JP4654613B2 - 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 - Google Patents
通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 Download PDFInfo
- Publication number
- JP4654613B2 JP4654613B2 JP2004179140A JP2004179140A JP4654613B2 JP 4654613 B2 JP4654613 B2 JP 4654613B2 JP 2004179140 A JP2004179140 A JP 2004179140A JP 2004179140 A JP2004179140 A JP 2004179140A JP 4654613 B2 JP4654613 B2 JP 4654613B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- communication
- time
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、インターネットプロトコル(以下IPと略称する)によるネットワークにおけるインターネット通信方法、インターネット通信に際してセキュリテイの向上が図れるアドレス配布システム、アドレス配布方法、通信端末に関する。
IPネットワークにおけるIPアドレスの割り当て方法(アドレス配布方法)としてグローバルアドレスと呼ばれる方法がある。この方法によれば、グローバルに一意なアドレス空間で端末を識別することができる。
このようなグローバルアドレスを持った端末はIPネットワークに接続されたどの端末からも到達可能であり、ピアツーピアで通信することが可能となる。しかし、アプリケーションによっては、利用するユーザが不特定の端末やセキュリティ対策の十分でない端末と通信を行う場合、不正な第三者にIPアドレスが知られることとにより、自端末がインターネットにおける不正使用の攻撃対象となったり、不正使用のために悪用されたりする危険性が生じる。
斯かる問題を解消するため、従来のIPネットワークでは一回限りのアドレスを使用して通信を行うことで、固定的なグローバルアドレスの公開を最小限にとどめながら、不特定の通信相手との間でもグローバルアドレスによるエンド・ツー・エンドの通信を可能とする仕組みが提供されている。また、使い終わったグローバルアドレスを端末から削除することで、そのグローバルアドレスが不正に入手された際の、端末との直接通信を不可能にすることも行われている。そのための仕組みとしては、ダイナミックホストコンフィグレーションプロトコル(Dynamic Host Configuration Protocol:DHCP)やIPv6アドレスを用いるテンポラリーアドレス(RFC3041)などがある。
前者のDHCPは、端末がIPネットワークに接続される際にIPアドレスを配布する仕組みである。しかし、DHCPがIPアドレスを配布するのは端末がネットワークに接続されるタイミングであり、アプリケーションによってIPアドレスを使い分けることはできない。また、端末がネットワーク接続を終了した場合に明示的に配布したアドレスの回収を行うわけではなく、端末にアドレスの削除を要求することはない。
また、後者のテンポラリーアドレスの方法では、端末が発信者になることのみを想定しており、自端末への着信を受け付ける機能を備えていない。
従来のIPアドレスはIPネットワークに固定的に接続される端末を一意に識別するための識別子であった。
しかし、最近は、端末の移動性が高くなってきたため、IPアドレスは端末そのものを特定するというよりも、その端末が接続されるIPネットワークのエンドポイントを識別するための識別子となりつつある。特に、IPv6ネットワークのようにIPアドレスがネットワークに接続されるタイミングで自動的に生成される場合にはその傾向が強くなる。またIPv6ネットワーキングではサブネットワークで扱うことのできるIPアドレスの数がIPv6ネットワークに比較してほぼ無制限と考えられる程度に多いため、一端末が複数のIPアドレスを使用することが実用的に可能である。
本発明は、上記問題点に鑑みなされたものである。その一態様としては、IPネットワークに、通信相手、使用アプリケーション、通信セッション等に対応してIPアドレス(グローバルアドレス)を端末に割り当て(アドレス配布)、また割り当てたIPアドレス(配布アドレス)を削除するIPアドレスを端末から削除、廃棄または管理するIPアドレス配布システムを設ける。
即ち、本発明は、上記したIPアドレスの特徴を活用して、通信相手やアプリケーションに対応した一時的なIPアドレスを使い分けることによりセキュアな通信を実現可能としている。具体的には一時的なIPアドレス(以降ワンタイムアドレスと呼ぶ)を端末に対して配布する仕組み、つまりワンタイムアドレス配布システムをネットワークに具備することにより、端末からのワンタイムアドレス配布要求あるいは他のシステムからの当該端末へのアドレス通知要求に従って当該端末へワンタイムアドレスを配布し、配布したワンタイムアドレスに基づいて端末間での通信セッションを開始する。端末に配布されたワンタイムアドレスは通信セッション終了後、当該端末側で削除、廃棄または管理する。
本発明によれば、端末のIPアドレスが通信相手の端末内に残ってしまった場合も、通信終了後に再びそのIPアドレスを利用して無用に通信が発生することを避けることができる。これによって、第三者による不正な通信アクセスを防止することができる。
以下、本発明の実施の形態について図面を参照して詳細に説明する。
<システム構成>
図1は、本発明を適用したネットワークシステムの概念を示す構成図である。
図1は、本発明を適用したネットワークシステムの概念を示す構成図である。
図1で示すように、本システムは、ワンタイムアドレス配布システム1とアドレス検索システム2と複数の端末(端末3a、3b)と複数のルータ(4a、4b)とネットワーク5を備える。
ネットワーク5はワンタイムアドレス配布システム1とアドレス検索システム2とルータ4a、4bを接続している。
ネットワーク5はワンタイムアドレス配布システム1とアドレス検索システム2とルータ4a、4bを接続している。
端末3a、3bはそれぞれルータ4a、4bを介してネットワーク5に接続されている。
ネットワーク5の例としては、IPv6プロトコルによるLAN、専用線によるIP網、インターネット(公衆IP網)及び移動体IP網やこれらのネットワークが相互接続されたネットワークなどが考えられる。
ネットワーク5の例としては、IPv6プロトコルによるLAN、専用線によるIP網、インターネット(公衆IP網)及び移動体IP網やこれらのネットワークが相互接続されたネットワークなどが考えられる。
アドレス検索システム2の例としては、セッションイニシエーションプロトコル(Session Initiation Protocol:SIP)またはデイーエヌエス(Domain Name System:DNS)プロトコルによる名前解決システムが考えられる。これらについては周知なので、その詳細説明は省略する。
<ワンタイムアドレス配布システム1の構成>
図2は、ワンタイムアドレス配布システム1の構成を示す機能ブロック図である。図3、図4、図5は、ワンタイムアドレス配布システム1の機能ブロック102、104、1072に格納されるテーブルを示している。
<ワンタイムアドレス配布システム1の構成>
図2は、ワンタイムアドレス配布システム1の構成を示す機能ブロック図である。図3、図4、図5は、ワンタイムアドレス配布システム1の機能ブロック102、104、1072に格納されるテーブルを示している。
ワンタイムアドレス配布システム1は、ユーザ情報管理部101とユーザ情報格納部(メモリ)102とアドレス配布ポリシー管理部103とアドレス配布ポリシー格納部(メモリ)104とアドレス生成部105とアドレス生成履歴情報格納部(メモリ)106とアドレス検索部107と通信制御部108を備える。また、ワンタイムアドレス配布システムは、シグナリング処理部109を備える。このシグナリング処理部109は必ずしも必要ではなく、場合によっては省略してもよい。
ユーザ情報格納部102には、図3に示すユーザ情報テーブル1021が格納される。該テーブルには、ユーザ名、ユーザID、固定IPアドレス、Prefix等がエントリされている。アドレスポリシー情報格納部104には、図4に示すアドレス配布ポリシー1041が格納される。該テーブルにはユーザID、送信元アドレス、アドレス配布ポリシー等がエントリされている。アドレス検索部107は、アドレス対応情報格納部1071とアドレス対応情報管理部1072を備え、アドレス対応情報格納部1071は、図5に示す固定アドレス検索テーブル10711が格納される。該テーブルにはユーザID、固定IPアドレス、ユーザのURI等がエントリされている。また、アドレス検索部107のアドレス対応情報管理部1072はドメインaaa.aaa.JPを管理している。
<端末3の構成>
図6は、端末3aの構成を示している。端末3aはNIF(ネットワークインターフェース)31とOS32と複数のアプリケーション35a、35bを備える。OS32は、通信制御部33を備える。
<端末3の構成>
図6は、端末3aの構成を示している。端末3aはNIF(ネットワークインターフェース)31とOS32と複数のアプリケーション35a、35bを備える。OS32は、通信制御部33を備える。
通信制御部33は、アドレス管理部331とパケット処理部332とセッション管理部333を備える。アドレス管理部331は図7、図8に示す如くアドレス保持テーブル3311とソースアドレス対応テーブル3312を記憶するメモリを備える。テーブル3311にはIPアドレス、アドレス種別等がエントリされている。テーブル3312には宛先アドレス、ポート番号、使用アドレス等がエントリされている。また、パケット処理部332は、図9に示す如くソースアドレス付与テーブル3321を記憶するメモリを備える。該テーブルには宛先アドレス、ポート番号、ソースアドレス等がエントリされている。通信相手端末3bも同様に構成されている。
<実施例1>
図10は、本発明の第1の実施形態におけるシーケンス図である。第1の実施例では、アドレス検索システム2としてDNSを使用した例である。また、第1の実施例は、端末3aが端末3bからの着信をダイナミックに生成されたワンタイムアドレスによって受け付ける例である。即ち、端末3aが受信元(着信側)、端末3bが送信元(発信側)とした場合の例である。
<実施例1>
図10は、本発明の第1の実施形態におけるシーケンス図である。第1の実施例では、アドレス検索システム2としてDNSを使用した例である。また、第1の実施例は、端末3aが端末3bからの着信をダイナミックに生成されたワンタイムアドレスによって受け付ける例である。即ち、端末3aが受信元(着信側)、端末3bが送信元(発信側)とした場合の例である。
まず、ステップS101において、端末3aをルータ4aを介してネットワーク5に接続し、IP通信可能な状態に設定する。即ち、端末3aとルータ4aとの間で、端末3aへの固定アドレス(X::1)の登録とルータ4aへのルーティングテーブルの設定を行う。アドレス登録の仕組みとしては、ルータとの間でIPアドレスの自動生成を行い、ルータ4aから端末3aに対して直接IPアドレスを設定するステートレスアドレス自動設定(RFC2462)方法と、DHCPサーバによるアドレスの自動配布(RFC1541)方法といった方法が考えられる。いずれかの方法で、端末3aはルータ4aから固定アドレスを獲得し、ルータ4aは、端末3aのアドレスに対応したルーティングテーブルを作成する。
次に、ステップS102において、端末3aは、獲得した固定アドレスを使ってワンタイムアドレス配布システム1に対してユーザ登録要求、ユーザ情報(図3参照)及びアドレス配布ポリシー情報(図4参照)を送信する。ユーザ情報は、ユーザ又は端末のユーザ名(端末A)とユーザID(A)と固定IPアドレス(X::1)とアドレスを作成するためのPrefix値(X::/64)とアドレス配布ポリシー情報(固定アドレスを通知してよいIPアドレスのリスト)を含む。なお、固定IPアドレスとPrefix値は、端末3aが送信するIPパケットに含まれる送信元アドレス情報で代用することも可能である。
次に、ステップS102において、端末3aは、獲得した固定アドレスを使ってワンタイムアドレス配布システム1に対してユーザ登録要求、ユーザ情報(図3参照)及びアドレス配布ポリシー情報(図4参照)を送信する。ユーザ情報は、ユーザ又は端末のユーザ名(端末A)とユーザID(A)と固定IPアドレス(X::1)とアドレスを作成するためのPrefix値(X::/64)とアドレス配布ポリシー情報(固定アドレスを通知してよいIPアドレスのリスト)を含む。なお、固定IPアドレスとPrefix値は、端末3aが送信するIPパケットに含まれる送信元アドレス情報で代用することも可能である。
ステップS103において、ワンタイムアドレス配布システム1は、端末3aから送信されたユーザ登録要求及びユーザ情報を受信すると、ユーザ登録を実施する。
ユーザ登録及びアドレス配布ポリシー登録については、図11aを参照して説明する。
ユーザ登録及びアドレス配布ポリシー登録については、図11aを参照して説明する。
まず、端末3aから送信されたユーザ登録要求及びユーザ情報は、ステップS102において、ワンタイムアドレス配布システム1の通信制御部108を介してユーザ情報管理部101に供給され、該ユーザ情報管理部にて受信される。ユーザ情報管理部1011は、ステップS103において、ユーザ登録要求に従い、受信したユーザ情報(図3参照)に基づいてユーザ情報格納部102内のユーザ登録テーブル1021に、該当するエントリ(ユーザID、固定IPアドレス、Prefix値)を追加する。なお、固定IPアドレスやPrefix値は、端末3aから受信したIPパケットの送信元ヘッダから情報を採取・生成することも可能である。
次に、ユーザ情報管理部101は、アドレス検索部107内のアドレス対応情報管理部1071に対して、端末3aのユーザID及び固定IPアドレスを送信する。アドレス対応情報管理部1071では、受信したユーザ識別子(ユーザID、固定IPアドレス)から端末3aのURI(A@aaa.aaa.jp)を生成し、アドレス対応情報格納部1072内のアドレス検索テーブル10721に該当するエントリを追加する。
また、ユーザ情報管理部1071は、アドレス配布ポリシー管理部103に対して端末3aのアドレス配布ポリシー情報(図4参照)を送信する。アドレス配布ポリシー管理部103は、受信したアドレス配布ポリシー情報に基づき、図4に示す如くアドレス配布ポリシー格納部103に端末3aのアドレス配布ポリシーテーブル1041を作成する。
次に、アドレス対応情報管理部1071は、ユーザ情報管理部101にアドレス対応情報の登録の完了及び端末3aのURI(A@aaa.aaa.jp)を送信する。
次に、ステップS104において、アドレス対応情報管理部1071からの登録完了通信を受信したら、ユーザ管理部101は、端末3aに対してURI情報及びユーザ登録完了通知を送信する。
以上をもって、ユーザ登録及びアドレス配布ポリシー登録が実行される。
次に、端末3bは、ステップS105において、アドレス検索システム2に対して端末3aの端末3bは、事前に端末3aのURI(A@aaa.aaa.jp)を取得しておく。に対応するIPアドレスの問合せを実施する。端末3bは、事前に端末3aのURI(A@aaa.aaa.jp)を取得しておく。
本実施例の場合は、アドレス検索システム(アドレス公開システム)2としてDNSを採用しているため、ワンタイムアドレス配布システム1内のアドレス検索部107が、端末3aが属するDNSサーバとして動作する。アドレス公開システム2内の単一又は複数のDNSサーバとのドメイン問合せ及び回答により、端末3bは、ステップS106において、最終的にワンタイムアドレス配布システム1に端末3aのURI(A@aaa.aaa.jp)に対応するIPアドレスを問い合わせる。
以下、端末3bから端末3aのIPアドレスの問合せについて図11bを参照して説明する。
以下、端末3bから端末3aのIPアドレスの問合せについて図11bを参照して説明する。
端末3bからのアドレス問合せを受信したアドレス情報管理部1071は、端末3aのユーザID(A)と端末3bのIPアドレス(Z::1)をアドレス配布ポリシー管理部103に送信する。アドレス配布ポリシー管理部103は、ステップS107において、アドレス配布ポリシー格納部104に格納された端末3aのアドレス配布ポリシーテーブル1041(図4参照)から、端末3bに対応するポリシーのエントリを検索する。
本実施例の場合、ユーザID(A)に関する端末3bに対するIPアドレスがワンタイムアドレスである(図9のX::1234:1234:1234:1234)。アドレス配布ポリシー管理部103は、アドレス対応情報管理部1071に対してポリシー検索結果を送信する。アドレス対応情報管理部1071は、ポリシー検索結果を受信すると、アドレス生成部105に対して、ワンタイムアドレスの生成要求と端末3aのユーザID(A)を送信する。
本実施例の場合、ユーザID(A)に関する端末3bに対するIPアドレスがワンタイムアドレスである(図9のX::1234:1234:1234:1234)。アドレス配布ポリシー管理部103は、アドレス対応情報管理部1071に対してポリシー検索結果を送信する。アドレス対応情報管理部1071は、ポリシー検索結果を受信すると、アドレス生成部105に対して、ワンタイムアドレスの生成要求と端末3aのユーザID(A)を送信する。
ワンタイムアドレス生成要求と端末3aのユーザIDを受信したアドレス生成部105は、ステッ108において、ワンタイムアドレスを生成し、端末3aに対してワンタイムアドレスの登録要求を送信する。
ワンタイムアドレス生成については、図11cを参照して説明する。
ワンタイムアドレスの生成要求と端末3aのユーザID(A)を受信したアドレス生成部105は、ユーザ情報管理部101に対して、端末3aのPrefix値問合せ要求と端末3aのユーザID(A)を送信する。アドレス生成部105からの問合せ要求を受信したユーザ情報管理部101は、ユーザ情報格納部102内のユーザ登録テーブル1021からユーザID(A)に対応するPrefix値を検索し、このPrefix値(X::/64)をアドレス生成部105に送信する。Prefix値を受信したアドレス生成部105は、乱数を利用して生成したIPアドレスの下位64ビットの値とPrefix値を合わせて、端末3aが使用するワンタイムアドレスを生成する。アドレス生成部105は、ステップS108において、アドレス生成履歴情報格納部106に格納されたアドレス生成履歴テーブル(図示せず)のエントリに生成したワンタイムアドレスと同じものがないことを確認し、生成したワンタイムアドレスに対応するエントリをアドレス生成履歴テーブルに追加する。このとき、生成したアドレスが現在使用されている又は既に使われたことがある場合は、ワンタイムアドレスを再生成してもよい。
次に、アドレス生成部105は、ワンタイムアドレスを生成した後、ステップS109において、端末3aに対してワンタイムアドレスの登録要求と生成したワンタイムアドレス情報を送信する。
端末3aのアドレス管理部331は、ステップS110において、ワンタイムアドレスの登録要求と生成したワンタイムアドレス情報を受信したら、アドレス管理部331内に格納されたIPアドレス保持テーブル3311に新しいエントリを追加する。
次に、ステップS111において、アドレス管理部331は、ワンタイムアドレスの登録が完了したら、ワンタイムアドレス配布システム1に対して、ワンタイムアドレス登録完了通知を送信する。
また、アドレス生成部105は、端末3aからワンタイムアドレス登録完了通知を受信すると、アドレス情報管理部1071に対してワンタイムアドレスの生成及び登録が完了したことを通知する。
しかる後、アドレス情報管理部1071は、ステップS112において、端末3bに対して、生成したワンタイムアドレスを端末3aのURI(A@aaa.aaa.jp)に対応するアドレスとして回答する。
以上をもってワンタッチアドレスの生成と端末3aへのワンタッチアドレス登録、端末3bへのアドレス通知を完了する。
端末3bは、端末3aのワンタイムアドレスを取得した後、ステップS113〜ステップS115において、該取得ワンタイムアドレスにより、端末3aとの間で通信セッションを確立する。即ち、端末3bは、ステップS113において端末3aとの間でワンタッチアドレスによる通信セッション要求SYNを行い、ステップ114において、端末3aからの通信セッション応答SYNACKを受け、ステップ115において、通信セッションACKを開始する。
通信が終了すると端末3bと端末3aは、ステップS116〜ステップS119において、セッションの終了処理を実施する。即ち、端末3aのセッション管理部333メッセージFIN、ACKを受信すると、即ち、セッション終了を識別すると、アドレス管理部331に対し、終了したセッションで使用していたワンタイムアドレス情報を送信する。ワンタイムアドレス情報を受信したアドレス管理部331は、ステップS120において、該管理部のIPアドレス保持テーブル3311(図7参照)から該当するエントリを削除、廃棄または管理する。
上記第1の実施例においては、ワンタイムアドレス配布システム1でワンタイムアドレス生成履歴部106を制御する構成としている。例えば端末3aにおけるワンタイムアドレス削除と同時に端末3aはワンタイムアドレス使用の終了をアドレス配布システム1に通知し、ワンタイムアドレス配布システム1におけるアドレス生成履歴情報格納部106において当該ワンタイムアドレスを使用済みエントリに移している。
また別の実施例としてワンタイムアドレス配布システム1において、一定時間経過後に配布したワンタイムアドレスをアドレス生成履歴情報格納部106において使用済みエントリに移すように構成しても良い。その場合には、使用済みエントリに移す時間(エージング時間)は端末からの指定あるいはシステムパラメータとしての設定に基づいて決定すれば良い。
さらに他の実施例としてアドレス生成履歴情報格納部106が生成付与したワンタイムアドレスに関して単にアドレス生成履歴のみを管理するように構成した実施形態でも良い。
図12は、本発明の第2の実施形態におけるシーケンス図である。第2の実施例では、アドレス検索システム2としてSIPを利用している。また、第1の実施例と同様に、端末3aが端末3bからの着信をダイナミックに生成されたワンタイムアドレスによって受け付ける例である。
ステップ201の固定アドレス登録(S201)、ステップS202のユーザ登録要求及びユーザ情報送信、ステップS203のユーザ登録、ステップS204のユーザ登録完了通知は、第1の実施例のステップS101、ステップS102、ステップS103、ステップS104と同様である。従って、その説明は省略する。
以下、端末3bと端末3a間のセッション確立について説明する。
事前に端末3aのURI(A@aaa.aaa.jp)を取得した端末3bは、ステップS205において、アドレス検索システム2に対して端末3aのURI(A@aaa.aaa.jp)を含むセッションの確立要求メッセージINVITEを送信し、通信セッションを確立する。
本実施例の場合は、アドレス検索システム(アドレス公開システム)2としてSIPを採用しているため、ワンタイムアドレス配布システム1内のシグナリング処理部109(図2参照)は、端末3aが属するSIPプロキシサーバとして動作する。また、アドレス検索部107は、シグナリング処理部109に対してロケーションサーバとして動作する。通信セッション確立要求メッセージは、ステップS206に於いて、アドレス公開システム2内の単一又は複数のSIPサーバの間でリレーにより、最終的にワンタイムアドレス配布システム1内のシグナリング処理109に受信される。シグナリング処理部109は、アドレス対応情報管理部1071に対して、端末3aのURI(A@aaa.aaa.jp)に対応するIPアドレスを問い合わせるとともに端末3bのIPアドレスを送信する。端末3bからのアドレス問合せを受信したアドレス情報管理部1071は、端末3aのユーザID(A)と端末3bのIPアドレスをアドレス配布ポリシー管理部103に送信する。
ステップS209のポリシー検索、ステップS210のワンタイムアドレス作成、ステップS211のワンタイムアドレス登録要求、ステップS212のワンタイムアドレス登録、ステップS213のワンタイムアドレス登録完了通知等は、それぞれ第1の実施例のステップS107、ステップS108、ステップS109、ステップS110、ステップS111と同様である。従って、その詳細説明は省略する。
以下、ステップS213におけるワンタイムアドレス完了通知後のシーケンスについて説明する。
ワンタイムアドレス配布システム1のアドレス生成部105は、ステップS213に於いて、端末3aからワンタイムアドレス登録完了通知を受信すると、アドレス情報管理部1071に対してワンタイムアドレスの生成及び登録が完了したことを通知する。アドレス情報管理部1071は、シグナリング処理部109に対して、生成したワンタイムアドレスをURI(A@aaa.aaa.jp)に対応するアドレスとして回答する。シグナリング処理部109は、ステップS214に於いて、ワンタイムアドレスを使用して、端末3aにセッションの要求メッセージを送信する。
次に、端末3aは、ステップS215において、ワンタイムアドレス配布システム1に対して、ワンタイムアドレスの情報が含まれたセッション要求受入のメッセージを送信する。
セッション要求受入のメッセージを受信したシグナリング処理部109は、ステップS216において、アドレス検索システム2に対して、端末3aのセッション要求受入のメッセージを転送する。
アドレス検索システム2は、ステップS217において、単一のサーバ又は複数のサーバを介して、セッション要求受入のメッセージを端末3bに送信する。
端末3bはステップS218において、セッション要求受入のメッセージを受け取ったというメッセージをアドレス検索システム2に送信する。
すると、このセッション要求受入のメッセージを受け取ったというメッセージは、ステップS219,220に於いて、アドレス検索システム2、ワンタイムアドレス配布システム1内のシグナリング処理部109を介して、端末3aに送信される。
以上のステップをもって端末3bと端末3aとの間の通信セッション準備に入ることができる。
次にステップS221において、端末3bから端末3aに対して発信することで、端末3aに着信する通信セッションが確立され、通信が行われる。
ステップS222において、通信セッションを終了する場合、例えば本実施例において、端末3aからセッションを終了する場合には、端末3aよりワンタイムアドレス配布システム1のシグナリング部109に対して、セッション終了要求メッセージBYEを送信する。
シグナリング部109は、ステップS223において、受信したセッション終了要求メッセージBYEをアドレス検索システム2に転送する。
シグナリング部109は、ステップS223において、受信したセッション終了要求メッセージBYEをアドレス検索システム2に転送する。
アドレス検索システム2は、ステップS224において、受信したセッション終了要求メッセージBYEを端末3bに転送する。
端末3bは、ステップS225において、セッション終了要求受入メッセージOKをアドレス検索システム2に対して送信する。セッション終了要求受入メッセージは、ステップS226、ステップS227において、アドレス検索システム2、シグナリング部109を介して端末3aに送信される。以上をもって、通信セッションが終了する。
ステップS228のワンタイムアドレス削除・廃棄は、第1の実施例のステップS120と同様である。従って、その説明は省略する。
ステップS228のワンタイムアドレス削除・廃棄は、第1の実施例のステップS120と同様である。従って、その説明は省略する。
本実施例は、発信時にセッション/通信相手のIPアドレス毎にIPアドレスを変更する例である。
図13は、本発明の第3の実施形態におけるシーケンス図、図14は、その通信セッション開始要求及びフィルタリングの詳細シーケンスである。第3の実施例においては、端末3aが送信元(発信側)であり、アドレス配布ポリシーに基づいてダイナミックに生成されたワンタイムアドレスを使用して、端末3bへの通信を実施する例である。
図13、図14において、ステップS301の固定アドレス登録、ステップS302のユーザ登録要求及びユーザ情報送信、ステップS303のユーザ登録、ステップS304のユーザ登録完了通知、第1の実施例のステップS101、ステップS102、ステップS103、ステップS104と同様である。従って、その説明は省略する。
なお、本実施例では、アドレス配布ポリシー1はソースアドレス付与ポリシーとして、端末3a内のアドレス管理部331に登録するため、ワンタイムアドレス配布システム1へのワンタイムアドレス配布ポリシーの登録はなくてもよい。
次に、ステップS306において、端末3aは、端末3aのOS32に送信する。ここで、端末3aは事前に端末3bのIPアドレスを端末3a内のアプリケーション34a(本実施例ではHTTPプロトコルを利用することとする)に取り込んでおく。
これによって、アプリケーション34aは、端末3bとの間で通信セッションを開始するため、端末3bのIPアドレスと宛先ポート番号(80)とデータグラムをアドレス管理部331及びOS32の通信制御部33に送信する。
通信制御部33内のアドレス管理部331は、ステップS307において、ソースアドレス対応テーブル3312(図8参照)から、受信した端末3bのIPアドレスと宛先ポート番号の組に該当するエントリを検索する。本実施例の場合、「アドレスany、ポート番号80、ワンタイムアドレス」というポリシーに該当する。
通信制御部33内のアドレス管理部331は、ステップS307において、ソースアドレス対応テーブル3312(図8参照)から、受信した端末3bのIPアドレスと宛先ポート番号の組に該当するエントリを検索する。本実施例の場合、「アドレスany、ポート番号80、ワンタイムアドレス」というポリシーに該当する。
アドレス管理部331は、該当したポリシーに基づき、ワンタイムアドレス配布システム1にワンタイムアドレスの作成要求及びユーザID(A)を送信する。
次に、ワンタイムアドレス配布システム1内のユーザ情報管理部101は、ユーザ情報格納部102内のユーザ登録テーブル1021(図3参照)からユーザID(A)に対応するPrefix値を検索し、アドレス生成部105に送信する。
Prefix値を受信したアドレス生成部105は、ステップS309において、乱数を利用して生成したIPアドレスの下位64ビットの値とPrefix値を合わせて、端末3aが使用するワンタイムアドレスを生成する。アドレス生成部105は、アドレス生成履歴情報格納部106に格納されたアドレス生成履歴テーブルのエントリに生成したワンタイムアドレスと同じものがないことを確認し、生成したワンタイムアドレスに対応するエントリを追加する。このとき、生成したアドレスが現在使用されている又は既に使われたことがある場合は、ワンタイムアドレスを再生成してもよい。
アドレス生成部105は、ステップS310において、端末3aに対してワンタイムアドレスの登録要求と生成したワンタイムアドレス情報を送信する。
端末3aのアドレス管理部331は、ステップS311において、生成したワンタイムアドレス情報を受信したら、アドレス管理部331内に格納されたIPアドレス保持テーブル3311(図7参照)に新しいエントリを追加するとともに、パケット処理部332にユーザ端末3bのIPアドレス、ポート番号(80)、ワンタイムアドレス(X::1234:1234:1234:1234)を送信する。パケット処理部は受信した情報に基づいて、ソースアドレス付与テーブル3321(図9参照)にエントリを追加する。
アドレス管理部331は、ステップS312において、ワンタイムアドレスの登録が完了したら、ワンタイムアドレス配布システム1に対して、ワンタイムアドレス登録完了通知を送信してもよい。
通信セッションを実施している際のIPパケット処理部332は、アドレス管理部331から送信された宛先アドレスと宛先ポート番号の組に基づいて、ソースアドレス付与テーブル3321(図9参照)を検索し、該当するエントリに基づいてソースアドレスを選択し、IPヘッダを生成する。生成したIPヘッダによってデータグラムをカプセル化してネットワークインターフェース311に送信する。
通信セッションを実施している際のIPパケット処理部332は、アドレス管理部331から送信された宛先アドレスと宛先ポート番号の組に基づいて、ソースアドレス付与テーブル3321(図9参照)を検索し、該当するエントリに基づいてソースアドレスを選択し、IPヘッダを生成する。生成したIPヘッダによってデータグラムをカプセル化してネットワークインターフェース311に送信する。
ここで、ステップS313〜ステップS315における通信セッションの確立、ステップS316〜ステップS319における通信セッションの終了は、それぞれ第1の実施例のステップS113〜ステップ119と同様である。従って、その説明は省略する。
端末3aのセッション管理部333が、ステップS318において、通信セッション終了のメッセージFINを受信すると、アドレス管理部331及びIPパケット処理部332に対し、終了したセッションで使用していたワンタイムアドレス情報を送信する。ワンタイムアドレス情報を受信したアドレス管理部331は、IPアドレス保持テーブル3311から該当するエントリを削除する。また、IPパケット処理部332は、ステップS320において、ソースアドレス付与テーブル3321から該当するエントリを削除する。
以上の3つの実施例では、ワンタイムアドレスを利用するケースを説明したが、アドレス配布ポリシーに固定アドレスで通信する相手を登録することで、固定アドレスによる通信も可能となる。また、ワンタイムアドレスによる通信と固定アドレスによる通信を同時に行うことも可能である。
以上の3つの実施例では、ワンタイムアドレスを利用するケースを説明したが、アドレス配布ポリシーに固定アドレスで通信する相手を登録することで、固定アドレスによる通信も可能となる。また、ワンタイムアドレスによる通信と固定アドレスによる通信を同時に行うことも可能である。
本発明の実施例ではワンタイムアドレスが通信セッションに関与する一方の端末に配布される場合のみ記述した。しかし、本発明の方法が通信セッションに関与する双方の端末へのワンタイムアドレスの使用にも適用できること、また一対一通信以外のn(複数)対m通信や一対m(複数)通信にも適用可能であることは明らかである。
本発明の方法を特定の端末との通信においてのみ適用する実施形態もある。この場合、端末を特定するためのデータベースを設置し、特定の端末からのアドレス検索要求またはアドレス通知要求に対してはワンタイムアドレスを使用することにより可能である。この実施例においては特定の端末に対してのみワンタイムアドレスを使用した通信セッションが可能であるという効果がある。
本発明の方法を特定の端末との通信においてのみ適用する実施形態もある。この場合、端末を特定するためのデータベースを設置し、特定の端末からのアドレス検索要求またはアドレス通知要求に対してはワンタイムアドレスを使用することにより可能である。この実施例においては特定の端末に対してのみワンタイムアドレスを使用した通信セッションが可能であるという効果がある。
また、本発明の別の実施形態として発側の端末において特定の通信アプリケーションを実行する場合に当該アプリケーションを実行するための通信セッションに使用するアドレスとしてワンタイムアドレスを要求使用する構成がある。本実施例においてはアプリケーションに応じてワンタイムアドレスを使い分けることが可能であるという効果がある。
以上述べたように、特定の条件にあった通信セッションに対して一度限りのIPアドレスを動的に生成して使用することで、端末のIPアドレスが通信相手の端末内の残ってしまった場合も、通信終了後に再びそのIPアドレスを利用して無用に通信が発生することを避けることができる。また、通信終了後に使用したIPアドレスが、通信相手端末から第三者によって不正に入手され、第三者がそのIPアドレスを利用してDOS攻撃を試みても、端末に被害は及ばない。また、端末が踏み台に利用されることを防ぐことも可能である。
以上述べたように、特定の条件にあった通信セッションに対して一度限りのIPアドレスを動的に生成して使用することで、端末のIPアドレスが通信相手の端末内の残ってしまった場合も、通信終了後に再びそのIPアドレスを利用して無用に通信が発生することを避けることができる。また、通信終了後に使用したIPアドレスが、通信相手端末から第三者によって不正に入手され、第三者がそのIPアドレスを利用してDOS攻撃を試みても、端末に被害は及ばない。また、端末が踏み台に利用されることを防ぐことも可能である。
1:ワンタイム配付システム
2:アドレス検索システム
3a、3b:端末
4a、4b:ルータ
5:ネットワーク
101:ユーザ情報管理部
102:ユーザ情報格納部
103:アドレス配付ポリシー管理部
104:アドレス配付ポリシー格納部
105:アドレス生成部
106:アドレス生成履歴情報格納部
107:アドレス検索部
1071:アドレス対応情報管理部
1072:アドレス対応情報格納部
108:通信制御部
109:シグナリング処理部
1021:ユーザ登録テーブル
1041:ユーザAのアドレス配布ポリシーテーブル
31:NIF
32:OS
33:通信制御部
331:アドレス管理部
332:パケット処理部
333:セッション管理部
34a、34b:アプリケーション
3311:アドレス保持テーブル
3312:ソースアドレス対応テーブル
3321:ソースアドレス付与テーブル
2:アドレス検索システム
3a、3b:端末
4a、4b:ルータ
5:ネットワーク
101:ユーザ情報管理部
102:ユーザ情報格納部
103:アドレス配付ポリシー管理部
104:アドレス配付ポリシー格納部
105:アドレス生成部
106:アドレス生成履歴情報格納部
107:アドレス検索部
1071:アドレス対応情報管理部
1072:アドレス対応情報格納部
108:通信制御部
109:シグナリング処理部
1021:ユーザ登録テーブル
1041:ユーザAのアドレス配布ポリシーテーブル
31:NIF
32:OS
33:通信制御部
331:アドレス管理部
332:パケット処理部
333:セッション管理部
34a、34b:アプリケーション
3311:アドレス保持テーブル
3312:ソースアドレス対応テーブル
3321:ソースアドレス付与テーブル
Claims (6)
- ネットワークに接続される複数の端末と、アドレス配布システムとからなる通信システ
ムであって、
前記アドレス配布システムは、
前記第一の端末から、前記第二の端末との通信セッションに使用するアドレスの要求
を受信する機能と、
前記アドレスの要求に基づき、第一のアドレスを生成し、前記第一の端末に配布する
機能と、
前記第一の端末から、前記第二の端末のアドレスの通知要求を受信する機能と、
前記第二の端末のアドレスの通知要求に基づいて前記第二の端末に配布する第二のア
ドレスを生成し、前記第二の端末に配布する機能と、
前記第二のアドレスを前記第一の端末に通知する機能とを有し、
前記第一の端末及び前記第二の端末は、
前記第一のアドレス及び前記第二のアドレスを基に、前記第一の端末と前記第二の端
末の間で通信セッションを確立し、
前記通信セッションの終了に基づいて、前記配布されたアドレスを削除または、使用
済みとして管理する機能を有することを特徴とする通信システム。 - 前記アドレス配布システムは、配布したアドレスの履歴情報を有し、
前記端末へのアドレスの生成と配布では、前記履歴情報に基づいて、配布していないア
ドレスを配布することを特徴とする請求項1記載の通信システム。 - 前記端末は、前記配布されたアドレスと、前記端末が使用するポート番号との対応を記
憶し、
前記ポート番号を利用する際に、当該ポート番号と対応付けられたアドレスを使用して
通信する機能を有することを特徴とする請求項1記載の通信システム。 - ネットワークに接続される複数の端末と、アドレス配布システムとからなる通信システ
ムにおける通信方法であって、
前記アドレス配布システムにより、
前記第一の端末から、前記第二の端末との通信セッションに使用するアドレスの要求
を受信するステップと、
前記アドレスの要求に基づき、第一のアドレスを生成し、前記第一の端末に配布する
ステップと、
前記第一の端末から、前記第二の端末のアドレスの通知要求を受信するステップと、
前記第二の端末のアドレスの通知要求に基づいて前記第二の端末に配布する第二のア
ドレスを生成し、前記第二の端末に配布するステップと、
前記第二のアドレスを前記第一の端末に通知するステップとを有し、
前記第一の端末及び前記第二の端末により、
前記第一のアドレス及び前記第二のアドレスを基に、前記第一の端末と前記第二の端
末の間で通信セッションを確立し、
前記通信セッションの終了に基づいて、前記配布されたアドレスを削除または、使用
済みとして管理するステップを有することを特徴とする通信方法。 - 請求項4記載の通信方法であって、
配布したアドレスの履歴情報を有し、前記端末へのアドレスの生成と配布では、前記履
歴情報に基づいて、配布していないアドレスを配布することを特徴とする通信方法。 - 請求項4記載の通信方法であって、
前記端末により、
前記配布されたアドレスと、前記端末が使用するポート番号との対応を記憶するステ
ップと、
前記ポート番号を利用する際に、当該ポート番号と対応付けられたアドレスを使用し
て通信するステップを有することを特徴とする通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004179140A JP4654613B2 (ja) | 2004-06-17 | 2004-06-17 | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004179140A JP4654613B2 (ja) | 2004-06-17 | 2004-06-17 | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010206231A Division JP5120431B2 (ja) | 2010-09-15 | 2010-09-15 | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006005606A JP2006005606A (ja) | 2006-01-05 |
| JP4654613B2 true JP4654613B2 (ja) | 2011-03-23 |
Family
ID=35773624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004179140A Expired - Fee Related JP4654613B2 (ja) | 2004-06-17 | 2004-06-17 | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4654613B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007101378A1 (fr) * | 2006-03-06 | 2007-09-13 | Huawei Technologies Co., Ltd. | Dispositif, procédé et système pour acquérir une adresse ipv6 |
| JP2007312038A (ja) * | 2006-05-17 | 2007-11-29 | Fuji Electric Retail Systems Co Ltd | ネットワークアドレス管理装置 |
| JP2009187087A (ja) * | 2008-02-04 | 2009-08-20 | Nec Corp | 支援システム、ユーザ端末、方法及びプログラム |
| WO2010100850A1 (ja) * | 2009-03-06 | 2010-09-10 | 日本電気株式会社 | 通信方法、通信システム、匿名化装置、サーバ |
| JP5611422B2 (ja) * | 2013-06-27 | 2014-10-22 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム、及びシステム |
| JP2015046828A (ja) * | 2013-08-29 | 2015-03-12 | ブラザー工業株式会社 | ノード装置及びプログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002010324A (ja) * | 2000-06-21 | 2002-01-11 | Nec Commun Syst Ltd | 移動通信システム、移動通信中継装置及びコンピュータ読み取り可能な記憶媒体 |
| JP2003198582A (ja) * | 2001-12-21 | 2003-07-11 | Toshiba Corp | ネットワークシステム、ルータ、ホスト、プレフィクス管理方法及びipアドレス管理方法 |
| JP2004007512A (ja) * | 2002-04-17 | 2004-01-08 | Canon Inc | 公開鍵証明書提供装置 |
| JP2004228829A (ja) * | 2003-01-22 | 2004-08-12 | Hitachi Ltd | メッセージ変換装置、及びip電話装置 |
-
2004
- 2004-06-17 JP JP2004179140A patent/JP4654613B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002010324A (ja) * | 2000-06-21 | 2002-01-11 | Nec Commun Syst Ltd | 移動通信システム、移動通信中継装置及びコンピュータ読み取り可能な記憶媒体 |
| JP2003198582A (ja) * | 2001-12-21 | 2003-07-11 | Toshiba Corp | ネットワークシステム、ルータ、ホスト、プレフィクス管理方法及びipアドレス管理方法 |
| JP2004007512A (ja) * | 2002-04-17 | 2004-01-08 | Canon Inc | 公開鍵証明書提供装置 |
| JP2004228829A (ja) * | 2003-01-22 | 2004-08-12 | Hitachi Ltd | メッセージ変換装置、及びip電話装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006005606A (ja) | 2006-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8250184B2 (en) | System, network entities and computer programs for configuration management of a dynamic host configuration protocol framework | |
| JP4020576B2 (ja) | パケット転送方法、移動端末装置及びルータ装置 | |
| KR100442594B1 (ko) | 무선통신 시스템의 패킷 데이터 서비스 방법 및 장치 | |
| US6687252B1 (en) | Dynamic IP address allocation system and method | |
| JP4819953B2 (ja) | IPv4ネットワークベースのIPv6サービス提供システムにおける制御トンネル及びダイレクトトンネルの設定方法 | |
| EP1460815B1 (en) | System, method and gateway for dynamically allocating a home network address to a mobile node in a foreign network | |
| JP4511603B2 (ja) | 公衆陸上移動網におけるピア・ツー・ピア通信を提供するための構成 | |
| JP3675800B2 (ja) | 音声通話ソフトウェア、及び音声通話装置 | |
| US20080215669A1 (en) | System and Method for Peer-to-Peer Connection of Clients Behind Symmetric Firewalls | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| JP2012505579A (ja) | Natトラバーサル方法及び装置 | |
| JP5147995B2 (ja) | ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 | |
| JP4186733B2 (ja) | 通信システム、端末及びアドレス生成方法 | |
| EP2317733A1 (en) | Communications system | |
| US20040133684A1 (en) | Method and device for l2tp reconnection handling | |
| JP4654613B2 (ja) | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 | |
| JP2005033250A (ja) | 中継装置とポートフォワード設定方法 | |
| JP5120431B2 (ja) | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 | |
| Pierrel et al. | A policy system for simultaneous multiaccess with host identity protocol | |
| JP4889617B2 (ja) | ゲートウエイ装置および通信制御方法 | |
| JP2004200822A (ja) | 通信方法および情報処理装置 | |
| JP4242752B2 (ja) | アドレス表管理方法、及び、端末 | |
| JP2008125010A (ja) | Ip電話通信システム、ip電話通信方法、およびそのプログラム | |
| JP4790067B2 (ja) | Ipネットワークシステム、ゲートウエイ装置及びip機器 | |
| Deng et al. | PCP WG M. Boucadair, Ed. Internet-Draft France Telecom Intended status: Informational T. Zheng Expires: November 5, 2012 P. NG Tung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060424 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060913 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080613 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090303 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091117 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100114 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100622 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100915 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101124 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101207 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |