JP4372075B2 - 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 - Google Patents
通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 Download PDFInfo
- Publication number
- JP4372075B2 JP4372075B2 JP2005281031A JP2005281031A JP4372075B2 JP 4372075 B2 JP4372075 B2 JP 4372075B2 JP 2005281031 A JP2005281031 A JP 2005281031A JP 2005281031 A JP2005281031 A JP 2005281031A JP 4372075 B2 JP4372075 B2 JP 4372075B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing apparatus
- broadband router
- request
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるNAT越え機能実現方法に関し、特にブロードバンドルータのNAT越え(Network Address Translator Traversal)機能の実現方法に関する。
今日、PC(Personal Computer)やブロードバンドルータには、ネットワーク接続を利用した情報家電等の広まりに伴って、標準的に、NAT越え機能が実装されている。このNAT越え機能の実現方法は以下のような方法がある。
ここで、NAT越えについて説明する。一般的なブロードバンドルータでは、NAT/IP(Internet Protocol)マスカレード機能によってIPヘッダ内のIPアドレスをLAN(Local Area Network)側ではプライベートアドレス、インタネット側ではグローバルアドレスに変換している。
また、IPマスカレードはLAN側からインタネット側へ接続要求を送出した場合に記憶される変換テーブルにしたがって、インタネット側から返ってきたパケットをLAN側の各端末に転送する仕掛けであり、インタネット側からの接続要求は通らない。P2P(Peer to Peer)アプリケーションによっては、以上の理由によってブロードバンドルータの下では動作しないものも存在する。UPnP(Universal Plug and Play)にはNAT越え機能が定義されており、この問題を解決するための方法が示されているので、多くのブロードバンドルータがこれらの方法を採用している。
NAT越え機能の実現方法としては、(1)UPnP−IGD(UPnP−Internet Gateway Device)、(2)STUN[Simple Traversal of UDP(User Datagram Protocol) Through NATs(Network Address Translators)]がある。
UPnP−IGDはUPnPフォーラム(Forum)で標準化されたデバイス制御プロトコルの一つで、ネットワーク上に接続されたNATデバイス(Device)を検出して制御する手順が規定されている。コントロールポイント(Control Point)であるPC上のアプリケーションは、UPnPによってNATデバイスを検出し、NATに対して必要とするポートマッピングを追加することで、そのポートを使用してリモートホストとの通信を行っている。
また、STUNは非特許文献1で規定されたUDPのためのシンプルなNAT越えプロトコルとして規定されたものである。この方法は、NATボックスに直接働きかけず、外部サーバを立て、その外部サーバと定期的に通信することによって、外部サーバ経由で外部からの着信を受け、該当ポートを開ける仕組みとなっている。
上述した従来のNAT超え機能の実現方法では、(1)UPnP−IGDの場合、リモートホストをワイルドカードとすると、不特定のユーザとの通信が可能であり、P2Pアプリケーション等では便利であるが、セキュリティ面における問題がある。また、(1)UPnP−IGDの場合には、リモートホストを特定アドレスとすると、セキュリティ面における問題を回避することが可能であるが、相手側が限定されるため、P2Pアプリケーション等では使いにくい。
一方、(2)STUNの場合には、上記の(1)UPnP−IGDにおける問題点を補完することが可能であるが、外部サーバを立ち上げなければならないため、運用コスト面及び利用者が増えた場合のサーバ負荷増大という問題が発生する。
上記のように、従来のNAT超え機能の実現方法では、UPnPやSTUNによる実現が一般的になっているが、上述した通り、セキュリティ面での問題、コスト面での問題が付随している。
そこで、本発明の目的は上記の問題点を解消し、既存方式のセキュリティ面やコスト面での問題を解決することができる通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるNAT越え機能実現方法を提供することにある。
本発明による通信システムは、相手側の情報処理装置からのアクセス要求をブロードバンドルータにて中継して要求先の情報処理装置に通知する通信システムであって、
前記相手側の情報処理装置は、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータは、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置は、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置は、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータは、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行っている。
前記相手側の情報処理装置は、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータは、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置は、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置は、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータは、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行っている。
本発明によるブロードバンドルータは、相手側の情報処理装置からのアクセス要求を中継し、そのアクセス要求を要求先の情報処理装置に通知するブロードバンドルータであって、
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知する手段と、
前記要求先の情報処理装置において前記イベンティングメッセージに付加した前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可の判断結果が通知された時にその判断結果を前記相手側の情報処理装置に通知する手段とを備え、
前記要求先の情報処理装置が前記相手側の情報処理装置との接続を許可する場合に要求するポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行う手段を具備している。
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知する手段と、
前記要求先の情報処理装置において前記イベンティングメッセージに付加した前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可の判断結果が通知された時にその判断結果を前記相手側の情報処理装置に通知する手段とを備え、
前記要求先の情報処理装置が前記相手側の情報処理装置との接続を許可する場合に要求するポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行う手段を具備している。
本発明による情報処理装置は、ブロードバンドルータにて中継された相手側の装置からのアクセス要求を受信して処理する情報処理装置であって、
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求が前記ブロードバンドルータからイベンティングメッセージとして通知された時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の装置との接続の許可/不許可を判断する手段とを備え、
前記相手側の装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求して前記ブロードバンドルータにおける前記ポートマッピングの実行によるNAT(Network Address Translator Traversal)越えを行っている。
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求が前記ブロードバンドルータからイベンティングメッセージとして通知された時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の装置との接続の許可/不許可を判断する手段とを備え、
前記相手側の装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求して前記ブロードバンドルータにおける前記ポートマッピングの実行によるNAT(Network Address Translator Traversal)越えを行っている。
本発明によるNAT越え機能実現方法は、相手側の情報処理装置からのアクセス要求をブロードバンドルータにて中継して要求先の情報処理装置に通知する通信システムに用いるNAT(Network Address Translator Traversal)越え機能実現方法であって、
前記相手側の情報処理装置が、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータが、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置が、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置が、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータが、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT越えを行っている。
前記相手側の情報処理装置が、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータが、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置が、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置が、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータが、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT越えを行っている。
すなわち、本発明の通信システムは、ブロードバンドルータのNAT越え(Network Address Translator Traversal)機能に関し、既存方式のセキュリティ面やコスト面の問題を解決するものである。
本発明の通信システムでは、相手側PC(Personal Computer)がアプリケーションの実行に必要なIP(Internet Protocol)アドレス、ポート、プロトコル等の情報を付加したアクセス要求を作成して転送し、ブロードバンドルータがそのアクセス要求を受信すると、そのアクセス要求をイベンティングメッセージとして該当PCに通知している。
イベンティングメッセージを受信したPCは、IPアドレス、ポート、プロトコル等の情報に基づいて接続の許可/不許可を判断し、許可する場合、OKをブロードバンドルータに返すので、ブロードバンドルータはポートマッピングを実行してNAT超えを行う。また、そのPCは不許可の場合、エラー(ERROR)をブロードバンドルータに返すので、ブロードバンドルータはポートマッピングを行わない。
また、本発明の通信システムでは、相手側PCがアクセス要求に署名情報を添付することも可能である。この場合、イベンティングメッセージを受信したPCは、署名情報を認証し、正当と判断した場合、接続を許可し、OKをブロードバンドルータに返すので、ブロードバンドルータはポートマッピングを実行してNAT超えを行う。また、そのPCは正当と判断できなかった場合、エラーをブロードバンドルータに返すので、ブロードバンドルータはポートマッピングを行わない。
さらに、本発明の通信システムでは、相手側PCがアクセス要求に有効期限情報を添付することも可能である。この場合、イベンティングメッセージを受信したPCは、付加されてきた有効期限情報を付加してブロードバンドルータにポートマッピング要求を行う。ブロードバンドルータは、付加されてきた有効期限情報を基に、有効期限が経過したらポートマッピングを削除する。
より具体的に説明すると、本発明の通信システムでは、相手側PCからアドレス、ポート、プロトコル情報を付加したアクセス要求が来ると、ブロードバンドルータがGENA(Generic Event Notification Architecture)メソッドの仕組みによって、上記のアドレス、ポート、プロトコル情報を付加したイベントメッセージを該当するPCへ送る。
イベントメッセージを受信したPCはそのアクセス要求を有効と判断した場合、イベントレスポンスをブロードバンドルータへ送信する。ブロードバンドルータはイベントレスポンスを受信すると、レスポンスをインタネットを介して相手側PCへ送信し、アクセス要求が認可されたことを通知する。
この場合、イベントメッセージを受信したPCでは、ポートマッピング追加要求を上記のアドレス、ポート、プロトコル情報を付加してブロードバンドルータへ送るので、ブロードバンドルータはポートマッピング追加要求にしたがってポートマッピングを行う。これ以後、相手側PCとイベントメッセージを受信したPCとの間の通信が可能となる。
上記のように、本発明の通信システムでは、UPnP−IGD(Universal Plug and Play−Internet Gateway Device)でリモートホストをワイルドカードにした場合のように無条件でポートを開放しないため、セキュリティ性を向上させることが可能となる。
また、本発明の通信システムでは、アクセス要求が発生する毎に、そのアドレスに対してのポートマッピングを行うので、UPnP−IGDでリモートホストを特定アドレスにした場合に不可能であった不特定な相手からのアクセスも許容することが可能となる。
さらに、本発明の通信システムでは、STUN[Simple Traversal of UDP(User Datagram Protocol) Through NATs(Network Address Translators)]のように外部サーバを新たに必要とすることもないため、コストを抑えることが可能となり、ユーザの手元のPC上で相手の接続許可/不許可が設定可能となるため、運用手段としても簡単となる。
さらにまた、本発明の通信システムでは、今日、インタネットの標準プロトコルであるGENAやUPnPの機能を流用するため、既存のPCやブロードバンドルータ、ネットワーク家電等にも受け入れやすく、また実装コストを抑えることが可能となる。
本発明は、以下に述べるような構成及び動作とすることで、既存方式のセキュリティ面やコスト面での問題を解決することができるという効果が得られる。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例による通信システムの構成を示すブロック図である。図1において、本発明の一実施例による通信システムは、UPnP(Universal Plug and Play)コントロールポイント(Control Point)機能を持つPC(Personal Computer)1と、UPnP−IGD(UPnP−Internet Gateway Device)機能を持つブロードバンドルータ2と、相手側PC3と、LAN(Local Area Network)回線100と、WAN(Wide Area Network)回線200と、インタネット300とから構成されている。
PC1はLAN回線100を介してブロードバンドルータ2に接続され、ブロードバンドルータ2はWAN回線200を介してインタネット300へ接続される。相手側PC3はインタネット300の先に接続されている。
図2は図1のPC1及びブロードバンドルータ2の構成例を示すブロック図である。図2において、PC1はUPnPコントロールポイント制御部11を備えて、ブロードバンドルータ2はLANインタフェース21と、UPnP−IGDを制御するUPnP IGD制御部22と、ポートマッピングテーブルを生成してメモリ部26に記憶するポートマッピング制御部23と、ルータ機能を実現するルータ部24と、WANインタフェース25と、メモリ部26とから構成されている。
図3は一般的なUPnPによるポートマッピングの追加方法のシーケンスを示すシーケンスチャートであり、図4はUPnPコントロールステージにおいてコントロールポイントがIGDを制御する動作を表す図であり、図5はUPnPコントロールステージにて使用するプロトコルを示す図である。
図6はGENA(Generic Event Notification Architecture)の仕組みを表す図であり、図7はイベンティングに使用するプロトコルを示す図であり、図8は本発明の一実施例による通信システムの動作を示すシーケンスチャートである。これら図1〜図8を参照して本発明の一実施例による通信システムの動作について説明する。
PC1はUPnPコントロールポイント機能11を有し、LAN回線100を介してブロードバンドルータ2に接続され、ブロードバンドルータ2はWAN回線200を介してインタネット300に接続されている。相手側PC3はインタネット300を介してPC1への接続を試みる。
図3は一般的なUPnPによるポートマッピングの追加方法のシーケンスを示しており、図4はUPnPコントロールステージにおいてUPnPコントロールポイント12がUPnP IGD27を制御する動作を表しており、図5はUPnPコントロールステージにて使用するプロトコルを示している。ここで、図5において、UPnPコントロールステージにて使用するプロトコル(b)は、UPnPヘッダ(b1)、UPnPフォーム(b2)、UPnPデバイスアーキテクチャ(b3)、SOAP(Simple Object Access Protocol)(b4)、HTTP(Hyper Text Transfer Protocol)(b5)、TCP(Transmission Control Protocol)(b6)、IP(Internet Protocol)(b7)からなる。
UPnPコントロールポイント12はSOAP(b4)を使用して作成したアクションリクエスト101を、HTTP(b5)を介してTCP(b6)/IP(b7)によってUPnP IGD27に送信する。また、UPnP IGD27はリクエストの結果をSOAPでカプセル化したレスポンス102を、HTTPを介してTCP/IPによってUPnPコントロールポイント12に送信する。
PC1はNAT越えを実現するため、ブロードバンドルータ2に対してポートマッピングの追加を要求する(図3のa1参照)。その際のメッセージはPC1からのポートマッピング追加要求(Add Port Mapping)であり、SOAPでカプセル化されている。ブロードバンドルータ2はその要求を受付可能と判断すれば、ポートマッピング追加受付(Add Port Mapping Response)のメッセージをPC1に返す(図3のa2参照)。
以降、インタネット300とPC1との間でマッピングされたポート宛のパケット(図3のa3,a5参照)はブロードバンドルータ2にてマッピングテーブルの情報によって転送されるので(図3のa4,a6参照)、ブロードバンドルータ2におけるNAT越えが実現する。
図6はGENAの仕組みを表しており、図7はイベンティングに使用するプロトコルを示している。ここで、図7において、イベンティングに使用するプロトコル(c)は、UPnPヘッダ(c1)、UPnPフォーム(c2)、UPnPデバイスアーキテクチャ(c3)、SOAP(c4)、HTTP(c5)、HTTP(c5)内のGENA(c6)、TCP(c7)、IP(c8)からなる。
UPnPコントロールポイント(購読者)12は予め購読したいUPnP IGD27へサブスクライブメッセージ111を発行して購読を要求する。サブスクライブメッセージ111はGENAメソッドにしたがってフォーマットされ、HTTPを介してTCP/IPによって送信される。
UPnP IGD27はイベントが発生して通知が必要になった場合、購読要求のあったUPnPコントロールポイント(購読者)12に対してユニキャストでイベントメッセージ113を通知する。イベントメッセージ113はGENAメソッドにしたがってフォーマットされ、HTTPを介してTCP/IPによって送信される。
上記の図3に示すポートマッピングの仕組みと図6に示すGENAの仕組みとを利用して、図8に示す本発明の一実施例による通信システムの動作について説明する。相手側PC3はインタネット300を介してアプリケーションの実行に必要なアドレス、ポート、プロトコル情報を付加したPC1へのアクセス要求をブロードバンドルータ2へ送信する(図8のd0,d1参照)。
ブロードバンドルータ2はそのアクセス要求を受信すると、図6に示すイベントメッセージ113に相当するイベントメッセージを、上記のアドレス、ポート、プロトコル情報を付加してPC1へ送信する(図8のd2参照)。PC1は付加されてきたアドレス、ポート、プロトコル情報を基に、このイベントメッセージによる接続要求の許可/不許可を判断する(図8のd3参照)。
PC1は接続許可と判断した場合、上記の図6に示すイベントレスポンス114に相当するイベントレスポンスを、ブロードバンドルータ2へ送信するとともに(図8のd4参照)、図3に示すポートマッピング追加要求(図3のa1)に相当するポートマッピング追加要求を、ブロードバンドルータ2へ送信する(図8のd7参照)。
ブロードバンドルータ2はイベントレスポンスを受信すると、インタネット300を介して相手側PC3へレスポンスを送信し(図8のd5,d6参照)、アクセス要求が許可されたことを相手側PC3に通知する。また、ブロードバンドルータ2はポートマッピング追加要求の受信によって、ポートマッピングを行い(図8のd8参照)、ポートマッピングテーブルを作成してポートマッピング追加受付をPC1へ送信する(図8のd9参照)。
以降、相手側PC3からのPC1へのアクセス要求はブロードバンドルータ2にてポートマッピングテーブルの参照によって自動的にPC1へ接続され(図8のd10〜d12参照)、PC1からの相手側PC3への要求も、上記と同様にして自動的に相手側PC3へ通信される(図8のd13〜d15参照)。以上によって、本実施例では、指定ポートによるNAT越えが実現する。
PC1が接続不許可と判断した場合には、PC1からブロードバンドルータ2にエラー(Error)レスポンスが返されるので、ブロードバンドルータ2がポートマッピングを行うことはない。
以上のように、アクセス要求のあったインタネットアドレス毎に、PC1側は接続許可/不許可を判断し、その判断結果を基にブロードバンドルータ2にてポートマッピングが行われ、その都度、該当アドレス、ポート、プロトコルについてNAT越えが実現される。
このように、本実施例では、UPnP IGD27でリモートホストをワイルドカードにした場合のように無条件でポートを開放しないため、セキュリティ性を向上させることができる。
また、本実施例では、アクセス要求が発生する毎に、そのアドレスに対してのポートマッピングを行うので、UPnP IGD27でリモートホストを特定アドレスにした場合に不可能であった不特定な相手からのアクセスも許容することができる。
さらに、本実施例では、STUNのように、外部サーバを新たに必要とすることもないため、コストを抑えることができ、ユーザの手元のPC1上で相手の接続許可/不許可を設定することができるため、運用手段としても簡単となる。
さらにまた、本実施例では、今日、インタネットの標準プロトコルであるGENAやUPnPの機能を流用するため、既存のPCやブロードバンドルータ、ネットワーク家電等にも受け入れやすく、また実装コストを抑えることもできる。
図9は本発明の他の実施例による通信システムの動作を示すシーケンスチャートである。本発明の他の実施例による通信システムは図1に示す本発明の一実施例による通信システムと同様の構成となっており、その構成要素であるPC及びブロードバンドルータは図2に示す本発明の一実施例によるPC1及びブロードバンドルータ2と同様の構成となっている。
また、本発明の他の実施例による通信システムの基本シーケンスは、図8に示す本発明の一実施例による通信システムの基本シーケンスと同様であるが、相手側PC3がアクセス要求を送信する際に、例えば認証局(図示せず)が発行する電子証明書等の署名情報を付加して送信する点(図9のe0〜e2参照)が異なっている。
本実施例では、この署名情報を認証することで、PC1による接続許可/不許可を判断し(図9のe3参照)、通信相手の正当性を確認し、いわゆるなりすましやメッセージ改ざんといった不正アクセスを防止し、さらにセキュリティ性を高めることができる。
図10は本発明の別の実施例による通信システムの動作を示すシーケンスチャートである。本発明の別の実施例による通信システムは図1に示す本発明の一実施例による通信システムと同様の構成となっており、その構成要素であるPC及びブロードバンドルータは図2に示す本発明の一実施例によるPC1及びブロードバンドルータ2と同様の構成となっている。
また、本発明の別の実施例による通信システムの基本シーケンスは、図9に示す本発明の他の実施例による通信システムの基本シーケンスと同様であるが、相手側PC3がアクセス要求を送信する際に、上記の署名情報とともに、有効期限情報を付加して送信する点(図10のf0〜f2参照)が異なっている。
PC1はその有効期限情報をポートマッピング追加要求に付加してブロードバンドルータ2に送信することで(図10のf7参照)、ポートマッピングの有効期限を設定することができる。ブロードバンドルータ2は有効期限が経過すると(図10のf16参照)、ポートマッピングテーブルから該当するマッピング情報を削除し(図10のf17参照)、以降、該当PC間のNAT越えを行わない。以上によって、本実施例では、NAT越えの有効期限を設定することができ、さらにセキュリティ性を高めることができる。
本発明は、上記の実施例で述べたように、UPnP対応アプリケーション、ブロードバンドルータといった用途に適用することができる。
1 PC
2 ブロードバンドルータ
3 相手側PC
11 UPnPコントロールポイント制御部
12 UPnPコントロールポイント
21 LANインタフェース
22 UPnP IGD制御部
23 ポートマッピング制御部
24 ルータ部
25 WANインタフェース
26 メモリ部
27 UPnP IGD
100 LAN回線
200 WAN回線
300 インタネット
b UPnPコントロールステージにて使用するプロトコル
b1,c1 UPnPヘッダ
b2,c2 UPnPフォーム
b3,c3 UPnPデバイスアーキテクチャ
b4,c4 SOAP
b5,c5 HTTP
b6,c7 TCP
b7,c8 IP
c イベンティングに使用するプロトコル
c6 GENA
2 ブロードバンドルータ
3 相手側PC
11 UPnPコントロールポイント制御部
12 UPnPコントロールポイント
21 LANインタフェース
22 UPnP IGD制御部
23 ポートマッピング制御部
24 ルータ部
25 WANインタフェース
26 メモリ部
27 UPnP IGD
100 LAN回線
200 WAN回線
300 インタネット
b UPnPコントロールステージにて使用するプロトコル
b1,c1 UPnPヘッダ
b2,c2 UPnPフォーム
b3,c3 UPnPデバイスアーキテクチャ
b4,c4 SOAP
b5,c5 HTTP
b6,c7 TCP
b7,c8 IP
c イベンティングに使用するプロトコル
c6 GENA
Claims (12)
- 相手側の情報処理装置からのアクセス要求をブロードバンドルータにて中継して要求先の情報処理装置に通知する通信システムであって、
前記相手側の情報処理装置は、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータは、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置は、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置は、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータは、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行うことを特徴とする通信システム。 - 前記要求先の情報処理装置は、前記相手側の情報処理装置との接続を不許可とする場合にエラーを前記ブロードバンドルータに返信し、前記ブロードバンドルータに前記ポートマッピングを要求しないことを特徴とする請求項1記載の通信システム。
- 前記相手側の情報処理装置は、前記アクセス要求に有効期限情報を添付し、
前記要求先の情報処理装置は、前記イベンティングメッセージに付加された有効期限情報を前記ブロードバンドルータへの前記ポートマッピングの要求に付加し、
前記ブロードバンドルータは、前記要求に付加された有効期限情報に基づいて前記ポートマッピングを削除することを特徴とする請求項1または請求項2記載の通信システム。 - 相手側の情報処理装置からのアクセス要求を中継し、そのアクセス要求を要求先の情報処理装置に通知するブロードバンドルータであって、
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知する手段と、
前記要求先の情報処理装置において前記イベンティングメッセージに付加した前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可の判断結果が通知された時にその判断結果を前記相手側の情報処理装置に通知する手段とを有し、
前記要求先の情報処理装置が前記相手側の情報処理装置との接続を許可する場合に要求するポートマッピングを実行してNAT(Network Address Translator Traversal)越えを行う手段を含むことを特徴とするブロードバンドルータ。 - 前記相手側の情報処理装置からの前記アクセス要求に添付された有効期限情報を前記イベンティングメッセージに付加して前記要求先の情報処理装置に通知する手段と、前記要求先の情報処理装置からの前記ポートマッピングの要求に付加された有効期限情報に基づいて前記ポートマッピングを削除する手段とを含むことを特徴とする請求項4記載のブロードバンドルータ。
- 相手側の情報処理装置からのアクセス要求を中継し、そのアクセス要求を要求先の情報処理装置に通知するブロードバンドルータであって、
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知する手段と、
前記要求先の情報処理装置において前記イベンティングメッセージに付加した前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可の判断結果が通知された時にその判断結果を前記相手側の情報処理装置に通知する手段とを有し、
前記相手側の情報処理装置からの前記アクセス要求に添付された有効期限情報を前記イベンティングメッセージに付加して前記要求先の情報処理装置に通知する手段と、前記要求先の情報処理装置からの前記ポートマッピングの要求に付加された有効期限情報に基づいて前記ポートマッピングを削除する手段とを含むことを特徴とするブロードバンドルータ。 - ブロードバンドルータにて中継された相手側の装置からのアクセス要求を受信して処理する情報処理装置であって、
前記相手側の情報処理装置からのアプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報が付加されたアクセス要求が前記ブロードバンドルータからイベンティングメッセージとして通知された時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の装置との接続の許可/不許可を判断する手段とを有し、
前記相手側の装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求して前記ブロードバンドルータにおける前記ポートマッピングの実行によるNAT(Network Address Translator Traversal)越えを行うことを特徴とする情報処理装置。 - 前記相手側の装置との接続を不許可とする場合にエラーを前記ブロードバンドルータに返信し、前記ブロードバンドルータに前記ポートマッピングを要求しないことを特徴とする請求項7記載の情報処理装置。
- 前記ブロードバンドルータからの前記イベンティングメッセージに付加された有効期限情報を前記ブロードバンドルータへの前記ポートマッピングの要求に付加して送信する手段を含み、
前記ブロードバンドルータが、前記要求に付加された有効期限情報に基づいて前記ポートマッピングを削除することを特徴とする請求項7または請求項8のいずれか記載の情報処理装置。 - 相手側の情報処理装置からのアクセス要求をブロードバンドルータにて中継して要求先の情報処理装置に通知する通信システムに用いるNAT(Network Address Translator Traversal)越え機能実現方法であって、
前記相手側の情報処理装置が、アプリケーションの実行に必要なアドレスとポートとプロトコルとを少なくとも示す情報を付加したアクセス要求を作成して前記ブロードバンドルータに転送し、
前記ブロードバンドルータが、前記アクセス要求を受信した時にそのアクセス要求をイベンティングメッセージとして前記要求先の情報処理装置に通知し、
前記要求先の情報処理装置が、前記イベンティングメッセージを受信した時にそのイベンティングメッセージに付加された前記情報に基づいて前記相手側の情報処理装置との接続の許可/不許可を判断し、
前記要求先の情報処理装置が、前記相手側の情報処理装置との接続を許可する場合に接続可を前記ブロードバンドルータに返信するとともに、前記ブロードバンドルータにポートマッピングを要求し、
前記ブロードバンドルータが、前記接続可を受信した時に前記接続を許可する旨を前記相手側の情報処理装置に通知するとともに、前記要求先の情報処理装置からの要求に応答して前記ポートマッピングを実行してNAT越えを行うことを特徴とするNAT越え機能実現方法。 - 前記要求先の情報処理装置が、前記相手側の情報処理装置との接続を不許可とする場合にエラーを前記ブロードバンドルータに返信し、前記ブロードバンドルータに前記ポートマッピングを要求しないことを特徴とする請求項10記載のNAT越え機能実現方法。
- 前記相手側の情報処理装置が、前記アクセス要求に有効期限情報を添付し、
前記要求先の情報処理装置が、前記イベンティングメッセージに付加された有効期限情報を前記ブロードバンドルータへの前記ポートマッピングの要求に付加し、
前記ブロードバンドルータが、前記要求に付加された有効期限情報に基づいて前記ポートマッピングを削除することを特徴とする請求項10または請求項11記載のNAT越え機能実現方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005281031A JP4372075B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005281031A JP4372075B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007096554A JP2007096554A (ja) | 2007-04-12 |
| JP4372075B2 true JP4372075B2 (ja) | 2009-11-25 |
Family
ID=37981750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005281031A Expired - Fee Related JP4372075B2 (ja) | 2005-09-28 | 2005-09-28 | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4372075B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5024610B2 (ja) | 2007-05-31 | 2012-09-12 | ソニー株式会社 | 情報処理システム、情報処理装置、情報処理方法、及びプログラム |
| CN101557388B (zh) | 2008-04-11 | 2012-05-23 | 中国科学院声学研究所 | 一种基于UPnP和STUN技术相结合的NAT穿越方法 |
| JP5570399B2 (ja) * | 2010-11-29 | 2014-08-13 | 三菱電機株式会社 | 記録装置 |
| WO2017164132A1 (ja) * | 2016-03-23 | 2017-09-28 | 日本電気株式会社 | 管理装置、l3cpe、及びこれらの制御方法 |
| JP7311780B2 (ja) * | 2019-10-28 | 2023-07-20 | 株式会社バッファロー | ルータ、制御プログラム、端末装置、通信システム |
-
2005
- 2005-09-28 JP JP2005281031A patent/JP4372075B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007096554A (ja) | 2007-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8086740B2 (en) | Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer | |
| JP4222397B2 (ja) | 中継サーバ | |
| US8526352B2 (en) | Method of controlling an entity of a remote network from a local network | |
| US20090147795A1 (en) | TCP Traversal Through Network Address Translators (NATS) | |
| CN106604119B (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
| JP2010020777A (ja) | ゼロ−インストールipセキュリティ | |
| JP4372075B2 (ja) | 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法 | |
| GB2412272A (en) | Communication between internal networks through gateways over an external network | |
| TWI629598B (zh) | 利用公有雲端網路的方法、私有雲端路由伺服器及智慧型裝置客戶端 | |
| TWI537744B (zh) | 不利用公用雲端型路由伺服器之私有雲端路由伺服器、私有網路服務及智慧型裝置客戶端架構 | |
| JP2009010606A (ja) | トンネル接続システム、トンネル管理サーバ、トンネル接続装置、及びトンネル接続方法 | |
| US11206172B2 (en) | Method for establishing a management session between an item of equipment and a device for management of this item of equipment | |
| JP2010154097A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| JP2008098935A (ja) | 中継サーバ | |
| Hwang et al. | Personal mobile A/V control point for home-to-home media streaming | |
| JP3935823B2 (ja) | Httpセッション・トンネリング・システム、その方法、及びそのプログラム | |
| KR100872240B1 (ko) | Sip 기반 통신 서비스 제공시스템 및 그 방법 | |
| KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
| JP4401302B2 (ja) | 通信管理システム、通信管理方法、及び通信管理プログラム | |
| JP4648436B2 (ja) | パケット振り分け装置、通信システム、パケット処理方法、及びプログラム | |
| JP2006352710A (ja) | パケット中継装置及びプログラム | |
| JPH1132088A (ja) | ネットワークシステム | |
| JP6913132B2 (ja) | データ送信補助方法 | |
| JP4355696B2 (ja) | ルータ、パケットフォワード方法、およびパケットフォワードプログラム | |
| JP4789980B2 (ja) | トンネル通信システムおよび制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081209 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090825 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090901 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130911 Year of fee payment: 4 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |