專利名稱:地址變換裝置以及地址變換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及地址變換裝置以及地址變換方法,特別涉及全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的網(wǎng)關(guān)等的地址變換裝置以及地址變換方法�。
背景技術(shù):
目前,在一般的網(wǎng)絡(luò)結(jié)構(gòu)中�,全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)混在一起,全球網(wǎng)絡(luò)由在因特網(wǎng)可使用的全球IP地址構(gòu)成����,私用網(wǎng)絡(luò)有家庭內(nèi)網(wǎng)絡(luò)或者企業(yè)網(wǎng)絡(luò)等�����,由不同于全球網(wǎng)絡(luò)的地址空間構(gòu)成���。在私用網(wǎng)絡(luò)中,自由地使用著未被全球網(wǎng)絡(luò)使用的私用IP地址���。
在這樣的網(wǎng)絡(luò)結(jié)構(gòu)中��,當進行橫跨全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)的通信的情況下�,在全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)的交界需要對私用IP地址和全球IP地址進行相互變換的地址變換(Network Address TransferNAT)���。由此,使比如在私用網(wǎng)絡(luò)內(nèi)未被分配全球IP地址的主機(host)對全球網(wǎng)絡(luò)進行的訪問成為可能�����。
為了實現(xiàn)上述的NAT�����,比如有將代理服務(wù)器(proxy server)配置在網(wǎng)絡(luò)的交界的方法�。代理服務(wù)器是一種中繼裝置���,將輸入數(shù)據(jù)終止(terminate)于應(yīng)用層級(level),其后將本服務(wù)器的IP地址賦予給IP分組并將其轉(zhuǎn)發(fā)到轉(zhuǎn)發(fā)目的地�。比如,在從私用網(wǎng)絡(luò)內(nèi)的主機對全球網(wǎng)絡(luò)內(nèi)的Web服務(wù)器進行訪問時�����,在主機和Web服務(wù)器之間使用HTTP協(xié)議���,HTTP代理服務(wù)器配置在網(wǎng)絡(luò)交界��。HTTP代理服務(wù)器將來自主機的HTTP消息終止于應(yīng)用層級�。其后�����,HTTP代理服務(wù)器在IP分組中設(shè)定本服務(wù)器的全球IP地址����,并將該IP分組轉(zhuǎn)發(fā)到Web服務(wù)器。至于從全球網(wǎng)絡(luò)內(nèi)的主機對私用網(wǎng)絡(luò)內(nèi)的Web服務(wù)器進行的訪問�,則進行與上述逆向的處理。
但是,在通過上述代理服務(wù)器而實現(xiàn)的NAT中因為對所有的IP分組實施應(yīng)用層級的中繼���,所以會使代理服務(wù)器的負荷增大�,而且對于代理服務(wù)器的對象之外的應(yīng)用不能實現(xiàn)NAT��。
因此�����,比如公開于專利文獻1的技術(shù)被考慮作為不使用代理服務(wù)器而實現(xiàn)從私用網(wǎng)絡(luò)對全球網(wǎng)絡(luò)進行的NAT的方法���。
以下�,參照圖1以及圖2來說明公開于專利文獻1的技術(shù)概要��。如圖1所示�,公開于專利文獻1的網(wǎng)絡(luò),主要由以下構(gòu)成私用網(wǎng)絡(luò)10�����、全球網(wǎng)絡(luò)20以及DMZ(DeMilitarized Zone隔離區(qū))30��。在圖1中���,從“PA1”到“PA5”表示私用IP地址��,從“GA1”到“GA5”表示全球IP地址�����。
私用網(wǎng)絡(luò)10包括域名“a.private.com”的主機10a(私用IP地址“PA3”)�、管理私用網(wǎng)絡(luò)10內(nèi)的主機的域名的DNS(Domain Name System���,域名命名系統(tǒng))服務(wù)器10b(私用IP地址“PA2”)以及L2-SW10c�。另外�,全球網(wǎng)絡(luò)20包括IP公用網(wǎng)(IP public network)20a、域名“a.global.com”的主機20b(全球IP地址“GA4”)以及管理全球網(wǎng)絡(luò)20內(nèi)的主機的域名的DNS服務(wù)器20c(全球IP地址“GA5”)�����。
另外�����,從私用網(wǎng)絡(luò)10以及全球網(wǎng)絡(luò)20的雙方都可訪問的DMZ30包括進行地址變換的地址變換/過濾裝置30a(私用IP地址“PA1”以及全球IP地址“GA1”)�����、進行私用網(wǎng)絡(luò)10或者全球網(wǎng)絡(luò)20的名稱解析(name resolution)的DNS服務(wù)器30b(全球IP地址“GA2”)、將IP分組轉(zhuǎn)發(fā)到全球網(wǎng)絡(luò)的路由器30c(全球IP地址“GA3”)以及L2-SW30d�����。
在如上述的網(wǎng)絡(luò)結(jié)構(gòu)中���,從私用網(wǎng)絡(luò)10內(nèi)的主機10a對全球網(wǎng)絡(luò)20內(nèi)的主機20b的訪問�,比如如圖2所示地進行���。
也就是說�����,首先主機10a向DNS服務(wù)器10b發(fā)送對主機20b的域名“a.global.com”的名稱解析的委托(DNS查詢(DNS QUERY))�����。因為在DNS服務(wù)器10b未注冊域名“a.global.com”���,所以向DMZ30內(nèi)的DNS服務(wù)器30b進行遞歸查詢(recursive query)。此時��,在地址變換/過濾裝置30a����,發(fā)送源地址以及目的地地址從私用IP地址被變換成全球IP地址。DNS服務(wù)器20c將所獲取的全球IP地址“GA4”轉(zhuǎn)發(fā)到DNS服務(wù)器30b�����。
然后���,DNS服務(wù)器30b使保存在本服務(wù)器的地址管理表格中未使用的私用IP地址“PA5”與全球IP地址“GA4”相關(guān)聯(lián)�,并向地址變換/過濾裝置30a發(fā)出地址注冊委托����。地址變換/過濾裝置30a將私用IP地址“PA5”與全球IP地址“GA4”注冊于本裝置中所保存的地址變換表格,并將地址注冊完成的事實轉(zhuǎn)發(fā)到DNS服務(wù)器30b�。其后,DNS服務(wù)器30b經(jīng)由地址變換/過濾裝置30a將私用IP地址“PA5”發(fā)送到私用網(wǎng)絡(luò)10內(nèi)的DNS服務(wù)器10b�。
服務(wù)器10b向主機10a轉(zhuǎn)發(fā)DNS回答,主機10a開始對主機20b的訪問����。也就是說,主機10a將被通知的私用IP地址“PA5”作為目的地地址���,將IP分組發(fā)送到地址變換/過濾裝置30a��。地址變換/過濾裝置30a基于地址變換表格�����,將目的地地址的私用IP地址“PA5”變換成全球IP地址“GA4”���。另外�,地址變換/過濾裝置30a生成對于發(fā)送源地址“PA3”的端口映射����,將其注冊于地址變換表格,并將發(fā)送源地址/端口變換成與該映射對應(yīng)的全球IP地址/端口��。地址變換/過濾裝置30a將上述這樣進行了NAT的IP分組發(fā)送到全球網(wǎng)絡(luò)20的主機20b��。之后����,從私用網(wǎng)絡(luò)10的主機10a向全球網(wǎng)絡(luò)20的主機20b進行的通信中,在地址變換/過濾裝置30a實施兩次NAT(Twice-NAT)�,所述兩次NAT進行基于地址變換表格的、發(fā)送源地址以及目的地地址的雙方的變換��。
這樣���,在私用網(wǎng)絡(luò)和全球網(wǎng)絡(luò)之間設(shè)置DMZ��,通過實施兩次NAT���,可以無需利用HTTP代理服務(wù)器和SIP代理服務(wù)器等的代理服務(wù)器而從私用網(wǎng)絡(luò)對全球網(wǎng)絡(luò)進行訪問。
日本專利申請?zhí)亻_2004-304235號公報發(fā)明內(nèi)容發(fā)明需要解決的問題但是�,在上述以往技術(shù)中,存在從全球網(wǎng)絡(luò)的主機對私用網(wǎng)絡(luò)的主機進行的訪問被拒絕的問題��。再次以圖1的網(wǎng)絡(luò)結(jié)構(gòu)為例說明該問題���。圖3表示圖1的網(wǎng)絡(luò)結(jié)構(gòu)中的�、從全球網(wǎng)絡(luò)20內(nèi)的主機20b對私用網(wǎng)絡(luò)10內(nèi)的主機10a進行訪問的例子的時序圖����。
全球網(wǎng)絡(luò)20內(nèi)的主機20b為了進行主機10a的域名“a.private.com”的名稱解析,將DNS查詢發(fā)送到預(yù)先注冊的DNS服務(wù)器20c����。因為在保存于本服務(wù)器的名稱-地址表格中未注冊“a.private.com”,所以DNS服務(wù)器20c向DMZ30內(nèi)的DNS服務(wù)器30b進行遞歸查詢�����。DNS服務(wù)器30b雖然知道“a.private.com”被注冊于私用網(wǎng)絡(luò)10內(nèi)的DNS服務(wù)器10b,但是因為是來自全球網(wǎng)絡(luò)20的名稱查詢�,所以拒絕進行名稱解析,向DNS服務(wù)器20c轉(zhuǎn)發(fā)錯誤消息��。然后���,DNS服務(wù)器20c向主機20b轉(zhuǎn)發(fā)錯誤消息�����。因此��,全球網(wǎng)絡(luò)20內(nèi)的主機20b不能訪問私用網(wǎng)絡(luò)10內(nèi)的主機10a��。
另外�����,對于來自全球網(wǎng)絡(luò)20的名稱查詢��,如果不進行訪問拒絕�,則雖然可以從全球網(wǎng)絡(luò)20對私用網(wǎng)絡(luò)10進行訪問��,但是第三者也能容易地侵入私用網(wǎng)絡(luò)10,從而使安全性受到損害����。
本發(fā)明的目的是提供地址變換裝置以及地址變換方法,能夠在維持安全性的同時����,使從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行的訪問成為可能,從而實現(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信��。
解決該問題的方案本發(fā)明的地址變換裝置設(shè)置在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間����,其采取的結(jié)構(gòu)包括設(shè)定單元�����,使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定����;第一發(fā)送單元,將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源���;變換單元����,將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址;以及第二發(fā)送單元���,將地址變換后的分組發(fā)送到所述分組發(fā)送目的地�。
本發(fā)明的地址變換方法為在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間的地址變換方法����,包括以下步驟使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定;將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源�;將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址;以及將地址變換后的分組發(fā)送到所述分組發(fā)送目的地��。
根據(jù)這些裝置和方法����,使臨時的地址與分組發(fā)送目的地對應(yīng),將從分組發(fā)送源發(fā)送到臨時的地址的分組的發(fā)送源地址以及目的地地址變換成第一網(wǎng)絡(luò)內(nèi)的地址�����,再發(fā)送到分組發(fā)送目的地����,因此能夠?qū)Ψ纸M發(fā)送目的地隱藏分組發(fā)送源的地址,并且能夠?qū)Ψ纸M發(fā)送源隱藏分組發(fā)送目的地的地址。因此�,能夠在維持安全性的同時,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問����,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信。
發(fā)明的有益效果根據(jù)本發(fā)明�����,能夠在維持安全性的同時��,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問����,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信����。
圖1表示以往的網(wǎng)絡(luò)結(jié)構(gòu)的例子;圖2表示以往的網(wǎng)絡(luò)結(jié)構(gòu)的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的一例的時序圖����;圖3表示以往的網(wǎng)絡(luò)結(jié)構(gòu)的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的其它例子的時序圖;圖4表示本發(fā)明的實施方式1的網(wǎng)絡(luò)結(jié)構(gòu)的例子的圖�;圖5表示實施方式1的網(wǎng)關(guān)裝置的結(jié)構(gòu)的方框圖;圖6表示實施方式1的名稱-地址表格的例子的圖;圖7表示實施方式1的私用IP地址管理表格的例子的圖�;圖8表示實施方式1的全球IP地址管理表格的例子的圖;圖9表示實施方式1的地址變換表格的例子的圖���;圖10表示實施方式1的表格設(shè)定單元的處理的流程圖����;圖11表示實施方式1的兩次NAT處理單元的處理的流程圖����;圖12表示實施方式1的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的一例的時序圖;圖13表示實施方式1的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的其它例子的時序圖�����;圖14表示本發(fā)明的實施方式2的網(wǎng)關(guān)裝置的結(jié)構(gòu)的方框圖����;圖15表示實施方式2的SRV記錄的例子的圖;圖16表示實施方式2的地址管理表格的例子的圖���;圖17表示實施方式2的端口管理表格的例子的圖�����;圖18表示實施方式2的地址變換表格的例子的圖���;圖19表示實施方式2的表格設(shè)定單元的處理的流程圖��;圖20表示實施方式2的兩次NAT處理單元的處理的流程圖����;圖21表示實施方式2的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的一例的時序圖��;圖22表示本發(fā)明的實施方式3的網(wǎng)關(guān)裝置的結(jié)構(gòu)的方框圖���;圖23表示實施方式3的表格設(shè)定動作的流程圖����;以及圖24表示實施方式3的私用網(wǎng)絡(luò)以及全球網(wǎng)絡(luò)之間的訪問的一例的時序圖����。
具體實施例方式
以下參照附圖詳細地說明本發(fā)明的實施方式�。
(實施方式1)圖4表示本發(fā)明的實施方式1的網(wǎng)絡(luò)結(jié)構(gòu)的例子的圖。該圖所示的網(wǎng)絡(luò)包括私用網(wǎng)絡(luò)100�、全球網(wǎng)絡(luò)200以及網(wǎng)關(guān)裝置300。而且�����,私用網(wǎng)絡(luò)100包括域名“a.private.com”的主機100a(私用IP地址“PA3”)、管理私用網(wǎng)絡(luò)100內(nèi)的主機的域名的DNS服務(wù)器100b(私用IP地址“PA2”)以及L2-SW100c�。另外,全球網(wǎng)絡(luò)200包括IP公用網(wǎng)200a�����、域名“a.global.com”的主機200b(全球IP地址“GA4”)以及管理全球網(wǎng)絡(luò)200內(nèi)的主機的域名的DNS服務(wù)器200c(全球IP地址“GA3”)���。進一步地�,網(wǎng)關(guān)裝置300在私用網(wǎng)絡(luò)100端被賦予私用IP地址“PA1”�����;而在全球網(wǎng)絡(luò)200端則被賦予全球IP地址“GA1”�����、“GA2”以及“GA5”�����。該網(wǎng)關(guān)裝置300配備DNS代理功能和兩次NAT功能���。
圖5表示本實施方式的網(wǎng)關(guān)裝置300的結(jié)構(gòu)的方框圖�����。如圖5所示�,網(wǎng)關(guān)裝置300包括私用網(wǎng)絡(luò)接口單元301、接收識別單元302����、DNS消息識別單元303、名稱解析單元304����、名稱-地址表格305、DNS消息生成單元306��、表格設(shè)定單元307��、私用IP地址管理表格308�、全球IP地址管理表格309、地址變換表格310�����、兩次NAT處理單元311���、發(fā)送單元312���、全球網(wǎng)絡(luò)接口單元313、接收識別單元314以及發(fā)送單元315����。
私用網(wǎng)絡(luò)接口單元301是與私用網(wǎng)絡(luò)100之間的接口,將從私用網(wǎng)絡(luò)100接收的信號輸出到接收識別單元302��,并將從發(fā)送單元315輸出的信號發(fā)送到私用網(wǎng)絡(luò)100����。
接收識別單元302識別來自私用網(wǎng)絡(luò)100的信號是否為有關(guān)名稱解析的DNS消息,將DNS消息轉(zhuǎn)發(fā)到DNS消息識別單元303�����,并將DNS消息以外的消息轉(zhuǎn)發(fā)到兩次NAT處理單元311��。
DNS消息識別單元303識別DNS消息是包含分組的轉(zhuǎn)發(fā)目的地的域名的名稱查詢的消息(以下只稱為“名稱查詢”)還是包含分組的轉(zhuǎn)發(fā)目的地的IP地址的地址回答的消息(以下只稱為“地址回答”)�,將名稱查詢轉(zhuǎn)發(fā)到名稱解析單元304,并將地址回答轉(zhuǎn)發(fā)到表格設(shè)定單元307����。
名稱解析單元304提取在名稱查詢中所包含的域名�,從名稱-地址表格305搜索域名�,并獲取與該域名對應(yīng)的地址。然后����,在獲取了IP地址的情況下,名稱解析單元304將IP地址信息轉(zhuǎn)發(fā)到DNS消息生成單元306��,并命令DNS消息生成單元306將IP地址信息作為地址回答轉(zhuǎn)發(fā)到名稱查詢的發(fā)送源�����。另一方面����,在不能獲取IP地址的情況下,名稱解析單元304命令DNS消息生成單元306將名稱查詢轉(zhuǎn)發(fā)到可進行名稱解析的其它的DNS服務(wù)器��。
名稱-地址表格305比如如圖6所示�,將域名和地址對應(yīng)地保存著(使私用IP地址與全球IP地址對應(yīng),從而保存)��,并在通過名稱解析單元304進行名稱解析時被參照��。另外,保存在名稱-地址表格305的地址為注冊于后述的地址變換表格310的地址���,全球網(wǎng)絡(luò)200的主機(比如主機200b)的域名(比如“a.global.com”)對應(yīng)私用IP地址(比如“PA4”),私用網(wǎng)絡(luò)100的主機(比如主機100a)的域名(比如“a.private.com”)對應(yīng)全球IP地址(比如“GA2”)��。
DNS消息生成單元306生成名稱查詢和地址回答的消息�����,并轉(zhuǎn)發(fā)到所指定的轉(zhuǎn)發(fā)目的地��。
表格設(shè)定單元307確定私用IP地址和全球IP地址之間的對應(yīng)關(guān)系����,并注冊于名稱-地址表格305以及地址變換表格310。有關(guān)表格設(shè)定單元307的處理����,將在后面詳述。
私用IP地址管理表格308����,比如如圖7所示,為可分配給全球網(wǎng)絡(luò)200的主機(比如主機200b)的私用IP地址的清單����。也就是說���,私用IP地址管理表格308管理著各個私用IP地址的使用可否(被用于其它的映射時為“否”,未被用于其它的映射時為“可”)�����。
全球IP地址管理表格309�,比如如圖8所示,是進行地址映射時可分配的全球IP地址的清單��。也就是說�,全球IP地址管理表格309管理著各個全球IP地址的使用可否(被用于其它的映射時為“否”,未被用于其它的映射時為“可”)����。
地址變換表格310比如如圖9所示,將私用IP地址和全球IP地址對應(yīng)地保存著����,并在通過兩次NAT處理單元311進行兩次NAT時被參照。
兩次NAT處理單元311將來自私用網(wǎng)絡(luò)100或者全球網(wǎng)絡(luò)200的DNS以外的消息的發(fā)送源地址以及目的地地址的雙方變換成全球IP地址或者私用IP地址��,并輸出到發(fā)送單元312或者發(fā)送單元315�。有關(guān)兩次NAT處理單元311的處理���,將在后面詳述。
發(fā)送單元312將從兩次NAT處理單元311輸出的信號通過全球網(wǎng)絡(luò)接口單元313發(fā)送到全球網(wǎng)絡(luò)200�。
全球網(wǎng)絡(luò)接口單元313是與全球網(wǎng)絡(luò)200之間的接口,將從發(fā)送單元312輸出的信號發(fā)送到全球網(wǎng)絡(luò)200����,并將從全球網(wǎng)絡(luò)200接收的信號輸出到接收識別單元314��。
接收識別單元314識別來自全球網(wǎng)絡(luò)200的信號是否為有關(guān)名稱解析的DNS消息���,將DNS消息轉(zhuǎn)發(fā)到DNS消息識別單元303�,并將DNS消息以外的消息轉(zhuǎn)發(fā)到兩次NAT處理單元311��。
發(fā)送單元315將從兩次NAT處理單元311輸出的信號通過私用網(wǎng)絡(luò)接口單元301發(fā)送到私用網(wǎng)絡(luò)100���。
接下來���,參照圖10所示的流程圖說明表格設(shè)定單元307的處理。
DNS消息中的地址回答從DNS消息識別單元303輸入到表格設(shè)定單元307����。通過表格設(shè)定單元307,從該地址回答提取信息(ST1000),對包含在該地址回答中的IP地址是否為全球IP地址進行判斷(ST1100)�����。
當IP地址是全球IP地址的情況下�����,通過表格設(shè)定單元307����,從私用IP地址管理表格308中選擇可使用的私用IP地址,所選擇的私用IP地址則被分配給包含在地址回答的全球IP地址(ST1200)�。然后,這些全球IP地址和私用IP地址被對應(yīng)地注冊于地址變換表格310(ST1300)�����。另外��,與全球IP地址對應(yīng)的域名以及所選擇的私用IP地址被注冊于名稱-地址表格305(ST1400)����。其后,通過表格設(shè)定單元307���,對DNS消息生成單元306發(fā)出指示(ST1500)���,以使其將在ST1200所選擇的私用IP地址作為地址回答而轉(zhuǎn)發(fā)到私用網(wǎng)絡(luò)100內(nèi)的DNS服務(wù)器100b��。
另一方面���,根據(jù)ST1100的判斷結(jié)果,當IP地址不是全球IP地址的情況下�,通過表格設(shè)定單元307,從全球IP地址管理表格309中選擇可使用的全球IP地址�����,所選擇的全球IP地址則被分配給包含在地址回答中的私用IP地址(ST1600)���。然后,這些私用IP地址和全球IP地址被對應(yīng)地注冊于地址變換表格310(ST1700)����。另外,與私用IP地址對應(yīng)的域名以及所選擇的全球IP地址被注冊于名稱-地址表格305(ST1800)�����。其后,通過表格設(shè)定單元307���,對DNS消息生成單元306發(fā)出指示(ST1900)����,以使其將在ST1600選擇的全球IP地址作為地址回答而轉(zhuǎn)發(fā)到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c����。
通過這樣設(shè)定地址變換表格310以及名稱-地址表格305,在網(wǎng)關(guān)裝置300�,全球IP地址被分配給私用網(wǎng)絡(luò)100內(nèi)的主機(比如主機100a),而私用IP地址被分配給全球網(wǎng)絡(luò)200內(nèi)的主機(比如主機200b)��。
接下來����,參照圖11所示的流程圖說明兩次NAT處理單元311的處理。
DNS消息以外的IP分組等的消息從接收識別單元302或者接收識別單元314輸入到兩次NAT處理單元311(ST2000)���。然后�����,通過兩次NAT處理單元311����,獲取IP分組的發(fā)送源地址以及目的地地址(ST2010),并對IP分組的轉(zhuǎn)發(fā)目的地是全球網(wǎng)絡(luò)200還是私用網(wǎng)絡(luò)100進行判斷(ST2020)�。
當轉(zhuǎn)發(fā)目的地為全球網(wǎng)絡(luò)200的情況下,通過兩次NAT處理單元311���,從地址變換表格310搜索目的地地址(ST2030)�,并進行是否存在目的地地址的判斷(ST2040)���。其結(jié)果�,當目的地地址未注冊于地址變換表格310的情況下�,分組被丟棄(ST2120)。另外�,當目的地地址注冊于地址變換表格310的情況下��,則參照地址變換表格310��,目的地地址被變換成對應(yīng)的全球IP地址(ST2050)��。
其后����,從地址變換表格310搜索發(fā)送源地址�����,判斷有無發(fā)送源地址(ST2060)��。其結(jié)果�,當發(fā)送源地址注冊于地址變換表格310的情況下��,發(fā)送源地址變換成所對應(yīng)的全球IP地址(ST2070)�����,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元312(ST2080)�����。另外��,當發(fā)送源地址未注冊于地址變換表格310的情況下�,該事實被通知給表格設(shè)定單元307,從全球IP地址管理表格309選擇可使用的全球IP地址(ST2090)��,并且IP分組的發(fā)送源地址與所選擇的全球IP地址被對應(yīng)地注冊于地址變換表格310(ST2100)�。進一步地,通過兩次NAT處理單元311,發(fā)送源地址被變換成所選擇的全球IP地址(ST2110)����,而且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元312(ST2080)。
另一方面�����,根據(jù)ST2020的判斷結(jié)果�,當轉(zhuǎn)發(fā)目的地為私用網(wǎng)絡(luò)100的情況下,通過兩次NAT處理單元311�,從地址變換表格310搜索目的地地址(ST2130),并進行是否存在目的地地址的判斷(ST2140)�。其結(jié)果,當目的地地址未注冊于地址變換表格310的情況下����,分組被丟棄(ST2120)。另外��,當目的地地址注冊于地址變換表格310的情況下���,則參照地址變換表格310,目的地地址被變換成對應(yīng)的私用IP地址(ST2150)��。
其后�����,從地址變換表格310搜索發(fā)送源地址,判斷有無發(fā)送源地址(ST2160)��。其結(jié)果�����,當發(fā)送源地址注冊于地址變換表格310的情況下���,發(fā)送源地址被變換成對應(yīng)的私用IP地址(ST2170)��,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元315(ST2180)����。另外��,當發(fā)送源地址未注冊于地址變換表格310的情況下��,該事實被通知給表格設(shè)定單元307����,從私用IP地址管理表格308選擇可使用的私用IP地址(ST2190),并且IP分組的發(fā)送源地址與所選擇的私用IP地址被對應(yīng)地注冊于地址變換表格310(ST2200)。進一步地��,通過兩次NAT處理單元311��,發(fā)送源地址被變換成所選擇的私用IP地址(ST2210)�����,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元315(ST2180)����。
這樣,目的地地址以及發(fā)送源地址的雙方在網(wǎng)關(guān)裝置300被變換成分組轉(zhuǎn)發(fā)目的地的網(wǎng)絡(luò)的IP地址��,在橫跨兩個網(wǎng)絡(luò)的訪問中�����,能夠?qū)Ψ纸M發(fā)送源的主機隱藏分組轉(zhuǎn)發(fā)目的地的實際的IP地址��,能夠提高安全性���。
接下來���,說明私用網(wǎng)絡(luò)100和全球網(wǎng)絡(luò)200之間的訪問。首先�����,參照圖12所示的時序圖說明從私用網(wǎng)絡(luò)100對全球網(wǎng)絡(luò)200進行的訪問�����。
首先�,私用網(wǎng)絡(luò)100內(nèi)的主機100a將域名“a.global.com”的名稱解析的委托(DNS查詢)400發(fā)送到私用網(wǎng)絡(luò)100內(nèi)的DNS服務(wù)器100b。但是�����,因為域名“a.global.com”未注冊于DNS服務(wù)器100b���,所以名稱查詢401被發(fā)送到網(wǎng)關(guān)裝置300��。
名稱查詢401經(jīng)由網(wǎng)關(guān)裝置300的私用網(wǎng)絡(luò)接口單元301����、接收識別單元302以及DNS消息識別單元303��,輸入到名稱解析單元304��,由名稱解析單元304嘗試進行名稱解析。也就是說�����,在名稱-地址表格305搜索域名“a.global.com”���。這里�,如果過去進行過從私用網(wǎng)絡(luò)100對域名“a.global.com”的主機200b的訪問����,則與域名“a.global.com”對應(yīng)的私用IP地址注冊于名稱-地址表格305,因此該私用IP地址被發(fā)回到主機100a��。
以下繼續(xù)說明過去未對主機200b進行過訪問����,域名“a.global.com”未注冊于名稱-地址表格305的情況。在該情況下����,通過DNS消息生成單元306生成名稱查詢,并且名稱查詢402被轉(zhuǎn)發(fā)到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c����。DNS服務(wù)器200c從保存在本服務(wù)器的名稱-地址表格中搜索“a.global.com”��,并獲取全球IP地址“GA4”���。獲取全球IP地址后����,DNS服務(wù)器200c將包含全球IP地址“GA4”的地址回答403轉(zhuǎn)發(fā)到網(wǎng)關(guān)裝置300。
接收到地址回答403的網(wǎng)關(guān)裝置300進行表格設(shè)定單元307的上述處理�。也就是說,從私用IP地址管理表格308選擇可使用的私用IP地址“PA4”����,并且與實際的全球IP地址“GA4”被對應(yīng)地注冊于地址變換表格310。另外����,域名“a.global.com”和私用IP地址“PA4”被注冊于名稱-地址表格305。
當表格設(shè)定單元307所進行的處理結(jié)束后���,DNS消息生成單元306生成包含私用IP地址“PA4”的地址回答�����,地址回答404從發(fā)送單元315通過私用網(wǎng)絡(luò)接口單元301被發(fā)送到DNS服務(wù)器100b��。DNS服務(wù)器100b將域名“a.global.com”的IP地址為私用IP地址“PA4”的內(nèi)容的DNS回答405轉(zhuǎn)發(fā)到主機100a���。由此���,對私用網(wǎng)絡(luò)100內(nèi)的主機100a以及DNS服務(wù)器100b隱藏了全球網(wǎng)絡(luò)200內(nèi)的主機200b的實際的全球IP地址“GA4”。然后���,主機100a將發(fā)送源地址作為私用IP地址“PA3”�,將目的地地址作為私用IP地址“PA4”�����,將IP分組406發(fā)送到網(wǎng)關(guān)裝置300�����。
接收到IP分組406的網(wǎng)關(guān)裝置300進行兩次NAT處理單元311的上述處理�。也就是說,通過兩次NAT處理單元311參照地址變換表格310���,目的地地址的私用IP地址“PA4”被變換成全球IP地址“GA4”���。另外�,通過兩次NAT處理單元311��,生成對發(fā)送源地址的地址映射�����,發(fā)送源地址“PA3”則被變換成與該映射對應(yīng)的全球IP地址“GA1”��。這樣��,進行了兩次NAT后�,也即目的地地址以及發(fā)送源地址的雙方都被變換成全球IP地址后���,IP分組407被發(fā)送到全球網(wǎng)絡(luò)200內(nèi)的主機200b���。由此,對全球網(wǎng)絡(luò)200內(nèi)的主機200b隱藏了私用網(wǎng)絡(luò)100內(nèi)的主機100a的實際的私用IP地址“PA3”����。
之后,從私用網(wǎng)絡(luò)100內(nèi)的主機100a向全球網(wǎng)絡(luò)200內(nèi)的主機200b進行的通信中�,在網(wǎng)關(guān)裝置300基于地址變換表格310實施兩次NAT。
接下來���,參照圖13所示的時序圖說明與上述的訪問相反方向的訪問���,也就是從全球網(wǎng)絡(luò)200對私用網(wǎng)絡(luò)100進行的訪問��。
首先�����,全球網(wǎng)絡(luò)200內(nèi)的主機200b將有關(guān)域名“a.private.com”的DNS查詢450發(fā)送到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c���。但是,因為域名“a.private.com”未注冊于DNS服務(wù)器200c��,所以名稱查詢451被發(fā)送到網(wǎng)關(guān)裝置300��。
名稱查詢451經(jīng)由全球網(wǎng)絡(luò)接口單元313���、接收識別單元314以及DNS消息識別單元303���,輸入到名稱解析單元304,由名稱解析單元304嘗試進行名稱解析�。這里,繼續(xù)對與上述的從私用網(wǎng)絡(luò)100對全球網(wǎng)絡(luò)200進行的訪問相同,域名“a.private.com”未注冊于名稱-地址表格305的情況進行說明���。在該情況下���,DNS消息生成單元306所生成的名稱查詢452被轉(zhuǎn)發(fā)給私用網(wǎng)絡(luò)100內(nèi)的DNS服務(wù)器100b。DNS服務(wù)器100b從保存在本服務(wù)器的名稱-地址表格中搜索“a.private.com”��,以獲取私用IP地址“PA3”���。獲取私用IP地址后����,DNS服務(wù)器100b將包含私用IP地址“PA3”的地址回答453轉(zhuǎn)發(fā)給網(wǎng)關(guān)裝置300�。
接收到地址回答453的網(wǎng)關(guān)裝置300進行表格設(shè)定單元307的上述處理����。也就是說,從全球IP地址管理表格309選擇可使用的全球IP地址“GA2”��,并且其與實際的私用IP地址“PA3”被對應(yīng)地注冊于地址變換表格310�����。另外,域名“a.private.com”和全球IP地址“GA2”被注冊于名稱-地址表格305�����。
當表格設(shè)定單元307所進行的處理結(jié)束后�,DNS消息生成單元306生成包含全球IP地址“GA2”的地址回答,地址回答454從發(fā)送單元312通過全球網(wǎng)絡(luò)接口單元313被發(fā)送給DNS服務(wù)器200c��。DNS服務(wù)器200c將域名“a.private.com”的IP地址為全球IP地址“GA2”的內(nèi)容的DNS回答455轉(zhuǎn)發(fā)到主機200b���。由此�����,對全球網(wǎng)絡(luò)200內(nèi)的主機200b以及DNS服務(wù)器200c隱藏了私用網(wǎng)絡(luò)100內(nèi)的主機100a的實際的私用IP地址“PA3”�����。然后�����,主機200b將發(fā)送源地址作為全球IP地址“GA4”�����,將目的地地址作為全球IP地址“GA2”�����,將IP分組456發(fā)送到網(wǎng)關(guān)裝置300���。
接收到IP分組456的網(wǎng)關(guān)裝置300進行兩次NAT處理單元311的上述處理���。也就是說,通過兩次NAT處理單元311參照地址變換表格310����,目的地地址的全球IP地址“GA2”被變換成私用IP地址“PA3”。另外�,通過兩次NAT處理單元311,從私用IP地址管理表格308選擇可作為與發(fā)送源地址對應(yīng)的私用IP地址使用的私用IP地址“PA4”���,作為發(fā)送源地址的全球IP地址“GA4”和所選擇的私用IP地址“PA4”被注冊于地址變換表格310,并且發(fā)送源地址被變換成私用IP地址“PA4”�����。這樣����,進行了兩次NAT后��,也即目的地地址以及發(fā)送源地址的雙方都被變換成私用IP地址后����,IP分組457被發(fā)送到私用網(wǎng)絡(luò)100內(nèi)的主機100a�����。由此�����,對私用網(wǎng)絡(luò)100內(nèi)的主機100a隱藏了全球網(wǎng)絡(luò)200內(nèi)的主機200b的實際的全球IP地址“GA4”���。
之后��,從全球網(wǎng)絡(luò)200內(nèi)的主機200b對私用網(wǎng)絡(luò)100內(nèi)的主機100a進行的通信中���,在網(wǎng)關(guān)裝置300中,基于地址變換表格310實施兩次NAT��。
如上所述�,根據(jù)本實施方式��,在進行全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)之間的通信時����,在網(wǎng)關(guān)裝置中�����,在進行名稱解析時將與域名對應(yīng)的IP地址變換成發(fā)送源的網(wǎng)絡(luò)內(nèi)的未使用的IP地址�����,并且在IP分組的發(fā)送時將發(fā)送源地址以及目的地地址變換成分組轉(zhuǎn)發(fā)目的地的網(wǎng)絡(luò)內(nèi)的IP地址�����。因此�����,即使不越過互相的網(wǎng)絡(luò)來交換實際的IP地址�����,也能夠在維持安全性的同時��,使從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行的訪問成為可能����,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信。
(實施方式2)本發(fā)明實施方式2的特征為除了名稱-地址表格之外還保存可進行端口號碼的通知的SRV(SeRVice)記錄���,作為對來自全球網(wǎng)絡(luò)的主機的名稱查詢的地址回答���,通知全球IP地址以及端口,由此在目的地地址的變換時使用NAPT(Network Address Port Transfer�,網(wǎng)絡(luò)地址端口轉(zhuǎn)換)來代替NAT。
本實施方式的網(wǎng)絡(luò)結(jié)構(gòu)與圖4(實施方式1)相同����,因此省略其說明。但是��,與實施方式1不同的是����,本實施方式的網(wǎng)關(guān)裝置300在全球網(wǎng)絡(luò)200端只被賦予全球IP地址“GA1”。
圖1 4表示本實施方式的網(wǎng)關(guān)裝置300的結(jié)構(gòu)的方框圖���。在該圖中���,將相同的標號賦予給與圖5相同的部分�,并省略其說明�。如圖14所示,網(wǎng)關(guān)裝置300包括私用網(wǎng)絡(luò)接口單元301��、接收識別單元302����、DNS消息識別單元303、名稱解析單元304����、SRV記錄/名稱-地址表格501、DNS消息生成單元306�、表格設(shè)定單元502、地址管理表格503��、端口管理表格504����、地址變換表格505、兩次NAT處理單元506��、發(fā)送單元312�����、全球網(wǎng)絡(luò)接口單元313�、接收識別單元314以及發(fā)送單元315。
SRV記錄/名稱-地址表格501除了實施方式1的名稱-地址表格305的信息以外����,還保存比如圖15所示的SRV記錄。這里�����,SRV記錄是指由IETF(TheInternet Engineering Task Force���,因特網(wǎng)工程任務(wù)組)所發(fā)行的RFC(RequestFor Comment�����,請求注解)2782的定義的��、以提供負荷分散服務(wù)�����、確保冗余性以及通知服務(wù)端口號碼為目的���,除了域名和IP地址之外的因特網(wǎng)所需的信息�。根據(jù)SRV記錄�,以_Service._Proto.Name來進行名稱解析。_Service._Proto.Name中的_Service表示服務(wù)名��,可以使用根據(jù)RFC1700的規(guī)定的服務(wù)名(例如Web服務(wù)的情況下為www)��,或是獨自定義的服務(wù)名�����。另外����,_Proto表示協(xié)議名,Name表示域名���。比如����,具有Web服務(wù)的private.com的情況下��,_Service._Proto.Name為_www._tcp.private.com。另外����,根據(jù)SRV記錄的優(yōu)先級(Priority),能夠?qū)ψ杂赟RV記錄的各個條目賦予優(yōu)先級��。另外�,端口(port)表示服務(wù)端口號碼����,對象(Target)表示提供服務(wù)的主機名。設(shè)所有注冊于本實施方式的網(wǎng)關(guān)裝置300的端口號碼均為全球端口的端口號碼�����。
表格設(shè)定單元502確定私用IP地址與全球IP地址之間的對應(yīng)關(guān)系����,并注冊于SRV記錄/名稱-地址表格501以及地址變換表格505;同時確定全球端口與私用端口之間的對應(yīng)關(guān)系����,并注冊于SRV記錄/名稱-地址表格501以及地址變換表格505。有關(guān)表格設(shè)定單元502的處理將在后面詳述���。
地址管理表格503����,比如如圖16所示,為可分配給全球網(wǎng)絡(luò)200的主機(比如主機200b)的私用IP地址的清單�。也就是說,私用IP地址管理表格308管理著各個私用IP地址的使用可否(被用于其它的映射時為“否”�����,未被用于其它的映射時為“可”)����。
端口管理表格504,比如如圖17所示�����,為可分配給私用網(wǎng)絡(luò)100的主機(比如主機100a)的全球端口的清單�����。也就是說��,端口管理表格504管理著各個全球端口的使用可否(被用于其它的映射時為“否”�����,未被用于其它的映射時為“可”)。
地址變換表格505���,比如如圖18所示��,將私用IP地址���、私用端口��、全球IP地址以及全球端口對應(yīng)地保存�,并在兩次NAT處理單元506進行兩次NAT時被參照。另外�����,當?shù)刂纷儞Q表格505中未注冊私用端口和全球端口的情況下����,不進行通過兩次NAT處理單元506的端口的變換。
兩次NAT處理單元506將來自私用網(wǎng)絡(luò)100或者全球網(wǎng)絡(luò)200的DNS以外的消息的發(fā)送源地址以及目的地地址的雙方都變換成全球IP地址或者私用IP地址���,并且進行全球端口和私用端口的變換�����,輸出到發(fā)送單元312或者發(fā)送單元315���。有關(guān)兩次NAT處理單元506的處理將在后面詳述���。
接下來,參照圖19所示的流程圖說明表格設(shè)定單元502的處理����。另外,在該圖中���,將相同的標號賦予給與圖10(實施方式1)相同的部分��,并省略其詳細說明�。
首先��,與實施方式1相同��,對包含在被輸入到表格設(shè)定單元502的地址回答中的IP地址是否為全球IP地址進行判斷(ST1100)���。當IP地址為全球IP地址的情況下�����,從地址管理表格503選擇的可使用的私用IP地址被分配給該全球IP地址(ST1200)��,并且這些全球IP地址和私用IP地址被對應(yīng)地注冊于地址變換表格505(ST1300)���。另外����,與全球IP地址對應(yīng)的域名以及所選擇的私用IP地址被注冊于SRV記錄/名稱-地址表格501(ST3000)�����。其后�����,通過表格設(shè)定單元502�����,對DNS消息生成單元306發(fā)出指示(ST1500)�����,以使其將包含所選擇的私用IP地址的地址回答轉(zhuǎn)發(fā)到DNS服務(wù)器100b��。
另一方面�,根據(jù)步驟ST1100的判斷結(jié)果,當IP地址不為全球IP地址的情況下��,通過表格設(shè)定單元502�,從端口管理表格504選擇可使用的全球端口,并且所選擇的全球端口被分配給包含在地址回答中的私用IP地址以及私用端口(以下記載為“私用IP地址/端口”)(ST3100)���。然后�,這些私用IP地址/端口和網(wǎng)關(guān)裝置300的全球IP地址以及所選擇的全球端口被對應(yīng)地注冊于地址變換表格505(ST3200)���。另外���,與私用IP地址對應(yīng)的域名和網(wǎng)關(guān)裝置300的全球IP地址以及所選擇的全球端口作為SRV記錄注冊于SRV記錄/名稱-地址表格501(ST3300)。其后���,通過表格設(shè)定單元502�����,對DNS消息生成單元306發(fā)出指示(ST3400)�����,以使其將網(wǎng)關(guān)裝置300的全球IP地址以及在ST3100選擇的全球端口作為地址回答轉(zhuǎn)發(fā)到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c��。
通過這樣設(shè)定地址變換表格505以及SRV記錄/名稱-地址表格501�����,在網(wǎng)關(guān)裝置300���,網(wǎng)關(guān)裝置300的全球IP地址以及全球端口被分配給私用網(wǎng)絡(luò)100內(nèi)的主機(比如主機100a)��,而私用IP地址被分配給全球網(wǎng)絡(luò)200內(nèi)的主機(比如主機200b)�����。
接下來�,參照圖20所示的流程圖說明兩次NAT處理單元506的處理�����。另外�,在該圖中����,將相同的標號賦予給與圖11(實施方式1)相同的部分�����,并省略其詳細說明���。
DNS消息以外的IP分組等的消息從接收識別單元302或者接收識別單元314輸入到兩次NAT處理單元506(ST2000)。然后��,與實施方式1相同�����,通過兩次NAT處理單元506��,獲取IP分組的發(fā)送源地址�、發(fā)送源端口以及目的地地址(ST2010),并對IP分組的轉(zhuǎn)發(fā)目的地進行判斷(ST2020)�,當IP分組的轉(zhuǎn)發(fā)目的地為全球網(wǎng)絡(luò)200的情況下,判斷在地址變換表格505中有無目的地地址(ST2040)�����。其結(jié)果�,當目的地地址未注冊于地址變換表格505的情況下����,分組被丟棄(ST2120)��,另一方面�,當目的地地址注冊于地址變換表格505的情況下,目的地地址被變換成對應(yīng)的全球IP地址(ST2050)����。
其后,從地址變換表格505搜索發(fā)送源地址以及發(fā)送源端口���,判斷有無發(fā)送源地址以及發(fā)送源端口(ST4000)���。其結(jié)果,當發(fā)送源地址以及發(fā)送源端口注冊于地址變換表格505的情況下���,發(fā)送源地址以及發(fā)送源端口被變換成各自對應(yīng)的全球IP地址以及全球端口(ST4010)�,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元312(ST2080)�。另外�����,當發(fā)送源地址以及發(fā)送源端口未注冊于地址變換表格505的情況下,該事實被通知給表格設(shè)定單元502�,從端口管理表格504選擇可使用的全球端口(ST4020),并且IP分組的發(fā)送源端口與所選擇的全球端口被對應(yīng)地注冊于地址變換表格505(ST4030)���。進一步地�����,通過兩次NAT處理單元506����,發(fā)送源地址以及發(fā)送源端口分別變換成網(wǎng)關(guān)裝置300的全球IP地址以及所選擇的全球端口(ST4040)�,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元312(ST2080)。
另一方面����,根據(jù)ST2020的判斷結(jié)果,當轉(zhuǎn)發(fā)目的地為私用網(wǎng)絡(luò)100的情況下����,通過兩次NAT處理單元506,從地址變換表格505搜索目的地地址(ST2130)���,判斷有無目的地端口(ST4050)��。其結(jié)果����,當目的地端口未注冊于地址變換表格505的情況下,分組被丟棄(ST2120)�。另外,當目的地端口注冊于地址變換表格505的情況下��,則參照地址變換表格505����,目的地地址以及目的地端口被變換成各自對應(yīng)的私用IP地址以及私用端口(ST4060)。
之后�����,與實施方式1同樣地從地址變換表格505搜索發(fā)送源地址�����,當發(fā)送源地址注冊于地址變換表格505的情況下�����,發(fā)送源地址被變換成對應(yīng)的私用IP地址(ST2170),并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元315(ST2180)����。另外��,當發(fā)送源地址未注冊于地址變換表格505地情況下�,可使用的私用IP地址被分配給發(fā)送源地址并被注冊后,發(fā)送源地址被變換成該私用IP地址(ST2210)����,并且IP分組被轉(zhuǎn)發(fā)到發(fā)送單元315(ST2180)。
這樣�,目的地地址以及發(fā)送源地址的雙方和目的地端口或者發(fā)送源端口在網(wǎng)關(guān)裝置300中被變換成分組轉(zhuǎn)發(fā)目的地的網(wǎng)絡(luò)的IP地址以及端口,在橫跨兩個網(wǎng)絡(luò)的訪問中����,能夠?qū)Ψ纸M發(fā)送源的主機隱藏分組轉(zhuǎn)發(fā)目的地的實際的IP地址,能夠提高安全性���。
接下來�����,說明私用網(wǎng)絡(luò)100和全球網(wǎng)絡(luò)200之間的訪問���。除了不僅發(fā)送源地址被變換成全球地址����,而且發(fā)送源端口也被變換成全球端口這一點���,關(guān)于從本實施方式的私用網(wǎng)絡(luò)100對全球網(wǎng)絡(luò)200進行的訪問與實施方式1相同�����,所以省略其說明�����。
因此��,在下面�,參照圖21所示的時序圖以下說明從全球網(wǎng)絡(luò)200對私用網(wǎng)絡(luò)100進行的訪問����。
首先,全球網(wǎng)絡(luò)200內(nèi)的主機200b將有關(guān)_Service._Proto.Name「_www._tcp.private.com」的DNS查詢600發(fā)送到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c���。但是��,因為_Service._Proto.Name“_www._tcp.private.com”未注冊于DNS服務(wù)器200c����,所以名稱查詢601被發(fā)送到網(wǎng)關(guān)裝置300。
名稱查詢601經(jīng)由全球網(wǎng)絡(luò)接口單元313�、接收識別單元314以及DNS消息識別單元303��,輸入到名稱解析單元304����,由名稱解析單元304嘗試進行名稱解析。這里�,作為_Service._Proto.Name“_www._tcp.private.com”未注冊于SRV記錄/名稱-地址表格501的情況,繼續(xù)進行說明���。在該情況下���,DNS消息生成單元306所生成的名稱查詢602被轉(zhuǎn)發(fā)到私用網(wǎng)絡(luò)100內(nèi)的DNS服務(wù)器100b。DNS服務(wù)器100b從保存在本服務(wù)器的名稱-地址表格中搜索“_www._tcp.private.com”�����,以獲取私用IP地址“PA3”以及私用端口“aaa”�����。獲取私用IP地址/端口后,DNS服務(wù)器100b將包含私用IP地址“PA3”以及私用端口“aaa”的地址/端口回答603轉(zhuǎn)發(fā)到網(wǎng)關(guān)裝置300����。
接收到地址/端口回答603的網(wǎng)關(guān)裝置300進行表格設(shè)定單元502的上述處理。也就是說�,從端口管理表格504選擇可使用的全球端口“xxx”,并且與網(wǎng)關(guān)裝置300的全球IP地址“GA1”���、實際的私用IP地址“PA3”以及私用端口“aaa”被對應(yīng)地注冊于地址變換表格505���。另外,_Service._Proto.Name“_www._tcp.private.com”和全球IP地址“GA1”以及全球端口“xxx”對應(yīng)地被注冊于SRV記錄/名稱-地址表格501����。
當表格設(shè)定單元502所進行的處理結(jié)束后,DNS消息生成單元306生成包含了全球IP地址“GA1”以及全球端口“xxx”的地址回答���,地址/端口回答604從發(fā)送單元312通過全球網(wǎng)絡(luò)接口單元313發(fā)送到DNS服務(wù)器200c�。DNS服務(wù)器200c將_Service._Proto.Name“_www.tcp.private.com”的IP地址為全球IP地址“GA1”�����、全球端口為“xxx”的內(nèi)容的DNS回答605轉(zhuǎn)發(fā)到主機200b。由此���,對全球網(wǎng)絡(luò)200內(nèi)的主機200b以及DNS服務(wù)器200c隱藏了私用網(wǎng)絡(luò)100內(nèi)的主機100a的實際的私用IP地址“PA3”以及私用端口“aaa”�。然后��,主機200b將發(fā)送源地址作為全球IP地址“GA4”�,將目的地地址作為全球IP地址“GA1”,將目的地端口作為全球端口“xxx”�,將IP分組606發(fā)送到網(wǎng)關(guān)裝置300����。
接收到IP分組606的網(wǎng)關(guān)裝置300進行兩次NAT處理單元506的上述處理。也就是說���,通過兩次NAT處理單元506參照地址變換表格505��,目的地地址的全球IP地址“GA1”以及目的地端口的全球端口“xxx”被分別變換成私用IP地址“PA3”以及私用端口“aaa”��。另外���,通過兩次NAT處理單元506,可使用的私用IP地址“PA4”作為與發(fā)送源地址對應(yīng)的私用IP地址從地址管理表格503選擇����,作為發(fā)送源地址的全球IP地址“GA4”和所選擇的私用IP地址“ PA4”被注冊于地址變換表格505���,發(fā)送源地址被變換成私用IP地址“PA4”。這樣�,進行了兩次NAT后,即目的地地址以及發(fā)送源地址的雙方都被變換成私用IP地址后���,IP分組607被發(fā)送到私用網(wǎng)絡(luò)100內(nèi)的主機100a����。由此���,對私用網(wǎng)絡(luò)100內(nèi)的主機100a隱藏了全球網(wǎng)絡(luò)200內(nèi)的主機200b的實際的全球IP地址“GA4”����。
之后���,從全球網(wǎng)絡(luò)200內(nèi)的主機200b對私用網(wǎng)絡(luò)100內(nèi)的主機100a進行的通信中�,在網(wǎng)關(guān)裝置300中�����,基于地址變換表格505實施兩次NAT。
如上所述���,根據(jù)本實施方式��,在進行全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)之間的通信時��,在網(wǎng)關(guān)裝置中��,在名稱解析時將與域名對應(yīng)的IP地址變換成發(fā)送源的網(wǎng)絡(luò)內(nèi)的未使用的IP地址�,并且在IP分組的發(fā)送時將發(fā)送源地址以及目的地地址變換成分組轉(zhuǎn)發(fā)目的地的網(wǎng)絡(luò)內(nèi)的IP地址�。因此,即使不越過互相的網(wǎng)絡(luò)來交換實際的IP地址���,也能夠在維持安全性的同時,使從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行的訪問成為可能����,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信。
另外��,在本實施方式中�����,只將一個全球IP地址賦予給網(wǎng)關(guān)裝置,通過包含在SRV記錄中的端口來進行全球IP地址的識別��,因此能夠防止網(wǎng)關(guān)裝置占有多個IP地址��。
(實施方式3)本發(fā)明實施方式3的特征在于當私用網(wǎng)絡(luò)內(nèi)的主機具有UpnP(UniversalPlug and Play����,通用即插即用)協(xié)議等的即插即用的功能的情況下,在網(wǎng)關(guān)裝置自動地創(chuàng)建端口映射�。
本實施方式的網(wǎng)絡(luò)結(jié)構(gòu)與圖4(實施方式1)相同,因此省略其說明�����。但是�,與實施方式1不同的是,本實施方式的主機100a具有UPnP協(xié)議�����。另外�,本實施方式的網(wǎng)關(guān)裝置300與實施方式2相同,在全球網(wǎng)絡(luò)200端只被賦予全球IP地址“GA1”�。
UPnP是指被稱為“UPnP Forum,通用即插即用論壇”的組織進行了標準化的技術(shù)規(guī)范,用來將家庭內(nèi)的電腦�、電腦外圍設(shè)備、AV設(shè)備以及家電制品等的設(shè)備經(jīng)由網(wǎng)絡(luò)連接��,從而互相提供功能�����。為了實現(xiàn)以下的目標UPnP被人們研究討論著將在因特網(wǎng)已經(jīng)成為標準的技術(shù)作為基礎(chǔ)����,只連接網(wǎng)絡(luò),不進行復(fù)雜的操作和設(shè)定作業(yè)就能發(fā)揮功能����。另外,UPnP主要具有裝置檢測���、來自LAN內(nèi)的設(shè)備的端口映射請求��、以及全球IP地址的通知等的功能。
圖22表示本實施方式的網(wǎng)關(guān)裝置300的結(jié)構(gòu)的方框圖���。在該圖中���,將相同的標號賦予給與圖5以及圖14相同的部分����,并省略其說明�����。如圖22所示����,網(wǎng)關(guān)裝置300包括私用網(wǎng)絡(luò)接口單元301、接收識別單元701���、DNS消息識別單元303����、名稱解析單元304���、SRV記錄/名稱-地址表格501�����、DNS消息生成單元306�、表格設(shè)定單元703、地址管理表格503��、端口管理表格504�、地址變換表格505、兩次NAT處理單元506��、發(fā)送單元312�����、全球網(wǎng)絡(luò)接口單元313�、接收識別單元314、發(fā)送單元315以及UPnP處理單元702�。
接收識別單元701對來自私用網(wǎng)絡(luò)100的信號進行識別,識別其是DNS消息�、UPnP消息還是除前述兩者以外的消息,并且將DNS消息轉(zhuǎn)發(fā)到DNS消息識別單元303�,將UPnP消息轉(zhuǎn)發(fā)到UPnP處理單元702,將除它們以外的消息轉(zhuǎn)發(fā)到兩次NAT處理單元506��。
當UPnP消息為端口映射請求的情況下�,UPnP處理單元702將包括主機100a的私用IP地址/端口的端口映射請求發(fā)送到表格設(shè)定單元703。另外���,UPnP處理單元702從表格設(shè)定單元703接收端口映射請求響應(yīng)�,并將表示被通知的全球端口的UPnP消息轉(zhuǎn)發(fā)到發(fā)送單元315�。
當從UPnP處理單元702接收端口映射請求時,表格設(shè)定單元703從端口管理表格504選擇可使用的全球端口��,并將包含在端口映射請求的私用IP地址/端口����、網(wǎng)關(guān)裝置300的全球IP地址、以及所選擇的全球端口注冊于地址變換表格505���。另外��,表格設(shè)定單元703將網(wǎng)關(guān)裝置300的全球IP地址和所選擇的全球端口注冊于SRV記錄/名稱-地址表格501����。
接下來���,參照圖23所示的時序圖來說明如上構(gòu)成的網(wǎng)關(guān)裝置300的地址變換表格505以及SRV記錄/名稱-地址表格501的設(shè)定動作�。
首先�����,當主機100a被啟動時�����,通過主機100a的UPnP,網(wǎng)關(guān)裝置300被檢測(裝置檢測)�����,端口映射請求800被發(fā)送�����。網(wǎng)關(guān)裝置300判斷在UPnP處理單元702接收了的UPnP消息為端口映射請求�,將端口映射請求801轉(zhuǎn)發(fā)到表格設(shè)定單元703。此時�,端口映射請求801包含有主機100a的私用IP地址“PA3”和私用端口“aaa”。
表格設(shè)定單元703從端口管理表格504選擇可使用的全球端口“xxx”��,將地址變換表格注冊802輸出到地址變換表格505����。也就是說,表格設(shè)定單元703將私用IP地址“PA3”����、私用端口“aaa”、網(wǎng)關(guān)裝置300的全球IP地址“GA1”以及所選擇的端口“xxx”注冊于地址變換表格505��。
另外,表格設(shè)定單元703將SRV記錄/名稱-地址表格注冊803輸出到SRV記錄/名稱-地址表格501���。也就是說,表格設(shè)定單元703將網(wǎng)關(guān)裝置300的全球IP地址“GA1”和所選擇的端口“xxx”注冊于SRV記錄/名稱-地址表格501�。
這樣進行了端口映射后,表格設(shè)定單元703將表示端口映射完成的端口映射請求響應(yīng)804輸出到UPnP處理單元702����,端口映射請求響應(yīng)805從UPnP處理單元702被轉(zhuǎn)發(fā)到主機100a。
之后�,主機100a定期地將端口映射確認請求806發(fā)送到網(wǎng)關(guān)裝置300,網(wǎng)關(guān)裝置300的UPnP處理單元702將端口映射確認請求807輸出到表格設(shè)定單元703�,表格設(shè)定單元703進行地址變換表格參照808,并將其結(jié)果作為端口映射確認響應(yīng)809發(fā)回到UPnP處理單元702�。UPnP處理單元702將端口映射確認響應(yīng)810轉(zhuǎn)發(fā)到主機100a,由此確認端口映射是否被設(shè)定在地址變換表格505�。
以上這樣的動作,比如在私用網(wǎng)絡(luò)100內(nèi)的主機重新提供服務(wù)的情況下被實施��。
接下來�,參照圖24所示的時序圖說明從全球網(wǎng)絡(luò)200對私用網(wǎng)絡(luò)100進行的訪問。
首先���,全球網(wǎng)絡(luò)200內(nèi)的主機200b將有關(guān)_Service._Proto.Name“_www._tcp.private.com”的DNS查詢850發(fā)送到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c�。但是,因為_Servic e._Proto.Name“_www._tcp.private.com”未注冊于DNS服務(wù)器200c����,所以名稱查詢851被發(fā)送到網(wǎng)關(guān)裝置300。
名稱查詢851經(jīng)由全球網(wǎng)絡(luò)接口單元313���、接收識別單元314以及DNS消息識別單元303�����,輸入到名稱解析單元304�����。在本實施方式中�����,因為在與私用網(wǎng)絡(luò)100內(nèi)的主機100a之間通過UPnP�,地址變換表格505以及SRV記錄/名稱-地址表格501被預(yù)先設(shè)定����,所以通過名稱解析單元304,從SRV記錄/名稱-地址表格501搜索“_www._tcp.private.com”,以獲取私用IP地址“PA3”以及私用端口“aaa”��。
所獲取的私用IP地址“PA3”以及私用端口“aaa”通過參照地址變換表格505���,被變換成網(wǎng)關(guān)裝置300的全球IP地址“GA1”以及全球端口“xxx”�����,作為地址/端口回答852被發(fā)送到全球網(wǎng)絡(luò)200內(nèi)的DNS服務(wù)器200c。DNS服務(wù)器200c將_Service._Proto.Name“_www._tcp.private.com”的IP地址為全球IP地址“GA1”�、全球端口為“xxx”的內(nèi)容的DNS回答853轉(zhuǎn)發(fā)到主機200b。由此��,對全球網(wǎng)絡(luò)200內(nèi)的主機200b以及DNS服務(wù)器200c隱藏了私用網(wǎng)絡(luò)100內(nèi)的主機100a的實際的私用IP地址“PA3”以及私用端口“aaa”���。然后����,主機200b將發(fā)送源地址作為全球IP地址“GA4”�����,將目的地地址作為全球IP地址“GA1”�����,將目的地端口作為私用端口“xxx”,將IP分組854發(fā)送到網(wǎng)關(guān)裝置300��。
之后�,進行與實施方式2相同的兩次NAT處理,目的地地址被變換成私用IP地址“PA3”����,目的地端口被變換成私用端口“aaa”,以及發(fā)送源地址被變換成私用IP地址“PA4”�����,并且IP分組855被發(fā)送到主機100a�����。由此���,對私用網(wǎng)絡(luò)100內(nèi)的主機100a隱藏了全球網(wǎng)絡(luò)200內(nèi)的主機200b的實際的全球IP地址“GA4”���。
如上所述,根據(jù)本實施方式�����,在進行全球網(wǎng)絡(luò)和私用網(wǎng)絡(luò)之間的通信時,在網(wǎng)關(guān)裝置中���,在名稱解析時將與域名對應(yīng)的IP地址變換成發(fā)送源的網(wǎng)絡(luò)內(nèi)的未使用的IP地址���,并且在IP分組的發(fā)送時將發(fā)送源地址以及目的地地址變換成分組轉(zhuǎn)發(fā)目的地的網(wǎng)絡(luò)內(nèi)的IP地址。因此�����,即使不進行越過互相的網(wǎng)絡(luò)來交換實際的IP地址�����,也能夠在維持安全性的同時���,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信�����。
另外���,在本實施方式�����,在私用網(wǎng)絡(luò)內(nèi)的主機通過UPnP被啟動的同時�,創(chuàng)建端口映射,因此在私用網(wǎng)絡(luò)內(nèi)即使不具有DNS服務(wù)器也能夠在網(wǎng)關(guān)裝置進行名稱解析�����。
另外��,在上述各個實施方式中����,在從全球網(wǎng)絡(luò)對私用網(wǎng)絡(luò)進行訪問時,只有發(fā)送源地址被變換����;在從私用網(wǎng)絡(luò)對全球網(wǎng)絡(luò)進行訪問時,只有發(fā)送目的地的地址被變換���。因此����,在上述各個實施方式,可同時訪問私用網(wǎng)絡(luò)的全球網(wǎng)絡(luò)內(nèi)的主機數(shù)目依賴于網(wǎng)關(guān)裝置可使用的私用IP地址數(shù)目�。另外,可從私用網(wǎng)絡(luò)同時訪問的全球網(wǎng)絡(luò)內(nèi)的主機數(shù)目也是一樣��,依賴于網(wǎng)關(guān)裝置可使用的私用IP地址數(shù)目��。
因此��,在本發(fā)明���,從全球網(wǎng)絡(luò)對私用網(wǎng)絡(luò)進行訪問時��,也可以不只是變換發(fā)送源地址�,就連端口也變換�����。另外��,從私用網(wǎng)絡(luò)對全球網(wǎng)絡(luò)進行訪問時����,還可以變換目的地地址以及端口�。
由此���,可從私用網(wǎng)絡(luò)訪問的全球網(wǎng)絡(luò)的主機數(shù)目,或者可訪問私用網(wǎng)絡(luò)的全球網(wǎng)絡(luò)的主機數(shù)目�,不依賴于網(wǎng)關(guān)裝置可使用的私用IP地址。
如上述說明��,本發(fā)明的第一形態(tài)的地址變換裝置設(shè)置在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間�����,其采取的結(jié)構(gòu)包括設(shè)定單元����,使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定;第一發(fā)送單元���,將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源���;變換單元,將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址���;以及第二發(fā)送單元�,將地址變換后的分組發(fā)送到所述分組發(fā)送目的地���。
根據(jù)該結(jié)構(gòu)��,使臨時的地址與分組發(fā)送目的地對應(yīng)���,將從分組發(fā)送源發(fā)送到臨時的地址的分組的發(fā)送源地址以及目的地地址變換成第一網(wǎng)絡(luò)內(nèi)的地址�,再發(fā)送到分組發(fā)送目的地��,因此能夠?qū)Ψ纸M發(fā)送目的地隱藏分組發(fā)送源的地址�,并且能夠?qū)Ψ纸M發(fā)送源隱藏分組發(fā)送目的地的地址。因此�����,能夠在維持安全性的同時���,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問����,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信����。
另外��,本發(fā)明的第二形態(tài)的地址變換裝置,采用的結(jié)構(gòu)為在所述第一形態(tài)����,所述設(shè)定單元使本裝置的所述第二網(wǎng)絡(luò)內(nèi)的地址成為所述臨時的地址,并且使所述第二網(wǎng)絡(luò)內(nèi)的臨時的端口號碼與所述分組發(fā)送目的地的端口號碼對應(yīng)而進行設(shè)定�����。
根據(jù)該結(jié)構(gòu)���,將臨時的地址作為本裝置的地址�����,使臨時的端口號碼與端口號碼對應(yīng)�����,因此能夠根據(jù)端口號碼來進行地址的識別���,能夠防止較多地占有有限的地址。
另外�����,本發(fā)明的第三形態(tài)的地址變換裝置,采用的結(jié)構(gòu)為在所述第二形態(tài)�����,還包括接收單元���,接收請求消息�����,所述請求消息為所述分組發(fā)送目的地在啟動時發(fā)送的請求消息�����,請求使所述第二網(wǎng)絡(luò)內(nèi)的臨時的端口號碼與所述分組發(fā)送目的地的端口號碼對應(yīng)�����,其中���,當接收到所述請求消息時,所述設(shè)定單元設(shè)定所述分組發(fā)送目的地的端口號碼和所述臨時的端口號碼�����。
根據(jù)該結(jié)構(gòu)����,因為當分組發(fā)送目的地的啟動時分組發(fā)送目的地的端口號碼與臨時的端口號碼對應(yīng),所以即使不在第一網(wǎng)絡(luò)內(nèi)設(shè)置DNS服務(wù)器等也能夠進行名稱解析���。
另外��,本發(fā)明的第四形態(tài)的地址變換方法�,為在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間的地址變換方法���,包括以下步驟使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定�;將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源�;將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址;以及將地址變換后的分組發(fā)送到所述分組發(fā)送目的地��。
根據(jù)該方法��,使臨時的地址與分組發(fā)送目的地對應(yīng)���,將從分組發(fā)送源發(fā)送到臨時的地址目的地的分組的發(fā)送源地址以及目的地地址變換成第一網(wǎng)絡(luò)內(nèi)的地址���,再發(fā)送到分組發(fā)送目的地���,因此能夠?qū)Ψ纸M發(fā)送目的地隱藏分組發(fā)送源的地址,并且能夠?qū)Ψ纸M發(fā)送源隱藏分組發(fā)送目的地的地址�。因此,能夠在維持安全性的同時����,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問,從而能夠?qū)崿F(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信��。
本說明書是根據(jù)2004年12月22日申請?zhí)峤坏娜毡緦@暾執(zhí)卦傅?004-372328����。其內(nèi)容通過引用全部包括在此。
工業(yè)實用性本發(fā)明的地址變換裝置以及地址變換方法���,能夠在維持安全性的同時�����,可以從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問����,從而實現(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信,比如適用于全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的網(wǎng)關(guān)等的地址變換裝置以及地址變換方法等��。
權(quán)利要求
1.一種地址變換裝置���,設(shè)置在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間,包括設(shè)定單元���,使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定��;第一發(fā)送單元�,將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源���;變換單元����,將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址����;以及第二發(fā)送單元,將地址變換后的分組發(fā)送到所述分組發(fā)送目的地���。
2.如權(quán)利要求1所述的地址變換裝置���,其中���,所述設(shè)定單元使本裝置的所述第二網(wǎng)絡(luò)內(nèi)的地址成為所述臨時的地址,并且使所述第二網(wǎng)絡(luò)內(nèi)的臨時的端口號碼與所述分組發(fā)送目的地的端口號碼對應(yīng)而進行設(shè)定�。
3.如權(quán)利要求2所述的地址變換裝置,其中����,還包括接收單元,接收請求消息����,所述請求消息是所述分組發(fā)送目的地在啟動時發(fā)送的請求消息,請求使所述第二網(wǎng)絡(luò)內(nèi)的臨時的端口號碼與所述分組發(fā)送目的地的端口號碼相對應(yīng)�,當接收了所述請求消息時,所述設(shè)定單元設(shè)定所述分組發(fā)送目的地的端口號碼和所述臨時的端口號碼�����。
4.一種地址變換方法���,為在包含分組發(fā)送目的地的第一網(wǎng)絡(luò)以及包含分組發(fā)送源的第二網(wǎng)絡(luò)之間的地址變換方法�,包括以下步驟使所述第二網(wǎng)絡(luò)內(nèi)的臨時的地址與所述分組發(fā)送目的地的所述第一網(wǎng)絡(luò)內(nèi)的地址對應(yīng)而進行設(shè)定�����;將所設(shè)定的臨時的地址發(fā)送到所述分組發(fā)送源;將所述分組發(fā)送源所發(fā)送的分組的目的地地址以及發(fā)送源地址變換成所述第一網(wǎng)絡(luò)內(nèi)的地址���;以及將地址變換后的分組發(fā)送到所述分組發(fā)送目的地����。
全文摘要
本發(fā)明的地址變換裝置能夠在維持安全性的同時�����,使從全球網(wǎng)絡(luò)端對私用網(wǎng)絡(luò)端進行訪問成為可能���,從而實現(xiàn)全球網(wǎng)絡(luò)與私用網(wǎng)絡(luò)之間的相互通信。表格設(shè)定單元(307)確定私用IP地址和全球IP地址之間的對應(yīng)關(guān)系�,并注冊于地址變換表格(310)。地址變換表格(310)將私用IP地址與全球IP地址相對應(yīng)地保存著�。兩次NAT處理單元(311)參照地址變換表格(310),將來自私用網(wǎng)絡(luò)(100)或者全球網(wǎng)絡(luò)(200)的分組的發(fā)送源地址以及目的地地址的雙方變換成全球IP地址或者私用IP地址����,并輸出到發(fā)送單元(312)或者發(fā)送單元(315)。
文檔編號H04L12/56GK101088264SQ200580044278
公開日2007年12月12日 申請日期2005年12月15日 優(yōu)先權(quán)日2004年12月22日
發(fā)明者田村智史, 橋本裕司, 飯野聰, 飯?zhí)锝∫焕? 神藏敦吏 申請人:松下電器產(chǎn)業(yè)株式會社