JP7509430B2 - 通信装置、通信方法及びプログラム - Google Patents

通信装置、通信方法及びプログラム Download PDF

Info

Publication number
JP7509430B2
JP7509430B2 JP2021184974A JP2021184974A JP7509430B2 JP 7509430 B2 JP7509430 B2 JP 7509430B2 JP 2021184974 A JP2021184974 A JP 2021184974A JP 2021184974 A JP2021184974 A JP 2021184974A JP 7509430 B2 JP7509430 B2 JP 7509430B2
Authority
JP
Japan
Prior art keywords
packet
conversion
information
conversion rule
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021184974A
Other languages
English (en)
Other versions
JP2023072425A (ja
Inventor
祥之 久米
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2021184974A priority Critical patent/JP7509430B2/ja
Publication of JP2023072425A publication Critical patent/JP2023072425A/ja
Application granted granted Critical
Publication of JP7509430B2 publication Critical patent/JP7509430B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信装置、通信方法及びプログラムに関する。
近年インターネットの普及により、HGW(Home Gate Way)と呼ばれる光ファイバーなどの固定回線による通信サービスにおいて、公衆回線網とプライベートネットワークの接続を担う機器が多くの家庭で利用されている。HGWはISP(インターネットサービスプロバイダ)への接続や家庭内のパソコンなどへのIPアドレスの割り当て、無線LANアクセスポイント(Wi-Fiアクセスポイント)など一般的なブロードバンドルータの機能を担っている。
HGWの利用形態として、プライベートネットワーク内にウェブサーバを公開したり、NAS(Network Attached Storage)を設置したりするケースがある。プライベートネットワーク内に設置されているウェブサーバやNASは、HGWでNAT(Network Address Translation)されてプライベートアドレスが割り振られているが、インターネットなどの外部ネットワークからはHGWのグローバルIPアドレスしかわからないため、プライベートネットワークにあるウェブサーバやNASにアクセスすることはできない。この問題を解決するために、静的NATや静的IPマスカレードと呼ばれる技術があり、それらは多くのHGWやルータが具備している。
静的NAT設定を使用する場合は、HGWのプライベートネットワーク内の機器に外部から通信する対向の装置のIPアドレスを予め知っておく必要がある。例えば、外出先の公衆Wi-FiなどからHGWのプライベートネットワーク内の機器に外部から通信する場合など、自装置のグローバルIPアドレスを把握できていない場合がある。このようなときは、外部から静的NATを利用して自宅のプライベートネットワーク内の機器にアクセスすることはできない。
静的IPマスカレードを使用する場合は、HGWがもつグローバルIPアドレスの特定のポート宛に受信した通信を、プライベートネットワーク内の特定の機器の特定のポートに転送することになるため、誰でもプライベートネットワーク内の機器にアクセスすることができるため、セキュリティ上の問題がある。
特許文献1には、プライベートネットワーク内の端末から外部サーバ等にポーリングパケットを送信し、これに対する応答パケットにて端末と通信を行う通信方式が開示されている。具体的には、ポーリングパケットを送信した際にルータに一定期間残される送信元のローカルアドレスとグローバルアドレスの対応関係を使用して外部サーバ等からプライベートネットワーク内の端末を制御することを可能としている。
特許文献2には、静的IPマスカレードを使用してプライベートネットワーク内のWebサーバにアクセス可能とするルータが開示されている。ルータ内にメニュー表示用のWebサーバを有し、インターネット等の外部ネットワークからアクセス可能としている。該Webサーバにアクセスするとプライベートネットワーク内で公開中のWeb機器へのリンクがメニュー表示される。ユーザがリンクを選択すると、選択されたWeb機器へのアクセスが開始される。
特表2005-520466号公報 特開2006-135704号公報
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
上記特許文献1のように、ポーリングパケットを使用することによりプライベートネットワーク内の端末とグローバルアドレスを有するサーバとが通信が可能である。しかしながらこの方法では、UDP(User Datagram Protocol)でプライベートアドレスからグローバルアドレスへ通信を行う際にルータ上で作成される対応関係を用いるため、通信方法がパケットの到達が保証されないUDPによる通信に限定されるといった欠点がある。
一方で上記特許文献2のように、プライベートネットワークへのゲートウエイとなるWebサーバを配置した場合には、当該Webサーバに認証部を設けることで誰でもプライベートネットワーク内の機器にアクセスすることは不可能となるが一度ゲートウエイにアクセスするといった処理が介在するため接続のトランスペアレンシーが低く、利便性に欠けるといった欠点がある。
本発明は、主にグローバルアドレスからプライベートネットワーク内の機器に対してセキュリティが高く、かつ信頼性及び利便性の高い通信を行うことに寄与する通信装置、通信方法及びプログラムを提供することを主たる目的とする。
本発明乃至開示の第一の視点によれば、第1のネットワークを介して送信されたパケットを受信する受信部と、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する変換ルール取得部と、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する変換部と、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する送信部と、を有する通信装置が提供される。
本発明乃至開示の第二の視点によれば、第1のネットワークを介して送信されたパケットを受信するステップと、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得するステップと、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行するステップと、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信するステップと、を含む通信方法が提供される。
本発明乃至開示の第三の視点によれば、第1のネットワークを介して送信されたパケットを受信する処理と、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する処理と、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する処理と、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する処理と、をコンピュータに実行させるためのプログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明乃至開示の各視点によれば、主にグローバルアドレスからプライベートネットワーク内の機器に対してセキュリティが高く、かつ信頼性及び利便性の高い通信を行うことに寄与する通信装置、通信方法及びプログラムが提供される。
一実施形態に係る通信装置の構成の一例を示す図である。 一実施形態における変換ルールの一例を示す図である。 第1の実施形態に係る通信装置の構成の一例を示す図である。 第1の実施形態の通信装置が受信するパケットの一例である。 第1の実施形態に係る通信装置の動作の一例を示すフローチャートである。 第1の実施形態に係る通信装置のハードウエア構成を示す概略図である。 第2の実施形態に係る通信システムの概要を示す図である。 第2の実施形態に係る通信システムにおけるHGWの構成の一例を示す図である。 第2の実施形態に係る通信システムにおけるPCの構成の一例を示す図である。 従来技術のTCPフレームを示す図である。 第2の実施形態の通信システムにおいてPCが生成するTCPフレームの一例を示す図である。 第3の実施形態に係る通信システムにおけるHGWの構成の一例を示す図である。 第3の実施形態に係る通信システムにおけるPCの構成の一例を示す図である。
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インタフェースも同様である。
図1は一実施形態に係る通信装置の構成の一例を示す図である。この図にあるように、一実施形態に係る通信装置10は、受信部11と、変換ルール取得部12と、変換部13と、送信部14と、を有する。
受信部11は、第1のネットワークを介して送信されたパケットを受信する。「第1のネットワーク」とは、「第2のネットワーク」とは異なるネットワークセグメントであることを意味する。第1のネットワークと第2のネットワークとは通信装置10により分けられており、通信装置10により通信がルーティングされている。
変換ルール取得部12は、前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する。「変換」とは、パケットのヘッダ部にあるルーティングのための情報を上書きすることにより、別のルーティングのための情報へ変更を行うことである。例えばIP(Internet Protocol)ヘッダの宛先IPアドレスや、TCP(Transmission Control Protocol)による通信の場合には、宛先ポート番号等が挙げられる。「変換ルール」とは上記変換のためのルールを定めたもののセットである。変換ルールは、例えば、変換前のヘッダ情報と変換後のヘッダ情報とが対応付けて記述されており、後述する変換部13にて変換前のヘッダ情報に該当するパケットが受信部11より送られてきた場合に対応する変換後のヘッダ情報へ変換を実行するといった処理をするためのものである。
ここで「変換ルール」は、NATが可能なルータが保持するNATルールとその機能は一部共通するものであるが、本願発明の一実施形態の通信装置では、変換ルールは通信装置にあらかじめ保持されているものではなく、受信部11にて受信したパケットのペイロード部分に変換ルールが記載されている点に特徴を有する。変換ルール取得部12はこのペイロード部分の変換ルールを取得し、後述する変換部13に送ることでパケットのヘッダ情報を変換する。図2は本願発明の一実施形態における変換ルールの一例を示す図である。この図にあるように、変換ルールはパケットのペイロード部分に位置している。なお、図ではヘッダ情報の直後に変換ルールが位置しているが、これに限られず、ペイロード部分で変換ルールであると通信装置が認識可能な位置であればどこに位置していてもよい。
変換部13は、前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する。変換は、受信した当該パケットに対して即時に変換を行ってもよいし、最初のパケットを受信した際に変換ルールを読み込み、その最初のパケットに関しては破棄するといった処理を実行してもよい。変換部13にて変換されたパケットは、送信部14に送られる。
送信部14は、前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する。変換部13にて変換されたパケットを受取り、変換されたヘッダ情報を読み取って、そのヘッダ情報に基づいて、第2のネットワークにパケットを転送する。
このように、一実施形態の通信装置によれば、第1のネットワークから受信した変換ルールを含んだパケットを読み取り、変換ルールに基づいてパケットのヘッダ情報を変換することで、送信元のアドレス情報等が変化したとしても、その変化に応じてパケットを第2のネットワークに転送することができる。これにより、例えばプライベートネットワーク内に位置している機器に対してグローバルアドレスから透過的にアクセスが可能である。また、例えば、送信元がDHCP(Dynamic Host Configuration Protocol)を用いて動的にIPアドレスを取得していて送信元のIPアドレスが変化する場合でも、通信装置10側の設定を直接変更することなく通信を続けることが可能である。
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
図3は第1の実施形態に係る通信装置の構成の一例を示す図である。この図にあるように、第1の実施形態に係る通信装置10は、受信部11と、変換ルール取得部12と、変換部13と、送信部14と、を有する。これら構成要件については、上記で説明済みであるので記載は省略する。本実施形態の通信装置10はさらに変換ルール保持部15と、認証情報取得部16と、認証部17と、有効期間情報取得部18と、を有する。
変換ルール保持部15は、前記変換ルール取得部12で取得された前記変換ルールを保持する。具体的には、例えば変換ルールに記載されている、変換前のヘッダ情報と変換後のヘッダ情報の対応付け情報を変換ルール取得部12より受取って保持し、変換部13が当該情報にアクセスして変換ルールを読み込む。
図4は本実施形態の通信装置10が受信するパケットの一例である。この図にあるようにパケットは主にヘッダとペイロードに分けられ、ヘッダ情報には発信元及び宛先IPアドレスや、発信元及び宛先ポート番号等が含まれている。ペイロード部分には本実施形態の通信装置10における特徴である変換ルールと、認証情報と、有効期間情報とが含まれている。変換ルールは図に示すように、変換前の送信先アドレス及び送信先ポート番号と、変換後の送信先アドレス及び送信先ポート番号とが対応付けられている。ここで変換前の送信先アドレス及び送信先ポート番号は通信装置10のものであり、変換後の送信先アドレス及び送信先ポート番号は第2のネットワークに属する機器等のものとなっている。
認証情報取得部16は、前記パケットを参照して送信元を認証するための認証情報を取得する。送信元から送信され、受信部11で受信したパケットのペイロード部分の変換ルール内、もしくは変換ルール外に送信元の端末等を認証するための認証情報が含まれる。本実施形態の通信装置10は、パケットのヘッダ情報を変換することができるか否かを取得した認証情報により、後述する認証部17にて決定する。認証情報取得部16はこの認証情報を取得して、後述する認証部17に認証情報を渡す。
認証部17は、前記認証情報により認証を実行する。認証の手段については端末等の機器認証に関する種々の手法が考えられ、特定の手段に限定されない。例えば、Ethernetフレームに含まれる送信先MACアドレスと送信元MACアドレスの組を用いて、あらかじめ認証部17に登録されている認証を許可するMACアドレスの組のリストと照合を行うことで認証を実行してもよい。
認証部17は認証を実行すると認証の結果を変換部13に送る。認証の結果が成功であれば、変換部13において上述した変換処理を実行する。認証の結果が失敗であった場合には、変換部13は変換処理を実行しない。変換部13はこの場合、パケットを破棄する処理を実行してもよい。
変換部13又は認証部17は、認証部17による認証の結果が失敗であった場合、変換ルール保持部15に保持されている変換ルールを削除する処理を実行してもよい。
有効期間情報取得部18は、前記パケットを参照して前記変換を実行する期間を定める情報である有効期間情報を取得する。受信部11にて受信するパケットにはペイロード部分の変換ルールの内部又は外部に有効期間情報が含まれていてもよい。「有効期間情報」とは変換ルール取得部12で取得された変換ルールが変換部13にて適用される期間を定めたものである。有効期間が徒過しているか否かの判断は変換部13にて行い、有効期間が徒過したパケットは受信部11において破棄されてもよい。
変換部13は、有効期間が徒過しているとの判断結果の場合には、変換ルール保持部15に保持されている変換ルールを削除する処理を実行してもよい。
このように本実施形態の通信装置は、変換部13によりヘッダ情報を変換することで、ルータにおいて静的NATや、静的IPマスカレードなどの設定を行うことなく、第1のネットワークから第2のネットワークに透過的に接続をすることが可能である。また、ルータにおいて機器認証を行うことで、従来の静的IPマスカレードの様に、ルータの特定のポートへのアクセスをすべて別のネットワークの特定の機器に無条件で転送するようなセキュリティレベルの低い構成を回避することが可能である。
さらに、変換ルールに有効期間情報を付加することで、変換ルールが有効な期間を制御可能である。これにより、変換ルールが適用されたままの状態が放置され、外部から不正なアクセスを受けるといったリスクを回避することが可能である。
[動作の説明]
本実施形態の通信装置10の通信時の動作の一例について図5を用いて説明する。図5は、第1の実施形態に係る通信装置の動作の一例を示すフローチャートである。通信装置10の通信動作が開始すると、受信部11が第1のネットワークを介して送信されたパケットを受信する(ステップS51)。次に認証情報取得部16がパケット内の認証情報を取得する(ステップS52)。次に認証部17で認証を行い、認証に成功したか否かの判断を行う(ステップS53)。ここで認証が成功したと判断されると、有効期間情報取得部18が有効期間情報を取得する(ステップS54)。認証が失敗の場合には、認証部17又は変換部13が、変換ルール保持部15に保持されている変換ルールを削除して(ステップS55)、次のパケットを受信する処理(ステップS51)に戻る。有効期間情報が取得されると(ステップS54)、変換部13は、取得されたパケットが有効期間内か否かを判断する(ステップS56)。有効期間内でないとの判断結果の場合には変換部13は変換ルール保持部15内の変換ルールを削除して(ステップS55)次のパケットを受信する処理(ステップS51)に戻る。有効期間内であるとの判断結果の場合には変換ルール取得部12は受信されたパケット内の変換ルールを取得する(ステップS57)。変換部13は取得された変換ルールに基づいてパケットのヘッダ情報を変換する(ステップS58)。変換後のパケットは、送信部14が第2のネットワークを介して送信し、次のパケットを受信する処理(ステップS51)に戻る。
なお、上記処理の順序は前後していてもよい。例えば、通信装置10は、先に変換ルールの取得処理(ステップS57)を実行し、その後認証情報取得処理(ステップS52)、認証処理(ステップS53)、有効期間情報取得処理(ステップS54)を実行してもよい。
[ハードウエア構成]
通信装置10は、情報処理装置(コンピュータ)により構成可能であり、図6に例示する構成を備える。例えば、通信装置10は、内部バス65により相互に接続される、CPU(Central Processing Unit)61、メモリ62、入出力インタフェース63及び通信手段であるNIC(Network Interface Card)64等を備える。
但し、図6に示す構成は、通信装置10のハードウエア構成を限定する趣旨ではない。通信装置10は、図示しないハードウエアを含んでもよいし、必要に応じて入出力インタフェース63を備えていなくともよい。また、通信装置10に含まれるCPU等の数も図6の例示に限定する趣旨ではなく、例えば、複数のCPUが通信装置10に含まれていてもよい。
メモリ62は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
入出力インタフェース63は、図示しない表示装置や入力装置のインタフェースとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
通信装置10の機能は、メモリ62に格納されたエリア管理情報データ、グループ毎位置情報データ、処理モジュールである受信プログラム、変換ルール取得プログラム、変換プログラム、認証情報取得プログラム、認証プログラム、有効期間情報取得プログラム、送信プログラム等により実現される。当該処理モジュールは、例えば、メモリ62に格納された変換プログラムをCPU61が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウエア、及び/又は、ソフトウエアで実行する手段があればよい。
[ハードウエアの動作]
通信装置10は、動作を開始すると、受信プログラムがメモリ62から呼び出され、CPU61にて実行状態となり、第1のネットワークを介してNIC64によりパケットを受信する。次に認証情報取得プログラムがメモリ62から呼び出されCPU61にて実行状態となり、受信したパケットのペイロード部分の情報より認証情報を取得する。次に認証プログラムがメモリ62から呼び出され、CPU61にて実行状態となり、取得された認証情報により認証処理を実行する。
認証処理の結果、認証に成功した場合には、有効期間情報取得プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。同プログラムは受信したパケットのペイロード部分の情報より有効期間情報を取得する。
認証処理の結果、認証に失敗した場合には再び受信プログラムによりパケットを受信する処理に戻る。この時、認証プログラムは、メモリ62に保持されている後述する変換ルールを削除する処理を実行してもよい。
次に、変換プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。変換プログラムは、取得された有効期間情報を参照し、有効期間内であるか否かを判断する。ここで有効期間外であるとの判断結果の場合には、再び受信プログラムによりパケットを受信する処理に戻る。
有効期間情報を参照し、有効期間内であるとの判断結果が得られた場合には変換ルール取得プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。変換ルール取得プログラムは、パケットの情報から変換ルールを取得し、メモリ62の指定されたアドレスに格納する。
変換プログラムは、メモリ62に格納された変換ルールを読み込み、変換ルールに基づいて受信されたパケットのヘッダ情報を書き換える。次に送信プログラムがメモリ62から呼び出され、CPU61にて実行状態となる。送信プログラムは書き換えられたヘッダ情報に基づいて第2のネットワークに対してパケットを転送する。
[効果の説明]
本実施形態の通信装置10により、あらかじめ通信装置10に対して静的NATや、静的IPマスカレード等のパケットの転送設定をすることなく異なるネットワークにパケットを転送することが可能である。また、受信したパケット情報内の認証情報や有効期間情報に基づいてセキュリティの高い通信を行うことが可能である。
[第2の実施形態]
第2の実施形態について、図面を用いてより詳細に説明する。第2の実施形態では通信装置10に当たるHGW(Home Gate Way)と、送信元であるPCと、プライベートネットワーク内に位置するウェブサーバの通信との一例を示す。
図7は本実施形態に係る通信システムの概要を示す図である。本構成では、HGW200は外部ネットワークとプライベートネットワークをWANとLANで切り離しており、WANにグローバルIPアドレスを保持し、そのグローバルIPアドレスを用いてインターネットなどの外部ネットワークと通信する。ウェブサーバ250はHGWのLANに接続し、プライベートIPアドレスを1つ保持し、80番ポートで待ち受けている。PC300はパソコンであり、HGW200とウェブサーバ250から見て、外部ネットワークに設置されていて、外部ネットワークからウェブサーバ250に通信する。
図8は本実施形態の通信システムにおけるHGW200の構成の一例を示す図である。HGW200は情報処理部201、LANポート202、WANポート203、ルーティング制御部204を具備する。情報処理部201はHGW200に搭載される各機能を制御する。LANポート202はIEEE802.3に準拠し、プライベートネットワークの通信機器と通信をおこなう。WANポート203はIEEE802.3に準拠し、インターネットなどの外部ネットワークとの通信機器と通信をおこなう。ルーティング制御部204はLANポート202やWANポート203で受信した通信の転送先を決定し、転送する。プライベートネットワークと外部ネットワークとの通信はNAPT(Network Address Port Translation)されるものとする。
図9は本実施形態の通信システムにおけるPC300の構成の一例を示す図である。PC300は情報処理部301、LANポート302、パケット生成ツール303を具備する。情報処理部301はPC300に搭載される各機能を制御する。LANポート302はIEEE802.3に準拠し、自身が接続されたネットワークの通信機器と通信をおこなう。パケット生成ツール303は、ユーザが指定した情報を埋め込んだパケットの生成をおこなう。
図10は従来技術のTCPフレーム400を示す図である。TCPフレーム400は、イーサネットヘッダ、IPヘッダ、TCPヘッダ、TCPメッセージ、CRCで構成される。イーサネットヘッダには、発信元と宛先のMACアドレスなどの情報が含まれる。IPヘッダには、発信元と宛先のIPアドレスなどの情報が含まれる。TCPヘッダには、発信元と宛先のポート番号などの情報が含まれる。TCPメッセージには、任意の情報が含まれる。CRCは誤り補正の情報が含まれる。
図11は本実施形態の通信システムにおいてPC300が生成するTCPフレームの一例を示す図である。TCPフレーム500は、イーサネットヘッダ、IPヘッダ、TCPヘッダ、TCPメッセージ、CRCで構成される。イーサネットヘッダには、発信元と宛先のMACアドレスなどの情報が含まれる。IPヘッダには、発信元と宛先のIPアドレスなどの情報が含まれる。TCPヘッダには、発信元と宛先のポート番号などの情報が含まれる。TCPメッセージには、HGW200がPC300からの通信を許可するための認証情報、HGW200に対して行いたい処理の情報及びその処理がHGW200に適用される期間、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号及び任意の情報が含まれる。CRCは誤り補正の情報が含まれる。
[システムの動作の説明]
図7~11を用いて本実施形態の通信システムの動作の一例を説明する。図7の構成において、PC300はHGW200のプライベートネットワーク内に設置されたウェブサーバ250にアクセスするために、パケット生成ツール303で以下の情報を含んだパケットを生成する。
イーサネットヘッダ:発信元MACアドレス及び宛先MACアドレス
IPヘッダ:発信元IPアドレス及び宛先IPアドレス
TCPヘッダ:発信元ポート及び宛先ポート
TCPメッセージ:
認証情報:HGW200がこの通信を許可するために必要な情報であって、例えば、HGW200が予め保持しているHGW200のWEB設定画面の認証パスワードなどを用いてもよい。
コマンド:HGW200に対して行いたい処理の情報である。今回の場合は静的IPマスカレード設定である。
コマンドの有効期間:上記の静的IPマスカレード設定がHGW200に適用される期間。今回の場合は5分とする。
ウェブサーバ250のプライベートIPアドレス及びポート番号:PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号。
CRC情報
次にPC300は上記で生成したTCPフレーム500をHGW200のグローバルIPアドレス宛に送信する。HGW200はWANポートでTCPフレーム500を受けると、情報処理部201でTCPフレーム500のTCPメッセージに付加された情報を解析する。
情報処理部201はTCPフレーム500のTCPメッセージに付加された認証情報がHGW200にあらかじめ接待されているWEBGUIのユーザIDとパスワードが一致していれば、TCPフレーム500によるHGW200への設定を許可する。
情報処理部201はTCPフレーム500のTCPメッセージに付加された静的IPマスカレード設定コマンド、コマンドの有効期間、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC300がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号に基づいて、ルーティング制御部204に静的IPマスカレード設定を行う。
PC300はウェブサーバ250にアクセスするためにHGW200のグローバルIPアドレス宛の80番ポートに通信をおこなう。HGWでは上記の通り静的IPマスカレード設定がなされているため、HGW200のグローバルIPアドレスの80番ポート宛に受信した通信はHGWのLAN側のプライベートネットワーク内にあるウェブサーバ250のプライベートIPアドレス及び指定のポート宛に転送され、PC300とウェブサーバ250の通信は実現される。
なお、TCPフレーム500のTCPメッセージに付加されたコマンドの有効期間が満了すれば、情報処理部201はルーティング制御部204から、静的IPマスカレード設定情報を削除する。
[効果の説明]
インターネットなどの外部ネットワークから自宅のプライベートネットワーク内に設置しているウェブサーバなどに、HGWに予め静的IPマスカレード設定などの外部からの通信を許可するルーティング設定をしていなくても、外部からHGWに静的IPマスカレード設定などのルーティング設定を行うことで外部からプライベートネットワーク内にある機器への通信を可能とする。また、HGWに予め静的IPマスカレード設定などのルーティング設定を行う場合は、常に指定されたポートが開放状態になってしまいセキュリティ的に脆弱となってしまうが、本発明を用いることで、HGWに静的IPマスカレード設定などのルーティングを通信が行う都度実施することで、HGWにポートを常時開放することなく、外部からプライベートネットワーク内にある機器への通信を可能とする。
[第3の実施形態]
本実施形態の通信システムは、図13のPC700が、図7のウェブサーバ250との通信開始時のみに図11で示すようなTCPフレームで静的IPマスカレード情報を図12のHGW600に1度だけ通知するのではなく、PC700がウェブサーバ250宛に通信を行う際は、もともとのイーサネットフレームに加えて、図11のTCPメッセージに示すような静的IPマスカレード設定などの制御情報を常にイーサネットフレームに付加することで、プライベートネットワーク内にあるウェブサーバ250と外部ネットワークにあるPC700との通信を可能とする。
図7の構成において、図13のPC700のウェブブラウザなどから図12のHGW600のプライベートネットワーク内に設置されたウェブサーバ250にアクセスを試みるため、情報処理部701からHGW600のグローバルIPアドレスの80番ポート宛に図10に示すような一般的なTCPフレーム400を送信する。
PC700により送信されたTCPフレーム400は、パケット加工部703に渡され、もともと含まれていたTCPメッセージに加え、ここでTCPメッセージに図11に示す認証情報、コマンド発信元IPアドレス、宛先プライベートIPアドレス、発信元ポート、宛先ポートを付加する。
次に、PC700は生成したTCPフレーム500をHGW600のグローバルIPアドレス宛に送信する。HGW600はWANポートでTCPフレーム500を受けると、情報処理部601でTCPフレーム500のTCPメッセージに付加された情報を解析する。情報処理部601はTCPフレーム500のTCPメッセージに付加された認証情報がHGW600にあらかじめ設定されているWEBGUIのユーザIDとパスワードが一致していれば、TCPフレーム500によるHGW600への設定を許可する。
続いて、情報処理部601はTCPフレーム500のTCPメッセージに付加された静的IPマスカレード設定コマンド、ウェブサーバ250のプライベートIPアドレス及びポート番号、PC700がウェブサーバ250と通信する際に使用するグローバルIPアドレス及びポート番号に基づいて、TCPフレーム500をパケット加工部605に転送する。
このときTCPフレーム500はパケット加工部605に渡され、PC700のパケット加工部703で付与された、認証情報やコマンド情報などのデータを削除する。従って、TCPフレーム500は図10で示すようなTCPフレーム400のような一般的なTCPフレームになる。
パケット加工部605は、上述のTCPフレームをLANポート602を介して、ウェブサーバ250に転送する。上記の手順でPC700とウェブサーバ250の通信は実現される。
[効果の説明]
本手順を用いれば、通信が発生するたびに静的IPマスカレードなどのルーティング設定が実行されるため、第2の実施形態の通信システムよりも外部ネットワークにポートを開放している時間を短くできるため、セキュリティレベルが向上するといった効果を有する。
上記の実施形態の一部又は全部は、以下のようにも記載され得るが、以下には限られな
い。
[形態1]
上述の第一の視点に係る通信装置のとおりである。
[形態2]
前記変換ルール取得部で取得された前記変換ルールを保持する変換ルール保持部をさらに有し、前記変換部は前記変換ルール保持部に保持されている前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する、好ましくは形態1の通信装置。
[形態3]
前記パケットを参照して送信元を認証するための認証情報を取得する認証情報取得部と、前記認証情報により認証を実行する認証部と、をさらに有し、前記変換部は前記認証部での認証結果に応じて前記変換を行うか否かを判断する、好ましくは形態1又は2の通信装置。
[形態4]
前記パケットを参照して前記変換を実行する期間を定める情報である有効期間情報を取得する有効期間情報取得部を有し、
前記変換部は前記有効期間情報取得部が取得した前記有効期間情報に応じて前記変換を行うか否かを判断する、好ましくは形態1から3のいずれか一の通信装置。
[形態5]
前記変換部は、前記認証部における認証結果が失敗であった場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、好ましくは形態2に従属する形態3の通信装置。
[形態6]
前記変換部は、前記有効期間情報取得部が取得した有効期間情報内の有効期間を徒過している場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、好ましくは形態2に従属する形態4の通信装置。
[形態7]
前記変換ルール取得部は、送信元のアドレスと送信先のアドレスとを対応付けた情報が含まれる前記変換ルールを取得し、
前記変換部は送信元のアドレス情報に応じて前記変換を行う、好ましくは形態1から6のいずれか一の通信装置。
[形態8]
前記変換ルール取得部は、前記受信部にて前記パケットを受信したポート番号と送信先のアドレス及びポート番号とを対応付けた情報が含まれる前記変換ルールを取得し、前記変換部は前記パケットを受信したポート番号に応じて前記変換を行う、好ましくは形態1から7のいずれか一の通信装置。
[形態9]
前記パケットのペイロード部分に前記変換ルールと、前記認証情報と、前記有効期間情報との少なくとも一が含まれる、好ましくは形態1から8のいずれか一の通信装置。
[形態10]
上述の第二の視点に係る通信方法のとおりである。
[形態11]
上述の第三の視点に係るプログラムのとおりである。
なお、形態10及び形態11は、形態1と同様に、形態2~形態9に展開することが可能である。
なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(特許請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、特許請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10 通信装置
11 受信部
12 変換ルール取得部
13 変換部
14 送信部
15 変換ルール保持部
16 認証情報取得部
17 認証部
18 有効期間情報取得部
61 CPU(Central Processing Unit)
62 メモリ
63 入出力インタフェース
64 NIC(Network Interface Card)
65 内部バス
200、600 HGW(Home Gate Way)
201、601 情報処理部
202 LANポート
203、603 WAN(Wide Area Network)ポート
204、604 ルーティング制御部
250 ウェブサーバ
300、700 PC(Personal Computer)
301、701 情報処理部
302、602、702 LAN(Local Area Network)ポート
303 パケット生成ツール
400、500 TCPフレーム
605、703 パケット加工部

Claims (7)

  1. 第1のネットワークを介して送信されたパケットを受信する受信部と、
    前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する変換ルール取得部と、
    前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する変換部と、
    前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する送信部と、
    前記変換ルール取得部で取得された前記変換ルールを保持する変換ルール保持部と、
    前記パケットを参照して送信元を認証するための認証情報を取得する認証情報取得部と、
    前記認証情報により認証を実行する認証部と、
    を有し、
    前記変換部は、
    前記認証部での認証結果に応じて前記変換を行うか否かを判断し、
    前記変換ルール保持部に保持されている前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行し、
    前記認証部における認証結果が失敗であった場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、
    通信装置。
  2. 前記パケットを参照して前記変換を実行する期間を定める情報である有効期間情報を取得する有効期間情報取得部を有し、
    前記変換部は前記有効期間情報取得部が取得した前記有効期間情報に応じて前記変換を行うか否かを判断する、
    請求項の通信装置。
  3. 前記変換部は、前記有効期間情報取得部が取得した有効期間情報内の有効期間を徒過している場合、前記変換ルール保持部に保持されている前記変換ルールを削除する、
    請求項の通信装置。
  4. 前記変換ルール取得部は、送信元のアドレスと送信先のアドレスとを対応付けた情報が含まれる前記変換ルールを取得し、
    前記変換部は送信元のアドレス情報に応じて前記変換を行う、
    請求項1からのいずれか一の通信装置。
  5. 前記変換ルール取得部は、前記受信部にて前記パケットを受信したポート番号と送信先のアドレス及びポート番号とを対応付けた情報が含まれる前記変換ルールを取得し、
    前記変換部は前記パケットを受信したポート番号に応じて前記変換を行う、
    請求項1からのいずれか一の通信装置。
  6. 以下の各ステップをコンピュータにより実行するための方法であって、
    第1のネットワークを介して送信されたパケットを受信するステップと、
    前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得するステップと、
    前記変換ルールを記憶域に格納するステップと、
    前記記憶域に格納された前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行するステップと、
    前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信するステップと、
    前記パケットを参照して送信元を認証するための認証情報を取得するステップと、
    前記認証情報により認証を実行するステップと、
    を有し、
    前記変換を実行するステップでは、
    前記認証を実行するステップでの認証結果に応じて前記変換を行うか否かを判断するステップと、
    前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行するステップと、
    前記認証を実行するステップにおける認証結果が失敗であった場合、前記変換ルールを削除するステップと、
    を含む通信方法。
  7. 第1のネットワークを介して送信されたパケットを受信する処理と、
    前記パケットを参照して前記パケットのヘッダ情報を変換するためのルールである変換ルールを取得する処理と、
    前記変換ルールをメモリに格納する処理と、
    前記メモリに格納された前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する処理と、
    前記パケットの変換されたヘッダ情報に基づいて第2のネットワークにパケットを送信する処理と、
    前記パケットを参照して送信元を認証するための認証情報を取得する処理と、
    前記認証情報により認証を実行する処理と、
    を有し、
    前記変換を実行する処理では、
    前記認証を実行する処理での認証結果に応じて前記変換を行うか否かを判断する処理と、
    前記変換ルールに基づいて前記パケットのヘッダ情報の変換を実行する処理と、
    前記認証を実行する処理における認証結果が失敗であった場合、前記変換ルールを削除する処理と、
    をコンピュータに実行させるためのプログラム。
JP2021184974A 2021-11-12 2021-11-12 通信装置、通信方法及びプログラム Active JP7509430B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021184974A JP7509430B2 (ja) 2021-11-12 2021-11-12 通信装置、通信方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021184974A JP7509430B2 (ja) 2021-11-12 2021-11-12 通信装置、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2023072425A JP2023072425A (ja) 2023-05-24
JP7509430B2 true JP7509430B2 (ja) 2024-07-02

Family

ID=86424445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021184974A Active JP7509430B2 (ja) 2021-11-12 2021-11-12 通信装置、通信方法及びプログラム

Country Status (1)

Country Link
JP (1) JP7509430B2 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003132020A (ja) 2001-10-26 2003-05-09 Cyber Sign Japan Inc アクセス制御装置及び認証装置及びそれらに関連する装置
WO2005101217A1 (ja) 2004-04-14 2005-10-27 Nippon Telegraph And Telephone Corporation アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003132020A (ja) 2001-10-26 2003-05-09 Cyber Sign Japan Inc アクセス制御装置及び認証装置及びそれらに関連する装置
WO2005101217A1 (ja) 2004-04-14 2005-10-27 Nippon Telegraph And Telephone Corporation アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置

Also Published As

Publication number Publication date
JP2023072425A (ja) 2023-05-24

Similar Documents

Publication Publication Date Title
US8488569B2 (en) Communication device
US8484695B2 (en) System and method for providing access control
US8363650B2 (en) Method and systems for routing packets from a gateway to an endpoint
US7010608B2 (en) System and method for remotely accessing a home server while preserving end-to-end security
EP1234246B1 (en) System and method for network access without reconfiguration
KR101418351B1 (ko) 네트워크를 액세스하기 위해 인터페이스를 식별하고 선택하기 위한 방법 및 디바이스
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
US9231908B2 (en) Ensuring symmetric routing to private network
US20120110638A1 (en) Policy-based cross-domain access control for ssl vpn
US11838269B2 (en) Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules
KR101620479B1 (ko) 다중 인터넷 액세스를 제공하기 위한 방법 및 게이트웨이
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP7509430B2 (ja) 通信装置、通信方法及びプログラム
US10805260B2 (en) Method for transmitting at least one IP data packet, related system and computer program product
US8488618B1 (en) Dual-connect service box with router bypass
EP3185510B1 (en) Method for data packet inspection, related device and computer-program product
JP2011109186A (ja) ネットワーク通信方法及びアクセス管理方法とパケット中継装置
TWI608749B (zh) 用來控制一客戶端裝置存取一網路裝置之方法以及控制裝置
WO2022127663A1 (zh) 无线宽带路由器、报文处理和域名解析方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230301

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240508

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240521

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240613

R150 Certificate of patent or registration of utility model

Ref document number: 7509430

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150