JP4187209B2 - パケットフィルタリング装置およびパケットフィルタリング制御プログラム - Google Patents

パケットフィルタリング装置およびパケットフィルタリング制御プログラム Download PDF

Info

Publication number
JP4187209B2
JP4187209B2 JP2004125827A JP2004125827A JP4187209B2 JP 4187209 B2 JP4187209 B2 JP 4187209B2 JP 2004125827 A JP2004125827 A JP 2004125827A JP 2004125827 A JP2004125827 A JP 2004125827A JP 4187209 B2 JP4187209 B2 JP 4187209B2
Authority
JP
Japan
Prior art keywords
terminal device
filter information
packet
transmitted
packet filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004125827A
Other languages
English (en)
Other versions
JP2005311707A (ja
Inventor
達樹 松田
正晴 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004125827A priority Critical patent/JP4187209B2/ja
Publication of JP2005311707A publication Critical patent/JP2005311707A/ja
Application granted granted Critical
Publication of JP4187209B2 publication Critical patent/JP4187209B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットフィルタリング装置、パケットフィルタリング制御プログラムに関し、詳しくは、インターネット電話等における呼制御サービスを提供するネットワークに接続され、家庭内に設けられている端末装置に送信されたパケットをフィルタリングするパケットフィルタリング装置、パケットフィルタリング制御プログラムに関する。
図7は、インターネット電話(以下、「IP電話」という)等における呼制御サービスにおける従来の呼接続システム101を示すブロック図である。
従来の呼接続システム101は、中継装置52を介して、IP電話端末51がネットワーク53に接続され、中継装置55を介して、IP電話端末54がネットワーク53に接続されている。
IP電話端末51がIP電話端末54に送信した呼接続の要求は、ネットワーク53に接続されているIP電話中継サーバ56とIP電話中継サーバ57とを経由して送られる。IP電話端末51や54等の端末装置間で、呼接続を確立するためのプロトコルとして、SIP(Session Initiation Protocol、RFC3261参照)が知られている。
図8は、従来の呼接続システム101における動作を示すシーケンス図である。
SIPに準拠した呼接続は、図8に示すように、呼接続を要求する呼接続要求信号(INVITE)が、IP電話端末51からIP電話端末54に送信され、呼接続要求信号に対する応答を示す呼接続応答信号(200 OK)がIP電話端末54からIP電話端末51に向けて送信されることによって確立される。呼接続が確立されると、IP電話端末51と54との間で、音声情報等のメディアを構成するストリームパケット60が送受信される。
ここで、IP電話端末51は、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報(たとえば、メディアA、メディアB、およびメディアC)を、呼接続要求信号に付加し、IP電話端末54は、候補情報に示されている候補の中から、受信ポート番号とプロトコルとの組み合わせを選択し、この選択された組み合わせを含む選択情報(たとえば、メディアB)を、呼接続応答信号に付加し、中継装置52は、選択情報に基づいて、パケットをフィルタリングするために参照されるフィルタ情報を設定し、これによって、ネットワーク53を介したIP電話端末51に対する不正なアクセスを防止する(たとえば、特許文献、非特許文献1参照)。
特開2003−229893号公報(第6頁、図2) RFC3264(URL:http://www.softfront.co.jp/tech/ietfdoc/trans/rfc3264j.txt)
しかし、上記従来例では、図8に示すように、IP電話端末54が送信したストリームパケットが通過できるようにフィルタ情報が設定される時刻61よりも前の時刻である時刻63で、中継装置52にストリームパケット62が到達した場合、ストリームパケット62によって構成されているメディアに、頭切れが生じるという問題がある。
本発明は、端末装置に送信されたパケットによって構成されているメディアに頭切れを生じることなく、端末装置に対する不正なアクセスを防止することができるパケットフィルタリング装置およびパケットフィルタリング制御プログラムを提供することを目的とする。
請求項1記載発明は、端末装置とネットワークとの間に設けられるパケットフィルタリング装置において、上記ネットワークを介して上記端末装置に送信されたパケットが通過することを、許可するか否かを示すフィルタ情報を、記憶するフィルタ情報記憶部と、上記端末装置に送信されたパケットが上記端末装置に到達することを、上記フィルタ情報に基づいて制限するパケットフィルタ部と、上記端末装置から、上記ネットワークを介して、相手端末装置に送信された呼接続要求を示す呼接続要求信号の中から、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報を、取得する候補情報取得部と、上記候補情報に示されている受信ポート番号とプロトコルとに基づいて、上記端末装置に送信されたパケットの通過を許可するように、上記フィルタ情報を設定するフィルタ情報設定部とを有するパケットフィルタリング装置である。
請求項1記載の発明によれば、相手端末装置によって送信されたパケットが、候補の中のいかなる受信ポート番号とプロトコルとに基づいたパケットであっても、端末装置が受信できるように、端末装置から相手端末装置に向けた呼接続の要求時にフィルタ情報が設定されるので、相手端末装置から端末装置に送信されたパケットによって構成されるメディアが頭切れを生じることなく、端末装置に対する不正なアクセスを防止することができる。
請求項2記載の発明は、請求項1において、上記呼接続要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼接続応答信号の中から、上記相手端末装置が上記組み合わせの候補から選択した受信ポート番号とプロトコルとの組み合わせを含む選択情報を、取得する選択情報取得部が設けられ、上記フィルタ情報設定部は、上記候補情報に基づいて設定された上記フィルタ情報に応じて通過が許可されたパケットのうちで、上記選択情報に含まれている受信ポート番号とプロトコルとに基づいて上記端末装置に送信されたパケットを除くパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であるパケットフィルタリング装置である。
請求項2記載の発明によれば、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットのうちで、相手端末装置によって選択されなかった受信ポート番号とプロトコルとに基づいて送信されたパケットの通過が禁止されるので、端末装置に対する不正なアクセスを防止することができる。
請求項3記載の発明は、請求項1または請求項2において、上記フィルタ情報設定部は、上記選択情報に基づいて設定された上記フィルタ情報に応じて通過が許可されたパケットのうちで、上記相手端末装置を除く送信元から上記端末装置に送信されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であるパケットフィルタリング装置である。
請求項3記載の発明によれば、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットのうちで、相手端末装置以外の装置を送信元とするパケットの通過を禁止するので、端末装置に対する不正なアクセスを防止することができる。
請求項4記載の発明は、請求項1〜請求項3のいずれか1項において、上記フィルタ情報設定部は、上記相手端末装置が、上記端末装置に、呼切断の要求を示す呼切断要求信号を送信した場合、上記フィルタ情報の設定に応じて通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であるパケットフィルタリング装置である。
請求項5記載の発明は、請求項1〜請求項4のいずれか1項において、上記フィルタ情報設定部は、上記端末装置から上記相手端末装置に、呼切断の要求を示す呼切断要求信号が送信された場合、上記呼切断要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼切断応答信号に応じて、上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であるパケットフィルタリング装置である。
請求項4、5記載の発明によれば、呼切断される際に、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットの通過を禁止するので、端末装置に対する不正なアクセスを防止することができる。
請求項6記載の発明は、端末装置とネットワークとの間に設けられるパケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムであって、上記ネットワークを介して上記端末装置に送信されたパケットの通過を許可するか否かを示すフィルタ情報をメモリに記憶し、上記フィルタ情報に基づいて、上記端末装置に送信されたパケットが上記端末装置に到達することを制限するステップと、上記端末装置から上記ネットワークに接続された相手端末装置に送信された呼接続要求を示す呼接続要求信号から、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報を取得し、メモリに記憶するステップと、上記候補情報に表された受信ポート番号とプロトコルとに基づいて、上記端末装置に送信されたパケットの通過を許可するように、上記フィルタ情報を設定するフィルタ情報設定ステップとを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムである。
請求項6記載の発明によれば、相手端末装置によって送信されたパケットが候補の中のいかなる受信ポート番号とプロトコルとに基づいたものであっても、端末装置が受信できるように、端末装置から相手端末装置に向けた呼接続の要求時にフィルタ情報が設定されるので、相手端末装置から端末装置に送信されたパケットによって構成されるメディアが、頭切れを生じることがなく、端末装置に対する不正なアクセスを防止することができる。
請求項7記載の発明は、請求項6において、上記呼接続要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼接続応答信号から、上記相手端末装置が上記候補から選択した受信ポート番号とプロトコルとの組み合わせを含む選択情報を、取得するステップと、上記候補情報に基づいて上記フィルタ情報設定ステップで通過が許可されたパケットのうちで、上記選択情報に含まれた受信ポート番号とプロトコルとに基づいて上記端末装置に送信されたパケットを除くパケットの通過を許可しないように、上記フィルタ情報を設定するステップとを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムである。
請求項7記載の発明によれば、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットのうちで、相手端末装置によって選択されなかった受信ポート番号とプロトコルとをもって送信されたパケットの通過を禁止するので、端末装置に対する不正なアクセスを防止することができる。
請求項8記載の発明は、請求項6または請求項7において、上記選択情報によって上記フィルタ情報設定ステップで通過が許可されたパケットのうちで、上記相手端末装置を除く送信元から上記端末装置に送信されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させることを特徴とするパケットフィルタリング制御プログラムである。
請求項8記載の発明によれば、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットのうちで、相手端末装置以外を送信元とするパケットの通過を禁止するので、端末装置に対する不正なアクセスを防止することができる。
請求項9記載の発明は、請求項6〜請求項8のいずれか1項において、上記相手端末装置から上記端末装置に向けて呼切断の要求を示す呼切断要求信号が送信された場合、上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムである。
請求項10記載の発明は、請求項6〜請求項9のいずれか1項において、上記端末装置から上記相手端末装置に向けて呼切断の要求を示す呼切断要求信号が送信された場合、上記呼切断要求信号に応じて上記相手端末装置から上記端末装置に送信された呼切断応答信号に応じて上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムである。
請求項9、10記載の発明によれば、呼切断される際に、端末装置から相手端末装置に向けた呼接続の要求時に通過が許可されたパケットの通過を禁止するので、端末装置に対する不正なアクセスを防止することができる。
本発明は、端末装置に送信されたパケットによって構成されているメディアに頭切れを生じることなく、端末装置に対する不正なアクセスを防止することができるという効果を奏する。
発明を実施するための最良の形態は、以下の実施例である。
図1は、本発明の実施例1であるパケットフィルタリング装置4を含む呼接続システム1の構成を示すブロック図である。
呼接続システム1は、端末装置2と、ネットワーク3と、パケットフィルタリング装置4と、相手端末装置5と、中継装置6と、中継サーバ7と、中継サーバ8とを有する。
端末装置2は、IP電話機等によって構成されている。パケットフィルタリング装置4は、ネットワーク3と端末装置2との間に設けられている。相手端末装置5は、IP電話機等によって構成されている。中継装置6は、ネットワーク3と相手端末装置5との間に設けられている。中継サーバ7、8は、端末装置2と相手端末装置5との間で送受信される呼接続に関する信号を中継する。
なお、本発明を理解し易くするために、図1では、簡単な構成を記載しているが、呼接続システムにおいて、複数の端末装置、複数のパケットフィルタリング装置、複数の相手端末装置、複数の中継装置、複数の呼接続サーバを有するようにしてもよい。また、呼接続システム1は、SIPに準拠して呼接続を行う。
図2は、呼接続システム1におけるパケットフィルタリング装置4の構成を示す機能ブロック図である。
パケットフィルタリング装置4は、端末インタフェース11と、ネットワークインタフェース12と、フィルタ情報記憶部13と、パケットフィルタ部14とを有する。
端末インタフェース11は、端末装置2との間で通信する。ネットワークインタフェース12は、相手端末装置5等のようにネットワーク3を介して接続された装置との間で通信する。フィルタ情報記憶部13は、ネットワーク3を介して端末装置2に送信されたパケットの通過を許可するか否かを示すフィルタ情報を記億する。パケットフィルタ部14は、端末装置2に送信されたパケットのうちで、端末装置2に到達されるパケットをフィルタ情報に基づいて制限する。
上記フィルタ情報には、パケットの送信元のIPアドレス、パケットの送信先のIPアドレス、プロトコルを示す情報、パケットの送信元のポート番号、パケットの送信先のポート番号、パケットの通過を許可するか否かを示す情報が含まれている。
次に、上記フィルタ情報について説明する。
図3は、フィルタ情報の例を説明する図である。
図3における1行目は、次のことを示している。つまり、IPアドレス「1.2.3.6」に割り当てられている装置から、IPアドレス「1.2.3.4」に割り当てられている装置に送信された「tcp」(Transmission Control Protocol)に準拠したパケットは、パケットフィルタリング装置4の通過が許可されていることを示している。
また、図3における2行目は、次のことを示している。つまり、IPアドレス「1.2.3.4」に割り当てられている装置に送信され、送信元と送信先のポート番号とが、ともに「137」を示す「udp」(User datagram protocol)に準拠したパケットは、パケットフィルタリング装置4の通過が許可されていないことを示している。
図2に戻り、パケットフィルタ部14は、パケットフィルタリング装置4を通過しようとするパケットの送信元のIPアドレス、送信先のIPアドレス、プロトコル、送信元のポート番号、送信先のポート番号に基づいて、パケットフィルタリング装置4の通過を制限する。
また、パケットフィルタリング装置4は、候補情報取得部15と、フィルタ情報設定部16とを有する。
候補情報取得部15は、端末装置2から相手端末装置5に送信された呼接続要求を示す呼接続要求信号の中から、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報を取得する。フィルタ情報設定部16は、候補情報に含まれている受信ポート番号とプロトコルとに基づいて、端末装置2に送信されたパケットの通過を許可するように、フィルタ情報を設定する。
SIPに準拠して、端末装置2から相手端末装置5に、呼接続が要求された場合、呼接続要求信号として、メソッド「INVITE」が、端末装置2から相手端末装置5に送信される。
INVITE等の呼接続に関する信号には、SDP(Session Description Protocol、RFC2327参照)に準拠した呼接続に関する情報(以下、単に「SDP情報」という)を含めることができる。
上記SDP情報には、呼接続が完了した際に送受信されるメディアの種別を示す情報、受信ポート番号、プロトコル、メディアのフォーマット等を含むメディアレベル情報を含めることができる。
INVITEに含まれるSDP情報に、1つ以上のメディアレベル情報が含まれている場合、メディアレベル情報は、呼接続が完了した際に送受信されるメディアの候補を示す候補情報を構成する。
候補情報取得部15は、端末装置2から相手端末装置5に送信されたINVITEに含まれているSDP情報から、候補情報を取得する。
フィルタ情報設定部16は、候補情報を構成するメディアレベル情報に基づいて、相手端末装置5が端末装置2に送信したパケットの通過を許可するように、フィルタ情報記憶部13に記憶されたフィルタ情報を設定する。
また、パケットフィルタリング装置4は、選択情報取得部17を有する。
情報取得部17は、呼接続要求信号に応じて相手端末装置5から端末装置2に送信された呼接続応答信号から、受信ポート番号とプロトコルとの組み合わせの候補の中から相手端末装置5が選択した受信ポート番号とプロトコルとの組み合わせを含む選択情報を取得する。
相手端末装置5が、INVITEを受信し、呼接続の要求を受け入れた場合、たとえば、IP電話機において、オフフックされた場合、呼接続応答信号としてレスポンスコード「200」(以下、「200 OK」と記載する)を、相手端末装置5が、端末装置2に送信する。
上記「200 OK」には、INVITEと同様に、SDP情報を含めることができる。上記「200 OK」に含まれているSDP情報に、1つ以上のメディアレベル情報が含まれている場合、メディアレベル情報は、呼接続が完了した際に送受信されるメディアの候補から選択されたメディアを示す選択情報を構成する。
選択情報取得部17は、相手端末装置5が端末装置2に送信した上記「200 OK」に含まれているSDP情報から、選択情報を取得し、フィルタ情報設定部16は、フィルタ情報の設定によって通過が許可されたパケットのうちで、選択情報を構成するメディアレベル情報に基づいて、相手端末装置5から端末装置2に送信されたパケットを除き、候補情報を構成するメディアレベル情報に基づいてフィルタ情報が先に設定されているパケットの通過を許可しないように、フィルタ情報記憶部13に設定する。
また、フィルタ情報設定部16は、候補情報を構成したメディアレベル情報に基づいてフィルタ情報を先に設定することによって通過が許可されたパケットのうちで、相手端末装置5を除く送信元から端末装置2に送信されたパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を設定する。
なお、候補情報取得部15が候補情報を取得した際に、INVITEに含まれている情報から、相手端末装置5のIPアドレスを取得できる場合、フィルタ情報設定部16は、候補情報を構成するメディアレベル情報に基づいて、端末装置2に送信されたパケットの通過を許可するように、フィルタ情報記憶部13に記憶されているフィルタ情報を設定する際に、候補情報を構成したメディアレベル情報に基づいたフィルタ情報を、相手端末装置5から端末装置2に送信されたパケットに限って、通過を許可するように設定するようにしてもよい。
SIPに準拠して、端末装置2、相手端末装置5のいずれか一方から、他方に呼切断が要求される場合、呼切断要求信号として、メソッド「BYE」が、呼切断を要求する側から送信される。
相手端末装置5から端末装置2に、BYEが送信された場合、フィルタ情報設定部16は、呼接続時の処理によって最終的に設定されたフィルタ情報の設定によって、通過が許可されたパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を設定する。
また、端末装置2から相手端末装置5に、BYEが送信された場合、呼切断要求信号の応答を示す呼切断応答信号として、「200 OK」が、相手端末装置5から端末装置2に送信される。
BYEの送信に応じて、「200 OK」が相手端末装置5から端末装置2に送信された場合、フィルタ情報設定部16は、呼接続時の処理によって最終的に設定されたフィルタ情報によって、通過が許可されたパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を設定する。
図4は、パケットフィルタリング装置4において、フィルタ情報を設定する動作を示すフローチャートである。
なお、以下に示すフィルタ情報設定動作は、端末装置2から相手端末装置5に送信されたINVITEが、端末インタフェース11を介して、入力されたときにスタートする。
まず、端末インタフェース11に入力されたINVITEに含まれているSDP情報から、候補情報取得部15が、候補情報を取得する(S1)。
次に、候補情報取得部15が取得した候補情報を構成する各メディアレベル情報に基づいて、端末装置2に送信されたパケットの通過を許可するように、フィルタ情報設定部16が判断する(S2、S4)。
候補情報を構成する各メディアレベル情報に基づいて端末装置2に送信されたパケットの通過を許可するように、フィルタ情報記憶部13に記憶されているフィルタ情報が、フィルタ情報設定部16によって設定される(S3)。
端末装置2から相手端末装置5に送信されたINVITEに応じて、相手端末装置5から端末装置2に送信された上記「200 OK」が、ネットワークインタフェース12を介して、受信された場合(S5)、上記「200 OK」に含まれているSDP情報から、選択情報取得部17が選択情報を取得する(S6)。
次に、ステッブS3において、通過が許可されたパケットのうちで、選択情報に含まれている候補情報を構成するメディアレベル情報に基づいて、端末装置2に送信されたパケットを除くパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を、フィルタ情報設定部16が設定する(S7)。
また、ステップS3において、通過が許可されたパケットのうちで、相手端末装置5のIPアドレスを除いたIPアドレスを送信元とするパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を、フィルタ情報設定部16が設定する(S8)。
相手端末装置5から端末装置2に、BYEが送信された場合(S9)、ステップS3において通過が許可されたパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を、フィルタ情報設定部16が設定する(S12)。
また、端末装置2から相手端末装置5に、BYEが送信された場合(S10)、上記「200 OK」が、相手端末装置5から端末装置2に送信されたときに(S11)、フィルタ情報設定部16は、ステップS3において通過が許可されたパケットの通過を許可しないように、フィルタ情報記憶部13に記憶されているフィルタ情報を、フィルタ情報設定部16が設定する(S12)。
図5は、パケットフィルタリング装置4の具体的なハードウェア構成を示す図である。
パケットフィルタリング装置4は、図5に示すように、端末インタフェース11と、ネットワークインタフェース12の他に、中央処理装置20(Central Processing Unit、以下単に「CPU」という)、フラッシュメモリ21、ROM(Read Only Memory)22、RAM(Random Access Memory)23、押しボタン等の入力装置24、液晶ディスプレイ装置等の出力装置25を有する。
CPU20は、上記フィルタ情報設定動作を、パケットフィルタリング装置4に実行させるように記述されたパケットフィルタリング制御プログラムを、ROM22からRAM23にロードし、RAM23にロードしたパケットフィルタリング制御プログラムを実行することによって、図2に示すパケットフィルタ部14、候補情報取得部15、フィルタ情報設定部16、選択情報取得部17を実現する。また、フラッシュメモリ21は、フィルタ情報記憶部13を構成する。
図6は、実施例1において、パケットフィルタリング装置4を含む呼接続システムのシーケンス図である。
上記のように、パケットフィルタリング装置4によれば、図6に示すように、相手端末装置5から端末装置2に送信されたパケット30が候補の中のいかなるメディアレベル情報に基づいたものである場合でも、端末装置2が受信できるように、時刻31で設定される。したがって、相手端末装置5から端末装置2に送信された上記「200 OK」が、パケットフィルタリング装置4に到達した時刻32よりも早い時刻33に、パケット30が到達しても、パケット30が端末装置2に到達するので、パケット30によって構成されるメディアが頭切れを生じることなく、端末装置2に対する不正なアクセスを防止することができる。
なお、上記実施例では、パケットフィルタリング装置4に1つの端末装置2が接続されているが、パケットフィルタリング装置4に、複数の端末装置が接続されていてもよく、この場合にも、上記実施例における説明と同じように、説明することができる。
つまり、上記実施例は、先に提示される候補情報に従って、その候補情報に示されるパケットの通過許可が既に設定されているか否かの判断を特に必要とせずに、候補情報に示されるパケットの通過許可を実施する。
上記実施例であるパケットフィルタリング装置、パケットフィルタリング制御プログラムは、IP電話サービスを実現するIPネットワーク上に接続される、家庭内のルータ機器等の中継装置におけるファイアウォール等のパケットフィルタリング機能を有し、回線接続サービス業、通信サービス業、IPネットワーク中継装置製造業、ファイアウォールソフトウェア販売業等に利用することができる。
本発明の実施例1であるパケットフィルタリング装置4を含む呼接続システム1の構成を示すブロック図である。 呼接続システム1におけるパケットフィルタリング装置4の構成を示す機能ブロック図である。 フィルタ情報の例を説明する図である。 パケットフィルタリング装置4において、フィルタ情報を設定する動作を示すフローチャートである。 パケットフィルタリング装置4の具体的なハードウェア構成を示す図である。 実施例1において、パケットフィルタリング装置4を含む呼接続システムのシーケンス図である。 インターネット電話(以下、「IP電話」という)等における呼制御サービスにおける従来の呼接続システム101を示すブロック図である。 従来の呼接続システム101における動作を示すシーケンス図である。
符号の説明
1…呼接続システム、
2…端末装置、
3、53…ネットワーク、
4…パケットフィルタリング装置、
5…相手端末装置、
6、52、55…中継装置、
7、8…中継サーバ、
11…端末インタフェース、
12…ネットワークインタフェース
13…フィルタ情報記憶部、
14…パケットフィルタ部、
15…候補情報取得部、
16…フィルタ情報設定部、
17…選択情報取得部、
20…CPU、
21…フラッシュメモリ、
22…ROM、
23…RAM、
24…入力装置、
25…出力装置、
51、54…IP電話端末、
56、57…IP電話中継サーバ。

Claims (10)

  1. 端末装置とネットワークとの間に設けられるパケットフィルタリング装置において、
    上記ネットワークを介して上記端末装置に送信されたパケットが通過することを、許可するか否かを示すフィルタ情報を、記憶するフィルタ情報記憶部と;
    上記端末装置に送信されたパケットが上記端末装置に到達することを、上記フィルタ情報に基づいて制限するパケットフィルタ部と;
    上記端末装置から、上記ネットワークを介して、相手端末装置に送信された呼接続要求を示す呼接続要求信号の中から、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報を、取得する候補情報取得部と;
    上記候補情報に示されている受信ポート番号とプロトコルとに基づいて、上記端末装置に送信されたパケットの通過を許可するように、上記フィルタ情報を設定するフィルタ情報設定部と;
    を有することを特徴とするパケットフィルタリング装置。
  2. 請求項1において、
    上記呼接続要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼接続応答信号の中から、上記相手端末装置が上記組み合わせの候補から選択した受信ポート番号とプロトコルとの組み合わせを含む選択情報を、取得する選択情報取得部が設けられ、
    上記フィルタ情報設定部は、上記候補情報に基づいて設定された上記フィルタ情報に応じて通過が許可されたパケットのうちで、上記選択情報に含まれている受信ポート番号とプロトコルとに基づいて上記端末装置に送信されたパケットを除くパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であることを特徴とするパケットフィルタリング装置。
  3. 請求項1または請求項2において、
    上記フィルタ情報設定部は、上記選択情報に基づいて設定された上記フィルタ情報に応じて通過が許可されたパケットのうちで、上記相手端末装置を除く送信元から上記端末装置に送信されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であることを特徴とするパケットフィルタリング装置。
  4. 請求項1〜請求項3のいずれか1項において、
    上記フィルタ情報設定部は、上記相手端末装置が、上記端末装置に、呼切断の要求を示す呼切断要求信号を送信した場合、上記フィルタ情報の設定に応じて通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であることを特徴とするパケットフィルタリング装置。
  5. 請求項1〜請求項4のいずれか1項において、
    上記フィルタ情報設定部は、上記端末装置から上記相手端末装置に、呼切断の要求を示す呼切断要求信号が送信された場合、上記呼切断要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼切断応答信号に応じて、上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定する設定部であることを特徴とするパケットフィルタリング装置。
  6. 端末装置とネットワークとの間に設けられるパケットフィルタリング装置に実行させるパケットフィルタリング制御プログラムであって、
    上記ネットワークを介して上記端末装置に送信されたパケットの通過を許可するか否かを示すフィルタ情報をメモリに記憶し、上記フィルタ情報に基づいて、上記端末装置に送信されたパケットが上記端末装置に到達することを制限するステップと;
    上記端末装置から上記ネットワークに接続された相手端末装置に送信された呼接続要求を示す呼接続要求信号から、受信ポート番号とプロトコルとの組み合わせの候補を含む候補情報を取得し、メモリに記憶するステップと;
    上記候補情報に表された受信ポート番号とプロトコルとに基づいて、上記端末装置に送信されたパケットの通過を許可するように、上記フィルタ情報を設定するフィルタ情報設定ステップと;
    を、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラム。
  7. 請求項6において、
    上記呼接続要求信号に応じて、上記相手端末装置から上記端末装置に送信された呼接続応答信号から、上記相手端末装置が上記候補から選択した受信ポート番号とプロトコルとの組み合わせを含む選択情報を、取得するステップと;
    上記候補情報に基づいて上記フィルタ情報設定ステップで通過が許可されたパケットのうちで、上記選択情報に含まれた受信ポート番号とプロトコルとに基づいて上記端末装置に送信されたパケットを除くパケットの通過を許可しないように、上記フィルタ情報を設定するステップと;
    を、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラム。
  8. 請求項6または請求項7において、
    上記選択情報によって上記フィルタ情報設定ステップで通過が許可されたパケットのうちで、上記相手端末装置を除く送信元から上記端末装置に送信されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させることを特徴とするパケットフィルタリング制御プログラム。
  9. 請求項6〜請求項8のいずれか1項において、
    上記相手端末装置から上記端末装置に向けて呼切断の要求を示す呼切断要求信号が送信された場合、上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラム。
  10. 請求項6〜請求項9のいずれか1項において、
    上記端末装置から上記相手端末装置に向けて呼切断の要求を示す呼切断要求信号が送信された場合、上記呼切断要求信号に応じて上記相手端末装置から上記端末装置に送信された呼切断応答信号に応じて上記フィルタ情報の設定によって通過が許可されたパケットの通過を許可しないように、上記フィルタ情報を設定するステップを、上記パケットフィルタリング装置に実行させるパケットフィルタリング制御プログラム。
JP2004125827A 2004-04-21 2004-04-21 パケットフィルタリング装置およびパケットフィルタリング制御プログラム Expired - Fee Related JP4187209B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004125827A JP4187209B2 (ja) 2004-04-21 2004-04-21 パケットフィルタリング装置およびパケットフィルタリング制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004125827A JP4187209B2 (ja) 2004-04-21 2004-04-21 パケットフィルタリング装置およびパケットフィルタリング制御プログラム

Publications (2)

Publication Number Publication Date
JP2005311707A JP2005311707A (ja) 2005-11-04
JP4187209B2 true JP4187209B2 (ja) 2008-11-26

Family

ID=35439966

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004125827A Expired - Fee Related JP4187209B2 (ja) 2004-04-21 2004-04-21 パケットフィルタリング装置およびパケットフィルタリング制御プログラム

Country Status (1)

Country Link
JP (1) JP4187209B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010041758A1 (en) * 2008-10-06 2010-04-15 Nec Corporation Protection against unsolicited communication for internet protocol multimedia subsystem
JP5605237B2 (ja) * 2010-06-30 2014-10-15 沖電気工業株式会社 通信制御装置及びプログラム、並びに、通信システム

Also Published As

Publication number Publication date
JP2005311707A (ja) 2005-11-04

Similar Documents

Publication Publication Date Title
US20210297408A1 (en) Method and system for creating a virtual sip user agent by use of a webrtc enabled web browser
US7788383B2 (en) Communicating a selection of a potential configuration
US9515995B2 (en) Method and apparatus for network address translation and firewall traversal
US8989054B2 (en) IP device exchange apparatus and call connection changing method
EP2044747B1 (en) Technique for providing access to a media resource attached to a network-registered device
RU2660620C1 (ru) Устройство связи и способ обхода брандмауэра шлюза уровня приложения при установлении rtc-соединения связи между rtc-клиентом и rtc-сервером
EP2232820B1 (en) Location tagging method for packet based signalling
JP2004088772A (ja) 通話によるrtpデータストリームの監視
JP2008508752A (ja) ハイブリッド通信ネットワークにおけるネットワークアドレスを取り出す方法およびシステム
JP3698698B2 (ja) Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
US7564846B2 (en) Method of collecting communication system information
JP4794363B2 (ja) 端末接続プログラムおよび装置
JP2009194674A (ja) 通信端末装置および通信端末装置の制御方法
KR20080014126A (ko) 통신 방법 및 무선 통신 단말기
JP4187209B2 (ja) パケットフィルタリング装置およびパケットフィルタリング制御プログラム
JP4375740B2 (ja) ゲートウェイ装置および通信接続方法
JP4798785B2 (ja) Sip端末装置におけるピアツーピア接続の接続規制方法
CN108377246B (zh) 请求响应方法、系统、sip服务器及sip软终端
JP4889620B2 (ja) 通信ネットワークにおけるipパケット中継方法およびゲートウェイ装置
JP3698701B2 (ja) Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
JP6145409B2 (ja) 通信試験システム、通信試験方法、装置およびプログラム
JP2005215935A (ja) ファイアウォール
JP4839620B2 (ja) 呼制御システム、呼制御方法、および呼制御プログラム
JP4381190B2 (ja) Dmzを介した外部ネットワークからイントラネット上のサーバへの端末識別の登録
JP5096831B2 (ja) 通信装置及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080825

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080905

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080905

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110919

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120919

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130919

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees