JP5764085B2 - ポート開閉制御システム - Google Patents

ポート開閉制御システム Download PDF

Info

Publication number
JP5764085B2
JP5764085B2 JP2012068957A JP2012068957A JP5764085B2 JP 5764085 B2 JP5764085 B2 JP 5764085B2 JP 2012068957 A JP2012068957 A JP 2012068957A JP 2012068957 A JP2012068957 A JP 2012068957A JP 5764085 B2 JP5764085 B2 JP 5764085B2
Authority
JP
Japan
Prior art keywords
port
internet
request
gateway device
home gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012068957A
Other languages
English (en)
Other versions
JP2013201621A (ja
Inventor
義和 矢野
義和 矢野
拓弥 芝崎
拓弥 芝崎
隆伸 川邉
隆伸 川邉
宮奥 健人
健人 宮奥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2012068957A priority Critical patent/JP5764085B2/ja
Publication of JP2013201621A publication Critical patent/JP2013201621A/ja
Application granted granted Critical
Publication of JP5764085B2 publication Critical patent/JP5764085B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、エンドユーザの宅内LAN(Local Area Network)と外部ネットワークを繋ぐ宅内ゲートウェイ装置に対してエンドユーザがユーザ端末からインターネット経由でリモートアクセスするため、宅内ゲートウェイ装置のポート開閉を制御可能なポート開閉制御システムに関する。
インターネットに接続されたエンドユーザのユーザ端末、例えば移動体端末、遠隔拠点のPCから宅内ゲートウェイ装置にリモートアクセスし、宅内LANに属したPC、AV機器等の各種ノードにアクセスすることが行われている。このようなリモートアクセスの実現には、ユーザ端末からのアクセス要求をインターネット経由で受け付ける宅内ゲートウェイ装置の待ち受けポートを、インターネットに対して開放する必要がある。このため、宅内ゲートウェイ装置の待ち受けポートへの不正アクセスを防止することが重要である。
一般的な不正アクセス防止対策として、ユーザ端末が保持する認証鍵を宅内ゲートウェイ装置に送信し、その装置側で認証することにより、宅内LANへの不正侵入を防止することが実施されている。
また、インターネットから隔離された閉域網によって宅内ゲートウェイ装置へポート開放要求を送信する特別な指令装置を備えるポート開閉制御システムが提案されている(特許文献1)。
特開2009−112155号公報
しかしながら、上述の認証鍵のみの対策では、宅内ゲートウェイ装置のポートがインターネットに常時開放されているため、悪意の第三者から、ポートスキャンにより当該ポートが検出され、いわゆるDoS攻撃を用いた不正侵入を受ける恐れがある。
一方、上述の特別な指令装置を備えるポート開閉制御システムでは、ユーザ端末において指令装置のIPアドレスを知り、指令装置にログインするための一連の機能・操作が必要になり、ホスト名(FQDN)をユーザ端末で指定してアクセスを行うという、エンドユーザに馴染んだ通常のインターネット利用手順を適用することができない。
そこで、この発明が解決しようとする課題は、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して不必要に開放することを避けつつ、通常のインターネット利用手順でユーザ端末から宅内ゲートウェイ装置へのリモートアクセスを実現することにある。
上記の課題を解決するため、この発明に係るポート開閉制御システムは、ユーザ端末からのアクセス要求をインターネット経由で受け付ける宅内ゲートウェイ装置と、インターネットから隔離された閉域網によって前記宅内ゲートウェイ装置へポート開放要求を送信する指令装置とを備える。指令装置は、DNS(Domain Name System)コンテンツサーバ部を有する。宅内ゲートウェイ装置は、ユーザ端末からのアクセス要求を受け付けるのに利用可能なポートをインターネットに対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求をDNSコンテンツサーバ部に送信する。指令装置は、DNS登録要求されたホスト名に対応付けて宅内ゲートウェイ装置の閉域網のアドレスを記憶し、インターネットからホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する宅内ゲートウェイ装置の閉域網のアドレスへポート開放要求を送信し、当該名前解決要求に対するDNS応答において当該応答を中継保持するDNSサーバにおけるキャシュ時間TTL(Time To Live)を0秒に指定して返信する。宅内ゲートウェイ装置は、指令装置から閉域網経由でポート開放要求を受信すると、リモートアクセスに利用可能なポートをインターネットに対して開放し、当該開放したポートに確立された前記ユーザ端末からのアクセスが終了すると、当該開放したポートをインターネットに対して閉じる。
この発明に係るポート開閉制御システムによれば、指令装置からポート開放要求を閉域網によって宅内ゲートウェイ装置に送信するまで、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して閉じた状態に維持することができる。この維持中は、インターネット経由で宅内ゲートウェイ装置のリモートアクセス用のポートにアクセスすることができない。インターネットから隔離され、比較的に安全性に優れた閉域網経由で指令装置がポート開放要求を送信するので、宅内ゲートウェイ装置がインターネットに対して待ち受けポートを常時開放する必要がなく、悪意の第三者がインターネット経由でポート開放要求を宅内ゲートウェイ装置に送信することもできない。また、指令装置がDNSコンテンツサーバ部をもつため、エンドユーザが、ユーザ端末から宅内ゲートウェイ装置のホスト名を指定してアクセスする通常のインターネット利用手順を実行すれば、ユーザ端末のリゾルバが当該ホスト名の名前解決要求を送信し、この名前解決要求を受信した指令装置はDNSコンテンツサーバ部で応答可能である。ここで、この名前解決要求の指令装置への到達性は、指令装置が名前解決要求に対してDNSのTTL=0で応答するため、他のDNSキャッシュサーバによるキャッシュ利用の応答で遮断される心配がなく、確実である。指令装置は、DNS登録要求された宅内ゲートウェイ装置のインターネット上のグローバルIPアドレス、閉域網のアドレス及びホスト名の対応関係を知っているので、到達した名前解決要求からホスト名を特定し、エンドユーザの宅内ゲートウェイ装置に閉域網経由でポート開放要求を送信することができる。ユーザ端末は、リゾルバで取得したグローバルIPアドレスを用い、インターネット経由で宅内ゲートウェイ装置が開放したポートへの接続を確立し、宅内LANにリモートアクセスすることができる。宅内ゲートウェイ装置は、開放したポートで確立されたユーザ端末のアクセスが終了すると、そのポートを閉じ、インターネットに対して閉じた状態に戻す。したがって、宅内ゲートウェイ装置のリモートアクセス用のポートをインターネットに対して不必要に開放することが避けられる。
前記指令装置は、ポート番号を指定した前記ポート開放要求を送信し、前記ポート番号を前記名前解決要求に対する返信中に含め、前記宅内ゲートウェイ装置は、前記ポート開放要求から取得した前記ポート番号のポートを前記利用可能なポートとして開放し、前記名前解決要求を発信した前記ユーザ端末は、前記返信から取得した前記ポート番号へアクセス要求を送信し、前記指令装置は、指定する前記ポート番号を動的に変更することが好ましい。指令装置によって宅内ゲートウェイ装置が開放するポート番号を指定し、その指定を動的に変更するので、well-knownポートへの攻撃を受け難くすることができる。
前記宅内ゲートウェイ装置が前記DNS登録要求を前記閉域網によって前記指令装置に送信することも好ましい。インターネットを経由せずにホスト名を指令装置のDNS対応テーブルに登録するので、インターネット経由でDNS登録要求を指令装置に送信する場合のようにDNS登録要求をインターネット上で第三者に盗み見される心配がない。したがって、ホスト名をエンドユーザが適切に秘密管理する限り、悪意の第三者が宅内ゲートウェイ装置を狙ってホスト名の名前解決を要求することが困難となる。
前記DNSコンテンツサーバ部は、DDNS(Dynamic Updates in the Domain Name System)サーバとして機能することが好ましい。宅内ゲートウェイ装置のインターネットのグローバルIPアドレスが動的に割り当てられる場合でも、この発明に係るポート開閉制御システムを適用することができる。
上述のように、この発明は、インターネットに接続されたユーザ端末からのアクセス要求を受け付ける宅内ゲートウェイ装置と、インターネットから隔離された閉域網によって前記宅内ゲートウェイ装置へポート開放要求を送信する指令装置とを備えるポート開閉制御システムにおいて、前記指令装置は、DNSコンテンツサーバ部を有し、前記宅内ゲートウェイ装置は、前記アクセス要求の受け付けに利用可能なポートをインターネットに対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求を前記DNSコンテンツサーバ部に送信し、前記指令装置は、前記DNS登録要求のホスト名に対応付けて前記宅内ゲートウェイ装置の前記閉域網のアドレスを記憶し、インターネットから前記ホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する前記宅内ゲートウェイ装置の閉域網のアドレスへ前記ポート開放要求を送信し、当該名前解決要求に対するDNS応答をTTL=0秒の指定で返信し、前記宅内ゲートウェイ装置は、前記ポート開放要求を受信すると、前記利用可能なポートをインターネットに対して開放し、当該開放したポートに確立された前記ユーザ端末からのアクセスが終了すると、当該開放したポートをインターネットに対して閉じる構成を採用することにより、宅内ゲートウェイ装置のポートをインターネットに対して不必要に開放することを避けつつ、通常のインターネット利用手順でユーザ端末から宅内ゲートウェイ装置へのリモートアクセスを実現することができる。
実施形態に係るポート開閉制御システムのネットワーク接続構造を示す概念図 (a)は実施形態に係る指令装置の機能ブロック図、(b)は実施形態に係る宅内ゲートウェイ装置の機能ブロック図、(c)は実施形態に係るユーザ端末の機能ブロック図 実施形態に係る指令装置で保持するテーブルの概念図 実施形態に係る指令装置のポート開閉制御時のフローチャート図 実施形態に係る宅内ゲートウェイ装置のポート開閉制御時のフローチャート図
以下、この発明の一例としての実施形態を添付図面に基づいて説明する。図1に示すように、実施形態に係るポート開閉制御システムは、ユーザ端末1からのアクセス要求をインターネット2経由で受け付ける宅内ゲートウェイ装置3と、インターネット2から隔離された閉域網4によって宅内ゲートウェイ装置3へポート開放要求を送信する指令装置5とを備える。
閉域網4は、ローカルIPアドレスによって網内のルーティングを行う、インターネット2に非公開されていないIP網になっている。閉域網4に属するノードへのローカルIPアドレスの付与は、閉域網4に設置されたDHCPサーバ等の適宜の手段によって一意に割り当てられる。以下、このローカルIPアドレスを閉域網IPアドレスと呼ぶ。閉域網4は、インターネット接続サービスを行うISP網との網間接続部で隔離されている。閉域網4として、例えば、本願出願人が国内において実施するNGN(Next Generation Network)を用いることができる。閉域網4、インターネット2のそれぞれは、宅内ゲートウェイ装置3のWAN側に接続される外部ネットワークとなる。宅内ゲートウェイ装置3のLAN側には、PC端末、AV機器等の各種の通信機器が宅内LANのノードとして接続される。
指令装置5、宅内ゲートウェイ装置3、ユーザ端末1の機能ブロックを図2(a)、(b)、(c)に示す。図示のように、指令装置5、宅内ゲートウェイ装置3、ユーザ端末1は、それぞれインターネット2に接続するための通信インターフェース51、31、11を有する。また、指令装置5、宅内ゲートウェイ装置3は、それぞれ閉域網4に接続するための通信インターフェース52、32を有する。宅内ゲートウェイ装置3が有する通信インタフェース31,32は仮想的な通信インタフェースであってよい。例えば、一つのEthernet物理インタフェースでWANに接続されており、その物理インタフェース上で、PPPoEでインターネット2に接続する仮想的な通信インタフェース31と、IPoEでNGNに接続される仮想的な通信インタフェース32を提供する形態であってよい。宅内ゲートウェイ装置3は、インターネット接続サービスを受けるため、自己のホスト名(FQDN)、及びグローバルIPアドレスをインターネット2上で一意に割り当てられている。以下、このグローバルIPアドレスを、インターネットIPアドレスと呼ぶ。
宅内ゲートウェイ装置3は、WAN側で用いる通信プロトコルと、LAN側で用いる通信プロトコルを変換するゲートウェイ機能部33を有する。
指令装置5は、DNSコンテンツサーバ部53と、IPアドレス情報管理手段54とを有する。DNSコンテンツサーバ部53は、宅内ゲートウェイ装置3のホスト名及びインターネットIPアドレスについて、唯一のDNS登録要求先となり、かつインターネット2においては宅内ゲートウェイ装置3のホスト名に係る名前解決要求を唯一解決可能なDNSサーバとなっている。
IPアドレス情報管理手段54は、図3に示すように、宅内ゲートウェイ装置3のホスト名61と、インターネットIPアドレス62と、閉域網IPアドレス63とを対応付けたテーブル6を記憶するデータベース部になっている。
図2に示すように、DNSコンテンツサーバ部53は、DDNSサーバとして機能する。宅内ゲートウェイ装置3は、閉域網4における指令装置5のIPアドレスが登録されたDNS登録手段34を有する。DNS登録手段34は、自己のホスト名及びインターネットIPアドレスのDNS登録要求を域網4によって指令装置5のDNSコンテンツサーバ部53に送信する。この送信は、インターネットIPアドレス、閉域網IPアドレスのいずれかが変更される都度、行うようになっている。
DNSコンテンツサーバ部53は、DNS登録要求から閉域網IPアドレス、ホスト名の対応付けを解析し、IPアドレス情報管理手段54に図3のテーブル6の更新を要求する。図2に示すDNSコンテンツサーバ部53は、DNS登録要求されたホスト名及びインターネットIPアドレスについて図3のテーブル6の更新をIPアドレス情報管理手段54に要求する。また、図2に示すDNSコンテンツサーバ部53は、インターネット2から受信した名前解決要求に係るホスト名に対応のインターネットIPアドレスを、IPアドレス情報管理手段54に問い合わせる。
DNSコンテンツサーバ部53は、受信した名前解決要求に対するDNS応答メッセージに、IPアドレス情報管理手段54から回答されたインターネットIPアドレスを含める。DNSコンテンツサーバ部53は、このDNS応答を中継保持するDNSサーバにおけるキャシュ時間:TTLを0秒に指定して返信する。このため、仮に、インターネット2に接続されたユーザ端末1と、DNSコンテンツサーバ部53との間に、DNSキャッシュサーバ7が介在することになっても、当該インターネットIPアドレスがDNSキャッシュサーバ7にキャッシュされることはない。したがって、ユーザ端末1からインターネット2経由でなされた宅内ゲートウェイ装置3のホスト名の名前解決要求は、毎回、DNSコンテンツサーバ部53に到達する。
指令装置5は、宅内ゲートウェイ装置3にポート開放要求を送信するポート制御情報通知手段55と、ポート開放要求で指定するためのポート番号を決定するポート番号決定手段56とを有する。DNSコンテンツサーバ部53は、インターネット2から宅内ゲートウェイ装置3のホスト名の名前解決要求を受信すると、ポート制御情報通知手段55に当該ホスト名を通知する。この通知を受けたポート制御情報通知手段55は、当該ホスト名に対応の閉域網IPアドレスをIPアドレス情報管理手段54に問い合わせ、ポート番号決定手段にポート番号を問い合わせる。この問い合わせを受けたポート番号決定手段56は、宅内ゲートウェイ装置3の利用可能なポートの中から、1つのポート番号を決定する。
ポート制御情報通知手段55は、IPアドレス情報管理手段54から回答された閉域網IPアドレスへ、ポート番号決定手段56から回答されたポート番号を指定したポート開放要求を送信し、当該ポート番号をDNSコンテンツサーバ部53に通知する。DNSコンテンツサーバ部53は、当該名前解決要求に対して、当該ポート番号を応答メッセージ中に含めて返信する。
ポート番号決定手段56は、決定するポート番号を動的に変更する。したがって、ポート開放要求で宅内ゲートウェイ装置3に指定するポート番号も同じく動的に変更される。動的な変更方法は、適宜に定めればよいが、例えば、ポート制御情報通知手段55からの問い合せの都度、ランダムに1つのポート番号を決定する方法を採用することができる。通信プロトコルで予約されているwell-knownポートはDoS攻撃を受け易いため、ポート番号決定手段56では、well-knownポートを避けたポート番号を決定することが好ましい。また、同一の宅内ゲートウェイ装置3で指定した履歴情報をポート番号決定手段56が記憶し、決定の都度、前回のポート番号と異なるポート番号を決定し、同一の宅内ゲートウェイ装置3において毎回同じポートをインタネット2に開放しないようにすることが好ましい。
宅内ゲートウェイ装置3は、ポート開閉制御手段35を有する。ポート開閉制御手段35は、通常、ユーザ端末1からのアクセス要求をインターネット2経由で受け付けるのに利用可能なポートをインターネット2に対して閉じた状態に維持する。他のサービスを利用するためにインターネット2にポート開放する等の積極的な理由がない場合、通常、宅内ゲートウェイ装置3の全ポートをインターネット2に対して閉じた状態に維持することが好ましい。
宅内ゲートウェイ装置3は、前記ポート開放要求をインターネット2用の通信インターフェース31で受信すると、ポート開閉制御手段35に送る。ポート開閉制御手段35は、利用可能なポートをインターネット2に対して開放する。この開放は、ポート開放要求から取得した前記ポート番号のポートを対象とする。ポート開閉制御手段35は、当該開放したポートに確立されたユーザ端末1からのインターネット2経由のリモートアクセスが終了すると、当該開放したポートをインターネット2に対して閉じる。
指令装置5から宅内ゲートウェイ装置3へのポート開放要求の送信には、UDP、TCPなどを用いるIPパケットベースのメッセージ通信方式を適宜に利用することができる。例えば、宅内ゲートウェイ装置3は、閉域網4側において所定のUDPポートを待ち受け用に開放する。この開放中、宅内ゲートウェイ装置3は、指令装置5から送信されるパケットのみを受け付けるようにすることで、閉域網4内における安全性を高めることができる。これは、閉域網4における指令装置5のIPアドレスが固定であり、宅内ゲートウェイ装置3にとって既知なので、指令装置5の固定IPアドレスからのポケットのみ許容するように宅内ゲートウェイ装置3のFW(ファイアウォール)部に設定することで実現可能である。また、ポート開放要求を確実に通達させるため、宅内ゲートウェイ装置3のポート開閉制御手段35は、ポート開放要求を受信すると、ACKを含むUDPパケットを指令装置5側へ返信し、指令装置5は、ACKを受信しない限り、所定のタイムアウトを待ってポート開放要求を再送するようにすることが好ましい。
DNSコンテンツサーバ部53がポート番号を応答メッセージ中に含める処理は、RFC1035で定義されているDNSメッセージフォーマットに沿うように行えばよい。具体的には、応答メッセージの回答部の中にTXT RDATA(文字列)の資源レコード(RR:Resource Record)を含め、“available port:5001”のようなテキストデータとしてポート番号を含めることができる。
ユーザ端末1は、DNSコンテンツサーバ部53に対応するリゾルバ、宅内ゲートウェイ装置3のホスト名指定手段等、インターネット端末としての諸機能の他にも、宅内ゲートウェイ装置3にインターネットVPN接続するためのポート指定型のリモートアクセス手段12を有する。ユーザ端末1は、宅内ゲートウェイ装置3のホスト名の名前解決要求に対する返信を通信インターフェース11で受信すると、当該返信された応答メッセージをリモートアクセス手段12に送る。リモートアクセス手段12は、当該応答メッセージからポート番号を抽出する。リモートアクセス手段12は、インターネットVPNクライアントとして機能し、応答された宅内ゲートウェイ装置3のインターネットIPアドレスのポート番号へリモートアクセスの確立を要求する。宅内ゲートウェイ装置3とユーザ端末1間に確立したインターネットVPN接続は、エンドユーザの端末操作、タイムアウト等によって終了するようになっている。インターネットVPN接続には、IP−Sec、SSLといった適宜のプロトコルを採用することができる。
なお、ユーザ端末1、宅内ゲートウェイ装置3、指令装置5を構成している各機能部は、CPU等の演算処理装置やメモリ等の記憶装置を備えたコンピュータ上で実行されるプログラムによって実現されている。
実施形態に係るポート開閉制御システムにおいて、宅内ゲートウェイ装置3のポートをインターネッ2に対して開閉するまでの動作フローを図4、図5に示す。前提とする初期状態は、図1に示す宅内ゲートウェイ装置3のホスト名、インターネッIPアドレス、閉域網IPアドレスが指令装置5側に登録済みであり、宅内ゲートウェイ装置3が全てのポートをインターネット2に対して閉じ、指令装置5に対し待ち受けポートを開放している状態である。先ず、ユーザ端末1が宅内ゲートウェイ装置3のホスト名の名前解決要求を送信する。この名前解決要求は、DNSキャッシュサーバ7から応答されることなく、指令装置5に到達する。図1、図4に示すように、指令装置5は、初期状態で名前解決要求を受信したか否かを監視しており、受信を確認すると(S1)、ポート番号を決定し(S2)、対応のホスト名の閉域網IPアドレスへ、ポート番号を指定したポート開放要求を送信し(S3)、対応のインターネットIPアドレスと共にポート番号を含めた応答メッセージを返信し、初期状態に復帰する(S4)。
一方、図1、図5に示すように、宅内ゲートウェイ装置3は、初期状態でポート開放要求を受信したか否かを監視しており、受信を確認すると(S11)、ポート開放要求で指定されたポート番号のポートをインターネット2に対して開放する(S12)。その後、宅内ゲートウェイ装置3は、指令装置5からの返信を受けたユーザ端末1から当該開放中のポートへ送信されたVPN接続要求を受信すると、ユーザ端末1とのインターネットVPN接続を確立する(S13)。宅内ゲートウェイ装置3は、その接続の確立後、この接続が切断されたか否かの監視を開始し、切断を確認すると、当該開放中のポートをインターネット2に対して閉じ、初期状態に戻る(S14)。
上述のように、実施形態に係るポート開閉制御システムは、閉域網4によって宅内ゲートウェイ装置3のDNS登録要求を指令装置5に送信するため、インターネット2上で宅内ゲートウェイ装置3のホスト名が第三者に漏洩する心配がなく、当該ホスト名をエンドユーザが秘密管理すれば、悪意の第三者が当該ホスト名の名前解決を要求することが困難となる。また、ユーザ端末1から宅内ゲートウェイ装置3へのリモートアクセスが必要なとき、ユーザ端末1から宅内ゲートウェイ装置3のホスト名を送信する通常のインターネット利用手順を実行するだけで、宅内ゲートウェイ装置3へリモートアクセスすることできる。また、宅内ゲートウェイ装置3のインターネット2側へのポート開放を、閉域網4からのポート開放要求受信をトリガとした開放後、確立したリモートアクセスの終了をトリガとしたポート閉塞までの間に制限するため、宅内ゲートウェイ装置3のインターネット2に対する不必要なポート開放を避けることもできる。また、宅内ゲートウェイ装置3に対する開放ポートをポート番号指定で動的に変更するため、well-knownポートへの攻撃を受け難くすることができる。
なお、この発明の技術的範囲は、上述の実施形態に限定されず、特許請求の範囲の記載に基く技術的思想の範囲内での全ての変更を含むものである。例えば、ポート番号指定は必須でなく、IP−sec利用だと5000番ポートというように、ポート開放要求によって開放するポート番号を宅内ゲートウェイ装置3にデフォルトで設定し、ユーザ端末1がそのポート番号にアクセスするようにしておけば、指令装置5は単純なポート開放命令の要求を送り、DNS応答メッセージを標準的なものにすることができる。また、指令装置5は、一台のサーバ稼動コンピュータ上に構築する必要はなく、分散コンピューティングで構築し、DNS登録のホスト名と閉域網4のアドレスを対応付けが可能な相互通知手段を実装すればよい。
1 ユーザ端末
2 インターネット
3 宅内ゲートウェイ装置
4 閉域網
5 指令装置
6 テーブル
11、31、32、51、52 通信インターフェース
12 リモートアクセス手段
34 DNS登録手段
35 ポート開閉制御手段
53 DNSコンテンツサーバ部
54 IPアドレス情報管理手段
55 ポート制御情報通知手段
56 ポート番号決定手段
61 ホスト名
62 インターネットIPアドレス
63 閉域網IPアドレス

Claims (4)

  1. ユーザ端末(1)からのアクセス要求をインターネット(2)経由で受け付ける宅内ゲートウェイ装置(3)と、
    インターネット(2)から隔離された閉域網(4)によって前記宅内ゲートウェイ装置(3)へポート開放要求を送信する指令装置(5)とを備えるポート開閉制御システムにおいて、
    前記指令装置(5)は、DNSコンテンツサーバ部(53)を有し、
    前記宅内ゲートウェイ装置(3)は、前記アクセス要求の受け付けに利用可能なポートをインターネット(2)に対して閉じ、自己のホスト名及びインターネットで割り当てられているグローバルIPアドレスのDNS登録要求をDNSコンテンツサーバ部(53)に送信し、
    前記指令装置(5)は、前記DNS登録要求のホスト名に対応付けて前記宅内ゲートウェイ装置(3)の前記閉域網(4)のアドレスを記憶し、インターネット(2)から前記ホスト名の名前解決要求を受信すると、当該ホスト名に対応付けて記憶する前記宅内ゲートウェイ装置(3)の閉域網(4)のアドレスへ前記ポート開放要求を送信し、当該名前解決要求に対するDNS応答をTTL=0秒の指定で返信し、
    前記宅内ゲートウェイ装置(3)は、前記ポート開放要求を受信すると、前記利用可能なポートをインターネット(2)に対して開放し、当該開放したポートに確立された前記ユーザ端末(1)からのアクセスが終了すると、当該開放したポートをインターネット(2)に対して閉じることを特徴とするポート開閉制御システム。
  2. 前記指令装置(5)は、ポート番号を指定した前記ポート開放要求を送信し、前記ポート番号を前記名前解決要求に対する返信中に含め、
    前記宅内ゲートウェイ装置(3)は、前記ポート開放要求から取得した前記ポート番号のポートを前記利用可能なポートとして開放し、
    前記名前解決要求を発信した前記ユーザ端末(1)は、前記返信から取得した前記ポート番号へアクセス要求を送信し、
    前記指令装置(5)は、指定する前記ポート番号を動的に変更する請求項1に記載のポート開閉制御システム。
  3. 前記宅内ゲートウェイ装置(3)は、前記DNS登録要求を前記閉域網(4)によって前記指令装置(5)に送信する請求項1又は2に記載のポート開閉制御システム。
  4. 前記DNSコンテンツサーバ部(53)は、DDNSサーバとして機能する請求項1から3のいずれか1項に記載のポート開閉制御システム。
JP2012068957A 2012-03-26 2012-03-26 ポート開閉制御システム Active JP5764085B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012068957A JP5764085B2 (ja) 2012-03-26 2012-03-26 ポート開閉制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012068957A JP5764085B2 (ja) 2012-03-26 2012-03-26 ポート開閉制御システム

Publications (2)

Publication Number Publication Date
JP2013201621A JP2013201621A (ja) 2013-10-03
JP5764085B2 true JP5764085B2 (ja) 2015-08-12

Family

ID=49521498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012068957A Active JP5764085B2 (ja) 2012-03-26 2012-03-26 ポート開閉制御システム

Country Status (1)

Country Link
JP (1) JP5764085B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014112466A1 (de) * 2014-06-03 2015-12-03 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3318033B1 (de) * 2015-06-30 2020-05-13 Fujitsu Technology Solutions Intellectual Property GmbH Anti-cracking verfahren mit hilfe eines vermittlungscomputer
CN110365560B (zh) * 2019-07-15 2021-09-24 上海市共进通信技术有限公司 家庭网关中实现服务端口自适应的控制方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000341325A (ja) * 1999-05-26 2000-12-08 Matsushita Electric Works Ltd 通信アドレスの変化する通信端末器に対してホスト名を固定してアクセスする方法、この方法を用いたダイナミックip用dnsシステム、及びそのシステムに使用されるdnsサーバ装置
JP2011150704A (ja) * 2011-02-09 2011-08-04 Fujitsu Ltd 接続支援装置
JP5773925B2 (ja) * 2012-03-26 2015-09-02 西日本電信電話株式会社 情報登録及び取得システム

Also Published As

Publication number Publication date
JP2013201621A (ja) 2013-10-03

Similar Documents

Publication Publication Date Title
EP2291979B1 (en) Remote access between upnp devices
US9154378B2 (en) Architecture for virtualized home IP service delivery
Cheshire et al. Nat port mapping protocol (nat-pmp)
US11979373B2 (en) Protecting internet of things (IoT) devices at the network level
JP4394701B2 (ja) ネットワークトポロジーを隠蔽する方法および装置
JP2006086800A (ja) ソースアドレスを選択する通信装置
US11831607B2 (en) Secure private traffic exchange in a unified network service
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
JP4524906B2 (ja) 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
CN106878161A (zh) 用于解析域名系统请求的方法和系统
EP1489809A1 (en) Network access system
JP5764085B2 (ja) ポート開閉制御システム
JP2009010606A (ja) トンネル接続システム、トンネル管理サーバ、トンネル接続装置、及びトンネル接続方法
JP2005311829A (ja) 通信路設定方法、ゲートウェイ装置及び通信システム
WO2015059128A1 (en) A forwarder selection protocol for a network and a respective cpe device
JP5477056B2 (ja) 電子機器、および電子機器の動作設定方法
JP2004158923A (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
Cheshire et al. RFC 6886: Nat port mapping protocol (NAT-PMP)
JP2007189752A (ja) 通信方法
JP6750950B2 (ja) 通信装置および通信方法
KR102345559B1 (ko) 호스트 관리 방법 및 이를 수행하는 시스템
JP5453941B2 (ja) 通信制御装置
Perreault et al. Port Control Protocol (PCP) Proxy Function
Perreault et al. RFC 7648: Port Control Protocol (PCP) Proxy Function

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140811

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20140811

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150526

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150612

R150 Certificate of patent or registration of utility model

Ref document number: 5764085

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250