JP5126209B2 - Access point and access point packet relay control method - Google Patents
Access point and access point packet relay control method Download PDFInfo
- Publication number
- JP5126209B2 JP5126209B2 JP2009274969A JP2009274969A JP5126209B2 JP 5126209 B2 JP5126209 B2 JP 5126209B2 JP 2009274969 A JP2009274969 A JP 2009274969A JP 2009274969 A JP2009274969 A JP 2009274969A JP 5126209 B2 JP5126209 B2 JP 5126209B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- ipsec
- wireless lan
- packets
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、公衆無線LANに用いられるアクセスポイントおよびアクセスポイントのパケット中継制御方法に関する。 The present invention relates to an access point used for a public wireless LAN and a packet relay control method for the access point.
飲食店や駅などに、無線LAN(Local Area Network)端末によるインターネットを介した情報の送受信を中継するためのアクセスポイントが設置されている。 An access point for relaying transmission / reception of information via the Internet by a wireless LAN (Local Area Network) terminal is installed in a restaurant or a station.
そして、公衆が利用可能な無線LANである公衆無線LANのアクセスポイントには、ユーザの認証を行うものと行わないものとがある。 There are public wireless LAN access points, which are publicly available wireless LANs, with and without user authentication.
特許文献1には、公衆無線LANのアクセスポイントを介してVPN(Virtual Private Network)に接続可能なシステムが記載されている。
公衆無線LANのアクセスポイントがユーザの認証を行う場合には、アクセスポイントの設置等をした特定のインターネットサービスプロバイダに契約等をしているユーザ以外のユーザは、当該アクセスポイントを利用することができない。よって、ユーザ認証を行うアクセスポイントは、利便性が低い。 When a public wireless LAN access point authenticates a user, a user other than a user who has contracted with a specific Internet service provider who installed the access point cannot use the access point. . Therefore, the access point that performs user authentication is less convenient.
特許文献1に記載されているシステムでは、接続認証サーバによって認証されたユーザ以外のユーザは、公衆無線LANを利用して情報を送受信することができず、利便性が低い。
In the system described in
また、公衆無線LANのアクセスポイントがユーザの認証を行なわない場合には、当該アクセスポイントを利用するユーザを特定することができず、当該アクセスポイントを介してユーザが不正行為等を行っても、そのユーザを追跡することは困難である。 In addition, when the access point of the public wireless LAN does not authenticate the user, the user who uses the access point cannot be specified. Even if the user performs an illegal act or the like through the access point, It is difficult to track the user.
そこで、本発明は、利便性が高く、アクセスポイントがユーザの認証を行わない場合でも、ユーザの不正行為を防止したり、不正行為を行ったユーザの追跡を容易にすることができる公衆無線LANのアクセスポイントおよびアクセスポイントのパケット中継制御方法を提供することを目的とする。 Therefore, the present invention is highly convenient, and even when the access point does not authenticate the user, the public wireless LAN that can prevent the user's fraud and can easily track the user who has performed the fraud. It is an object to provide an access point and a packet relay control method for the access point.
本発明によるアクセスポイントは、無線LAN端末とパケットを送受信する無線LAN通信手段と、インターネットを介して、受信したIPsecパケットを復号してインターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信手段と、無線LAN通信手段が受信したパケットおよびインターネット通信手段が受信したパケットのうち、IKEパケットとIPsecパケットとが通過可能なパケットフィルタリング手段と、パケットフィルタリング手段を通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理手段と、パケットフィルタリング手段を通過したIPsecパケットのうち、記憶手段に記憶されていない送信元IPアドレスのIPsecパケットを破棄するパケット破棄手段とを備え、無線LAN通信手段は、インターネット通信手段が受信したパケットのうち、パケットフィルタリング手段を通過したパケットを無線LAN端末に送信し、インターネット通信手段は、無線LAN通信手段が受信したパケットのうち、パケットフィルタリング手段を通過したパケットをIPsecサーバに送信することを特徴とする。
また、本発明によるアクセスポイントは、無線LAN端末とパケットを送受信する無線LAN通信手段と、インターネットを介して、受信したIPsecパケットを復号してインターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信手段と、無線LAN通信手段が受信したパケットおよびインターネット通信手段が受信したパケットのうち、IKEパケットとIPsecパケットとが通過可能なパケットフィルタリング手段と、パケットフィルタリング手段を通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理手段と、パケットフィルタリング手段を通過したIPsecパケットのうち、記憶手段に記憶されていない宛先IPアドレスのIPsecパケットを破棄するパケット破棄手段とを備え、無線LAN通信手段は、インターネット通信手段が受信したパケットのうち、パケットフィルタリング手段を通過したパケットを無線LAN端末に送信し、インターネット通信手段は、無線LAN通信手段が受信したパケットのうち、パケットフィルタリング手段を通過したパケットをIPsecサーバに送信することを特徴とする。
The access point according to the present invention includes a wireless LAN communication unit that transmits and receives packets to and from a wireless LAN terminal, an IPsec server that decrypts received IPsec packets via the Internet, and transmits packets to other devices connected to the Internet. Of the packet received by the Internet communication means for transmitting and receiving, the packet received by the wireless LAN communication means and the packet received by the Internet communication means , the packet filtering means capable of passing the IKE packet and the IPsec packet, and the IKE packet passing through the packet filtering means Address management means for storing the source IP address and destination IP address in the storage means, and of the source IP address not stored in the storage means among the IPsec packets that have passed through the packet filtering means And a discarding packet discarding means Psec packet, the wireless LAN communication means, among the packets Internet communication unit receives, and sends the packet through a packet filtering means to the wireless LAN terminal, the Internet communication means, a wireless LAN Of the packets received by the communication means, a packet that has passed through the packet filtering means is transmitted to the IPsec server.
An access point according to the present invention includes a wireless LAN communication unit that transmits and receives packets to and from a wireless LAN terminal, an IPsec server that decrypts received IPsec packets and transmits them to other devices connected to the Internet. Internet communication means for transmitting and receiving packets, packet filtering means through which IKE packets and IPsec packets can pass among packets received by wireless LAN communication means and packets received by Internet communication means, and IKE that has passed through packet filtering means Address management means for storing the packet source IP address and destination IP address in the storage means, and among the IPsec packets that have passed through the packet filtering means, destination IP addresses not stored in the storage means. A packet discarding unit that discards the IPsec packet, wherein the wireless LAN communication unit transmits a packet that has passed through the packet filtering unit among packets received by the Internet communication unit to the wireless LAN terminal, and the Internet communication unit Of the packets received by the LAN communication means, a packet that has passed through the packet filtering means is transmitted to the IPsec server.
本発明によるアクセスポイントのパケット中継制御方法は、無線LAN端末とパケットを送受信する無線LAN通信ステップと、インターネットを介して、受信したIPsecパケットを復号してインターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信ステップと、無線LAN通信ステップで受信したパケットおよびインターネット通信ステップで受信したパケットのうち、IKEパケットとIPsecパケットとを通過させる処理を行うパケットフィルタリングステップと、フィルタリングステップの処理で通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理ステップと、フィルタリングステップの処理で通過したIPsecパケットのうち、記憶手段に記憶されていない送信元IPアドレスのIPsecパケットを破棄するステップとを含み、無線LAN通信ステップで、インターネット通信ステップで受信したパケットのうち、パケットフィルタリングステップの処理で通過したパケットを無線LAN端末に送信し、インターネット通信ステップで、無線LAN通信ステップで受信したパケットのうち、パケットフィルタリングステップの処理で通過したパケットをIPsecサーバに送信することを特徴とする。
また、本発明によるアクセスポイントのパケット中継制御方法は、無線LAN端末とパケットを送受信する無線LAN通信ステップと、インターネットを介して、受信したIPsecパケットを復号してインターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信ステップと、無線LAN通信ステップで受信したパケットおよびインターネット通信ステップで受信したパケットのうち、IKEパケットとIPsecパケットとを通過させる処理を行うパケットフィルタリングステップと、フィルタリングステップの処理で通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理ステップと、フィルタリングステップの処理で通過したIPsecパケットのうち、記憶手段に記憶されていない宛先IPアドレスのIPsecパケットを破棄するステップとを含み、無線LAN通信ステップで、インターネット通信ステップで受信したパケットのうち、パケットフィルタリングステップの処理で通過したパケットを無線LAN端末に送信し、インターネット通信ステップで、無線LAN通信ステップで受信したパケットのうち、パケットフィルタリングステップの処理で通過したパケットをIPsecサーバに送信することを特徴とする。
The access point packet relay control method according to the present invention includes a wireless LAN communication step for transmitting / receiving a packet to / from a wireless LAN terminal, and decrypts the received IPsec packet via the Internet and transmits it to another device connected to the Internet. Internet communication step for transmitting / receiving packets to / from an IPsec server, a packet filtering step for performing a process of passing an IKE packet and an IPsec packet out of the packet received in the wireless LAN communication step and the packet received in the Internet communication step, and a filtering step The address management step for storing the transmission source IP address and the destination IP address of the IKE packet passed in the processing in the storage means, and the IPsec pass passed in the filtering step processing Of Tsu bets, and a discarding step the IPsec packet source IP address which is not stored in the storage means, a wireless LAN communication step, among the packets received by the Internet communication step, passing in the processing of packet filtering step The transmitted packet is transmitted to the wireless LAN terminal, and in the Internet communication step, among the packets received in the wireless LAN communication step, the packet that has passed through the packet filtering step is transmitted to the IPsec server.
Also, the packet relay control method for an access point according to the present invention includes a wireless LAN communication step for transmitting / receiving packets to / from a wireless LAN terminal, and decrypting received IPsec packets via the Internet to other devices connected to the Internet. An Internet communication step for transmitting and receiving packets with the IPsec server to be transmitted, a packet filtering step for performing a process of passing an IKE packet and an IPsec packet among the packets received at the wireless LAN communication step and the packets received at the Internet communication step; Address management step for storing the source IP address and the destination IP address of the IKE packet passed in the filtering step processing in the storage means, and the IPs passed in the filtering step processing a step of discarding an IPsec packet of a destination IP address that is not stored in the storage means among the c packets, and the packet received in the packet filtering step among the packets received in the Internet communication step in the wireless LAN communication step The packet is transmitted to the wireless LAN terminal, and the packet that has passed through the packet filtering step among the packets received in the wireless LAN communication step is transmitted to the IPsec server in the Internet communication step.
本発明によれば、ユーザ認証を行わない利便性の高いアクセスポイントを提供することができる。 According to the present invention, it is possible to provide a convenient access point that does not perform user authentication.
また、アクセスポイントがユーザの認証を行わずに、ユーザの不正行為を防止したり、不正行為を行ったユーザの追跡を容易にすることができる。 In addition, it is possible to prevent a user's fraud without the user authenticating the user or to easily track the user who has performed the fraud.
実施形態1.
本発明によるアクセスポイントの第1の実施形態について、図面を参照して説明する。図1は、本発明によるアクセスポイント103の第1の実施形態の接続例を示す説明図である。
A first embodiment of an access point according to the present invention will be described with reference to the drawings. FIG. 1 is an explanatory diagram showing a connection example of the first embodiment of the
図1に示すように、本発明の第1の実施形態のアクセスポイント103は、公衆無線LAN106を介して端末104に接続され、インターネット101を介してIPsec(Security Architecture for Internet Protocol)サーバ102に接続されている。また、インターネット101には、当該インターネット101を介してサービスを提供するサービス提供サーバ105が接続されている。サービス提供サーバ105は、例えば、一般的なHTTP(HyperText Transfer Protocol)サーバや電子メールサーバである。
As shown in FIG. 1, the
なお、端末104は、無線LAN接続機能を有し、アクセスポイント103およびインターネット101を介してIPsecの規格にもとづいてIPsecサーバ102とIPsecパケットを送受信可能なように予め設定されている。なお、端末104がアクセスポイント103と無線LAN接続可能な範囲にいることを、公衆無線LAN106の中にいるという。
The
図2は、本発明の第1の実施形態のアクセスポイント103の構成例を示すブロック図である。
FIG. 2 is a block diagram illustrating a configuration example of the
図2に示すように、本発明の第1の実施形態のアクセスポイント103は、無線LAN通信部202、フィルタ203,206、IKE(Internet Key Exchange)パケット処理部204、IPsecパケット処理部205、WAN(Wide Area Network)側通信部207、DHCP(Dynamic Host Configuration Protocol)サーバ機能部208、テーブル管理部209、およびログ保存部210を含む。
As shown in FIG. 2, the
無線LAN通信部202は、端末104と無線LAN接続し、パケットを送受信する。WAN側通信部207は、インターネット101を介してIPsecサーバ102とパケットを送受信する。
The wireless
また、無線LAN通信部202は、端末104から受信したDHCPのパケットをDHCPサーバ機能部208に入力する。DHCPサーバ機能部208は、無線LAN通信部202に接続され、無線LAN通信部202が入力したDHCPのパケットを処理して無線LAN通信部202に入力する。
Further, the wireless
なお、DHCPサーバ機能部208は、RFC(Request For Comments)2131で定義された「DHCP server」の仕様にもとづいてDHCPのパケットを処理する。また、本実施形態において当該処理で割り当てられるIPアドレスは、インターネット101で使用可能なグローバルアドレスである。
The DHCP
フィルタ203は、無線LAN通信部202に接続され、無線LAN通信部202が端末104から受信したパケットを解析して、IKEパケット、IPsecパケットおよびその他のパケットに分類する。そして、フィルタ203は、IKEパケットをIKEパケット処理部204に入力し、IPsecパケットをIPsecパケット処理部205に入力し、その他のパケットを破棄する。
The
フィルタ206は、WAN側通信部207に接続され、WAN側通信部207がインターネット101を介して受信したパケットを解析して、IKEパケット、IPsecパケットおよびその他のパケットに分類する。そして、フィルタ203は、IKEパケットをIKEパケット処理部204に入力し、IPsecパケットをIPsecパケット処理部205に入力し、その他のパケットを破棄する。
The
IKEパケット処理部204は、フィルタ203が入力したIKEパケットを後述する処理(ステップS106,S108)で、破棄、またはフィルタ206を介してWAN側通信部207に入力し、インターネット101を介したIPsecサーバ102への転送を指示する。また、IKEパケット処理部204は、フィルタ206が入力したIKEパケットをフィルタ203を介して無線LAN通信部202に入力し、端末104への転送を指示する。
The IKE
また、IKEパケット処理部204は、後述する処理(ステップS105)で、IKEパケットの送信元IPアドレスと宛先IPアドレスとをテーブル管理部209が管理するテーブルに登録する。
Further, the IKE
IPsecパケット処理部205は、フィルタ203が入力したIPsecパケットを後述する処理(ステップS110,S111の処理)で、破棄、またはフィルタ206を介してWAN側通信部207に入力し、インターネット101を介したIPsecサーバ102への転送を指示する。また、IPsecパケット処理部205は、フィルタ206が入力したIPsecパケットをフィルタ203を介して無線LAN通信部202に入力し、端末104への転送を指示する。
The IPsec
テーブル管理部209は、IKEパケット処理部204によってIKEパケットの送信元IPアドレスと宛先IPアドレスとが登録されるテーブルを管理する。具体的には、例えば、テーブル管理部209は、アクセスポイント103のCPU(Central Processing Unit)によって実現され、テーブルはキャッシュメモリによって実現される。そして、IKEパケットの送信元IPアドレスおよび宛先IPアドレスは、キャッシュメモリにテーブル形式で記憶される。すなわち、テーブルに登録される。テーブル管理部209は、所定のタイミングで、テーブルに登録されたIKEパケットの送信元IPアドレスおよび宛先IPアドレスを削除する。
The
ログ保存部210は、テーブル管理部209が管理するテーブルに登録されたIKEパケットの送信元IPアドレス、および宛先IPアドレスと、それらIPアドレスがテーブルに登録された日時、およびテーブルから削除された日時とを記録する。具体的には、例えば、記憶手段に記憶させる。
The
図3は、IPsecサーバ102の構成例を示すブロック図である。図3に示すように、IPsecサーバ102は、IKE処理部302、IPsec処理部303、NAT(Network Address Translation)処理部304、およびインターネット接続部305,306を含む。
FIG. 3 is a block diagram illustrating a configuration example of the
インターネット接続部305は、インターネット101を介してアクセスポイント103とパケットを送受信する。インターネット接続部306は、インターネット101を介してサービス提供サーバ105とパケットを送受信する。
The
インターネット接続部305は、インターネット101を介して受信したパケットを解析して、IKEパケット、IPsecパケットおよびその他のパケットに分類する。そして、IKEパケットをIKE処理部302に入力し、IPsecパケットをIPsec処理部303に入力し、その他のパケットを破棄する。
The
また、インターネット接続部305は、IKE処理部302またはIPsec処理部303が入力したパケットをインターネット101を介して当該パケットの宛先に送信する。
In addition, the
IPsec処理部303は、インターネット接続部305が入力したIPsecパケットを復号し、NAT処理部304に入力する。また、NAT処理部304が入力したIPパケットをIPsecの仕様にもとづいて暗号化し、インターネット接続部303に入力する。なお、IPsec処理部303が行うパケットの暗号化の処理および復号の処理であるIPsec処理は、RFC4301およびRFC2401で定義されたIPsecの仕様にもとづいて行われる。また、IPsec処理部303は、IPsec処理のために使用される鍵情報をIKE処理部303から受け取る。
The
NAT処理部304は、IPsec処理部303が入力したIPパケットの送信元IPアドレスを端末104のIPアドレスから自IPアドレスに書き換えて、インターネット接続部306に入力する。
The
また、NAT処理部304は、インターネット接続部306が入力したIPパケットの宛先IPアドレスを自IPアドレスから端末104のIPアドレスに書き換えて、IPsec処理部303に入力する。なお、NAT処理部304が行うIPアドレスの書き換え処理は、RFC2663で定義されたNAPT(Network Address Port Translation)の仕様にもとづいて行われる。
Further, the
IKE処理部302は、インターネット接続部305が入力した端末104から受信したIKEパケットを処理する。また、インターネット接続部305にインターネット101を介した端末104へのIKEパケットの送信を指示する。
The
IKE処理部302は、IKEパケットを処理して得られた鍵情報をIPsec処理部303に渡す。IPsec処理部303は、渡された鍵情報をIPsec処理に使用する。なお、IKE処理部302が行うIKEパケットの処理は、RFC4301およびRFC2401で定義されたIPsecの仕様にもとづいて行われる。
The
次に、本発明の第1の実施形態のアクセスポイント103を含む公衆無線LANシステムの動作について説明する。まず、公衆無線LANシステムの動作の概要について説明する。以下、端末104から、アクセスポイント103、インターネット101、IPsecサーバ102、およびインターネット101を介してサービス提供サーバ105に送信されるパケットを上り方向のパケットという。また、サービス提供サーバ105から、インターネット101、IPsecサーバ102、インターネット101、およびアクセスポイント103を介して端末104に送信されるパケットを下り方向のパケットという。
Next, the operation of the public wireless LAN system including the
IPsecサーバ102と端末104との間でトンネルモードのIPsecの通信ができるように、予め両者の設定が行われる。
Both settings are performed in advance so that IPsec communication in the tunnel mode can be performed between the
端末104は、公衆無線LAN106の中にいる場合に、アクセスポイント103と情報を送受信して、無線LANの通信を確立する。そして、端末104は、アクセスポイント103にDHCP要求を送信し、アクセスポイント103からIPアドレスの割り当てを受ける。なお、送信されるDHCP要求は、具体的には、例えば、DHCP discoverメッセージである。
When the terminal 104 is in the
次に、端末104は、アクセスポイント103およびインターネット101を介して、IPsecサーバ102との間でIKEの交渉を行い、IPsecによる通信路を確立する。IKEの交渉は、前述したRFC4301およびRFC2401に定義されている。アクセスポイント103の動作については後述する。
Next, the terminal 104 negotiates IKE with the
そして、端末104は、インターネット101に接続されたサービス提供サーバ105が提供するサービスを利用する場合に、IPsecサーバ102との間で確立した通信路を介して送受信されるパケットであるIPsecパケットを送受信する。
When the terminal 104 uses a service provided by the
IPsecサーバ102は、端末104が送信したIPsecパケットを復号し、NAPTの仕様にもとづいて送信元のIPアドレスを書き換えて、インターネット101を介してサービス提供サーバ105に送信する。
The
IPsecサーバ102が送信したパケットを受信したサービス提供サーバ105は、当該パケットの送信元IPアドレスにもとづいて、送信元が端末104ではなく、IPsecサーバ102であると認識する。
The
サービス提供サーバ105は、端末104に応答するパケットを送信する場合には、受信したパケットの送信元であると認識しているIPsecサーバ102にパケットを送信する。IPsecサーバ102は、サービス提供サーバ105が送信したパケットの宛先IPアドレスをNAPTの仕様にもとづいて変換し、IPsecの仕様にもとづいて暗号化して、インターネット101およびアクセスポイント103を介して端末104に送信する。
When the
次に、端末104とIPsecサーバ102との間で行われるIKEの交渉について説明する。端末104とIPsecサーバ102との間で行われるIKEの交渉は、端末104がIPsecサーバ102にIKEパケットを送信し、その後、IPsecによる通信路が確立するまで互いにIKEパケットを送信することにより行われる。
Next, an IKE negotiation performed between the terminal 104 and the
図4は、アクセスポイント103における上り方向のパケットの処理を示すフローチャートである。なお、図4に示すステップS101〜S108の処理は、端末104とIPsecサーバ102との間で通信路を確立するために行われる。また、図4に示すステップS101,S102,S109〜S111の処理は、端末104とIPsecサーバ102との間で通信路を確立した後に行われる。
FIG. 4 is a flowchart showing upstream packet processing at the
端末104がIKEパケットをIPsecサーバ102宛に送信した場合に、アクセスポイント103の無線LAN通信部202が当該IKEパケットを受信する(ステップS101)。フィルタ203は、無線LAN通信部202が受信したパケットを解析してパケット種別を判断する(ステップS102)。
When the terminal 104 transmits the IKE packet to the
フィルタ203は、無線LAN通信部202が受信したパケットを解析してDHCPパケットであると判断した場合に(ステップS102)、DHCPサーバ機能部208に当該DHCPパケットを入力する。DHCPサーバ機能部208は、端末104に「DHCP server」の仕様にもとづいてIPアドレスを割り当て(ステップS103)、当該DHCPパケットを破棄する。
When the
フィルタ203は、無線LAN通信部202が受信したパケットがIKEパケットであると判断した場合に(ステップS102)、当該IKEパケットをIKEパケット処理部204に入力する。IKEパケット処理部204は、テーブル管理部209が管理するテーブルに、入力されたIKEパケットの送信元IPアドレスに合致するデータが登録されているか否か判断する(ステップS104)。
When the
当該IKEパケットが端末104から最初に送信されていた場合には、テーブル管理部209が管理するテーブルに当該IKEパケットの送信元IPアドレスに合致するデータが登録されていないので(ステップS104のN)、IKEパケット処理部204は、送信元IPアドレスと宛先IPアドレスとをテーブル管理部209が管理するテーブルに登録する(ステップS105)。なお、ステップS105の処理でテーブルに登録される送信元IPアドレスは端末104のIPアドレスであり、宛先IPアドレスはIPsecサーバ102のIPアドレスである。
If the IKE packet is first transmitted from the terminal 104, data matching the transmission source IP address of the IKE packet is not registered in the table managed by the table management unit 209 (N in step S104). The IKE
そして、IKEパケット処理部204は、IKEパケットをフィルタ206を介してWAN側通信部207に入力し、インターネット101を介したIPsecサーバ102への転送を指示する。WAN側通信部207は、当該指示に応じて、IKEパケットをインターネット101を介してIPsecサーバ102に転送する(ステップS106)。すなわち、送信する。
Then, the IKE
その後、端末104がIKEパケットをIPsecサーバ102宛に送信した場合に、上述したステップS101,S102,S104の処理と同様な処理が行われる。そして、上述したステップS104の処理で、送信元IPアドレスと宛先IPアドレスとがテーブル管理部209が管理するテーブルに登録されているので、IKEパケット処理部204は、フィルタ203が入力したIKEパケットの送信元IPアドレスに合致するデータが登録されていると判断する(ステップS104のY)。
Thereafter, when the terminal 104 transmits an IKE packet to the
そして、IKEパケット処理部204は、テーブル管理部209が管理するテーブルに登録されているIKEパケットの送信元IPアドレスに対応する宛先IPアドレスと、入力されたIKEパケットの宛先IPアドレスとが合致するか否か判断する(ステップS107)。
Then, the IKE
IKEパケット処理部204は、ステップS107の処理で、合致しないと判断した場合に(ステップS107のN)、入力されたIKEパケットを破棄する(ステップS108)。
The IKE
IKEパケット処理部204は、ステップS107の処理で、合致すると判断した場合に(ステップS107のY)、IKEパケットをフィルタ206を介してWAN側通信部207に入力し、インターネット101を介したIPsecサーバ102への転送を指示する。WAN側通信部207は、当該指示に応じて、IKEパケットをインターネット101を介してIPsecサーバ102に転送する(ステップS106)。すなわち、送信する。
When the IKE
なお、アクセスポイント103は、端末104とIPsecサーバ102との間で通信路を確立するために、下り方向のIKEパケットを以下のように処理する。すなわち、アクセスポイント103のWAN側通信部207が、IPsecサーバ102が送信したIKEパケットを受信して、フィルタ206に入力する。フィルタ206は、当該IKEパケットをIKEパケット処理部204に入力する。IKEパケット処理部204は、IKEパケットをフィルタ203を介して無線LAN通信部202に入力し、端末104への転送を指示する。無線LAN通信部202は、入力されたIKEパケットを端末104に送信する。
The
また、IPsecサーバ102は、端末104との間で通信路を確立するために、下り方向のIKEパケットを以下のように処理する。すなわち、IPsecサーバ102のインターネット接続部305が、下り方向のIKEパケットを受信して、IKE処理部302に入力する。IKE処理部302は、前述したIKEパケットの処理を行い、インターネット接続部305にインターネット101を介した端末104へのIKEパケットの送信を指示する。インターネット接続部305は、指示に応じて、インターネット101を介してIKEパケットを端末104宛に送信する。また、IKE処理部302は、IKEパケットの処理で鍵情報が得られた場合には、当該鍵情報をIPsec処理部303に渡す。
The
上述したステップS101〜S108の処理と、アクセスポイント103およびIPsecサーバ102における下り方向のIKEパケットの処理とによって、端末104とIPsecサーバ102とがIKEによる交渉を完了し、IPsecによる通信路が確立した。
Through the processing in steps S101 to S108 described above and the downstream IKE packet processing in the
端末104とIPsecサーバ102との間で通信路を確立した後のアクセスポイント103の処理について説明する。
A process of the
端末104とIPsecサーバ102とがIKEによる交渉を完了し、IPsecによる通信路を確立した場合、端末104は、インターネット101に接続されたサービス提供サーバ105が提供するサービスを利用開始する。
When the terminal 104 and the
端末104は、IPsecサーバ102との間で確立した通信路を用いてサービス提供サーバ105にパケットを送信するために、当該パケットを暗号化し、暗号化したパケットであるIPsecパケットをIPsecサーバ102宛にアクセスポイント103に送信する。
In order to transmit a packet to the
アクセスポイント103の無線LAN通信部202は、端末104が送信したIPsecパケットを受信する(ステップS101)。フィルタ203は、無線LAN通信部202が受信したパケットを解析してパケット種別を判断する(ステップS102)。
The wireless
フィルタ203は、無線LAN通信部202が受信したパケットがIPsecパケットであると判断した場合に、当該IPsecパケットをIPsecパケット処理部205に入力する。IPsecパケット処理部205は、テーブル管理部209が管理するテーブルに、入力されたIPsecパケットの送信元IPアドレスと宛先IPアドレスとに合致するデータが登録されているか否か判断する(ステップS109)。
When the
本例では、上述したように、既にIKEでの交渉が行われ、ステップS105の処理で、送信元IPアドレスと宛先IPアドレスとがテーブル管理部209が管理するテーブルに登録されているので(ステップS109のY)、IPsecパケット処理部205は、IPsecパケットをフィルタ206を介してWAN側通信部207に入力し、インターネット101を介したIPsecサーバ102への転送を指示する。WAN側通信部207は、当該指示に応じて、IPsecパケットをインターネット101を介してIPsecサーバ102に転送する(ステップS110)。すなわち、送信する。
In this example, as described above, the IKE negotiation has already been performed, and the source IP address and the destination IP address are registered in the table managed by the
なお、送信元IPアドレスがテーブル管理部209が管理するテーブルに登録されていない場合や、当該テーブルに登録されている送信元IPアドレスとIPsecパケット処理部205に入力されたIPsecパケットの送信元IPアドレスとが合致しない場合には(ステップS109のN)、IPsecパケット処理部205は、当該IPsecパケットを破棄する(ステップS111)。
In addition, when the transmission source IP address is not registered in the table managed by the
また、ステップS102の処理で、フィルタ203が、無線LAN通信部202が受信したパケットを解析して、当該パケットが、IKEパケット、IPsecパケット、およびDHCPパケットではないと判断した場合に、当該パケットを破棄する(ステップS112)。
In the process of step S102, when the
なお、アクセスポイント103は、端末104とIPsecサーバ102との間で通信路を確立した後の下り方向のIPsecパケットを以下のように処理する。すなわち、WAN側通信部207が、IPsecサーバ102が送信したIPsecパケットを受信して、フィルタ206に入力する。フィルタ206は、当該IPsecパケットをIPsecパケット処理部205に入力する。IPsecパケット処理部205は、IPsecパケットをフィルタ203を介して無線LAN通信部202に入力し、端末104への転送を指示する。無線LAN通信部202は、入力されたIPsecパケットを端末104に送信する。
The
また、アクセスポイント103は、端末104とIPsecサーバ102との通信終了後に、以下の処理を行う。すなわち、端末104がIPsecサーバ102との通信を終了した場合には、端末104からIPsecサーバ102宛に送信されるIPsecパケットがアクセスポイント103に送信されなくなる。そして、テーブル管理部209は、端末104からIPsecサーバ102宛に送信されるIPsecパケットがアクセスポイント103に送信されなくなってから所定の期間経過後に、テーブルに登録されたデータを削除する。なお、テーブルに登録されたデータとは、IKEパケットの送信元IPアドレスおよび宛先IPアドレスである。また、「所定の期間」は、登録されたデータ量がキャッシュメモリの記憶容量を超えない期間に予め設定される。
Further, the
次に、IPsecサーバ102の動作について説明する。図5は、上り方向のIPsecパケットを受信したIPsecサーバ102の動作を示すフローチャートである。
Next, the operation of the
IPsecサーバ102のインターネット接続部305は、端末104がアクセスポイント103およびインターネット101を介して送信したIPsecパケットを受信して(ステップS201)、IPsec処理部303に入力する。
The
IPsec処理部303は、インターネット接続部305が受信したIPsecパケットを復号し(ステップS202)、NAT処理部304に入力する。NAT処理部304は、入力されたIPパケットの送信元IPアドレスを端末104のIPアドレスから自IPアドレスに書き換えて(ステップS203)、インターネット接続部306に入力する。
The
インターネット接続部306は、入力されたIPパケットをインターネット101を介してサービス提供サーバ105に送信する(ステップS204)。
The
図6は、下り方向のIPsecパケットを受信したIPsecサーバ102の動作を示すフローチャートである。
FIG. 6 is a flowchart showing the operation of the
IPsecサーバ102のインターネット接続部306は、サービス提供サーバ105が送信したIPパケットをインターネット101を介して受信し(ステップS301)、NAT処理部304に入力する。
The
NAT処理部304は、インターネット接続部306が入力したIPパケットの宛先IPアドレスを自IPアドレスから端末104のIPアドレスに書き換えて(ステップS302)、IPsec処理部303に入力する。IPsec処理部303は、入力されたIPパケットを暗号化する(ステップS303)。そして、IPsec処理部303は、暗号化したIPパケット(IPsecパケット)をインターネット接続部303に入力する。インターネット接続部303は、当該IPsecパケットをインターネット101およびアクセスポイント103を介して、端末104に送信する(ステップS304)。
The
本実施形態によれば、アクセスポイント103は、いずれかのインターネットサービスプロバイダによってIPsecサーバ102の設置が認められた信頼できるユーザ以外のユーザによる利用を不可能にしている。
According to this embodiment, the
具体的には、アクセスポイント103は、ステップS102,S112の処理で、IPsecによる通信路を確立するためのIKEパケットを除き、IPsecパケット以外のパケットを通過させないように構成されている。従って、端末104のユーザは、アクセスポイント103を利用するために、インターネット101に接続されたIPsecサーバ102を予め用意することが必要になる。
Specifically, the
そして、アクセスポイント103の設置者や管理者は、アクセスポイント103のユーザが誰であるのかを利用前、利用中および利用直後に把握することは困難であるが、いずれかのインターネットサービスプロバイダがIPsecサーバ102の設置を許可していることから、ある程度の信頼ができるユーザであることを期待できる。つまり、そのようなユーザ以外のユーザによるアクセスポイント103の利用を不可能にしている。そして、不正利用を未然に防止することができる。
And it is difficult for the installer or administrator of the
また、本実施形態によれば、インターネット101に接続されたサービス提供サーバ105がユーザの身元を追跡しようとしたときに、アクセスポイント103の設置者や管理者の負担を軽減させることができる。
Further, according to the present embodiment, when the
アクセスポイント103は、インターネット101を介して送信されたパケットについてもIPsecパケット以外のパケットを通過させないように構成されている。なお、ここでは、IPsecによる通信路を確立するためのIKEパケットを除く。
The
従って、端末104がインターネット101に接続されたサービス提供サーバ105と相互に通信を行なうためには、サービス提供サーバ105が送信したパケットをIPsecで暗号化するためにIPsecサーバ102がNAPT処理を行い、サービス提供サーバ105に端末104によって行われている通信をIPsecサーバ102自身が行なっているかのように認識させる必要がある。
Therefore, in order for the terminal 104 to communicate with the
仮に、IPsecサーバ102がNAPTによるIPアドレスの変換を行なわなかった場合には、インターネット101に接続されたサービス提供サーバ105には、アクセスポイント103が端末104にDHCPで割り当てたIPアドレスがIPパケットの送信元のIPアドレスであると認識することになる。すると、インターネット101に接続されたサービス提供サーバ105から送信された応答のIPパケットはIPsecサーバ102を介さずに端末104宛に送信されることになる。
If the
しかし、送信されたIPパケットは、IPsecサーバ102によるIPsecパケットへのカプセル化(IPsec処理)が行なわれていない通常のIPパケットであるので、アクセスポイント103によって破棄され、端末104によって受信されない。
However, since the transmitted IP packet is a normal IP packet that has not been encapsulated into an IPsec packet (IPsec process) by the
つまり、端末104がサービス提供サーバ105によって送信されたパケットを受信するためには、IPsecサーバ102を介する必要があり、サービス提供サーバ105に、IPsecサーバ102のIPアドレスを認識させる必要がある。
That is, in order for the terminal 104 to receive a packet transmitted by the
従って、サービス提供サーバ105に対して端末104によって不正行為が行われた場合、サービス提供サーバ105の管理者は、アクセスポイント103の設置者や管理者ではなく、端末104によって使用されるIPsecサーバ102の管理者に対して責任を問うと考えられる。なお、サービス提供サーバ105に対して端末104によって行われる不正行為とは、具体的には、端末104を用いて当該端末104のユーザが行った不正行為である。
Therefore, when an illegal act is performed on the
よって、アクセスポイント103の設置者や管理者が責任を問われる可能性を低減することができる。
Therefore, it is possible to reduce the possibility that the installer or administrator of the
また、本実施形態によれば、アクセスポイント103の設置者や管理者が、端末104のユーザの身元を調査することができる。
Further, according to the present embodiment, the installer or administrator of the
端末104がサービス提供サーバ105に一方的にIPパケットを送信するだけであれば、IPsecサーバ102はNAPT処理を省略することができるが、IPsecサーバ102がNAPT処理を省略した場合にも、上述したように、IPsecサーバ102がIPパケットを中継する必要があることに変わりはない。
If the terminal 104 only unilaterally transmits an IP packet to the
従って、アクセスポイント103の設置者や管理者は、端末104のユーザはインターネットサービスプロバイダからIPsecサーバ102の設置の認証を受けることをできる関係者であると推定して、ログ保存部210が記録した端末104のIPアドレスとIPsecサーバ102のIPアドレスとにもとづいて、端末104のユーザの身元を調査することができる。
Accordingly, the installer or administrator of the
以上に述べたように、アクセスポイント103がユーザの認証を行わずに利用を開放した場合であっても、不正利用の防止および不正利用者の追跡調査をすることができるので、アクセスポイント103の設置者は、インターネットサービスプロバイダによって認証を受けることなく安心してアクセスポイント103を設置することができるようになり、公衆無線LANの利便性を向上させることができる。
As described above, even when the
実施形態2.
本発明によるアクセスポイントの第2の実施形態について、図面を参照して説明する。本発明の第2の実施形態のアクセスポイント701は、第1の実施形態のアクセスポイント103の各機能に加え、NAPT機能を有する。図7は、本発明によるアクセスポイント701の第2の実施形態の構成例を示すブロック図である。
Embodiment 2. FIG.
A second embodiment of the access point according to the present invention will be described with reference to the drawings. The
図7に示すように、本発明の第2の実施形態のアクセスポイント701は、WAN側通信部207とフィルタ206との間にNAPT機能部711を含む。その他の構成は、図2に示す第1の実施形態の公衆無線LANシステムのアクセスポイント103の構成と同様なため、図2と同じ符号を付し、説明を省略する。
As illustrated in FIG. 7, the
なお、フィルタ203は、IPsec処理部205に、IPsecパケットではなく、例えば、無線LAN通信部202によってIPsecパケットをUDP(User Data Protocol)にもとづいてカプセル化された宛先ポート番号が4500であるUDPパケットを入力する機能を有する。
Note that the
また、フィルタ206は、IPsec処理部205に、IPsecパケットではなく、例えば、NAPT機能部711によってIPsecパケットをUDPにもとづいてカプセル化された送信元ポート番号が4500であるUDPパケットを入力する機能を有する。
Further, the
NAPT機能部711は、NAPT機能を有し、上り方向のパケットの送信元IPアドレスと送信元UDPポート番号とを変換する。また、NAPT機能部711は、下り方向のパケットの宛先IPアドレスと宛先UDPポート番号とを変換する。
The
DHCPサーバ機能部208は、端末104に、インターネット101で使用可能なグローバルアドレスを割り当てる必要はなく、公衆無線LAN106内でのみ使用可能なローカルアドレスを割り当ててよい。
The DHCP
なお、IPsecサーバ102では、IKE処理部302は、RFC3947で定義されたNATトラバーサルの交渉を理解する機能を有し、IPsec処理部303は、NATトラバーサルを終端する機能を有する。
In the
本実施形態によれば、DHCPサーバ機能部208が端末104に公衆無線LAN106内でのみ使用可能なローカルアドレスを割り当てて、公衆無線LAN106をローカルアドレスで運用することができる。
According to the present embodiment, the DHCP
次に、本発明の概要について説明する。図8は、本発明の概要を示すブロック図である。図8に示すように、本発明によるアクセスポイント500は、無線LAN通信手段(図2に示された無線LAN通信部202に相当)501、インターネット通信手段(図2に示されたWAN側通信部207に相当)502、およびパケットフィルタリング手段(図2に示されたフィルタ203,206に相当)503を含む。
Next, the outline of the present invention will be described. FIG. 8 is a block diagram showing an outline of the present invention. As shown in FIG. 8, the
無線LAN通信手段501は、無線LAN端末510とパケットを送受信する機能を有し、インターネット通信手段502が受信したパケットのうち、パケットフィルタリング手段503を通過したパケットを無線LAN端末510に送信する。
The wireless
インターネット通信手段502は、インターネット520を介してIPsecサーバ530とパケットを送受信する機能を有し、無線LAN通信手段501が受信したパケットのうち、パケットフィルタリング手段503を通過したパケットをIPsecサーバ530に送信する。
The
そして、インターネット通信手段502によって送信されたIPsecパケットは、IPsecサーバ530によって復号されて他の装置540に送信される。
Then, the IPsec packet transmitted by the
そのような構成により、アクセスポイント500はユーザ認証を行わずに無線LAN端末510とインターネット520に接続された他の装置540とのパケットの送受信を中継し、本発明は、特定のインターネットサービスプロバイダと契約等していないユーザが利用可能な利便性の高いアクセスポイントを提供することができる。
With such a configuration, the
また、アクセスポイント500は、IPsecサーバ530を介して他の装置540とパケットフィルタリング手段503を通過したパケットを送受信するので、いずれかのインターネットサービスプロバイダによってIPsecサーバ530の設置が認められた信頼できるユーザ以外のユーザによる利用を不可能にすることができる。
In addition, since the
また、アクセスポイント500は、IPsecサーバ530を介して、他の装置540とパケットを送受信するように構成され、当該他の装置540にパケットの送受信相手が当該IPsecサーバ530であるように認識させるので、無線LAN端末510を用いて不正行為が行われた場合には、当該他の装置540の管理者は当該IPsecサーバ530の管理者に責任を問うと考えられ、当該アクセスポイント500の設置者や管理者が責任を問われる可能性を低減することができる。
In addition, the
上記の各実施形態には、以下のようなアクセスポイントも開示されている。 In each of the above embodiments, the following access point is also disclosed.
パケットフィルタリング手段503を通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理手段(図2に示されたテーブル管理部209、およびログ保存部210に相当)を含むアクセスポイント。そのような構成によれば、アクセスポイント500の設置者や管理者が、無線LAN端末510のユーザの身元を調査することができる。
Includes address management means (corresponding to the
パケットフィルタリング手段503を通過したIPsecパケットのうち、記憶手段に記憶されていない送信元IPアドレスのIPsecパケットを破棄するパケット破棄手段(図2に示されたIPsecパケット処理部205に相当)を含むアクセスポイント、およびパケットフィルタリング手段503を通過したIPsecパケットのうち、記憶手段に記憶されていない宛先IPアドレスのIPsecパケットを破棄するパケット破棄手段(図2に示されたIPsecパケット処理部205に相当)を含むアクセスポイント。
Access including a packet discarding unit (corresponding to the IPsec
そのような構成によれば、記憶手段に記憶されていない送信元IPアドレスまたは宛先IPアドレスのIPsecパケットを破棄し、無線LAN端末510のユーザによる不正利用を防止することができる。 According to such a configuration, the IPsec packet of the source IP address or the destination IP address that is not stored in the storage unit can be discarded, and unauthorized use by the user of the wireless LAN terminal 510 can be prevented.
NATトラバーサルを終端する機能を有するIPsecサーバ530を介して他の装置540と無線LAN端末510とのパケットの送受信を中継するアクセスポイント500であって、無線LAN端末510にローカルアドレスを割り当てるアドレス割り当て手段と、NAPT機能を有するIPアドレス変換手段とを含むアクセスポイント。
An
そのような構成によれば、アクセスポイント500による公衆無線LANをローカルアドレスで運用することができる。
According to such a configuration, the public wireless LAN by the
以上に述べたように、本発明によれば、アクセスポイント500はユーザ認証を行わずに無線LAN端末510とインターネット520に接続された他の装置540とのパケットの送受信を中継するので、特定のインターネットサービスプロバイダと契約等していないユーザが利用可能な利便性の高いアクセスポイントを提供することができる。
As described above, according to the present invention, the
また、アクセスポイント500は、IPsecサーバ530を介して他の装置540とパケットを送受信するので、いずれかのインターネットサービスプロバイダによってIPsecサーバ530の設置が認められた信頼できるユーザ以外のユーザによる利用を不可能にすることができる。
In addition, since the
また、アクセスポイント500は、IPsecサーバ530を介して他の装置540とパケットを送受信するように構成され、当該他の装置540にパケットの送受信相手が当該IPsecサーバ530であるように認識させるので、無線LAN端末510を用いて不正行為が行われた場合には、当該他の装置540の管理者は当該IPsecサーバ530の管理者に責任を問うと考えられ、当該アクセスポイント500の設置者や管理者が責任を問われる可能性は低い。
Further, the
本発明を、公衆無線LANに用いられるアクセスポイントに適用することができる。 The present invention can be applied to an access point used for a public wireless LAN.
101,520 インターネット
102,530 IPsecサーバ
103,500,701 アクセスポイント
104,510 端末
105 サービス提供サーバ
106 公衆無線LAN
202 無線LAN通信部
203,206 フィルタ
204 IKEパケット処理部
205 IPsecパケット処理部
207 WAN側通信部
208 DHCPサーバ機能部
209 テーブル管理部
210 ログ保存部
302 IKE処理部
303 IPsec処理部
304 NAT処理部
305,306 インターネット接続部
501 無線LAN通信手段
502 インターネット通信手段
503 パケットフィルタリング手段
540 他の装置
711 NAPT機能部
101,520 Internet 102,530 IPsec server 103,500,701 Access point 104,510 Terminal 105
202 Wireless
Claims (5)
インターネットを介して、受信したIPsecパケットを復号して前記インターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信手段と、
前記無線LAN通信手段が受信したパケットおよび前記インターネット通信手段が受信したパケットのうち、IKEパケットとIPsecパケットとが通過可能なパケットフィルタリング手段と、
前記パケットフィルタリング手段を通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理手段と、
前記パケットフィルタリング手段を通過したIPsecパケットのうち、前記記憶手段に記憶されていない送信元IPアドレスのIPsecパケットを破棄するパケット破棄手段とを備え、
前記無線LAN通信手段は、前記インターネット通信手段が受信したパケットのうち、前記パケットフィルタリング手段を通過したパケットを前記無線LAN端末に送信し、
前記インターネット通信手段は、前記無線LAN通信手段が受信したパケットのうち、前記パケットフィルタリング手段を通過したパケットを前記IPsecサーバに送信する
ことを特徴とするアクセスポイント。 Wireless LAN communication means for transmitting and receiving packets to and from the wireless LAN terminal;
Internet communication means for transmitting and receiving packets to and from an IPsec server that decrypts received IPsec packets and transmits them to other devices connected to the Internet via the Internet;
Of the packets received by the wireless LAN communication means and the packets received by the Internet communication means, packet filtering means through which IKE packets and IPsec packets can pass ,
Address management means for storing in the storage means the source IP address and the destination IP address of the IKE packet that has passed through the packet filtering means;
A packet discarding unit that discards an IPsec packet of a source IP address that is not stored in the storage unit among the IPsec packets that have passed through the packet filtering unit;
The wireless LAN communication means transmits a packet that has passed through the packet filtering means among the packets received by the Internet communication means to the wireless LAN terminal,
The access point, wherein the Internet communication unit transmits a packet that has passed through the packet filtering unit among packets received by the wireless LAN communication unit to the IPsec server.
インターネットを介して、受信したIPsecパケットを復号して前記インターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信手段と、Internet communication means for transmitting and receiving packets to and from an IPsec server that decrypts received IPsec packets and transmits them to other devices connected to the Internet via the Internet;
前記無線LAN通信手段が受信したパケットおよび前記インターネット通信手段が受信したパケットのうち、IKEパケットとIPsecパケットとが通過可能なパケットフィルタリング手段と、Of the packets received by the wireless LAN communication means and the packets received by the Internet communication means, packet filtering means through which IKE packets and IPsec packets can pass,
前記パケットフィルタリング手段を通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理手段と、Address management means for storing in the storage means the source IP address and the destination IP address of the IKE packet that has passed through the packet filtering means;
前記パケットフィルタリング手段を通過したIPsecパケットのうち、前記記憶手段に記憶されていない宛先IPアドレスのIPsecパケットを破棄するパケット破棄手段とを備え、A packet discarding unit that discards an IPsec packet of a destination IP address that is not stored in the storage unit among the IPsec packets that have passed through the packet filtering unit;
前記無線LAN通信手段は、前記インターネット通信手段が受信したパケットのうち、前記パケットフィルタリング手段を通過したパケットを前記無線LAN端末に送信し、The wireless LAN communication means transmits a packet that has passed through the packet filtering means among the packets received by the Internet communication means to the wireless LAN terminal,
前記インターネット通信手段は、前記無線LAN通信手段が受信したパケットのうち、前記パケットフィルタリング手段を通過したパケットを前記IPsecサーバに送信するThe Internet communication means transmits a packet that has passed through the packet filtering means, out of the packets received by the wireless LAN communication means, to the IPsec server.
ことを特徴とするアクセスポイント。An access point characterized by that.
前記無線LAN端末にローカルアドレスを割り当てるアドレス割り当て手段と、
NAPT機能を有するIPアドレス変換手段とを含む
請求項1または請求項2に記載のアクセスポイント。 An access point that relays packet transmission / reception between another device and a wireless LAN terminal via an IPsec server having a function of terminating NAT traversal,
Address assignment means for assigning a local address to the wireless LAN terminal;
The access point according to claim 1, further comprising an IP address conversion unit having a NAPT function.
インターネットを介して、受信したIPsecパケットを復号して前記インターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信ステップと、
前記無線LAN通信ステップで受信したパケットおよび前記インターネット通信ステップで受信したパケットのうち、IKEパケットとIPsecパケットとを通過させる処理を行うパケットフィルタリングステップと、
前記フィルタリングステップの処理で通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理ステップと、
前記フィルタリングステップの処理で通過したIPsecパケットのうち、前記記憶手段に記憶されていない送信元IPアドレスのIPsecパケットを破棄するステップとを含み、
前記無線LAN通信ステップで、前記インターネット通信ステップで受信したパケットのうち、前記パケットフィルタリングステップの処理で通過したパケットを前記無線LAN端末に送信し、
前記インターネット通信ステップで、前記無線LAN通信ステップで受信したパケットのうち、前記パケットフィルタリングステップの処理で通過したパケットを前記IPsecサーバに送信する
ことを特徴とするアクセスポイントのパケット中継制御方法。 A wireless LAN communication step for transmitting and receiving packets to and from the wireless LAN terminal;
An Internet communication step of transmitting and receiving packets to and from an IPsec server that decodes received IPsec packets and transmits them to other devices connected to the Internet via the Internet;
A packet filtering step for performing a process of passing an IKE packet and an IPsec packet out of the packet received in the wireless LAN communication step and the packet received in the Internet communication step ;
An address management step of storing in the storage means the source IP address and the destination IP address of the IKE packet passed in the filtering step;
A step of discarding an IPsec packet of a source IP address not stored in the storage unit among the IPsec packets passed in the filtering step;
In the wireless LAN communication step, out of the packets received in the Internet communication step, the packet passed in the packet filtering step is transmitted to the wireless LAN terminal,
The packet relay control method for an access point, wherein, in the Internet communication step, a packet that has passed through the packet filtering step among the packets received in the wireless LAN communication step is transmitted to the IPsec server.
インターネットを介して、受信したIPsecパケットを復号して前記インターネットに接続された他の装置に送信するIPsecサーバとパケットを送受信するインターネット通信ステップと、An Internet communication step of transmitting and receiving packets to and from an IPsec server that decodes received IPsec packets and transmits them to other devices connected to the Internet via the Internet;
前記無線LAN通信ステップで受信したパケットおよび前記インターネット通信ステップで受信したパケットのうち、IKEパケットとIPsecパケットとを通過させる処理を行うパケットフィルタリングステップと、A packet filtering step for performing a process of passing an IKE packet and an IPsec packet out of the packet received in the wireless LAN communication step and the packet received in the Internet communication step;
前記フィルタリングステップの処理で通過したIKEパケットの送信元IPアドレスと宛先IPアドレスとを記憶手段に記憶させるアドレス管理ステップと、An address management step of storing in the storage means the source IP address and the destination IP address of the IKE packet passed in the filtering step;
前記フィルタリングステップの処理で通過したIPsecパケットのうち、前記記憶手段に記憶されていない宛先IPアドレスのIPsecパケットを破棄するステップとを含み、Discarding the IPsec packet of the destination IP address that is not stored in the storage means among the IPsec packets passed in the filtering step;
前記無線LAN通信ステップで、前記インターネット通信ステップで受信したパケットのうち、前記パケットフィルタリングステップの処理で通過したパケットを前記無線LAN端末に送信し、In the wireless LAN communication step, out of the packets received in the Internet communication step, the packet passed in the packet filtering step is transmitted to the wireless LAN terminal,
前記インターネット通信ステップで、前記無線LAN通信ステップで受信したパケットのうち、前記パケットフィルタリングステップの処理で通過したパケットを前記IPsecサーバに送信するIn the Internet communication step, among the packets received in the wireless LAN communication step, packets passed in the packet filtering step are transmitted to the IPsec server.
ことを特徴とするアクセスポイントのパケット中継制御方法。A packet relay control method for an access point.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009274969A JP5126209B2 (en) | 2009-12-02 | 2009-12-02 | Access point and access point packet relay control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009274969A JP5126209B2 (en) | 2009-12-02 | 2009-12-02 | Access point and access point packet relay control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011119947A JP2011119947A (en) | 2011-06-16 |
JP5126209B2 true JP5126209B2 (en) | 2013-01-23 |
Family
ID=44284742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009274969A Expired - Fee Related JP5126209B2 (en) | 2009-12-02 | 2009-12-02 | Access point and access point packet relay control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5126209B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006121412A (en) * | 2004-10-21 | 2006-05-11 | Sharp Corp | Identification system |
JP2007006248A (en) * | 2005-06-24 | 2007-01-11 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for remote access |
JP4818960B2 (en) * | 2007-03-14 | 2011-11-16 | Kddi株式会社 | Information management device, message transmission device, access point device |
JP2009213070A (en) * | 2008-03-06 | 2009-09-17 | Nippon Telegr & Teleph Corp <Ntt> | Communication control system, communication control method and communication control program |
-
2009
- 2009-12-02 JP JP2009274969A patent/JP5126209B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011119947A (en) | 2011-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tschofenig et al. | Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things | |
JP4707992B2 (en) | Encrypted communication system | |
Arbaugh et al. | Your 80211 wireless network has no clothes | |
US9369491B2 (en) | Inspection of data channels and recording of media streams | |
JP4346094B2 (en) | Packet encryption processing proxy device | |
CA2482648C (en) | Transitive authentication authorization accounting in interworking between access networks | |
JP4737089B2 (en) | VPN gateway device and hosting system | |
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
Park et al. | Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake | |
CN106169952B (en) | A kind of authentication method that internet Key Management Protocol is negotiated again and device | |
JP2005204086A (en) | Mobile radio communications system, mobile radio terminal, virtual private network repeater, and connection authenticating server | |
US20070086462A1 (en) | Dynamic tunnel construction method for securely accessing to a private LAN and apparatus therefor | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
KR20040035902A (en) | Data transmitting method on network address translation and apparatus therefor | |
US20150281963A1 (en) | Remote wireless adapter | |
Fossati | RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things | |
US7571308B1 (en) | Method for controlling access to a network by a wireless client | |
WO2009082950A1 (en) | Key distribution method, device and system | |
US20080133915A1 (en) | Communication apparatus and communication method | |
JP5239502B2 (en) | Bridging system, bridging and bridging method | |
US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
JP4630296B2 (en) | Gateway device and authentication processing method | |
JP2007334753A (en) | Access management system and method | |
Gao et al. | SecT: A lightweight secure thing-centered IoT communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120724 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121002 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121015 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151109 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |