JP2013255167A - 中継装置 - Google Patents

中継装置 Download PDF

Info

Publication number
JP2013255167A
JP2013255167A JP2012130803A JP2012130803A JP2013255167A JP 2013255167 A JP2013255167 A JP 2013255167A JP 2012130803 A JP2012130803 A JP 2012130803A JP 2012130803 A JP2012130803 A JP 2012130803A JP 2013255167 A JP2013255167 A JP 2013255167A
Authority
JP
Japan
Prior art keywords
logical interface
address
logical
interface
connection tracking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012130803A
Other languages
English (en)
Other versions
JP5865183B2 (ja
Inventor
Takanobu Kawabe
隆伸 川邉
Taketo Miyaoku
健人 宮奥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012130803A priority Critical patent/JP5865183B2/ja
Publication of JP2013255167A publication Critical patent/JP2013255167A/ja
Application granted granted Critical
Publication of JP5865183B2 publication Critical patent/JP5865183B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】IPv4の環境であっても導入可能で、他の機器の変更を必要とせずにそれ単独で成立し、中継装置にも適用可能な、匿名性の高い通信装置の保護を達成する。
【解決手段】通信装置に、IPアドレスを保持する論理インターフェースを複数作成して通信装置が物理的に有する一のネットワークインターフェースに割り当てる論理インターフェース生成部と、時間間隔を空けて、優先すべき論理インターフェースを変更する論理インターフェース管理部とを設けさせる。
【選択図】図1

Description

この発明は、環境で中継装置それ自体の匿名性を確保した中継装置に関する。
インターネットと通信するIPアドレスを有する通信装置を外部からの不正アクセスから守る方法としては、NAT(NetworkAddressTranslation)や、匿名アドレスなどがある。
このうち、NATは多くのIPv4中継装置が具備している機能である。中継装置自身は外部ネットワークからグローバルアドレスを割り当てられる一方で、配下の端末には中継装置自身がローカルアドレスを割り当てる。それら端末が外部ネットワークと通信する際には、その通信を中継するにあたり、IPアドレスを自身のグローバルアドレスに変更するとともに、その対応をNATテーブルに記録しておく。レスポンスが返ってきたときには、中継装置宛の通信を受信し、前記NATテーブルの記録に従って自身の配下の端末宛にアドレスを変更して中継する。これにより、端末へはインターネットから直接に通信することができないので、端末を不正なアクセスから守ることができる。
一方、匿名アドレスはIPv6で規格化されている技術である(非特許文献1)。IPv6ではNATを使用せず、端末がアドレスをそのままにインターネットに接続する。このため、従来のNATでは端末をインターネットからの不正アクセスから守ることができない。そこで、IPv6のアドレスの中に乱数的要素を持たせ、それを定期的に変更したアドレスを中継装置が端末に割り振ることで、端末が同じアドレスを使い続けないようにし、アドレスを指定しての攻撃を受けないようにすることができる。
このIPv6の匿名アドレスを用いた例が特許文献1に記載されている。FAX送信にSMTP(SimpleMailTransferProtocol)を用いる、インターネットを介した別個のLAN内に設けられた端末間の通信にあたって、IPv6のステートレス自動構成を拡張するRFC3041の既定に従って、匿名性を有する匿名アドレスを生成すると共に、かつ有効期限が経過した匿名アドレスを削除して、匿名アドレスを管理している。
また、特許文献2には、TCPセッションを確立したまま端末(マイグレータ)を移動させ、IPアドレスを変更することが記載されている。
特開2010−141473号公報 特開2005−218111号公報
RFC3041
しかしながら、匿名アドレスはIPv6に固有の技術なのでIPv4環境では利用することができない。また、匿名アドレスを生成するといっても、プレフィックスは同一であるために、中継装置までパケットが到達してしまうので、中継装置に対するDOS(Denial of Service attack)攻撃などを回避することはできなかった。
また、特許文献1及び2の技術は端末のIPアドレスを変更するものであり、端末への通信を中継する中継装置自体に匿名性を与えることはできなかった。さらに、特許文献2の技術では、端末(マイグレータ)だけでなく、TCPセッションを確立している相手方のサーバ(非マイグレータ)にも機能を追加する必要があり、実際には導入できる状況が限られていた。
そこでこの発明は、IPv6環境だけでなく、IPv4の環境であっても導入可能で、他の機器の変更を必要とせずにそれ単独で成立し、中継装置にも適用可能な、匿名性の高い通信装置の保護を目的とする。
この発明は、IPアドレスを保持する論理インターフェースを複数作成して、通信装置が物理的に有する一のネットワークインターフェースに割り当てる論理インターフェース生成部と、時間間隔を空けて、優先すべき論理インターフェースを変更する論理インターフェース管理部とを有する通信装置とすることで、上記の課題を解決したものである。ここで論理インターフェースを割り当てるネットワークインターフェースは、脅威が送信されてくるおそれのある外部のネットワークに繋がる、すなわちWAN側のネットワークインターフェースである。
すなわち、少なくとも一時的に論理インターフェースを複数存在させる。前記論理インターフェースを時間経過とともに新しく生成又は更新して、それが有するIPアドレスを新しくし、新しい前記論理インターフェースを上位の優先順位として利用して通信を行うように優先順位を変更していく。優先的に使用する前記論理インターフェースが変更されれば、それ以降に発生する新たな通信は、優先順位が上位に設定された新しい前記論理インターフェースによって実施される。このように新たな通信を取り扱う最新の論理インターフェースを次々と取り替えることにより、新たな通信に対してはIPアドレスが刻々と変化していくため、中継装置自身を外部ネットワークから攻撃のターゲットとして捉えることが困難になり、匿名性を高めることが出来る。
これを実現する具体的な通信装置のうち、特にユーザ端末と外部ネットワークとの間に設ける中継装置の構成は、
外部ネットワークに通じる一の物理的なネットワークインターフェースと、
そのネットワークインターフェースに割り当てる一のIPアドレスを有する論理インターフェースを、所定の時間間隔を空けて次々と生成する論理インターフェース生成部と、
生成された複数の前記論理インターフェースのうち存続しているものについて新たな通信に用いる優先順位を管理する論理インターフェース管理部と、
それぞれの前記論理インターフェースを用いて通信する際のNAT変換又はNAPT変換のルールを管理する接続追跡テーブルと、
それらの接続追跡テーブル及び前記論理インターフェースの優先順位を元に、パケットのルーティングを行うルーティング機能部とを有すればよい。
一方で、上記ルーティング機能部は、既に優先順位が下位となった古い前記論理インターフェースで実施されていた通信のセッション情報が、前記接続追跡テーブルに残っていた場合、そのセッションを用いて実施される通信は、その優先順位が下位となった古い前記論理インターフェースで実施するようにするとよい。つまり、必要なセッションが生きている間は、その論理インターフェースを残しておく。これにより、セッション途中で中継装置のIPアドレスが変更になって相手方のサーバが中継装置を見失い端末との通信が途絶することを、防ぐことができる。
また、この発明にかかる中継装置は、過去に生成された前記論理インターフェースに割り当てられたIPアドレスの履歴を記録する履歴テーブルを有するものとし、
上記論理インターフェース生成部又は上記論理インターフェース管理部が、前記履歴テーブルに履歴が残るIPアドレスの使用を避けるようにすると、中継装置が割り振られるIPアドレスが偶然に過去に使用したものと同一になって、匿名性が低下することを抑制できる。そのような履歴が残るIPアドレスの使用を避ける方法としては、前記中継装置にIPアドレスを割り当てるDHCPサーバやPPPoEの認証サーバなどであるアドレス付与サーバから払い出されたそのIPアドレスを論理インターフェースに登録させずに一旦廃棄し、新たなIPアドレスの払い出しを要求するとよい。これにより、アドレス付与サーバ自体に特殊な変更を施す必要なく、使用するIPアドレスの回避が可能となる。
さらに、この発明にかかる中継装置は、新たに生成又は更新された前記論理インターフェースに最優先の優先順位を割り当てるタイミングを管理する切替タイマを有するとよい。この切替タイマによって所定の時間を定められて定期的に実行する手順は、前記論理インターフェースの生成又は更新そのものであってもよいし、予め生成又は更新しておいた前記論理インターフェースに最優先の優先順位を割り当てるものでもよいが、消費リソースを抑えるという観点では、切替タイマのタイミングで論理インターフェースを生成又は更新して確立することが望ましい。
さらにまた、上記論理インターフェース管理部は、優先順位が低くなった古い前記論理インターフェースに括り付けられた前記接続追跡テーブル内のセッション情報が、全てタイムアウトして削除されているか否かを確認する。全て削除されていたら、上記論理インターフェース管理部がその古くなった前記論理インターフェースを削除する論理インターフェース削除機能を実行するか、又は、IPアドレスを付与しなおして更新する論理インターフェース更新機能を上記論理インターフェース生成部に実行させるとよい。ただし、その時点で不要であれば、削除することで選択肢を減らし、ルーティングなどの処理を少しでも高速化する方が望ましい。いずれにせよ、削除又はIPアドレスの更新により、古いIPアドレスを有する前記論理インターフェースが必要以上に持続して、外部からのターゲットとして残り続ける事態を防ぐことができる。
この発明により、IPv6環境だけでなく、IPv4環境でも中継装置それ自体に十分に高い匿名性を与えることができ、中継装置と、それに接続された端末を、外部ネットワークからの不正アクセスから保護することができる。
さらに、最近ではIPアドレスと個人を結びつけて個人の行動が追跡される場合があるが、本発明を利用するとIPアドレスが定期的に変更されるので個人の行動をIPアドレスで追いかけることができなくなり、個人情報保護の点からも匿名性が高まる。
この発明にかかる中継装置の機能ブロック図及び周辺構成図 (a)中継装置が用いる接続追跡テーブルの例図、(b)(a)の概念図 ユーザ端末からの通信を中継する際のルーティング機能部の動作フロー例図 上限値Qの論理インターフェースで運用する生成更新動作フロー例図 PPPoEを用いて論理インターフェースにアドレスを割り当てる際のフロー例図
以下、この発明について具体的な実施形態の例を挙げて詳細に説明する。
図1は、この発明にかかる中継装置10の機能ブロック図及びそれと通信する装置について示す構成図である。
中継装置10は、ユーザ端末20とで構成されるローカルネットワーク21と、外部ネットワーク30との間にある中継装置であり、例えば家庭用ルータなどのホームゲートウェイのようなゲートウェイとして機能する装置である。外部ネットワーク30に繋がる物理的なネットワークインターフェース11(WAN側ネットワークインターフェース)を少なくとも一つ有し、かつ、ローカルネットワーク21を構成するユーザ端末20に繋がる物理的なネットワークインターフェース12(LAN側ネットワークインターフェース)を少なくとも一つ有する。これらのネットワークインターフェース11,12は、1000BASE-T/100BASE-TX/10BASE-TなどのEthernet規格の有線ネットワーク端子でもよいし、IEEE802.11a,b,g,n等の無線ネットワークアンテナでもよいし、それらの両方であってもよい。ただし、基本的にはWAN側のネットワークインターフェース11は一つで十分であり、その一つのネットワークインターフェース11に、後述する複数の論理インターフェースが割り当てられることで、本発明の効果を発揮する。
上記のユーザ端末20は、パソコン、スマートフォン、タブレット端末など、TCP/IP通信を行う端末であれば特に限定されない。これらと中継装置10との間のローカルネットワーク21は、IPv4環境の場合、ローカルアドレスを用いることが一般的である。IPv6の場合はプレフィックスに従って個々のユーザ端末20にアドレスが割り振られる。
上記の外部ネットワーク30とは、中継装置10がアドレスを管理していないネットワークであり、例えばインターネットが挙げられる。
外部ネットワーク30には、中継装置10に対してIPアドレスを割り当てる機能を有するアドレス付与サーバ31がある。中継装置10が一般的なホームゲートウェイである場合には、ユーザ端末20や中継装置10の管理者である家主が契約したプロバイダが管理するPPPoE(Point-to-point protocol over Ethernet)やL2TP(Layer 2 Tunneling Protocol)の認証サーバの他に、DHCP(Dynamic Host Configuration Protocol)サーバでもよい。なお、中継装置10がIPv4の場合、割り当てられるIPアドレスはグローバルアドレスとなるのが一般的である。IPv6の場合、DHCPv6ならばグローバルアドレスとなり、IPv6CPならばリンクローカルアドレスが割り振られるのが一般的である。
中継装置10は、本発明の実施のために次のような構成を有する。
そのネットワークインターフェース11(WAN側)に割り当てる一のIPアドレスを有する論理インターフェース51(51a、51b、51c……)を、所定の時間間隔を空けて生成又は更新する論理インターフェース生成部41と、
生成された複数の前記論理インターフェースのうち存続しているものについて新たなセッションに用いる優先順位を管理する論理インターフェース管理部42と、
それぞれの前記論理インターフェースを用いて通信する際の、NAT変換やNAPT変換、ルーティングといったアドレスやポートなどのパケット変換のルールを管理する接続追跡テーブル43と、
接続追跡テーブル43及びそれぞれの論理インターフェース51の優先順位を元に、パケットのルーティングを行うルーティング機能部44とを少なくとも有する。
上記の論理インターフェース51とは、付与した一のIPアドレスに対応し、1つの物理インターフェースをソフトウェアの上から複数のインターフェースとして利用するために、物理インターフェース上にソフトウェアによって生成されたソフトウェア上のインターフェースである。
論理インターフェース生成部41は、中継装置10のオペレーティングシステム上に、物理的なネットワークインターフェース11をソフトウェアの上から複数のインターフェースとして扱うための論理インターフェース51を生成又は更新し、IPアドレスを割り当てて登録する論理インターフェース生成手段を実行する。これは、新たな論理インターフェース51を生成させる場合と、既にある論理インターフェース51のIPアドレスを廃棄してから登録しなおして新たな論理インターフェースとして更新させる場合との両方がある。上記の論理インターフェース生成手段が新たな論理インターフェース51を生成する場合で、なおかつ、同時に存在できる論理インターフェース51の数に上限が設けられており、なおかつ、既に存在する論理インターフェース51の数が予め設定された上限に達している場合には、既に使用しなくなった論理インターフェース51を破棄することで論理インターフェースの数を上限未満にした上で、新たな論理インターフェース51を生成する。
また、論理インターフェース51を生成する際にはそれと同時に、その論理インターフェース51で通信するセッションの情報を記録してルーティングの際に参照する接続追跡テーブル43(a,b,c……)を確保すると好ましい。この接続追跡テーブル43は中継装置10全体で一つのテーブルを複数の論理インターフェースが共有してもよい。その場合には、接続追跡テーブル43はどの論理インターフェースに該当するかを判断する項目を有しているとよい。また、どの項目に該当するかを、WAN側で受信するパケットの宛先アドレスから判断できるアルゴリズムを搭載させておいてもよい。
それぞれの論理インターフェース51が割り当てられるIPアドレスは、上記の外部ネットワーク30に設けられたアドレス付与サーバ31によって払い出される。アドレス付与サーバ31にとっては、L2以下のレイヤでは、この中継装置10はネットワークインターフェース11のMACアドレスがそのまま認識され、ルータ等の機器が一つ繋がっているだけのように認識される。一方、IP以上のレイヤでは、中継装置10のネットワークインターフェース11がハブとなり、そのハブに個々の論理インターフェース51として複数のルータが接続され動作しているものと認識される。従って、論理インターフェース51を切り替えるという挙動は、このIP以上のレイヤにおいては、複数の中継装置が接続と切断を繰り返していることに合わせて、IPアドレスの割り当てを行うに等しいため、アドレス付与サーバ31自体は従来の動作を行うだけでよく、この発明の実施のために外部ネットワーク30側で新たな作業を行う必要はない。
上記の論理インターフェース管理部42は、新たに生成又は更新された論理インターフェース51(a,b,c……)に最優先の優先順位を割り当てるべく更新する。具体的には、更新された論理インタフェース51(a, b, c……)が最優先の経路となるようにルーティング機能部44が有するルーティングテーブル(図示せず)を変更する。このルーティングテーブルとは、ルーティング機能部44がパケットの宛先アドレス毎にどのインターフェースを用いるかを指定しているものである。この発明で利用する場合、この指定されるインターフェースが論理インターフェース51となる。
ただしこの発明では、パケットを受け取った際には前記ルーティングテーブルより先にまず接続追跡テーブル43を優先して確認する。接続追跡テーブル43に履歴が無い新たな通信先との通信であれば、前記ルーティングテーブルを参照して最優先の優先順位を割り当てられた論理インターフェース51がどれかを確認してそれを指定する。以後、既に通信を開始してセッションが確立されている通信先との通信であれば、接続追跡テーブル43にその履歴が残っていることになるので、接続追跡テーブル43を確認して履歴がある通信先との通信であれば、前記ルーティングテーブルが指定する優先順位の指定を無視して、接続追跡テーブル43に対応する論理インターフェース51でそのパケットを取り扱う。
中継装置10は、上記の優先順位を割り当てるべく更新するタイミングを管理する切替タイマ46を有するとよい。切替タイマ46は、中継装置10が有する時計機能(図示せず)を利用し、一定間隔で新たな論理インターフェース51を最優先の優先順位とする。
上記優先順位とは、新たなセッションが生じたときに、或いは外部からセッションとして未登録のアドレス及びポートからのアクセスがあった場合に、どの論理インターフェース51(例えば51c)を使用するかの順位であり、基本的には最優先のもののみが用いられる。ただし、最新ではない論理インターフェース51(例えば51a、51b)についても、当該論理インターフェース51を送信先とするエントリが接続追跡テーブル43(例えば43a、43b)に存在する場合には、その論理インターフェース51を用いて通信を続ける。最新ではない論理インターフェース51が複数存続している場合には、ルーティング機能部44は、その優先順位の高いものから、該当するセッションが存在しているかを、それぞれの論理インターフェースに対応する接続追跡テーブル43を検索して有無を判断していくとよい。すなわち、最優先の優先順位である論理インターフェース51以外は、基本的には既にあるセッションを継続させるためにある。ただし、3つ以上の論理インターフェース51を生成する場合には、更新順序を管理する点から、新しいものから順に高い優先順位を付けるようにしておくとよい。
なお、論理インターフェース生成部41と論理インターフェース管理部42とは、必ずしも独立していなくてもよく、それぞれの機能を発揮する一つの機能部であってもよい。
上記の接続追跡テーブル43は、中継装置10が通信を中継するにあたりNAT変換やNAPT変換、ルーティングなどの管理を行う際に参照するためのテーブルである。中継装置10が元々ルーティング機能を有するルータである場合には一般に有しているテーブルであるが、本発明では少なくとも論理インターフェース51ごとのセッションを識別できることが必要である。具体的には、一つのテーブルの中に、論理インターフェース51を識別する項目を有するか、又は論理インターフェース51毎に別々のテーブルを設けるか、いずれかの方式にするとよい。そのテーブルの中身はルータのメーカーやソフトウェアによるため形式は特に限定されないが、一例となるNAPT変換する場合のテーブルを図2(a)に、その際のアドレスとポート番号の概念図を図2(b)に示す。テーブルの左半分に記載されているLAN側の情報は、中継装置10がLAN側から受信するパケットの情報である。そして、テーブルの右半分に記載されているWAN側の情報は、中継装置がLAN側から受信したパケットをNAT変換してWAN側へ送信した場合に、WAN側から返ってくる応答パケットの情報である。すなわち、LAN側送信元アドレス、LAN側宛先アドレス、LAN側送信元ポート番号、LAN側宛先ポート番号が、それぞれ中継装置10がLAN側から受信するパケットの情報であり、WAN側送信元アドレス、WAN側宛先アドレス、WAN側送信元ポート番号、WAN側宛先ポート番号はそれぞれ中継装置10が外部サーバ32に対して送信したパケットに対して外部サーバ32が返してくる応答パケットの情報となる。従って、中継装置10がLAN側から受信したパケットをWAN側へ送信するパケットのアドレスは、図2(a)のWAN側情報とは宛先と送信元のアドレスが逆になる。
また、上記のルーティング機能部44は、上記の接続追跡テーブル43を参照して、中継装置10が中継する通信について、NAT変換、又はNAPT変換、ルーティングを行う。また、接続追跡テーブル43に記録されていない通信、すなわち、ユーザ端末20側から送信された新たな通信セッションに対しては、前記ルーティングテーブルを参照して最優先の優先順位を有する、すなわち最も更新又は生成が新しい論理インターフェース51によって通信を中継するようにする。
そしてまたこの発明においては、既に優先順位が下位となった古い論理インターフェース51(a,b,c……)で実施されている通信のセッション情報がいずれかの接続追跡テーブル43(a、b、c……)に残っている場合、そのセッションを用いて実施される通信は、その優先順位が下位となった古い論理インターフェース51で引き続き実施するようにする。
さらに、中継装置10は、過去に生成された論理インターフェース51に割り当てられたIPアドレスの履歴を記録する履歴テーブル45を有するとよい。テーブルへの登録は、論理インターフェース生成部41又は論理インターフェース管理部42が、新たに論理インターフェース51を生成又は更新するたびに、そのIPアドレスを登録するアドレス記録手段を実行するとよい。図1では、論理インターフェース生成部41が論理インターフェース管理部42にIPアドレスを通知して、論理インターフェース管理部42がアドレス記録手段を実行する形態を記載している。また、この登録の前又は後に、上記論理インターフェース生成部41又は上記論理インターフェース管理部42は、登録しようとする新たなIPアドレスが、履歴テーブル45に記録されたものであるか否かをチェックする履歴検索手段を実行し、該当した場合には、生成した論理インターフェース51のIPアドレスを廃棄し、新たなIPアドレスを割り当てるようにアドレス付与サーバ31に要求する。これにより、以前に使用したIPアドレスと同じIPアドレスを使ってしまうことで過去の記録を元にした攻撃の標的となることを、回避することができる。
なお、登録されたIPアドレスが延々と更新され続けることを防ぐため、アドレス記録手段の実行後に実行するよりも、アドレスを払い出されてからアドレス記録手段の実行前に履歴検索手段を実行する方がより好ましい。
上記の履歴テーブル45の中身は、単純にIPアドレスを順に記録するだけでもよいし、使用開始日時や使用終了日時の項目を有していてもよい。処理負荷の点からは、IPアドレスのみとするのが好ましい。また、IPアドレスの記録個数の上限や記録期間の制限を設けておき、制限を超えた古いデータについては、論理インターフェース管理部42がそれらを削除する履歴削除手段を実行するとよい。十分に古い過去に用いられたIPアドレスであれば、再び使用してもセキュリティリスクはほとんどないと考えられるからである。
次に、この発明を実施する際のフロー例を図3〜5を用いて説明する。
図3は、ユーザ端末20からの通信を中継する際のルーティング機能部の動作フロー例を示す。qはその時点における論理インターフェースの数であり、iは優先順位についての変数である。xは当該優先順位の論理インターフェース又は接続追跡テーブルについてのa,b,c……以降の記号のいずれかを意味する。
仮に、論理インターフェース51が3つ存在している場合であって、優先順位の第1位が(すなわち最優先であるものが)論理インターフェース51cで、第2位が論理インターフェース51b、第3位が論理インターフェース51aである場合を想定する。それよりも論理インターフェース51が多い場合は、図中のチェック部分が同様に増えることになる。なお、以下のフローは接続追跡テーブル43が論理インターフェース51ごとに独立している場合を想定して記載している。一つの接続追跡テーブル43を全ての論理インターフェース51が共有する場合、以下のフローにおける個々の接続追跡テーブル43(a,b,c……)が、一つに統合された接続追跡テーブル43のレコードのうちの個々の論理インターフェース51に対応するレコードの集合に対応することとなる。またその場合、接続追跡テーブル43をいちいち生成するのではなく、対応する論理インターフェース51を識別できる項目を設けて、一つの接続追跡テーブル43に書き込むこととなる。
まず中継装置10は(S101)、ユーザ端末20からの通信をLAN側のネットワークインターフェース12で受けると、ルーティング機能部44に受け渡す(S102)。
ここで、優先順位が最優先、すなわち第1位(i=1)の接続追跡テーブル43x(仮に43cとなる。)を確認し(S104)、受信したパケットに該当するエントリが存在するか否かを調べる該当接続追跡テーブル検索手段を実行する(S105)。後述するように、既に一つ以上のパケットが送られた送信先への、二つめ以降のパケットであれば、いずれかの接続追跡テーブル43(a、b、c……)に送信先IPアドレスとポート番号とが登録されている。そこで、いずれの接続追跡テーブル43に存在するかを順にチェックする(S105)。存在が確認できれば(S105→Yes)、そのパケットは当該接続追跡テーブル43xを用いる論理インターフェース51xを用いて、既にセッションが開始されたパケットの続きであるので、当該順位の接続追跡テーブル43xに既に登録済みのルールに従って、ルーティング機能部44はパケットを変換し(S111)、当該順位の論理インターフェース51xからパケットを外部ネットワーク30へ送信する(S112)。すなわち、このパケットは古い論理インターフェース51xに割り当てられたIPアドレスを送信元IPアドレスとして送信される。この送信元IPアドレスは、接続追跡テーブルにおけるWAN側宛先アドレスに当たる。上記の図2(a)のテーブルでは、中継装置10に返ってくる際の状況で送信元か宛先かを記載しているからである。
なお、接続追跡テーブル43が論理インターフェース51ごとに分かれているのではなく、一つである場合には、接続追跡テーブル43の、当該順位の論理インターフェース51に対応する項目を有するレコードの中に(S104に対応)、受信パケットに該当するエントリが存在するか否かを確認することになる(S105に対応)。
一方、上記の該当接続追跡テーブル検索手段を実行しても、当該接続追跡テーブル43bにエントリが見つからなければ、それが最下位の優先順位を有する接続追跡テーブル43xでなければ(S106→No)、次の(S103、iに+1)優先順位の接続追跡テーブル43x(仮に43bとなる)に対して該当接続追跡テーブル検索手段を実行する(S104,S105)。以上を、最下位の優先順位を有する接続追跡テーブル43まで検索する(S103〜S106)。該当するエントリが見つかれば、その接続追跡テーブル43xに従って、パケットを変換し(S111)、当該論理インターフェース51xからパケットをWAN側のネットワークインターフェースへ送信する(S112)。
なお、二つの論理インターフェース51(a,b)を更新して交互に用いる場合は、S106から戻る工程は必要なく、優先順位が低い接続追跡テーブル43を探して見つからなければ、すぐに優先順位が高い(第1位の)接続追跡テーブルを確認すればよい。
最下位の優先順位を有する接続追跡テーブル43まで検索しても見つからなければ(S105→No、i=qに到達しておりS106→Yes)、それは新たなセッションのパケットであるので、優先順位第1位の接続追跡テーブル43x(仮に43c)に、新たなエントリを追加する(S123)。その上で、追加したエントリに従ってルーティング機能部44がパケットを変換し(S124)、優先順位第1位である論理インターフェース51x(仮に51c)からパケットをWAN側のネットワークインターフェースへ送信する(S125)。このパケットも、最新の論理インターフェース51cに割り当てられたIPアドレスを送信元IPアドレスとして送信される。
こうして中継された上り方向の通信に対する返答である下り方向の通信は、予め定めた論理インターフェース51x(a、b、c……)のIPアドレス宛に送り返されてくるので、その宛先アドレスであるIPアドレスを有する論理インターフェース51xを通して、それに対応する接続追跡テーブル43の記載に従って中継処理して、ユーザ端末20へ届けられる。
次に、論理インターフェース管理部42及び論理インターフェース生成部41による論理インターフェース51の生成更新動作フローについて図4を用いて説明する。生成可能な論理インターフェースの最大数をQ、その時点における論理インターフェースの数をq、順位についての変数をiとする。例えば、論理インターフェース51aと51bとを交互に最優先として使う場合はQ=2となる。
まず(S401、q=0が初期値)、最初に第一の論理インターフェース51を生成する(S402)。具体的には、PPPoEのセッション確立やDHCPの要求などを行ってアドレス付与サーバ31から発行された新たなIPアドレスを論理インターフェース51xに付与し、更新されたIPアドレスを有する論理インターフェース51xを生成させる。これにより、qが+1されて1となる(S403)。なお、この論理インターフェース51xの生成手順自体は後述する図5のフローのようになり、アドレスが履歴テーブル45の記録と重複する場合は払い出しを受け直すこととなる。このとき、対になる接続追跡テーブル43xも同時に生成する。その上で、生成した論理インターフェース51xを最優先のものとし(S404)、切替タイマ46を設定する(S405)。
i=q(最初はi=1)とし(S406)、ここでは論理インターフェース51が1なので(S407→Yes)、切替タイマ46の時間経過を待つ(S421→No→S422=S427→S406ループ)。切替タイマ46に設定した時間が経過したら(S421→Yes)、この時点では論理インターフェース51xの生成数の限界に達していないので(S423→Yes→S425=S426)、第二の論理インターフェース51を生成する(S402)。これにより論理インターフェース51の数は2となる(S403)。その上で新しい方の論理インターフェース51を最優先とし(S404)、切替タイマ46を再び設定する(S405)。
i=2であり(S406、S407→No)、優先順位が第2位の接続追跡テーブル43x(すなわち、先に生成した方の論理インターフェース51x)に対応する接続追跡テーブルを確認する(S411)。この古い接続追跡テーブル43xに有効なエントリが残っていなければ(S412→No)、その論理インターフェース51xを対になる接続追跡テーブル43xごと削除する(S413,S414でq=1に)。具体的には、PPPoEの場合はセッションの切断を行い、DHCPであればIPアドレスの廃棄となる。これによりi=1となり(S415→S407→Yes)切替タイマの満了を待つ(S421)。
有効なエントリが残っていれば(S412→Yes)、論理インターフェース51xを削除しない(S413を通過せずにS415でi=1→S407→Yes)。ただし、切替タイマの満了を待つまで(S421→S422=S427)、有効なエントリのチェックを行う(S406でi=q=2→S407→No→S411→S412からループ)。
切替タイマが満了したら(S421→Yes)、その時点での論理インターフェース51xの数qが上限数Qに到達しているか否かを判断する(S423)。到達していなければ(S423→Yes→S425=S426)、新たな論理インターフェース51xを生成し(S402→S403)、その最新の論理インターフェース51xを優先順位第1位に設定して、切替タイマを設定する(S405)。
切替タイマが満了しても(S421→Yes)、上限数Qに到達しているのであれば(S423→No→S424=S427)、削除できる論理インターフェース51xが生じるまでチェックを繰り返す(S406→S407→No→S411→S412から、S415→S407→No→S411→S412のループ)。セッションが終了して、削除できる論理インターフェース51xが生じたら(S412→No)、それを削除する(S413→S414)。この削除は、Qが3以上のときは、優先順位が最下位の論理インターフェースから順にまとめて行われることもある(S407→Noならば他の論理インターフェース51xに対応する接続追跡テーブル43xも引き続いて確認)。チェックと削除が終わったら(S407→Yes)、既に切替タイマは満了しており(S421→Yes)、qは限界数Qより小さくなっているので(S423→Yes→S425=S426)、論理インターフェース51xを生成し(S402→S403)、その最新の論理インターフェース51xを優先順位第1位に設定して、切替タイマを設定する(S405)。
なお、Qが3以上の場合であって、既にqが3以上の場合、切替タイマの満了までの間に(S421→No)、最下位の優先順位に対応する接続追跡テーブル43xから順に上位の接続追跡テーブル43xについて連続してチェックし、削除できる論理インターフェース51xがあれば連続して削除していくこととなる(S411→S412。その後、S415でi−1されて一つ優先順位が上位の接続追跡テーブル43xについてS411→S412)。古い論理インターフェース51ほど、エントリが残っていない可能性が高くなり、優先して削除しておくことが望ましいためである。
なお、切替タイマ46で設定される時間は、次の更新までの周期を設定するものである。この値は任意であり、匿名性を確保するのに適した周期で新たな論理インターフェース51xを生成できる値であるとよい。ネットワークの使用頻度にもよるが、1日一回程度は更新すると好ましい。ただし、頻繁に更新しすぎると、PPPoEやDHCPなどの認証を行うサーバ側の負荷が大きくなりすぎるので注意が必要である。また、タイマを設定からの時間として指定するのではなく、特定の時刻に発動するようにしてもよい。例えば、一日のうちでセッション数が最も少なくなると考えられる未明に毎日定期的に実行できるように設定すると、中継装置10やアドレス付与サーバ31に掛かる負荷も少なく、かつユーザ端末20の利用者にかかる不便も最小限で済むので好ましい。
上記のうち、新たな論理インターフェース51aの生成手順(S402)を、アドレスを付与する認証にPPPoEを用いる場合の例について、図5のフローを用いて説明する。まず(S301)、論理インターフェース生成部41が、アドレス付与サーバ31(ここではPPPoEサーバにあたる)に対して、PPPoEの接続を開始する(S303)。アドレス付与サーバ31からIPアドレスが払い出されたら、論理インターフェース管理部42は履歴テーブル45にそのIPアドレスが存在しているか否かを検索する履歴確認手段を実行する(S304)。アドレス付与サーバ31から払い出されたIPアドレスが、履歴テーブル45に存在していれば、それは近い時期に既に使用したIPアドレスであるので、重複を避けるため、論理インターフェース生成部41は、アドレス付与サーバ31に対して、IPアドレスの再払い出し要求を行う(S306→S305)。履歴テーブル45に該当するIPアドレスが無ければ、少なくともしばらくは割り当てられていなかったIPアドレスであるので、十分に匿名性を確保できるので、論理インターフェース生成部41はそのIPアドレスを論理インターフェース51に割り当てて、PPPoEの接続手順を完了させる(S307)。その上で、論理インターフェース管理部42は、履歴テーブル45に、新たに論理インターフェース51に割り当てられたそのIPOアドレスを、履歴テーブル45に追加する(S308)。その後(S309)、図4に示すように、新たなIPアドレスを付与された論理インターフェース51が、優先順位が最上位であるように変更されて使用される(S404)。
論理インターフェース51へのアドレス付与が、PPPoEではなくDHCPの場合は、PPPoEの切断の代わりにIPアドレスやその他の割り当てられる情報を一旦廃棄し、PPPoEの接続を開始する(S303)代わりに、DHCPによるアドレス取得処理を行う。この場合のアドレス付与サーバ31はDHCPサーバとなる。
一方、図4に示す論理インターフェース51の生成更新動作フローでは、S412に示す、残存エントリ数のチェックを省いて、切替タイマ46の設定時間が経過したら、強制的に論理インターフェース51を更新してもよい。図4のフローでは、ユーザ端末20が継続的なセッションを保持し続ける通信を行っている限り、切替タイマ46の設定時間が経過しても更新できない。そこで、切替タイマ46が切れる時間を、通信がほとんど不要になる深夜未明などに設定しておき、強制的にセッションを切断しても実害がほとんど無いように抑制しながら匿名性を確保することができる。
なお、論理インターフェース51xの上限数Qを3以上として、3つ以上の論理インターフェース51xを使い分け可能とする場合、論理インターフェース51x一つあたりに保持するセッション数が少なくなるので、すべての論理インターフェース51xがセッションを保持し続けるような事態には陥りにくく、結果としてセッションの保持がなくなりやすくなるので、結果として論理インターフェース51xの廃棄がしやすくなり、新たな論理インターフェース51xの生成もし易くなる。
なお、上記の論理インターフェース51xをその都度生成するのではなく、2つの論理インターフェース51a,bを保持しつつ、交互にIPアドレスを更新して使用する場合には、図5のような生成フローの直前に、それまでの論理インターフェース51xで用いていたIPアドレスを廃棄する工程は挿入される(S301とS303との間に相当)。具体的には、PPPoEであればセッションを切断することとなる。DHCPならば設定されたIPアドレスを削除してから、S303の代わりにDHCPサーバであるアドレス付与サーバ31に問い合わせを行うこととなる。
なお、図4のような論理インターフェース51の数に関わりなく、上記の切替タイマ46の代わりに、それぞれの接続追跡テーブル43ごとのセッション数をカウントし、セッション数が予め定めた上限値を上回った段階で切替を行うようにしてもよい。単純に時間経過によるのではなく、ネットワークの利用頻度が高くなったときのみ頻繁にIPアドレスを変えることができるので、使用状況に応じて匿名性を上げることが出来る。
10 中継装置
11 ネットワークインターフェース
12 ネットワークインターフェース
20 ユーザ端末
21 ローカルネットワーク
30 外部ネットワーク
31 アドレス付与サーバ
32 外部サーバ
41 論理インターフェース生成部
42 論理インターフェース管理部
43、43a、43b、43c、43x 接続追跡テーブル
44 ルーティング機能部
45 履歴テーブル
46 切替タイマ
51,51a,51b,51c、51x 論理インターフェース

Claims (4)

  1. IPアドレスを保持する論理インターフェースを複数作成して、通信装置が物理的に有する一のネットワークインターフェースに割り当てる論理インターフェース生成部と、時間間隔を空けて、優先すべき論理インターフェースを変更する論理インターフェース管理部とを有する通信装置。
  2. 前記通信装置が、ユーザ端末と外部ネットワークとの間にある中継装置であって、
    外部ネットワーク側のネットワークインターフェースに割り当てる一のIPアドレスを有する前記論理インターフェースを、所定の時間間隔を空けて生成又は更新する前記論理インターフェース生成部と、
    存続している複数の前記論理インターフェースのうち新たなセッションに用いる最優先の優先順位を、最も新しく生成又は更新された上記論理インターフェースに割り当てる工程を、時間間隔を空けて行う前記論理インターフェース管理部と、
    それぞれの前記論理インターフェースを用いて通信する際のアドレスを含むパケット変換のルールを管理する接続追跡テーブルと、
    前記接続追跡テーブル及び前記論理インターフェースの優先順位を元に、パケットのルーティングを行うルーティング機能部とを有する、請求項1に記載の通信装置。
  3. 過去に前記論理インターフェースに割り当てられたIPアドレスの履歴を記録する履歴テーブルを有し、
    前記論理インターフェース生成部は、新たに生成又は更新させる論理インターフェースにIPアドレスを登録するにあたり、前記履歴テーブルに記録が残るIPアドレスを回避する、請求項2に記載の通信装置。
  4. 所定の時間間隔又は時刻を定めることができる切替タイマを有し、
    前記論理インターフェース管理部は、前記切替タイマが定めるタイミングで前記優先順位の割り当てを行う、請求項2又は3に記載の通信装置。
JP2012130803A 2012-06-08 2012-06-08 中継装置 Active JP5865183B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012130803A JP5865183B2 (ja) 2012-06-08 2012-06-08 中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012130803A JP5865183B2 (ja) 2012-06-08 2012-06-08 中継装置

Publications (2)

Publication Number Publication Date
JP2013255167A true JP2013255167A (ja) 2013-12-19
JP5865183B2 JP5865183B2 (ja) 2016-02-17

Family

ID=49952322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012130803A Active JP5865183B2 (ja) 2012-06-08 2012-06-08 中継装置

Country Status (1)

Country Link
JP (1) JP5865183B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
JP2006332716A (ja) * 2005-05-23 2006-12-07 Hitachi Ltd 複数ipアドレスの保持方式
JP2010141473A (ja) * 2008-12-10 2010-06-24 Ricoh Co Ltd 通信装置、通信方法およびプログラム
JP2010529746A (ja) * 2007-05-29 2010-08-26 インヴィクタ ネットワークス,インコーポレイテッド サイバー攻撃に対するネットワークの保護方法ならびにシステム
JP2011129968A (ja) * 2009-12-15 2011-06-30 Panasonic Corp 通信端末装置
JP2011205641A (ja) * 2000-04-26 2011-10-13 Virnet X Inc 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011205641A (ja) * 2000-04-26 2011-10-13 Virnet X Inc 保証されたシステム可用性を有する安全通信用のアジル・ネットワーク・プロトコルの改良
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
JP2006332716A (ja) * 2005-05-23 2006-12-07 Hitachi Ltd 複数ipアドレスの保持方式
JP2010529746A (ja) * 2007-05-29 2010-08-26 インヴィクタ ネットワークス,インコーポレイテッド サイバー攻撃に対するネットワークの保護方法ならびにシステム
JP2010141473A (ja) * 2008-12-10 2010-06-24 Ricoh Co Ltd 通信装置、通信方法およびプログラム
JP2011129968A (ja) * 2009-12-15 2011-06-30 Panasonic Corp 通信端末装置

Also Published As

Publication number Publication date
JP5865183B2 (ja) 2016-02-17

Similar Documents

Publication Publication Date Title
JP4226553B2 (ja) データ通信ネットワークにおけるルーティング
US7526569B2 (en) Router and address identification information management server
KR100886550B1 (ko) 아이피 어드레스 할당 장치 및 방법
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
JP5488591B2 (ja) 通信システム
JP5214402B2 (ja) パケット転送装置、パケット転送方法、パケット転送プログラム及び通信装置
US20050066035A1 (en) Method and apparatus for connecting privately addressed networks
US20120297087A1 (en) Method And Apparatus For Message Distribution In A Device Management System
JPWO2005027438A1 (ja) パケット中継装置
WO2012126262A1 (en) Method and apparatus for accessing a private surveillance network through l2tp
CN107094110B (zh) 一种dhcp报文转发方法及装置
JP6118122B2 (ja) 通信装置及びその制御方法、プログラム
US20130089092A1 (en) Method for preventing address conflict, and access node
JP2008066907A (ja) パケット通信装置
KR100827143B1 (ko) 패킷 스위치 장비 및 그 방법
JP2005045472A (ja) 端末及びアドレス生成方法
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
JP5865183B2 (ja) 中継装置
US10164937B2 (en) Method for processing raw IP packet and device thereof
JP2008154012A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
JP4191180B2 (ja) 通信支援装置、システム、通信方法及びコンピュータプログラム
CN108076025B (zh) 网络设备的注册方法和装置
JP2005064570A (ja) ネットワークシステム及びインターネットワーク装置
CN102594937A (zh) 二层网络交换设备实现DHCPv6中继代理的方法和***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150929

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20151109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151113

RD15 Notification of revocation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7435

Effective date: 20151113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20151109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20151113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151225

R150 Certificate of patent or registration of utility model

Ref document number: 5865183

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250