元情報を、前記ダミーアドレスに関連する情報に変更する送信元情報変更部とを備える、宅外アクセスシステム。 A first communication device connected to a local area network via a router; a second communication device connected to a second network different from the local area network; and the first communication device in an external network. And a remote access system comprising a server that mediates communication with the second communication device,
The first communication device is:
A dummy address storage unit for storing information related to the dummy address, the address being different from the address of the server, and an address shared with the server as a dummy address;
A registration packet processing unit that transmits a registration packet to the server to register its own address information;
A periodic packet transmitter for periodically transmitting packets to the dummy address;
A connection request packet processing unit that receives a packet requesting connection transmitted from the other communication device via the server;
The second communication device transmits a packet requesting connection to the first communication device;
The server
A dummy address storage unit that stores information related to the dummy address, using a destination address of a packet that is different from its own address and periodically transmitted by the first communication device as a dummy address;
In-home device information DB, which is a database for storing source information of packets periodically transmitted by the first communication device as first in-home device information;
The first communication device acquires the first home device information from the first communication device, triggered by reception of a registration packet transmitted to register its own address information, and the home device information DB A home device registration processing unit to register with
When a packet requesting connection to the first communication device is received from the second communication device, connection is made to the first communication device based on information stored in the home device information DB A connection request mediation unit that transmits a request packet;
Based on the information stored in the dummy address storage unit, a transmission source information change unit that changes the transmission source information of the connection request packet transmitted from the connection request mediation unit to information related to the dummy address; A remote access system comprising: ローカルエリアネットワークにルータを介して接続され、外部ネットワークに接続されたサーバを介して、前記ローカルエリアネットワークとは異なるネットワークに接続された他の通信機器との間で所定の通信を実現する通信機器であって、
前記サーバのアドレスに関連する情報を保存するサーバアドレス格納部と、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレスに関連する情報を保存するダミーアドレス格納部と、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信する登録用パケット処理部と、
前記ダミーアドレス宛に周期的にパケットを送信する周期的パケット送信部と、
前記他の通信機器から送信された接続を要求するパケットを前記サーバを介して受信する接続要求パケット処理部とを備える、通信機器。 A communication device that is connected to a local area network via a router and that implements predetermined communication with another communication device connected to a network different from the local area network via a server connected to an external network Because
A server address storage unit for storing information related to the server address;
A dummy address storage unit for storing information related to the dummy address, the address being different from the address of the server, and an address shared with the server as a dummy address;
A registration packet processing unit that transmits a registration packet to the server to register its own address information;
A periodic packet transmitter for periodically transmitting packets to the dummy address;
A communication device comprising: a connection request packet processing unit that receives a packet requesting a connection transmitted from the other communication device via the server. ローカルエリアネットワークにルータを介して接続された第1の通信機器と、前記ローカルエリアネットワークとは異なる第2のネットワークに接続された第2の通信機器との通信を仲介するサーバが実行する通信方法であって、
前記サーバが、
前記第1の通信機器が自身のアドレス情報を登録するために送信する登録用パケットを受信するステップと、
前記登録用パケットの受信を契機に、前記第1の通信機器が周期的に送信するパケットの送信元情報を第1の宅内機器情報として取得する取得ステップと、
前記第2の通信機器から前記第1の通信機器に対して接続を要求するパケットを受信するステップと、
前記取得ステップで取得した前記第1の宅内機器情報に基づいて、前記第1の通信機器宛に接続を要求するパケットを送信する接続要求ステップと、
自身のアドレスとは異なるアドレスであり、かつ前記第1の通信機器が周期的に送信するパケットの宛先アドレスをダミーアドレスとして、前記接続を要求するパケットの送信元アドレスを、前記ダミーアドレスに変更する送信元情報変更ステップとを備える、通信方法。 A communication method executed by a server that mediates communication between a first communication device connected to a local area network via a router and a second communication device connected to a second network different from the local area network Because
The server is
Receiving a registration packet that the first communication device transmits to register its address information;
An acquisition step of acquiring transmission source information of a packet periodically transmitted by the first communication device as the first home device information, triggered by reception of the registration packet;
Receiving from the second communication device a packet requesting connection to the first communication device;
A connection requesting step for transmitting a packet for requesting connection to the first communication device based on the first in-home device information acquired in the acquiring step;
The transmission source address of the packet requesting the connection is changed to the dummy address with the destination address of the packet periodically transmitted by the first communication device as a dummy address, which is different from its own address. A communication method comprising a transmission source information change step. ローカルエリアネットワークにルータを介して接続された第1の通信機器が、外部ネットワークに接続されたサーバを介して、前記ローカルエリアネットワークとは異なるネットワークに接続された第2の通信機器と通信するための通信方法であって、
前記第1の通信機器が、
自身のアドレス情報を登録するために登録用パケットを前記サーバに送信するステップと、
前記サーバのアドレスとは異なるアドレスであり、かつ前記サーバと共有するアドレスをダミーアドレスとして、前記ダミーアドレス宛に周期的にパケットを送信するステップと、
前記第2の通信機器から送信された接続を要求するパケットを前記サーバを介して受信するステップとを備える、通信方法。 A first communication device connected to a local area network via a router communicates with a second communication device connected to a network different from the local area network via a server connected to an external network. Communication method,
The first communication device is
Sending a registration packet to the server to register its address information;
A packet that is different from the address of the server and that is shared with the server as a dummy address, and periodically transmits packets to the dummy address;
Receiving a packet for requesting a connection transmitted from the second communication device via the server.
JP2005292913A 2005-10-05 2005-10-05 Outdoor access system, server, and communication method Pending JP2007104438A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005292913A JP2007104438A (en) 2005-10-05 2005-10-05 Outdoor access system, server, and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005292913A JP2007104438A (en) 2005-10-05 2005-10-05 Outdoor access system, server, and communication method

Publications (1)

Publication Number Publication Date
JP2007104438A true JP2007104438A (en) 2007-04-19

Family

ID=38030913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005292913A Pending JP2007104438A (en) 2005-10-05 2005-10-05 Outdoor access system, server, and communication method

Country Status (1)

Country Link
JP (1) JP2007104438A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010045451A (en) * 2008-08-08 2010-02-25 Ntt Communications Kk Packet sorter, communication system, packet processing method, and program
CN114765614A (en) * 2020-12-31 2022-07-19 华为技术有限公司 Method for accessing local area network service equipment and electronic equipment
WO2024004129A1 (en) * 2022-06-30 2024-01-04 三菱電機株式会社 Air conditioning system and outdoor unit

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010045451A (en) * 2008-08-08 2010-02-25 Ntt Communications Kk Packet sorter, communication system, packet processing method, and program
JP4648436B2 (en) * 2008-08-08 2011-03-09 エヌ・ティ・ティ・コミュニケーションズ株式会社 Packet distribution device, communication system, packet processing method, and program
CN114765614A (en) * 2020-12-31 2022-07-19 华为技术有限公司 Method for accessing local area network service equipment and electronic equipment
WO2024004129A1 (en) * 2022-06-30 2024-01-04 三菱電機株式会社 Air conditioning system and outdoor unit

Similar Documents

Publication Publication Date Title
JP5364671B2 (en) Terminal connection status management in network authentication
US8312532B2 (en) Connection supporting apparatus
KR100901790B1 (en) CONTROL TUNNEL AND DIRECT TUNNEL CONFIGURATION METHOD IN IPv6 SERVICE PROVIDE SYSTEM BASED IPv4 NETWORK
EP2291979B1 (en) Remote access between upnp devices
US8499083B2 (en) Relay device and communication system
US11924164B2 (en) Cloud access to local network addresses
US20080098088A1 (en) Communication System, Terminal Device And Communication Device
US20050240758A1 (en) Controlling devices on an internal network from an external network
EP2803177B1 (en) Device arrangement and method for implementing a data transfer network used in remote control of properties
JP2006086800A (en) Communication apparatus for selecting source address
US11159420B2 (en) Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network
JPWO2006049251A1 (en) Communication terminal and communication method
WO2006062290A1 (en) Method for updating dns address in mobile ip terminal
EP3977712A1 (en) Transparent multiplexing of ip endpoints
CN112565182B (en) Data processing method, system, electronic device and gateway device
US20150215277A1 (en) Network address translation apparatus with cookie proxy function and method for nat supporting cookie proxy function
JP2007104438A (en) Outdoor access system, server, and communication method
JP5638063B2 (en) COMMUNICATION DEVICE, COMMUNICATION DEVICE CONTROL METHOD, PROGRAM
JP6314500B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
WO2008069504A1 (en) Method for configuring control tunnel and direct tunnel in ipv4 network-based ipv6 service providing system
CN101997935B (en) Communication apparatus and communication method
JP2008206081A (en) Data relaying apparatus and data relaying method used for multi-homing communication system
KR101367180B1 (en) An apparatus for switching and sharing network services and the method thereof
Enghardt et al. TAPS Working Group A. Brunstrom, Ed. Internet-Draft Karlstad University Intended status: Informational T. Pauly, Ed. Expires: January 9, 2020 Apple Inc.
JP2012019361A (en) Communication device, server device, communication system, communicating method, and integrated circuit