WO2018173099A1

WO2018173099A1 - ゲートウェイ及び中継方法

Info

Publication number: WO2018173099A1
Application number: PCT/JP2017/011114
Authority: WO
Inventors: 正則今川
Original assignee: 三菱電機株式会社
Priority date: 2017-03-21
Filing date: 2017-03-21
Publication date: 2018-09-27
Also published as: JPWO2018173099A1

Abstract

サーバゲートウェイ（１３０）は、認証された送信元アドレスを特定することのできるフィルタテーブルを記憶するフィルタテーブル記憶部（１３３）と、ＩＰｖ６インターネットから、ＩＰｖ６に対応したＩＰｖ６パケットを受信するＩＰｖ６通信部（１３１）と、ＩＰｖ６パケットの送信元アドレスであるＩＰｖ６アドレスが、認証された送信元アドレスに一致するか否かを判断する第１ＩＮＰＵＴフィルタ部（１３２）と、そのＩＰｖ６アドレスが、認証された送信元アドレスに一致する場合に、ＩＰｖ６パケットを、ＩＰｖ４に対応したＩＰｖ４パケットに変換するアドレス変換部（１３７）と、ＩＰｖ４パケットをＩＰｖ４インターネットに送信するＩＰｖ４通信部（１４０）とを備える。

Description

ゲートウェイ及び中継方法

　本発明は、ゲートウェイ及び中継方法に関し、特に、プロトコルの変換を行うゲートウェイ及び中継方法に関する。

　ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）により、従来インターネットに接続する必要のなかった多くの機器をインターネットに接続する必要がでてきている。一方で、通常、インターネット接続に使われているＩＰｖ４（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎ　４）アドレスはすでに枯渇している。

　キャリア（プロバイダ）側で、ＮＡＴ（Ｎｅｔｗｏｒｋ　Ａｄｄｒｅｓｓ　Ｔｒａｎｓｌａｔｉｏｎ）を動作させ、機器側にはローカルＩＰｖ４アドレスを配布することで、このような状況に対処を行っているが、このような対処では、増大する一方の機器に対し、限界がある。

　そのため、インターネット接続は、ＩＰｖ４ではなく、アドレス空間が広大なＩＰｖ６（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎ　６）を使用することが始まっている。一方で、機器が接続する先のサーバは、ＩＰｖ４のままの場合が多く、ＩＰｖ６移行への障害となっている。

　ＲＦＣ　６８７７－４６４ＸＬＡＴには、ＩＰｖ４アドレスを有する、ユーザ側の機器が、ＩＰｖ６に対応したインターネットを介して、ＩＰｖ４アドレスを有する、プロバイダ側のサーバに接続することのできるアーキテクチャが記載されている。

　ＲＦＣ　６８７７－４６４ＸＬＡＴによれば、ユーザ側に設置されたＣＬＡＴ（ｃｕｓｔｏｍｅｒ－ｓｉｄｅ　ｔｒａｎｓｌａｔｏｒ）が、ＲＦＣ６１４５に準拠したアドレス変換技術により、ユーザ側機器のプライベートＩＰｖ４アドレスを、グローバルＩＰｖ６アドレスに変換する。そして、プロバイダ側に設置されたＰＬＡＴ（ｐｒｏｖｉｄｅｒ－ｓｉｄｅ　ｔｒａｎｓｌａｔｏｒ）が、ＲＦＣ６１４６に準拠したアドレス変換技術により、グローバルＩＰｖ６アドレスを、グローバルＩＰｖ４アドレスに変換する。

　このようなアーキテクチャにより、ＩＰｖ６に対応したインターネットを介して、ＩＰｖ４アドレスしか割り当てられていない機器及びサーバ間の通信を行うことができる。
　なお、ユーザ側の機器にＩＰｖ６アドレスが割り当てられている場合でも、プロバイダ側には、ＩＰｖ６アドレスをＩＰｖ４アドレスに変換する装置が必要となる。

　ＩＰｖ６アドレスをＩＰｖ４アドレスに変換する装置としては、ＲＦＣ６１４６－Ｓｔａｔｅｆｕｌ　ＮＡＴ６４に準拠したＮＡＴ６４が使われる。ＮＡＴ６４は、通常のＮＡＴと似た動作を行う。ＮＡＴ６４は、ＩＰｖ６側からパケットを受け取ると、ＢＩＢ（Ｂｉｎｄｉｎｇ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｂａｓｅ）エントリと呼ばれる変換用のキャッシュを作成し、元のＩＰｖ６アドレスと変換先のＩＰｖ４アドレスを記録し、パケットのＩＰｖ６ヘッダをＩＰｖ４ヘッダに変換する。
　ＮＡＴ６４がＩＰｖ４側からパケットを受け取った場合、該当する変換用のキャッシュが存在すると、キャッシュに記述されている元のＩＰｖ６アドレスを取り出し、ＩＰｖ４ヘッダをＩＰｖ６ヘッダに変換する。変換キャッシュが存在しない場合、ＮＡＴ６４は、受け取ったＩＰｖ４パケットを破棄する。

　これは、ＩＰｖ６側が通常のＮＡＴの内側に相当し、ＩＰｖ４側が外側に相当する動作である。このような構成では、ＩＰｖ６側はインターネットであるため、ＮＡＴ６４は、不特定多数のＩＰｖ６アドレスからパケットを受信しうる。ＩＰｖ６側に制限をかけていない場合、ＮＡＴ６４は、無制限にＩＰｖ４アドレスへの変換を行おうとするため、ＮＡＴ６４のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）及びメモリといったハードウェアリソースの他に、ＩＰｖ４アドレスリソースを浪費することになる。
　また、リソースを浪費しない場合でも、ＮＡＴ６４が、ＩＰｖ６インターネットからＩＰｖ４側の他の装置を攻撃する際の踏み台に利用されるおそれがある。

　以上のような、ＮＡＴを介したネットワークへの不正なアクセスを防止するために、特許文献１には、ローカルネットワークに接続された電子機器の型名（メーカ名及び製品型名）を用いた認証が成功するまで、ローカルネットワーク内のプライベートアドレスをグローバルアドレスへ変換しないルータが記載されている。

　また、特許文献２には、ローカルネットワークに接続された端末の認証を行い、その端末のパケットを、ＩＰｖ６ネットワークを経由して、ＩＰｖ４ネットワークに送信する技術が記載されている。
　特許文献２に記載されている技術では、認証サーバが、ローカルネットワークに接続された端末の認証を行い、認証に成功した場合には、ローカルネットワークとＩＰｖ６ネットワークとを接続するカスタマーエッジルータに、ＩＰｖ６ネットワークとＩＰｖ４ネットワークとを接続するボーダールータのアドレスを、終点アドレスとして通知する。終点アドレスが通知されたカスタマーエッジルータは、端末から受信したＩＰｖ４パケットをＩＰｖ６ヘッダでカプセル化して、カプセル化されたＩＰｖ６パケットを終点アドレス宛に送信する。ボーダールータは、終点アドレスに到達したパケットを正規ユーザからのパケットであると判断して、認証を行わずデカプセル化及び転送を行う。

特開２０１０－２８３５５３号公報特開２０１２－１９１４５３号公報

　特許文献１に記載されたルータは、ローカルネットワークからグローバルネットワークへのアクセスを制限するものとなっており、また、電子機器の型名を用いて認証を行っており、電子機器の型名を取得できない場合には、認証を行うことができない。

　特許文献２に記載されたボーダールータは、認証結果を受け取らないため、認証結果に応じて通信の遮断及び解放を動的に行うことができない。
　また、特許文献２に記載された技術では、ＩＰｖ６ネットワークが、回線業者、ＩＳＰ（Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｐｒｏｂｉｄｅ）内で閉じており、不特定多数に公開されていることを前提としていない。そのため、特許文献２に記載された技術は、ボーダールータ自体が攻撃されることを想定していない。
　さらに、ＩＰｖ４パケットをＩＰｖ６ネットワーク経由で通信するプロトコルとして、特許文献２に記載された技術は、トンネリングを使用することを前提としており、ＮＡＴを用いることは考慮されていない。
　加えて、特許文献２に記載された認証サーバは、通信先アドレスを返すことを第１の目的としており、通信の開始及び停止といったアカウンティングの概念を持っていない。

　そこで、本発明は、許可された機器のみが、第１のネットワークを介して、第２のネットワークにアクセスすることができるようにすることを目的とする。

　本発明の一態様に係るゲートウェイは、第１のプロトコルに対応した第１のネットワーク及び当該第１のプロトコルとは異なる第２のプロトコルに対応した第２のネットワークに接続され、当該第１のプロトコル及び当該第２のプロトコルとの間でプロトコル変換を行うゲートウェイであって、認証された送信元アドレスを特定することのできるフィルタ情報を記憶するフィルタ情報記憶部と、前記第１のネットワークから、前記第１のプロトコルに対応した第１のパケットを受信する第１の通信部と、前記第１のパケットの送信元アドレスである第１の送信元アドレスが、前記認証された送信元アドレスに一致するか否かを判断するフィルタ部と、前記第１の送信元アドレスが、前記認証された送信元アドレスに一致する場合に、前記第１のパケットを、前記第２のプロトコルに対応した第２のパケットに変換する変換部と、前記第２のパケットを前記第２のネットワークに送信する第２の通信部と、を備えることを特徴とする。

　本発明の一態様に係る中継方法は、第１のプロトコルに対応した第１のネットワークから、当該第１のプロトコルに対応した第１のパケットを受信し、前記第１のパケットの送信元アドレスが、認証された送信元アドレスに一致する場合に、前記第１のパケットを、前記第１のプロトコルとは異なる第２のプロトコルに対応した第２のパケットに変換し、前記第２のパケットを前記第２のプロトコルに対応した第２のネットワークに送信することを特徴とする。

　本発明の一態様によれば、第１のネットワークから、第２のネットワークへのアクセスを制御することで、許可された機器のみが、第１のネットワークを介して、第２のネットワークにアクセスすることができる。

実施の形態１及び実施の形態３に係る通信システムの構成を概略的に示すブロック図である。実施の形態１及び実施の形態３におけるサーバゲートウェイの構成を概略的に示すブロック図である。実施の形態１においてＩＰｖ４アドレスから変換されたＩＰｖ６アドレスを示す概略図である。（Ａ）及び（Ｂ）は、ハードウェア構成例を示すブロック図である。実施の形態１の第１の変形例に係る通信システムを概略的に示すブロック図である。実施の形態１の第２の変形例に係る通信システムを概略的に示すブロック図である。実施の形態１の第３の変形例に係る通信システムを概略的に示すブロック図である。実施の形態１の第４の変形例に係る通信システムを概略的に示すブロック図である。実施の形態２に係る通信システムの構成を概略的に示すブロック図である。実施の形態２におけるサーバゲートウェイの構成を概略的に示すブロック図である。実施の形態２の変形例に係る通信システムを概略的に示すブロック図である。実施の形態２の変形例におけるサーバゲートウェイの構成を概略的に示すブロック図である。実施の形態３におけるアカウントプロトコルによるＩＰｖ６フィルタ制御を示すシーケンス図である。実施の形態４に係る通信システムの構成を概略的に示すブロック図である。実施の形態４におけるサーバゲートウェイの構成を概略的に示すブロック図である。実施の形態４におけるアカウントプロトコルによるＩＰｖ６フィルタ制御を示すシーケンス図である。実施の形態４の変形例に係る通信システムの構成を概略的に示すブロック部である。実施の形態４の変形例におけるサーバゲートウェイの構成を概略的に示すブロック図である。

実施の形態１．
　図１は、実施の形態１に係る通信システム１００の構成を概略的に示すブロック図である。
　通信システム１００は、機器１１０と、ＩｏＴゲートウェイ１２０と、サーバゲートウェイ１３０と、サーバ１５０とを備える。
　ＩｏＴゲートウェイ１２０及びサーバゲートウェイ１３０は、ＩＰｖ６に準拠したインターネットであるＩＰｖ６インターネット１０１に接続されており、サーバゲートウェイ１３０及びサーバ１５０は、ＩＰｖ４に準拠したインターネットであるＩＰｖ４インターネット１０２に接続されている。

　ここでは、ＩＰｖ６を第１のプロトコル、ＩＰｖ４を第２のプロトコル、ＩＰｖ６インターネット１０１を第１のネットワーク及びＩＰｖ４インターネット１０２を第２のネットワークともいう。

　機器１１０は、ＩＰｖ４に従って通信を行う。機器１１０は、ネットワークに接続するものであれば、どのようなものであってもよい。例えば、機器１１０は、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）等の情報処理装置、テレビ、冷蔵庫、洗濯機及びエアコン等の家電機器、並びに、温度、湿度及び速度等の物理量を検出するセンサー機器といったあらゆるものである。
　ＩｏＴゲートウェイ１２０は、ＩＰｖ４とＩＰｖ６との間のプロトコル変換を行う。例えば、ＩｏＴゲートウェイ１２０は、ＲＦＣ６１４５に準拠したアドレス変換技術により、機器１１０のプライベートＩＰｖ４アドレスと、グローバルＩＰｖ６アドレスとの変換を行う。
　サーバゲートウェイ１３０は、ＩＰｖ４とＩＰｖ６との間のプロトコル変換を行う。例えば、サーバゲートウェイ１３０は、ＲＦＣ６１４６に準拠したアドレス変換技術により、グローバルＩＰｖ６アドレスと、グローバルＩＰｖ４アドレスとの変換を行う。なお、サーバゲートウェイ１３０でパケットを中継する方法が、実施の形態１における中継方法である。
　サーバ１５０は、ＩＰｖ４に従って通信を行う。

　図２は、実施の形態１におけるサーバゲートウェイ１３０の構成を概略的に示すブロック図である。
　サーバゲートウェイ１３０は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部１３４と、認証データベース（以下、認証ＤＢという）１３５と、アカウントデータベース（以下、アカウントＤＢという）１３６と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。

　ＩＰｖ６通信部１３１は、ＩＰｖ６インターネット１０１との間で通信を行う。例えば、ＩＰｖ６通信部１３１は、ＩＰｖ６インターネット１０１から、ＩＰｖ６に対応したＩＰｖ６パケットを受信し、そのＩＰｖ６パケットを第１ＩＮＰＵＴフィルタ部１３２に与える。
　ここでは、ＩＰｖ６通信部１３１で受信されたＩＰｖ６パケットを第１のパケットともいい、ＩＰｖ６通信部１３１を第１の通信部ともいう。

　第１ＩＮＰＵＴフィルタ部１３２は、ＩＰｖ６通信部１３１から与えられたＩＰｖ６パケットのフィルタリング処理を行う。
　例えば、第１ＩＮＰＵＴフィルタ部１３２には、認証及びアカウントの作成に使用されるパケットである認証アカウント用パケットを除く全てのパケットを通過させないように初期設定が行われている。第１ＩＮＰＵＴフィルタ部１３２は、認証アカウント用パケットについては、無条件に通過させる。
　そして、認証に成功した場合には、第１ＩＮＰＵＴフィルタ部１３２を通過させるＩＰｖ６アドレスがフィルタテーブル記憶部１３３に記憶されているフィルタテーブルに登録される。このため、第１ＩＮＰＵＴフィルタ部１３２は、認証アカウント用パケット以外のＩＰｖ６パケットについては、送信元ＩＰｖ６アドレスがフィルタテーブルに登録されたものと一致するか否かを判断し、一致する場合のみ、通過させる。なお、第１ＩＮＰＵＴフィルタ部１３２は、一致しない場合には、そのＩＰｖ６パケットを破棄する。

　なお、第１ＩＮＰＵＴフィルタ部１３２を通過した認証アカウント用パケットについては、認証処理部１３４に与えられ、第１ＩＮＰＵＴフィルタ部１３２を通過した、認証アカウント用パケット以外のＩＰｖ６パケットについては、アドレス変換部１３７に与えられる。
　また、第１ＩＮＰＵＴフィルタ部１３２は、認証及びアカウントの攻撃（ブルートフォース攻撃等）に備え、無条件に認証アカウント用パケットを通過させるのでなく、一定以下の受信レートになるように、認証アカウント用パケットを間引いてもよい。
　なお、第１ＩＮＰＵＴフィルタ部１３２を、単に、フィルタ部ともいう。

　フィルタテーブル記憶部１３３は、認証に成功した場合に、第１ＩＮＰＵＴフィルタ部１３２が通過させるＩＰｖ６アドレスを登録するフィルタテーブルを記憶する。フィルタテーブルに登録されているＩＰｖ６アドレスは、認証された送信元アドレスである。
　ここで、フィルタテーブルをフィルタ情報ともいい、フィルタテーブル記憶部１３３をフィルタ情報記憶部ともいう。

　認証処理部１３４は、第１ＩＮＰＵＴフィルタ部１３２を通過した認証アカウント用パケットに基づいて、その送信元の認証及びその送信元との通信するためのアカウントの作成を行う処理部である。
　認証プロトコルは、ＲＡＤＩＵＳ（Ｒｅｍｏｔｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｄｉａｌ　Ｉｎ　Ｕｓｅｒ　Ｓｅｒｖｉｃｅ）、ＲＡＤＩＵＳの後継であるＤＩＡＭＥＴＥＲ及びＴＡＣＡＣＳ＋等があるが、これらに限られない。

　ＩｏＴゲートウェイ１２０は、サーバゲートウェイ１３０とのＩＰｖ６通信を開始する際に、認証アカウント用パケットとして、認証要求パケットを送信する。
　認証要求パケットのオプションとして、ＩｏＴゲートウェイ１２０に接続されている、これからパケットを送信しようとするＩＰｖ４機器である機器１１０の識別情報が付加される。この識別情報として、機器１１０のＩＰｖ４アドレスをＩｏＴゲートウェイがＩＰｖ６アドレスに変換したものが使用される。

　図３は、機器１１０のＩＰｖ４アドレスから変換されたＩＰｖ６アドレスを示す概略図である。
　ＩＰｖ６アドレス１６０は、ＩＰｖ６プレフィックス１６０ａと、インタフェース識別子１６０ｂとを備える。
　ＩＰｖ６プレフィックス１６０ａは、ネットワークにおける位置を示す。このため、ＩＰｖ６アドレス１６０では、ＩＰｖ６プレフィックス１６０ａのみで、ＩｏＴゲートウェイ１２０のＩＰｖ６インターネット１０１における位置を特定できる場合が多い。
　インタフェース識別子１６０ｂは、ローカルネットワークにおいて、個々の機器を識別するために利用される。インタフェース識別子１６０ｂの下位３２ビットには、オプションとしてＩＰｖ６アドレスに変換される前のＩＰｖ４アドレスを付加することができる。
　なお、認証要求パケットにオプションを付加することができない場合は、機器１１０の識別情報（ＩＰｖ４アドレス）は省略されてもよい。

　図２に戻り、第１ＩＮＰＵＴフィルタ部１３２から認証要求パケットを受け取ると、認証処理部１３４は、認証ＤＢ１３５を参照して、認証成功か否かを判断する。例えば、認証要求パケットに、機器１１０又はＩｏＴゲートウェイ１２０のＩＰｖ６アドレスが含まれている場合には、認証処理部１３４は、このＩＰｖ６アドレスに対し、認証の成否を判断する。
　そして、認証処理部１３４は、その判断結果を、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、ＩｏＴゲートウェイ１２０に応答する。例えば、認証処理部１３４は、認証に成功した場合には、認証の成功を示す認証成功パケットを応答し、認証に失敗した場合には、認証の失敗を示す認証失敗パケットを応答する。

　認証処理部１３４は、認証成功パケットをＩｏＴゲートウェイ１２０に送信する際に、サーバゲートウェイ１３０の第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する。第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する際は、認証要求パケットのオプションに付加されている、機器１１０の送信元アドレスであるＩＰｖ６アドレスを通過させるように、そのＩＰｖ６アドレスを特定することのできるレコード（項目）をフィルタテーブル記憶部１３３に記憶されているフィルタテーブルに登録（追加）する。

　認証処理部１３４は、認証要求パケットにオプションが存在しない場合は、認証成功時に、ＩｏＴゲートウェイ１２０のＩＰｖ６アドレスのプレフィックスに対し、サーバゲートウェイ１３０の第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放してもよい。ＩｏＴゲートウェイ１２０のＩＰｖ６アドレスは、認証要求パケットの送信元アドレスから入手できる。このような場合には、認証処理部１３４は、認証に成功したＩｏＴゲートウェイ１２０のＩＰｖ６ブレフィックスをフィルタテーブルに登録する。これにより、送信元のＩＰｖ６アドレスがこのＩＰｖ６プレフィックスであるような、全てのＩＰｖ６パケットが、サーバゲートウェイ１３０の第１ＩＮＰＵＴフィルタ部１３２を通過する。この場合には、ＩｏＴゲートウェイ１２０を介して通信を行う全ての機器１１０からのパケットが、サーバゲートウェイ１３０を通過できるようになる。
　言い換えると、フィルタテーブルに登録するレコードは、ＩＰｖ６アドレスそのものを示してもよく、ＩＰｖ６アドレスのプレフィックスを示してもよい。

　認証ＤＢ１３５は、認証用のデータである認証データを記憶する認証データ記憶部である。認証データとして、認証プロトコルに応じて予め定められたデータが記憶されているものとする。

　アカウントＤＢ１３６は、通信の開始、継続及び停止を示すアカウント情報を記憶する。例えば、認証処理部１３４は、ＩｏＴゲートウェイ１２０と通信を開始する場合には、アカウント情報として、通信の開始時刻をＩｏＴゲートウェイ１２０のＩＰｖ６アドレスに対応付けてアカウントＤＢ１３６に記憶させ、通信を継続する場合には、アカウント情報として、通信の継続時刻（更新時刻）をＩｏＴゲートウェイ１２０のＩＰｖ６アドレスに対応付けてアカウントＤＢ１３６に記憶させ、通信を停止する場合には、アカウント情報として、通信の停止時刻をＩｏＴゲートウェイ１２０のＩＰｖ６アドレスに対応付けてアカウントＤＢ１３６に記憶させる。

　アドレス変換部１３７は、第１ＩＮＰＵＴフィルタ部１３２から認証アカウント用パケット以外のＩＰｖ６パケットを受け取ると、ＩＰｖ６パケットをＩＰｖ４パケットに変換する。言い換えると、アドレス変換部１３７は、認証アカウント用パケット以外のＩＰｖ６パケットの送信元アドレスが認証された送信元アドレスと一致する場合に、ＩＰｖ６パケットをＩＰｖ４パケットに変換する。なお、変換されたＩＰｖ４パケットを第２のパケットともいう。また、認証アカウント用パケット以外のＩＰｖ６パケットの送信元アドレスを第１の送信元アドレスともいう。
　例えば、アドレス変換部１３７は、ＲＦＣ６１４６に準拠したアドレス変換技術により、グローバルＩＰｖ６アドレスと、グローバルＩＰｖ４アドレスとの変換を行うことで、ＩＰｖ６パケットをＩＰｖ４パケットに変換する。ここで、アドレス変換部１３７で変換されたＩＰｖ４アドレスを第２の送信元アドレスともいう。
　また、アドレス変換部１３７は、ＲＦＣ６１４６に従って、ＢＩＢ記憶部１３８に記憶されているＢＩＢに、元のＩＰｖ６アドレスと、変換先のＩＰｖ４アドレスとを含むエントリを記録する。
　このようにして変換されたＩＰｖ４パケットは、第１ＯＵＴＰＵＴフィルタ部１３９に与えられる。

　ＢＩＢ記憶部１３８は、ＲＦＣ６１４６に準拠したＢＩＢを記憶する。
　なお、通信中のパケットが一定時間途絶える場合、ＢＩＢ記憶部１３８に記憶されているＢＩＢの該当するエントリがタイムアウトする。この場合、第１ＩＮＰＵＴフィルタ部１３２におけるフィルタテーブルの登録も不要であるため、認証処理部１３４は、ＢＩＢにおけるエントリの削除に連動して、フィルタテーブルの関連するレコードを削除してもよい。
　言い換えると、アドレス変換部１３７が、ＩＰｖ６パケット及びＩＰｖ４パケットの間の変換を、予め定められた期間行わない場合に、認証処理部１３４は、対応するレコードをフィルタテーブルから削除する。

　第１ＯＵＴＰＵＴフィルタ部１３９は、アドレス変換部１３７から与えられたＩＰｖ４パケットのフィルタリング処理を行う。実施の形態１では、第１ＯＵＴＰＵＴフィルタ部１３９は、全てのＩＰｖ４パケットを通過させて、ＩＰｖ４通信部１４０に与える。このため、実施の形態１では、第１ＯＵＴＰＵＴフィルタ部１３９は、設けられていなくてもよい。

　ＩＰｖ４通信部１４０は、ＩＰｖ４インターネット１０２との間で通信を行う。例えば、ＩＰｖ４通信部１４０は、第１ＯＵＴＰＵＴフィルタ部１３９から与えられたＩＰｖ４パケットをサーバ１５０に送信する。
　ここでは、ＩＰｖ４通信部１４０を第２の通信部ともいう。

　第２ＩＮＰＵＴフィルタ部１４１は、ＩＰｖ４通信部１４０から与えられたＩＰｖ４パケットのフィルタリング処理を行う。実施の形態１では、第２ＩＮＰＵＴフィルタ部１４１は、全てのＩＰｖ４パケットを通過させて、アドレス変換部１３７に与える。このため、実施の形態１では、第２ＩＮＰＵＴフィルタ部１４１は、設けられていなくてもよい。

　第２ＯＵＴＰＵＴフィルタ部１４２は、アドレス変換部１３７及び認証処理部１３４から与えられたＩＰｖ６パケットのフィルタリング処理を行う。実施の形態１では、第２ＯＵＴＰＵＴフィルタ部１４２は、全てのＩＰｖ６パケットを通過させて、ＩＰｖ６通信部１３１に与える。このため、実施の形態１では、第２ＯＵＴＰＵＴフィルタ部１４２は、設けられていなくてもよい。

　以上に記載されたＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、認証処理部１３４、アドレス変換部１３７、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２の一部又は全部は、例えば、図４（Ａ）に示されているように、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔｓ）又はＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）等の処理回路１０で構成することができる。

　また、ＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、認証処理部１３４、アドレス変換部１３７、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２の一部は、例えば、図４（Ｂ）に示されているように、メモリ１１と、メモリ１１に格納されているプログラムを実行するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等のプロセッサ１２とにより構成することもできる。このようなプログラムは、ネットワークを通じて提供されてもよく、また、記録媒体に記録されて提供されてもよい。即ち、このようなプログラムは、プログラムプロダクトとして提供されてもよい。

　なお、フィルタテーブル記憶部１３３、認証ＤＢ１３５及びアカウントＤＢ１３６は、図示しない不揮発性のメモリにより構成することができる。

　以上のように、実施の形態１によれば、ＩＰｖ６インターネット１０１からの不特定多数の接続を制御し、許可された機器１１０のみ、ＩＰｖ６インターネット１０１経由での通信を許可することができる。これにより、不特定多数の攻撃から、中継装置であるサーバゲートウェイ１３０を保護することができる。

　また、ＩＰｖ４インターネット１０２に接続されているサーバ１５０が認識する、送信元のＩＰｖ４アドレスは、サーバゲートウェイ１３０がもつＩＰｖ４アドレスとなり、ＩｏＴゲートウェイ１２０の背後にあるＩＰｖ４に対応している機器１１０のアドレス情報が喪失し、実際の通信相手が分からない、という問題がある。
　しかしながら、実施の形態１によれば、機器１１０のＩＰｖ４アドレスから変換されたＩＰｖ６アドレスが、アカウントログとしてアカウント情報に残るため、後日、アカウント情報を問題発生時の解析に使用することができる。

　図１においては、サーバ１５０は、ＩＰｖ４インターネット１０２に接続されているが、実施の形態１は、このような例に限定されるものではない。
　例えば、図５に示されている通信システム１００＃１のように、例えば、サーバゲートウェイ１３０＃１とサーバ１５０＃１とが同一拠点に設置されており、サーバゲートウェイ１３０＃１とサーバ１５０＃１とがＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）１０３で接続されていてもよい。
　このような場合には、サーバゲートウェイ１３０＃１のアドレス変換部１３７＃１（図２参照）は、グローバルＩＰｖ６アドレスと、ローカルＩＰｖ４アドレスとの変換を行う。

　また、図１は、ＲＦＣ６８７７－４６４ＸＬＡＴに準拠した通信システム１００が示されているが、実施の形態１は、ＲＦＣ６８７７－４６４ＸＬＡＴに準拠した通信システム１００に限定されない。
　例えば、図６に示されているように、ＩＰｖ６に対応した通信を行う機器１１０＃１が、ＩＰｖ６インターネット１０１に接続されていてもよい。
　このような場合、機器１１０＃１が、サーバ１５０に接続する際の宛先ＩＰｖ６アドレスは、図３に示されている通りである。例えば、上位ビットのＩＰｖ６プレフィックス１６０ａは、サーバゲートウェイ１３０のＩＰｖ６アドレスのプレフィックスが指定され、下位ビットのＩＰｖ４アドレスは、接続しようとするサーバ１５０のＩＰｖ４アドレスが指定される。

　また、図６に示されている通信システム１００＃２では、ＩＰｖ６に対応した機器１１０＃１自体が、サーバゲートウェイ１３０の認証及びアカウントのクライアント機能を持つ必要がある。
　但し、図７に示されている通信システム１００＃３のように、ＩＰｖ６に対応した機器１１０＃２が、ＩｏＴゲートウェイ１２０＃１に接続されている場合には、機器１１０＃２は、サーバゲートウェイ１３０の認証及びアカウントのクライアント機能を有する必要がない。このような場合、ＩｏＴゲートウェイ１２０＃１は、サーバゲートウェイ１３０の認証及びアカウントのクライアント機能を有する他、ＤＮＳ６４に対応した処理を行う機能を有する。言い換えると、ＩｏＴゲートウェイ１２０＃１は、ＩＰｖ６に対応した機器１１０＃２がＩＰｖ４に対応したサーバ１５０の名前解決を行う際に、ＩｏＴゲートウェイ１２０＃１が名前解決要求の中継を行う。外部からの名前解決応答を受け取ったＩｏＴゲートウェイ１２０＃１は、応答結果のＩＰｖ４アドレスを、図３に示されている形式のＩＰｖ６アドレス１６０に書き換え、機器１１０＃２に転送する。即ち、図７に示されている構成では、実施の形態１における処理をＩｏＴゲートウェイ１２０＃１が代行し、機器１１０＃２は、標準的なＩＰｖ６に従った動作を行うのみでよい。

　図１に示されている通信システム１００では、１つのサーバゲートウェイ１３０が備えられているが、実施の形態１におけるサーバゲートウェイ１３０の数は、１つに限定されるものではない。図８に示されている通信システム１００＃４のように、複数のサーバゲートウェイ１３０Ａ、１３０Ｂが備えられていてもよい。
　このような場合には、ＩｏＴゲートウェイ１２０＃２は、予め、これら複数のサーバゲートウェイ１３０Ａ、１３０ＢのＩＰｖ６アドレスを知っているものとする。

　そして、ＩｏＴゲートウェイ１２０＃２は、サーバゲートウェイ１３０Ａへの通信を開始するのに先立ち、認証要求パケットをサーバゲートウェイ１３０Ａへ送信する。
　サーバゲートウェイ１３０Ａは、受け取った認証要求パケットが正規のＩｏＴゲートウェイ１２０＃２からのものであった場合でも、ＢＩＢエントリの登録数、フィルタテーブルの登録数、ＣＰＵ負荷及び通信量等の事情から、サーバゲートウェイ１３０Ａの負荷が高いと判断した場合には、拒否応答を返してもよい。

　次に、認証要求が拒否されたＩｏＴゲートウェイ１２０＃２は、他のサーバゲートウェイ１３０Ｂに要求を送信する。なお、サーバゲートウェイ１３０Ａから応答がなかった場合は、ＩｏＴゲートウェイ１２０＃２は、規定回数再送を行い、全て応答がなかった場合、他のサーバゲートウェイ１３０Ｂに要求を送信する。
　そして、サーバゲートウェイ１３０Ｂから成功応答があった場合には、ＩｏＴゲートウェイ１２０＃２は、サーバゲートウェイ１３０Ｂに対し、通信を開始する。

　以上のような動作により、サーバゲートウェイ１３０Ａ、１３０Ｂの故障に備えた二重化と、負荷分散とを同時に行うことができる。
　ＩｏＴゲートウェイ１２０＃２がサーバゲートウェイ１３０Ａ、１３０Ｂを選択する順番は、負荷の集中を避けるため、ランダム順とするのが望ましい。

実施の形態２．
　実施の形態１においては、サーバゲートウェイ１３０において、ＩｏＴゲートウェイ１２０の認証を行っているが、外部の認証サーバに認証を行わせてもよい。
　図９は、実施の形態２に係る通信システム２００の構成を概略的に示すブロック図である。
　通信システム２００は、機器１１０と、ＩｏＴゲートウェイ１２０と、サーバゲートウェイ２３０と、サーバ１５０と、認証サーバ２７０とを備える。
　実施の形態２に係る通信システム２００は、サーバゲートウェイ２３０及び認証サーバ２７０を除いて、実施の形態１に係る通信システム１００と同様に構成されている。

　ＩｏＴゲートウェイ１２０、サーバゲートウェイ２３０及び認証サーバ２７０は、ＩＰｖ６インターネット１０１に接続されており、サーバゲートウェイ２３０及びサーバ１５０は、ＩＰｖ４インターネット１０２に接続されている。
　なお、サーバゲートウェイ２３０でパケットを中継する方法が、実施の形態２における中継方法である。

　図１０は、実施の形態２におけるサーバゲートウェイ２３０の構成を概略的に示すブロック図である。
　サーバゲートウェイ２３０は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部２３４と、アカウントＤＢ１３６と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。
　実施の形態２におけるサーバゲートウェイ２３０のＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、フィルタテーブル記憶部１３３、アカウントＤＢ１３６、アドレス変換部１３７、ＢＩＢ記憶部１３８、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２は、実施の形態１におけるサーバゲートウェイ１３０の対応する部分と同様に構成されている。

　認証処理部２３４は、第１ＩＮＰＵＴフィルタ部１３２を通過した認証アカウント用パケットに基づいて、ＩｏＴゲートウェイ１２０の認証を認証サーバ２７０に行わせるとともに、アカウントの作成を行う。アカウントの作成については、実施の形態１と同様である。
　例えば、第１ＩＮＰＵＴフィルタ部１３２から認証要求パケットを受け取ると、認証処理部２３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、認証要求パケットを認証サーバ２７０へ転送する。

　認証サーバ２７０は、図示しない認証データベースを参照して、認証成功か否かを判断する。例えば、認証要求パケットに、機器１１０又はＩｏＴゲートウェイ１２０のＩＰｖ６アドレスが含まれている場合には、認証サーバ２７０は、このＩＰｖ６アドレスに対し、認証の成否を判断する。
　そして、認証サーバ２７０は、その判断結果を、サーバゲートウェイ２３０に応答する。例えば、認証サーバ２７０は、認証に成功した場合には、認証の成功を示す認証成功パケットを応答し、認証に失敗した場合には、認証の失敗を示す認証失敗パケットを応答する。

　認証処理部２３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、認証成功パケット及び認証失敗パケットを受け取ると、これらのパケットを第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、ＩｏＴゲートウェイ１２０に送信する。
　ここで、認証処理部２３４は、認証成功パケットをＩｏＴゲートウェイ１２０に送信する際に、サーバゲートウェイ２３０の第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する。

　以上のように、実施の形態２においては、サーバゲートウェイ２３０は、認証処理を外部の認証サーバ２７０に行わせることができる。

　実施の形態２に係る通信システム２００においては、認証サーバ２７０がＩＰｖ６インターネット１０１に接続されているが、図１１に示されている通信システム２００＃１のように、認証サーバ２７０＃１がＩＰｖ４インターネット１０２に接続されていてもよい。

　図１２は、実施の形態２の変形例におけるサーバゲートウェイ２３０＃１の構成を概略的に示すブロック図である。
　サーバゲートウェイ２３０＃１は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部２３４＃１と、アカウントＤＢ１３６と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。
　実施の形態２の変形例におけるサーバゲートウェイ２３０＃１のＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、フィルタテーブル記憶部１３３、アカウントＤＢ１３６、アドレス変換部１３７、ＢＩＢ記憶部１３８、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２は、実施の形態１におけるサーバゲートウェイ１３０の対応する部分と同様に構成されている。

　認証処理部２３４＃１は、第１ＩＮＰＵＴフィルタ部１３２から認証要求パケットを受け取ると、第１ＯＵＴＰＵＴフィルタ部１３９及びＩＰｖ４通信部１４０を介して、認証要求パケットを認証サーバ２７０＃１へ転送する。
　また、認証処理部２３４＃１は、ＩＰｖ４通信部１４０及び第２ＩＮＰＵＴフィルタ部１４１を介して、認証成功パケット及び認証失敗パケットを受け取ると、これらのパケットを第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、ＩｏＴゲートウェイ１２０に送信する。
　ここで、認証処理部２３４＃１は、認証成功パケットをＩｏＴゲートウェイ１２０に送信する際に、サーバゲートウェイ２３０の第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する。

　なお、実施の形態２においても、図５～図８を用いて説明した変形例を適用することができる。

実施の形態３．
　実施の形態１では、認証成功時に、サーバゲートウェイ１３０の第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放している。この場合、フィルタの解放を解除し、指定されたＩｏＴゲートウェイ１２０からのＩＰｖ６パケットを破棄できるようにするのはいつか、という問題がある。
　そのため、実施の形態３では、認証成功時ではなく、アカウント開始時にフィルタを解放する方法を説明する。

　図１に示されているように、実施の形態３に係る通信システム３００は、機器１１０と、ＩｏＴゲートウェイ１２０と、サーバゲートウェイ３３０と、サーバ１５０とを備える。
　実施の形態３に係る通信システム３００は、サーバゲートウェイ３３０を除いて、実施の形態１に係る通信システム１００と同様に構成されている。

　図２に示されているように、実施の形態３におけるサーバゲートウェイ３３０は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部３３４と、認証ＤＢ１３５と、アカウントＤＢ１３６と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。
　実施の形態３におけるサーバゲートウェイ３３０は、認証処理部３３４を除いて、実施の形態１におけるサーバゲートウェイ１３０と同様に構成されている。
　なお、サーバゲートウェイ３３０でパケットを中継する方法が、実施の形態３における中継方法である。

　実施の形態３における認証処理部３３４は、実施の形態１における認証処理部１３４と同様に、第１ＩＮＰＵＴフィルタ部１３２を通過した認証アカウント用パケットに基づいて、ＩｏＴゲートウェイ１２０の認証及びアカウントの作成を行う。但し、実施の形態３における認証処理部３３４は、アカウントの開始と、その停止に応じて、第１ＩＮＰＵＴフィルタ部１３２のフィルタの解放と、その解放の停止とを行う。

　例えば、認証処理部３３４は、認証アカウント用パケットである、アカウントの開始要求パケットに基づいて、アカウントを作成した場合に、その開始要求パケットの送信元アドレスであるＩＰｖ６アドレスを特定することのできるレコードをフィルタテーブルに登録する。そして、認証処理部３３４は、認証アカウント用パケットである、アカウントの停止要求パケットに基づいて、アカウントを停止した場合に、その停止要求パケットの送信元アドレスであるＩＰｖ６アドレスに対応するレコードをフィルタテーブルから削除する。

　なお、認証処理部３３４が利用する認証プロトコルは、いずれも、アカウント機能を持っているものとする。認証プロトコルのアカウント機能は、通信開始と通信停止とを記録するもので、一般には通信の従量制課金に使われている。

　図１３は、実施の形態３におけるアカウントプロトコルによるＩＰｖ６フィルタ制御を示すシーケンス図である。
　配下の機器１１０による、外部のサーバ１５０への通信開始を検知したＩｏＴゲートウェイ１２０は、アカウントプロトコルの開始要求パケットをサーバゲートウェイ３３０に送信する（Ｓ１０）。
　サーバゲートウェイ３３０では、第１ＩＮＰＵＴフィルタ部１３２が、ＩＰｖ６通信部１３１を介して、開始要求パケットを受け取ると、それを認証処理部３３４に与える（Ｓ１１）。

　認証処理部３３４は、開始要求パケットに含まれる要求者の識別情報が正しい場合、識別情報に対応付けて通信の開始をアカウントＤＢ１３６に記録する（Ｓ１２）。アカウントの要求者の識別情報は、機器１１０のＩＰｖ６アドレス又はＩｏＴゲートウェイ１２０のＩＰｖ６アドレスである。

　アカウントの開始の記録に成功した認証処理部３３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、成功応答パケットをＩｏＴゲートウェイ１２０に返す（Ｓ１３）。
　また、認証処理部３３４は、フィルタテーブル記憶部１３３に記憶されているフィルタテーブルに識別情報を示すレコードを登録することで、第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する（Ｓ１４）。

　アカウントの開始要求パケットに対して成功応答パケットを受け取ったＩｏＴゲートウェイ１２０は、配下の機器１１０からのパケットをＩＰｖ６パケットに変換し、サーバゲートウェイ３３０への中継を開始する（Ｓ１５）。
　機器１１０の通信が継続している間、ＩｏＴゲートウェイ１２０は、アカウントの更新要求パケットをサーバゲートウェイ３３０に定期的に送信する（Ｓ１６）。

　サーバゲートウェイ３３０では、第１ＩＮＰＵＴフィルタ部１３２が、ＩＰｖ６通信部１３１を介して、更新要求パケットを受け取ると、それを認証処理部３３４に与える（Ｓ１７）。
　認証処理部３３４は、更新要求パケットに含まれる要求者の識別情報に対応する通信の継続をアカウントＤＢ１３６に記録する（Ｓ１８）。これにより、第１ＩＮＰＵＴフィルタ部１３２のフィルタの解放が維持される。
　そして、認証処理部３３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、成功応答パケットをＩｏＴゲートウェイ１２０に返す（Ｓ１９）。

　配下の機器１１０からの通信が終了したと判断したＩｏＴゲートウェイ１２０は、アカウントの停止要求パケットをサーバゲートウェイ３３０に送信する（Ｓ２０）。
　サーバゲートウェイ３３０では、第１ＩＮＰＵＴフィルタ部１３２が、ＩＰｖ６通信部１３１を介して、停止要求パケットを受け取ると、それを認証処理部３３４に与える（Ｓ１７）。
　認証処理部３３４は、停止要求パケットに含まれる要求者の識別情報に対応する通信の停止をアカウントＤＢ１３６に記録する（Ｓ２２）。
　そして、認証処理部３３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、成功応答パケットをＩｏＴゲートウェイ１２０に返す（Ｓ２３）。

　また、認証処理部３３４は、フィルタテーブル記憶部１３３に記憶されているフィルタテーブルから、停止要求パケットに含まれる要求者の識別情報を示すレコードを削除することで、第１ＩＮＰＵＴフィルタ部１３２のフィルタの解放を停止する（Ｓ２４）。

　なお、アカウント開始後、一定時間、ＩｏＴゲートウェイ１２０からの更新要求パケットを受け取らない場合にも、認証処理部３３４は、対応するアカウントの停止をアカウントＤＢ１３６に記録して、通信を停止するとともに、対応する識別情報を示すレコードをフィルタテーブルから削除して、フィルタの解放を停止する。

　なお、実施の形態３においても、図５～図８を用いて説明した変形例を適用することができる。

実施の形態４．
　実施の形態３においては、サーバゲートウェイ３３０において、アカウントの管理を行っているが、外部のアカウントサーバにアカウントの管理を行わせてもよい。
　図１４は、実施の形態４に係る通信システム４００の構成を概略的に示すブロック図である。
　通信システム４００は、機器１１０と、ＩｏＴゲートウェイ１２０と、サーバゲートウェイ４３０と、サーバ１５０と、アカウントサーバ４８０とを備える。
　実施の形態４に係る通信システム４００は、サーバゲートウェイ４３０及びアカウントサーバ４８０を除いて、実施の形態１に係る通信システム１００と同様に構成されている。

　ＩｏＴゲートウェイ１２０、サーバゲートウェイ４３０及びアカウントサーバ４８０は、ＩＰｖ６インターネット１０１に接続されており、サーバゲートウェイ４３０及びサーバ１５０は、ＩＰｖ４インターネット１０２に接続されている。
　なお、サーバゲートウェイ４３０でパケットを中継する方法が、実施の形態４における中継方法である。

　図１５は、実施の形態４におけるサーバゲートウェイ４３０の構成を概略的に示すブロック図である。
　サーバゲートウェイ４３０は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部４３４と、認証ＤＢ１３５と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。
　実施の形態４におけるサーバゲートウェイ４３０のＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、フィルタテーブル記憶部１３３、認証ＤＢ１３５、アドレス変換部１３７、ＢＩＢ記憶部１３８、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２は、実施の形態１におけるサーバゲートウェイ１３０の対応する部分と同様に構成されている。

　認証処理部４３４は、第１ＩＮＰＵＴフィルタ部１３２を通過した認証アカウント用パケットに基づいて、認証を行うとともに、ＩｏＴゲートウェイ１２０との通信におけるアカウントの管理を、アカウントサーバ４８０に行わせる。認証処理については、実施の形態１と同様である。

　なお、通信中のパケットが一定時間途絶える場合、ＢＩＢ記憶部１３８に記憶されているＢＩＢの該当するエントリがタイムアウトする。この場合、第１ＩＮＰＵＴフィルタ部１３２におけるフィルタテーブルの登録も不要であるため、認証処理部４３４は、ＢＩＢにおけるエントリの削除に連動して、フィルタテーブルの関連するレコードを削除してもよい。フィルタテーブルから関連するレコードを削除した場合には、認証処理部４３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、アカウントサーバ４８０にその通知を行い、アカウントサーバ４８０は、通信の停止を記録する。

　図１６は、実施の形態４におけるアカウントプロトコルによるＩＰｖ６フィルタ制御を示すシーケンス図である。
　配下の機器１１０による、外部のサーバ１５０への通信開始を検知したＩｏＴゲートウェイ１２０は、アカウントプロトコルの開始要求パケットをサーバゲートウェイ４３０に送信する（Ｓ３０）。
　サーバゲートウェイ４３０では、認証処理部４３４が、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、開始要求パケットを受け取ると、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、それをアカウントサーバ４８０に転送する（Ｓ３１）。

　アカウントサーバ４８０は、開始要求パケットに含まれる要求者の識別情報が正しい場合、識別情報に対応付けて通信の開始を、図示しないアカウントデータベースに記録する（Ｓ３２）。アカウントの要求者の識別情報は、機器１１０のＩＰｖ６アドレス又はＩｏＴゲートウェイ１２０のＩＰｖ６アドレスである。

　アカウントの開始の記録に成功したアカウントサーバ４８０は、アカウントの開始要求に対する成功応答パケットをサーバゲートウェイ４３０に応答する（Ｓ３３）。
　認証処理部４３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、成功応答パケットを受け取ると、フィルタテーブル記憶部１３３に記憶されているフィルタテーブルに識別情報を示すレコードを登録することで、第１ＩＮＰＵＴフィルタ部１３２のフィルタを解放する（Ｓ３４）。
　そして、認証処理部４３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、成功応答パケットをＩｏＴゲートウェイ１２０に転送する（Ｓ３５）。

　アカウントの開始要求パケットに対して成功応答パケットを受け取ったＩｏＴゲートウェイ１２０は、配下の機器１１０からのパケットを、ＩＰｖ６パケットに変換し、サーバゲートウェイ４３０への中継を開始する（Ｓ３６）。

　機器１１０の通信が継続している間、ＩｏＴゲートウェイ１２０は、アカウントの更新要求パケットをサーバゲートウェイ４３０に定期的に送信する（Ｓ３７）。
　認証処理部４３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、更新要求パケットを受け取ると、フィルタテーブル記憶部１３３に記憶されているフィルタテーブルにおいて、識別情報に対応するレコードを維持することで、第１ＩＮＰＵＴフィルタ部１３２のフィルタの解放を維持する（Ｓ３８）。
　そして、認証処理部４３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、更新要求パケットをアカウントサーバ４８０に転送する（Ｓ３９）。

　アカウントサーバ４８０は、更新要求パケットに含まれる要求者の識別情報に対応する通信の継続をアカウントデータベースに記録する（Ｓ４０）。
　そして、アカウントサーバ４８０は、成功応答パケットをサーバゲートウェイ４３０に応答する（Ｓ４１）。
　サーバゲートウェイ４３０の認証処理部４３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、成功応答パケットを受け取ると、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、その成功応答パケットをＩｏＴゲートウェイ１２０に転送する（Ｓ４２）。

　配下の機器１１０からの通信が終了したと判断したＩｏＴゲートウェイ１２０は、アカウントの停止要求パケットをサーバゲートウェイ４３０に送信する（Ｓ４３）。
　サーバゲートウェイ４３０の認証処理部４３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、停止要求パケットを受け取ると、フィルタテーブル記憶部１３３に記憶されているフィルタテーブルから、停止要求パケットに含まれる要求者の識別情報を示すレコードを削除することで、第１ＩＮＰＵＴフィルタ部１３２のフィルタの解放を停止する（Ｓ４４）。
　また、認証処理部４３４は、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、その停止要求パケットをアカウントサーバ４８０に転送する（Ｓ４５）。

　アカウントサーバ４８０は、停止要求パケットに含まれる要求者の識別情報に対応する通信の停止をアカウントデータベースに記録する（Ｓ４６）。
　そして、アカウントサーバ４８０は、停止要求に対する成功応答パケットをサーバゲートウェイ４３０に送信する（Ｓ４７）。
　サーバゲートウェイ４３０の認証処理部４３４は、ＩＰｖ６通信部１３１及び第１ＩＮＰＵＴフィルタ部１３２を介して、成功応答パケットを受け取ると、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、その成功応答パケットをＩｏＴゲートウェイ１２０に転送する（Ｓ４８）。

　なお、アカウント開始後、一定時間、ＩｏＴゲートウェイ１２０からの更新要求パケットを受け取らない場合にも、認証処理部４３４は、対応する識別情報を示すレコードをフィルタテーブルから削除して、フィルタの解放を停止するとともに、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、停止要求パケットをアカウントサーバ４８０に送信する。

　以上のように、実施の形態４では、外部のアカウントサーバ４８０でアカウントの管理を行うことができる。

　実施の形態４に係る通信システム４００においては、アカウントサーバ４８０がＩＰｖ６インターネット１０１に接続されているが、図１７に示されている通信システム４００＃１のように、アカウントサーバ４８０＃１がＩＰｖ４インターネット１０２に接続されていてもよい。

　図１８は、実施の形態４の変形例におけるサーバゲートウェイ４３０＃１の構成を概略的に示すブロック図である。
　サーバゲートウェイ４３０＃１は、ＩＰｖ６通信部１３１と、第１ＩＮＰＵＴフィルタ部１３２と、フィルタテーブル記憶部１３３と、認証処理部４３４＃１と、認証ＤＢ１３５と、アドレス変換部１３７と、ＢＩＢ記憶部１３８と、第１ＯＵＴＰＵＴフィルタ部１３９と、ＩＰｖ４通信部１４０と、第２ＩＮＰＵＴフィルタ部１４１と、第２ＯＵＴＰＵＴフィルタ部１４２とを備える。
　実施の形態４の変形例におけるサーバゲートウェイ４３０＃１のＩＰｖ６通信部１３１、第１ＩＮＰＵＴフィルタ部１３２、フィルタテーブル記憶部１３３、認証ＤＢ１３５、アドレス変換部１３７、ＢＩＢ記憶部１３８、第１ＯＵＴＰＵＴフィルタ部１３９、ＩＰｖ４通信部１４０、第２ＩＮＰＵＴフィルタ部１４１及び第２ＯＵＴＰＵＴフィルタ部１４２は、実施の形態１におけるサーバゲートウェイ１３０の対応する部分と同様に構成されている。

　認証処理部４３４＃１は、第１ＩＮＰＵＴフィルタ部１３２からアカウントの開始要求パケット、更新要求パケット及び停止要求パケットを受け取ると、第１ＯＵＴＰＵＴフィルタ部１３９及びＩＰｖ４通信部１４０を介して、これらのパケットをアカウントサーバ４８０＃１に転送する。

　そして、認証処理部４３４＃１は、ＩＰｖ４通信部１４０及び第２ＩＮＰＵＴフィルタ部１４１を介して、認証成功パケット及び認証失敗パケットを受け取ると、第２ＯＵＴＰＵＴフィルタ部１４２及びＩＰｖ６通信部１３１を介して、これらのパケットをＩｏＴゲートウェイ１２０に転送する。
　ここで、認証処理部２３４＃１は、認証成功パケットをＩｏＴゲートウェイ１２０に送信する際に、フィルタテーブルに対応する識別情報を示すレコードを登録することで、フィルタを解放する。

　また、認証処理部４３４＃１は、更新要求パケットを転送する際に、フィルタテーブルにおいて対応する識別情報を示すレコードを維持することで、フィルタの解放を維持する。
　さらに、認証処理部４３４＃１は、停止要求パケットを転送する際に、フィルタテーブルにおいて対応する識別情報を示すレコードを削除することで、フィルタの解放を停止する。

　なお、実施の形態４においても、図５～図８を用いて説明した変形例を適用することができる。
　また、実施の形態４においても、実施の形態２のように、外部の認証サーバに認証を行わせることができる。

　１００，１００＃１，１００＃２，１００＃３，１００＃４，２００，２００＃１，３００，４００，４００＃１　通信システム、　１１０，１１０＃１，１１０＃２　機器、　１２０，１２０＃１，１２０＃２　ＩｏＴゲートウェイ、　１３０，１３０＃１，２３０，２３０＃１，３３０，４３０，４３０＃１　サーバゲートウェイ、　１３１　ＩＰｖ６通信部、　１３２　第１ＩＮＰＵＴフィルタ部、　１３３　フィルタテーブル記憶部、　１３４，２３４，２３４＃１，３３４，４３４，４３４＃１　認証処理部、　１３５　認証ＤＢ、　１３６　アカウントＤＢ、　１３７，１３７＃１　アドレス変換部、　１３８　ＢＩＢ記憶部、　１３９　第１ＯＵＴＰＵＴフィルタ部、　１４０　ＩＰｖ４通信部、　１４１　第２ＩＮＰＵＴフィルタ部、　１４２　第２ＯＵＴＰＵＴフィルタ部、　１５０，１５０＃１　サーバ、　２７０，２７０＃１　認証サーバ、　４８０，４８０＃１　アカウントサーバ、　１０　処理回路、　１１　メモリ、　１２　プロセッサ。

Claims

　第１のプロトコルに対応した第１のネットワーク及び当該第１のプロトコルとは異なる第２のプロトコルに対応した第２のネットワークに接続され、当該第１のプロトコル及び当該第２のプロトコルとの間でプロトコル変換を行うゲートウェイであって、
　認証された送信元アドレスを特定することのできるフィルタ情報を記憶するフィルタ情報記憶部と、
　前記第１のネットワークから、前記第１のプロトコルに対応した第１のパケットを受信する第１の通信部と、
　前記第１のパケットの送信元アドレスである第１の送信元アドレスが、前記認証された送信元アドレスに一致するか否かを判断するフィルタ部と、
　前記第１の送信元アドレスが、前記認証された送信元アドレスに一致する場合に、前記第１のパケットを、前記第２のプロトコルに対応した第２のパケットに変換する変換部と、
　前記第２のパケットを前記第２のネットワークに送信する第２の通信部と、を備えること
　を特徴とするゲートウェイ。
　前記フィルタ部は、前記第１の送信元アドレスが、前記認証された送信元アドレスに一致しない場合には、前記第１のパケットを破棄すること
　を特徴とする請求項１に記載のゲートウェイ。
　前記第１の通信部で受信された認証要求パケットに基づいて認証処理を行う処理部をさらに備え、
　前記処理部は、前記認証要求パケットの送信元の認証に成功した場合には、前記認証された送信元アドレスとして、前記認証要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
　を特徴とする請求項１又は２に記載のゲートウェイ。
　前記第１の通信部で受信された認証要求パケットを、前記第１の通信部又は前記第２の通信部から、認証処理を行う認証サーバに転送する処理部をさらに備え、
　前記処理部は、前記認証サーバにおいて前記認証要求パケットの送信元の認証に成功した場合には、前記認証された送信元アドレスとして、前記認証要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
　を特徴とする請求項１又は２に記載のゲートウェイ。
　前記項目は、前記認証要求パケットの前記送信元アドレスを示すこと
　を特徴とする請求項３又は４に記載のゲートウェイ。
　前記項目は、前記認証要求パケットの前記送信元アドレスのプレフィックスを示すこと
　を特徴とする請求項３又は４に記載のゲートウェイ。
　前記変換部は、前記第１のパケットを前記第２のパケットに変換する際に、前記第１の送信元アドレスを、前記第２のプロトコルに対応した送信元アドレスである第２の送信元アドレスに変換すること
　を特徴とする請求項３から６の何れか一項に記載のゲートウェイ。
　前記変換部が前記第１の送信元アドレス及び前記第２の送信元アドレス間の変換を予め定められた期間行わない場合に、前記処理部は、前記項目を前記フィルタ情報から削除すること
　を特徴とする請求項７に記載のゲートウェイ。
　前記第１の通信部で受信された、アカウントの開始要求パケットに基づいて当該アカウントを作成する処理部をさらに備え、
　前記処理部は、前記開始要求パケットに基づいて前記アカウントを作成した場合に、前記認証された送信元アドレスとして、前記開始要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
　を特徴とする請求項１又は２に記載のゲートウェイ。
　前記第１の通信部で受信された、アカウントの開始要求パケットを、前記第１の通信部又は前記第２の通信部から、当該アカウントを管理するアカウントサーバに転送する処理部をさらに備え、
　前記処理部は、前記アカウントサーバにおいて前記開始要求パケットに基づいて前記アカウントが作成された場合に、前記認証された送信元アドレスとして、前記開始要求パケットの送信元アドレスを特定することのできる項目を前記フィルタ情報に追加すること
　を特徴とする請求項１又は２に記載のゲートウェイ。
　前記項目は、前記開始要求パケットの前記送信元アドレスを示すこと
　を特徴とする請求項９又は１０に記載のゲートウェイ。
　前記項目は、前記開始要求パケットの前記送信元アドレスのプレフィックスを示すこと
　を特徴とする請求項９又は１０に記載のゲートウェイ。
　前記処理部は、前記第１の通信部で受信された前記アカウントの停止要求パケットに基づいて、前記項目を前記フィルタ情報から削除すること
　を特徴とする請求項９から１２の何れか一項に記載のゲートウェイ。
　第１のプロトコルに対応した第１のネットワークから、当該第１のプロトコルに対応した第１のパケットを受信し、
　前記第１のパケットの送信元アドレスが、認証された送信元アドレスに一致する場合に、前記第１のパケットを、前記第１のプロトコルとは異なる第２のプロトコルに対応した第２のパケットに変換し、
　前記第２のパケットを前記第２のプロトコルに対応した第２のネットワークに送信すること
　を特徴とする中継方法。