专利名称:地址变换装置以及地址变换方法
技术领域:
本发明涉及地址变换装置以及地址变换方法,特别涉及全球网络与私用网络之间的网关等的地址变换装置以及地址变换方法。
背景技术:
目前,在一般的网络结构中,全球网络和私用网络混在一起,全球网络由在因特网可使用的全球IP地址构成,私用网络有家庭内网络或者企业网络等,由不同于全球网络的地址空间构成。在私用网络中,自由地使用着未被全球网络使用的私用IP地址。
在这样的网络结构中,当进行横跨全球网络和私用网络的通信的情况下,在全球网络和私用网络的交界需要对私用IP地址和全球IP地址进行相互变换的地址变换(Network Address TransferNAT)。由此,使比如在私用网络内未被分配全球IP地址的主机(host)对全球网络进行的访问成为可能。
为了实现上述的NAT,比如有将代理服务器(proxy server)配置在网络的交界的方法。代理服务器是一种中继装置,将输入数据终止(terminate)于应用层级(level),其后将本服务器的IP地址赋予给IP分组并将其转发到转发目的地。比如,在从私用网络内的主机对全球网络内的Web服务器进行访问时,在主机和Web服务器之间使用HTTP协议,HTTP代理服务器配置在网络交界。HTTP代理服务器将来自主机的HTTP消息终止于应用层级。其后,HTTP代理服务器在IP分组中设定本服务器的全球IP地址,并将该IP分组转发到Web服务器。至于从全球网络内的主机对私用网络内的Web服务器进行的访问,则进行与上述逆向的处理。
但是,在通过上述代理服务器而实现的NAT中因为对所有的IP分组实施应用层级的中继,所以会使代理服务器的负荷增大,而且对于代理服务器的对象之外的应用不能实现NAT。
因此,比如公开于专利文献1的技术被考虑作为不使用代理服务器而实现从私用网络对全球网络进行的NAT的方法。
以下,参照图1以及图2来说明公开于专利文献1的技术概要。如图1所示,公开于专利文献1的网络,主要由以下构成私用网络10、全球网络20以及DMZ(DeMilitarized Zone隔离区)30。在图1中,从“PA1”到“PA5”表示私用IP地址,从“GA1”到“GA5”表示全球IP地址。
私用网络10包括域名“a.private.com”的主机10a(私用IP地址“PA3”)、管理私用网络10内的主机的域名的DNS(Domain Name System,域名命名系统)服务器10b(私用IP地址“PA2”)以及L2-SW10c。另外,全球网络20包括IP公用网(IP public network)20a、域名“a.global.com”的主机20b(全球IP地址“GA4”)以及管理全球网络20内的主机的域名的DNS服务器20c(全球IP地址“GA5”)。
另外,从私用网络10以及全球网络20的双方都可访问的DMZ30包括进行地址变换的地址变换/过滤装置30a(私用IP地址“PA1”以及全球IP地址“GA1”)、进行私用网络10或者全球网络20的名称解析(name resolution)的DNS服务器30b(全球IP地址“GA2”)、将IP分组转发到全球网络的路由器30c(全球IP地址“GA3”)以及L2-SW30d。
在如上述的网络结构中,从私用网络10内的主机10a对全球网络20内的主机20b的访问,比如如图2所示地进行。
也就是说,首先主机10a向DNS服务器10b发送对主机20b的域名“a.global.com”的名称解析的委托(DNS查询(DNS QUERY))。因为在DNS服务器10b未注册域名“a.global.com”,所以向DMZ30内的DNS服务器30b进行递归查询(recursive query)。此时,在地址变换/过滤装置30a,发送源地址以及目的地地址从私用IP地址被变换成全球IP地址。DNS服务器20c将所获取的全球IP地址“GA4”转发到DNS服务器30b。
然后,DNS服务器30b使保存在本服务器的地址管理表格中未使用的私用IP地址“PA5”与全球IP地址“GA4”相关联,并向地址变换/过滤装置30a发出地址注册委托。地址变换/过滤装置30a将私用IP地址“PA5”与全球IP地址“GA4”注册于本装置中所保存的地址变换表格,并将地址注册完成的事实转发到DNS服务器30b。其后,DNS服务器30b经由地址变换/过滤装置30a将私用IP地址“PA5”发送到私用网络10内的DNS服务器10b。
服务器10b向主机10a转发DNS回答,主机10a开始对主机20b的访问。也就是说,主机10a将被通知的私用IP地址“PA5”作为目的地地址,将IP分组发送到地址变换/过滤装置30a。地址变换/过滤装置30a基于地址变换表格,将目的地地址的私用IP地址“PA5”变换成全球IP地址“GA4”。另外,地址变换/过滤装置30a生成对于发送源地址“PA3”的端口映射,将其注册于地址变换表格,并将发送源地址/端口变换成与该映射对应的全球IP地址/端口。地址变换/过滤装置30a将上述这样进行了NAT的IP分组发送到全球网络20的主机20b。之后,从私用网络10的主机10a向全球网络20的主机20b进行的通信中,在地址变换/过滤装置30a实施两次NAT(Twice-NAT),所述两次NAT进行基于地址变换表格的、发送源地址以及目的地地址的双方的变换。
这样,在私用网络和全球网络之间设置DMZ,通过实施两次NAT,可以无需利用HTTP代理服务器和SIP代理服务器等的代理服务器而从私用网络对全球网络进行访问。
日本专利申请特开2004-304235号公报发明内容发明需要解决的问题但是,在上述以往技术中,存在从全球网络的主机对私用网络的主机进行的访问被拒绝的问题。再次以图1的网络结构为例说明该问题。图3表示图1的网络结构中的、从全球网络20内的主机20b对私用网络10内的主机10a进行访问的例子的时序图。
全球网络20内的主机20b为了进行主机10a的域名“a.private.com”的名称解析,将DNS查询发送到预先注册的DNS服务器20c。因为在保存于本服务器的名称-地址表格中未注册“a.private.com”,所以DNS服务器20c向DMZ30内的DNS服务器30b进行递归查询。DNS服务器30b虽然知道“a.private.com”被注册于私用网络10内的DNS服务器10b,但是因为是来自全球网络20的名称查询,所以拒绝进行名称解析,向DNS服务器20c转发错误消息。然后,DNS服务器20c向主机20b转发错误消息。因此,全球网络20内的主机20b不能访问私用网络10内的主机10a。
另外,对于来自全球网络20的名称查询,如果不进行访问拒绝,则虽然可以从全球网络20对私用网络10进行访问,但是第三者也能容易地侵入私用网络10,从而使安全性受到损害。
本发明的目的是提供地址变换装置以及地址变换方法,能够在维持安全性的同时,使从全球网络端对私用网络端进行的访问成为可能,从而实现全球网络与私用网络之间的相互通信。
解决该问题的方案本发明的地址变换装置设置在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间,其采取的结构包括设定单元,使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;第一发送单元,将所设定的临时的地址发送到所述分组发送源;变换单元,将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及第二发送单元,将地址变换后的分组发送到所述分组发送目的地。
本发明的地址变换方法为在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间的地址变换方法,包括以下步骤使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;将所设定的临时的地址发送到所述分组发送源;将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及将地址变换后的分组发送到所述分组发送目的地。
根据这些装置和方法,使临时的地址与分组发送目的地对应,将从分组发送源发送到临时的地址的分组的发送源地址以及目的地地址变换成第一网络内的地址,再发送到分组发送目的地,因此能够对分组发送目的地隐藏分组发送源的地址,并且能够对分组发送源隐藏分组发送目的地的地址。因此,能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而能够实现全球网络与私用网络之间的相互通信。
发明的有益效果根据本发明,能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而能够实现全球网络与私用网络之间的相互通信。
图1表示以往的网络结构的例子;图2表示以往的网络结构的私用网络以及全球网络之间的访问的一例的时序图;图3表示以往的网络结构的私用网络以及全球网络之间的访问的其它例子的时序图;图4表示本发明的实施方式1的网络结构的例子的图;图5表示实施方式1的网关装置的结构的方框图;图6表示实施方式1的名称-地址表格的例子的图;图7表示实施方式1的私用IP地址管理表格的例子的图;图8表示实施方式1的全球IP地址管理表格的例子的图;图9表示实施方式1的地址变换表格的例子的图;图10表示实施方式1的表格设定单元的处理的流程图;图11表示实施方式1的两次NAT处理单元的处理的流程图;图12表示实施方式1的私用网络以及全球网络之间的访问的一例的时序图;图13表示实施方式1的私用网络以及全球网络之间的访问的其它例子的时序图;图14表示本发明的实施方式2的网关装置的结构的方框图;图15表示实施方式2的SRV记录的例子的图;图16表示实施方式2的地址管理表格的例子的图;图17表示实施方式2的端口管理表格的例子的图;图18表示实施方式2的地址变换表格的例子的图;图19表示实施方式2的表格设定单元的处理的流程图;图20表示实施方式2的两次NAT处理单元的处理的流程图;图21表示实施方式2的私用网络以及全球网络之间的访问的一例的时序图;图22表示本发明的实施方式3的网关装置的结构的方框图;图23表示实施方式3的表格设定动作的流程图;以及图24表示实施方式3的私用网络以及全球网络之间的访问的一例的时序图。
具体实施例方式
以下参照附图详细地说明本发明的实施方式。
(实施方式1)图4表示本发明的实施方式1的网络结构的例子的图。该图所示的网络包括私用网络100、全球网络200以及网关装置300。而且,私用网络100包括域名“a.private.com”的主机100a(私用IP地址“PA3”)、管理私用网络100内的主机的域名的DNS服务器100b(私用IP地址“PA2”)以及L2-SW100c。另外,全球网络200包括IP公用网200a、域名“a.global.com”的主机200b(全球IP地址“GA4”)以及管理全球网络200内的主机的域名的DNS服务器200c(全球IP地址“GA3”)。进一步地,网关装置300在私用网络100端被赋予私用IP地址“PA1”;而在全球网络200端则被赋予全球IP地址“GA1”、“GA2”以及“GA5”。该网关装置300配备DNS代理功能和两次NAT功能。
图5表示本实施方式的网关装置300的结构的方框图。如图5所示,网关装置300包括私用网络接口单元301、接收识别单元302、DNS消息识别单元303、名称解析单元304、名称-地址表格305、DNS消息生成单元306、表格设定单元307、私用IP地址管理表格308、全球IP地址管理表格309、地址变换表格310、两次NAT处理单元311、发送单元312、全球网络接口单元313、接收识别单元314以及发送单元315。
私用网络接口单元301是与私用网络100之间的接口,将从私用网络100接收的信号输出到接收识别单元302,并将从发送单元315输出的信号发送到私用网络100。
接收识别单元302识别来自私用网络100的信号是否为有关名称解析的DNS消息,将DNS消息转发到DNS消息识别单元303,并将DNS消息以外的消息转发到两次NAT处理单元311。
DNS消息识别单元303识别DNS消息是包含分组的转发目的地的域名的名称查询的消息(以下只称为“名称查询”)还是包含分组的转发目的地的IP地址的地址回答的消息(以下只称为“地址回答”),将名称查询转发到名称解析单元304,并将地址回答转发到表格设定单元307。
名称解析单元304提取在名称查询中所包含的域名,从名称-地址表格305搜索域名,并获取与该域名对应的地址。然后,在获取了IP地址的情况下,名称解析单元304将IP地址信息转发到DNS消息生成单元306,并命令DNS消息生成单元306将IP地址信息作为地址回答转发到名称查询的发送源。另一方面,在不能获取IP地址的情况下,名称解析单元304命令DNS消息生成单元306将名称查询转发到可进行名称解析的其它的DNS服务器。
名称-地址表格305比如如图6所示,将域名和地址对应地保存着(使私用IP地址与全球IP地址对应,从而保存),并在通过名称解析单元304进行名称解析时被参照。另外,保存在名称-地址表格305的地址为注册于后述的地址变换表格310的地址,全球网络200的主机(比如主机200b)的域名(比如“a.global.com”)对应私用IP地址(比如“PA4”),私用网络100的主机(比如主机100a)的域名(比如“a.private.com”)对应全球IP地址(比如“GA2”)。
DNS消息生成单元306生成名称查询和地址回答的消息,并转发到所指定的转发目的地。
表格设定单元307确定私用IP地址和全球IP地址之间的对应关系,并注册于名称-地址表格305以及地址变换表格310。有关表格设定单元307的处理,将在后面详述。
私用IP地址管理表格308,比如如图7所示,为可分配给全球网络200的主机(比如主机200b)的私用IP地址的清单。也就是说,私用IP地址管理表格308管理着各个私用IP地址的使用可否(被用于其它的映射时为“否”,未被用于其它的映射时为“可”)。
全球IP地址管理表格309,比如如图8所示,是进行地址映射时可分配的全球IP地址的清单。也就是说,全球IP地址管理表格309管理着各个全球IP地址的使用可否(被用于其它的映射时为“否”,未被用于其它的映射时为“可”)。
地址变换表格310比如如图9所示,将私用IP地址和全球IP地址对应地保存着,并在通过两次NAT处理单元311进行两次NAT时被参照。
两次NAT处理单元311将来自私用网络100或者全球网络200的DNS以外的消息的发送源地址以及目的地地址的双方变换成全球IP地址或者私用IP地址,并输出到发送单元312或者发送单元315。有关两次NAT处理单元311的处理,将在后面详述。
发送单元312将从两次NAT处理单元311输出的信号通过全球网络接口单元313发送到全球网络200。
全球网络接口单元313是与全球网络200之间的接口,将从发送单元312输出的信号发送到全球网络200,并将从全球网络200接收的信号输出到接收识别单元314。
接收识别单元314识别来自全球网络200的信号是否为有关名称解析的DNS消息,将DNS消息转发到DNS消息识别单元303,并将DNS消息以外的消息转发到两次NAT处理单元311。
发送单元315将从两次NAT处理单元311输出的信号通过私用网络接口单元301发送到私用网络100。
接下来,参照图10所示的流程图说明表格设定单元307的处理。
DNS消息中的地址回答从DNS消息识别单元303输入到表格设定单元307。通过表格设定单元307,从该地址回答提取信息(ST1000),对包含在该地址回答中的IP地址是否为全球IP地址进行判断(ST1100)。
当IP地址是全球IP地址的情况下,通过表格设定单元307,从私用IP地址管理表格308中选择可使用的私用IP地址,所选择的私用IP地址则被分配给包含在地址回答的全球IP地址(ST1200)。然后,这些全球IP地址和私用IP地址被对应地注册于地址变换表格310(ST1300)。另外,与全球IP地址对应的域名以及所选择的私用IP地址被注册于名称-地址表格305(ST1400)。其后,通过表格设定单元307,对DNS消息生成单元306发出指示(ST1500),以使其将在ST1200所选择的私用IP地址作为地址回答而转发到私用网络100内的DNS服务器100b。
另一方面,根据ST1100的判断结果,当IP地址不是全球IP地址的情况下,通过表格设定单元307,从全球IP地址管理表格309中选择可使用的全球IP地址,所选择的全球IP地址则被分配给包含在地址回答中的私用IP地址(ST1600)。然后,这些私用IP地址和全球IP地址被对应地注册于地址变换表格310(ST1700)。另外,与私用IP地址对应的域名以及所选择的全球IP地址被注册于名称-地址表格305(ST1800)。其后,通过表格设定单元307,对DNS消息生成单元306发出指示(ST1900),以使其将在ST1600选择的全球IP地址作为地址回答而转发到全球网络200内的DNS服务器200c。
通过这样设定地址变换表格310以及名称-地址表格305,在网关装置300,全球IP地址被分配给私用网络100内的主机(比如主机100a),而私用IP地址被分配给全球网络200内的主机(比如主机200b)。
接下来,参照图11所示的流程图说明两次NAT处理单元311的处理。
DNS消息以外的IP分组等的消息从接收识别单元302或者接收识别单元314输入到两次NAT处理单元311(ST2000)。然后,通过两次NAT处理单元311,获取IP分组的发送源地址以及目的地地址(ST2010),并对IP分组的转发目的地是全球网络200还是私用网络100进行判断(ST2020)。
当转发目的地为全球网络200的情况下,通过两次NAT处理单元311,从地址变换表格310搜索目的地地址(ST2030),并进行是否存在目的地地址的判断(ST2040)。其结果,当目的地地址未注册于地址变换表格310的情况下,分组被丢弃(ST2120)。另外,当目的地地址注册于地址变换表格310的情况下,则参照地址变换表格310,目的地地址被变换成对应的全球IP地址(ST2050)。
其后,从地址变换表格310搜索发送源地址,判断有无发送源地址(ST2060)。其结果,当发送源地址注册于地址变换表格310的情况下,发送源地址变换成所对应的全球IP地址(ST2070),并且IP分组被转发到发送单元312(ST2080)。另外,当发送源地址未注册于地址变换表格310的情况下,该事实被通知给表格设定单元307,从全球IP地址管理表格309选择可使用的全球IP地址(ST2090),并且IP分组的发送源地址与所选择的全球IP地址被对应地注册于地址变换表格310(ST2100)。进一步地,通过两次NAT处理单元311,发送源地址被变换成所选择的全球IP地址(ST2110),而且IP分组被转发到发送单元312(ST2080)。
另一方面,根据ST2020的判断结果,当转发目的地为私用网络100的情况下,通过两次NAT处理单元311,从地址变换表格310搜索目的地地址(ST2130),并进行是否存在目的地地址的判断(ST2140)。其结果,当目的地地址未注册于地址变换表格310的情况下,分组被丢弃(ST2120)。另外,当目的地地址注册于地址变换表格310的情况下,则参照地址变换表格310,目的地地址被变换成对应的私用IP地址(ST2150)。
其后,从地址变换表格310搜索发送源地址,判断有无发送源地址(ST2160)。其结果,当发送源地址注册于地址变换表格310的情况下,发送源地址被变换成对应的私用IP地址(ST2170),并且IP分组被转发到发送单元315(ST2180)。另外,当发送源地址未注册于地址变换表格310的情况下,该事实被通知给表格设定单元307,从私用IP地址管理表格308选择可使用的私用IP地址(ST2190),并且IP分组的发送源地址与所选择的私用IP地址被对应地注册于地址变换表格310(ST2200)。进一步地,通过两次NAT处理单元311,发送源地址被变换成所选择的私用IP地址(ST2210),并且IP分组被转发到发送单元315(ST2180)。
这样,目的地地址以及发送源地址的双方在网关装置300被变换成分组转发目的地的网络的IP地址,在横跨两个网络的访问中,能够对分组发送源的主机隐藏分组转发目的地的实际的IP地址,能够提高安全性。
接下来,说明私用网络100和全球网络200之间的访问。首先,参照图12所示的时序图说明从私用网络100对全球网络200进行的访问。
首先,私用网络100内的主机100a将域名“a.global.com”的名称解析的委托(DNS查询)400发送到私用网络100内的DNS服务器100b。但是,因为域名“a.global.com”未注册于DNS服务器100b,所以名称查询401被发送到网关装置300。
名称查询401经由网关装置300的私用网络接口单元301、接收识别单元302以及DNS消息识别单元303,输入到名称解析单元304,由名称解析单元304尝试进行名称解析。也就是说,在名称-地址表格305搜索域名“a.global.com”。这里,如果过去进行过从私用网络100对域名“a.global.com”的主机200b的访问,则与域名“a.global.com”对应的私用IP地址注册于名称-地址表格305,因此该私用IP地址被发回到主机100a。
以下继续说明过去未对主机200b进行过访问,域名“a.global.com”未注册于名称-地址表格305的情况。在该情况下,通过DNS消息生成单元306生成名称查询,并且名称查询402被转发到全球网络200内的DNS服务器200c。DNS服务器200c从保存在本服务器的名称-地址表格中搜索“a.global.com”,并获取全球IP地址“GA4”。获取全球IP地址后,DNS服务器200c将包含全球IP地址“GA4”的地址回答403转发到网关装置300。
接收到地址回答403的网关装置300进行表格设定单元307的上述处理。也就是说,从私用IP地址管理表格308选择可使用的私用IP地址“PA4”,并且与实际的全球IP地址“GA4”被对应地注册于地址变换表格310。另外,域名“a.global.com”和私用IP地址“PA4”被注册于名称-地址表格305。
当表格设定单元307所进行的处理结束后,DNS消息生成单元306生成包含私用IP地址“PA4”的地址回答,地址回答404从发送单元315通过私用网络接口单元301被发送到DNS服务器100b。DNS服务器100b将域名“a.global.com”的IP地址为私用IP地址“PA4”的内容的DNS回答405转发到主机100a。由此,对私用网络100内的主机100a以及DNS服务器100b隐藏了全球网络200内的主机200b的实际的全球IP地址“GA4”。然后,主机100a将发送源地址作为私用IP地址“PA3”,将目的地地址作为私用IP地址“PA4”,将IP分组406发送到网关装置300。
接收到IP分组406的网关装置300进行两次NAT处理单元311的上述处理。也就是说,通过两次NAT处理单元311参照地址变换表格310,目的地地址的私用IP地址“PA4”被变换成全球IP地址“GA4”。另外,通过两次NAT处理单元311,生成对发送源地址的地址映射,发送源地址“PA3”则被变换成与该映射对应的全球IP地址“GA1”。这样,进行了两次NAT后,也即目的地地址以及发送源地址的双方都被变换成全球IP地址后,IP分组407被发送到全球网络200内的主机200b。由此,对全球网络200内的主机200b隐藏了私用网络100内的主机100a的实际的私用IP地址“PA3”。
之后,从私用网络100内的主机100a向全球网络200内的主机200b进行的通信中,在网关装置300基于地址变换表格310实施两次NAT。
接下来,参照图13所示的时序图说明与上述的访问相反方向的访问,也就是从全球网络200对私用网络100进行的访问。
首先,全球网络200内的主机200b将有关域名“a.private.com”的DNS查询450发送到全球网络200内的DNS服务器200c。但是,因为域名“a.private.com”未注册于DNS服务器200c,所以名称查询451被发送到网关装置300。
名称查询451经由全球网络接口单元313、接收识别单元314以及DNS消息识别单元303,输入到名称解析单元304,由名称解析单元304尝试进行名称解析。这里,继续对与上述的从私用网络100对全球网络200进行的访问相同,域名“a.private.com”未注册于名称-地址表格305的情况进行说明。在该情况下,DNS消息生成单元306所生成的名称查询452被转发给私用网络100内的DNS服务器100b。DNS服务器100b从保存在本服务器的名称-地址表格中搜索“a.private.com”,以获取私用IP地址“PA3”。获取私用IP地址后,DNS服务器100b将包含私用IP地址“PA3”的地址回答453转发给网关装置300。
接收到地址回答453的网关装置300进行表格设定单元307的上述处理。也就是说,从全球IP地址管理表格309选择可使用的全球IP地址“GA2”,并且其与实际的私用IP地址“PA3”被对应地注册于地址变换表格310。另外,域名“a.private.com”和全球IP地址“GA2”被注册于名称-地址表格305。
当表格设定单元307所进行的处理结束后,DNS消息生成单元306生成包含全球IP地址“GA2”的地址回答,地址回答454从发送单元312通过全球网络接口单元313被发送给DNS服务器200c。DNS服务器200c将域名“a.private.com”的IP地址为全球IP地址“GA2”的内容的DNS回答455转发到主机200b。由此,对全球网络200内的主机200b以及DNS服务器200c隐藏了私用网络100内的主机100a的实际的私用IP地址“PA3”。然后,主机200b将发送源地址作为全球IP地址“GA4”,将目的地地址作为全球IP地址“GA2”,将IP分组456发送到网关装置300。
接收到IP分组456的网关装置300进行两次NAT处理单元311的上述处理。也就是说,通过两次NAT处理单元311参照地址变换表格310,目的地地址的全球IP地址“GA2”被变换成私用IP地址“PA3”。另外,通过两次NAT处理单元311,从私用IP地址管理表格308选择可作为与发送源地址对应的私用IP地址使用的私用IP地址“PA4”,作为发送源地址的全球IP地址“GA4”和所选择的私用IP地址“PA4”被注册于地址变换表格310,并且发送源地址被变换成私用IP地址“PA4”。这样,进行了两次NAT后,也即目的地地址以及发送源地址的双方都被变换成私用IP地址后,IP分组457被发送到私用网络100内的主机100a。由此,对私用网络100内的主机100a隐藏了全球网络200内的主机200b的实际的全球IP地址“GA4”。
之后,从全球网络200内的主机200b对私用网络100内的主机100a进行的通信中,在网关装置300中,基于地址变换表格310实施两次NAT。
如上所述,根据本实施方式,在进行全球网络和私用网络之间的通信时,在网关装置中,在进行名称解析时将与域名对应的IP地址变换成发送源的网络内的未使用的IP地址,并且在IP分组的发送时将发送源地址以及目的地地址变换成分组转发目的地的网络内的IP地址。因此,即使不越过互相的网络来交换实际的IP地址,也能够在维持安全性的同时,使从全球网络端对私用网络端进行的访问成为可能,从而能够实现全球网络与私用网络之间的相互通信。
(实施方式2)本发明实施方式2的特征为除了名称-地址表格之外还保存可进行端口号码的通知的SRV(SeRVice)记录,作为对来自全球网络的主机的名称查询的地址回答,通知全球IP地址以及端口,由此在目的地地址的变换时使用NAPT(Network Address Port Transfer,网络地址端口转换)来代替NAT。
本实施方式的网络结构与图4(实施方式1)相同,因此省略其说明。但是,与实施方式1不同的是,本实施方式的网关装置300在全球网络200端只被赋予全球IP地址“GA1”。
图1 4表示本实施方式的网关装置300的结构的方框图。在该图中,将相同的标号赋予给与图5相同的部分,并省略其说明。如图14所示,网关装置300包括私用网络接口单元301、接收识别单元302、DNS消息识别单元303、名称解析单元304、SRV记录/名称-地址表格501、DNS消息生成单元306、表格设定单元502、地址管理表格503、端口管理表格504、地址变换表格505、两次NAT处理单元506、发送单元312、全球网络接口单元313、接收识别单元314以及发送单元315。
SRV记录/名称-地址表格501除了实施方式1的名称-地址表格305的信息以外,还保存比如图15所示的SRV记录。这里,SRV记录是指由IETF(TheInternet Engineering Task Force,因特网工程任务组)所发行的RFC(RequestFor Comment,请求注解)2782的定义的、以提供负荷分散服务、确保冗余性以及通知服务端口号码为目的,除了域名和IP地址之外的因特网所需的信息。根据SRV记录,以_Service._Proto.Name来进行名称解析。_Service._Proto.Name中的_Service表示服务名,可以使用根据RFC1700的规定的服务名(例如Web服务的情况下为www),或是独自定义的服务名。另外,_Proto表示协议名,Name表示域名。比如,具有Web服务的private.com的情况下,_Service._Proto.Name为_www._tcp.private.com。另外,根据SRV记录的优先级(Priority),能够对注册于SRV记录的各个条目赋予优先级。另外,端口(port)表示服务端口号码,对象(Target)表示提供服务的主机名。设所有注册于本实施方式的网关装置300的端口号码均为全球端口的端口号码。
表格设定单元502确定私用IP地址与全球IP地址之间的对应关系,并注册于SRV记录/名称-地址表格501以及地址变换表格505;同时确定全球端口与私用端口之间的对应关系,并注册于SRV记录/名称-地址表格501以及地址变换表格505。有关表格设定单元502的处理将在后面详述。
地址管理表格503,比如如图16所示,为可分配给全球网络200的主机(比如主机200b)的私用IP地址的清单。也就是说,私用IP地址管理表格308管理着各个私用IP地址的使用可否(被用于其它的映射时为“否”,未被用于其它的映射时为“可”)。
端口管理表格504,比如如图17所示,为可分配给私用网络100的主机(比如主机100a)的全球端口的清单。也就是说,端口管理表格504管理着各个全球端口的使用可否(被用于其它的映射时为“否”,未被用于其它的映射时为“可”)。
地址变换表格505,比如如图18所示,将私用IP地址、私用端口、全球IP地址以及全球端口对应地保存,并在两次NAT处理单元506进行两次NAT时被参照。另外,当地址变换表格505中未注册私用端口和全球端口的情况下,不进行通过两次NAT处理单元506的端口的变换。
两次NAT处理单元506将来自私用网络100或者全球网络200的DNS以外的消息的发送源地址以及目的地地址的双方都变换成全球IP地址或者私用IP地址,并且进行全球端口和私用端口的变换,输出到发送单元312或者发送单元315。有关两次NAT处理单元506的处理将在后面详述。
接下来,参照图19所示的流程图说明表格设定单元502的处理。另外,在该图中,将相同的标号赋予给与图10(实施方式1)相同的部分,并省略其详细说明。
首先,与实施方式1相同,对包含在被输入到表格设定单元502的地址回答中的IP地址是否为全球IP地址进行判断(ST1100)。当IP地址为全球IP地址的情况下,从地址管理表格503选择的可使用的私用IP地址被分配给该全球IP地址(ST1200),并且这些全球IP地址和私用IP地址被对应地注册于地址变换表格505(ST1300)。另外,与全球IP地址对应的域名以及所选择的私用IP地址被注册于SRV记录/名称-地址表格501(ST3000)。其后,通过表格设定单元502,对DNS消息生成单元306发出指示(ST1500),以使其将包含所选择的私用IP地址的地址回答转发到DNS服务器100b。
另一方面,根据步骤ST1100的判断结果,当IP地址不为全球IP地址的情况下,通过表格设定单元502,从端口管理表格504选择可使用的全球端口,并且所选择的全球端口被分配给包含在地址回答中的私用IP地址以及私用端口(以下记载为“私用IP地址/端口”)(ST3100)。然后,这些私用IP地址/端口和网关装置300的全球IP地址以及所选择的全球端口被对应地注册于地址变换表格505(ST3200)。另外,与私用IP地址对应的域名和网关装置300的全球IP地址以及所选择的全球端口作为SRV记录注册于SRV记录/名称-地址表格501(ST3300)。其后,通过表格设定单元502,对DNS消息生成单元306发出指示(ST3400),以使其将网关装置300的全球IP地址以及在ST3100选择的全球端口作为地址回答转发到全球网络200内的DNS服务器200c。
通过这样设定地址变换表格505以及SRV记录/名称-地址表格501,在网关装置300,网关装置300的全球IP地址以及全球端口被分配给私用网络100内的主机(比如主机100a),而私用IP地址被分配给全球网络200内的主机(比如主机200b)。
接下来,参照图20所示的流程图说明两次NAT处理单元506的处理。另外,在该图中,将相同的标号赋予给与图11(实施方式1)相同的部分,并省略其详细说明。
DNS消息以外的IP分组等的消息从接收识别单元302或者接收识别单元314输入到两次NAT处理单元506(ST2000)。然后,与实施方式1相同,通过两次NAT处理单元506,获取IP分组的发送源地址、发送源端口以及目的地地址(ST2010),并对IP分组的转发目的地进行判断(ST2020),当IP分组的转发目的地为全球网络200的情况下,判断在地址变换表格505中有无目的地地址(ST2040)。其结果,当目的地地址未注册于地址变换表格505的情况下,分组被丢弃(ST2120),另一方面,当目的地地址注册于地址变换表格505的情况下,目的地地址被变换成对应的全球IP地址(ST2050)。
其后,从地址变换表格505搜索发送源地址以及发送源端口,判断有无发送源地址以及发送源端口(ST4000)。其结果,当发送源地址以及发送源端口注册于地址变换表格505的情况下,发送源地址以及发送源端口被变换成各自对应的全球IP地址以及全球端口(ST4010),并且IP分组被转发到发送单元312(ST2080)。另外,当发送源地址以及发送源端口未注册于地址变换表格505的情况下,该事实被通知给表格设定单元502,从端口管理表格504选择可使用的全球端口(ST4020),并且IP分组的发送源端口与所选择的全球端口被对应地注册于地址变换表格505(ST4030)。进一步地,通过两次NAT处理单元506,发送源地址以及发送源端口分别变换成网关装置300的全球IP地址以及所选择的全球端口(ST4040),并且IP分组被转发到发送单元312(ST2080)。
另一方面,根据ST2020的判断结果,当转发目的地为私用网络100的情况下,通过两次NAT处理单元506,从地址变换表格505搜索目的地地址(ST2130),判断有无目的地端口(ST4050)。其结果,当目的地端口未注册于地址变换表格505的情况下,分组被丢弃(ST2120)。另外,当目的地端口注册于地址变换表格505的情况下,则参照地址变换表格505,目的地地址以及目的地端口被变换成各自对应的私用IP地址以及私用端口(ST4060)。
之后,与实施方式1同样地从地址变换表格505搜索发送源地址,当发送源地址注册于地址变换表格505的情况下,发送源地址被变换成对应的私用IP地址(ST2170),并且IP分组被转发到发送单元315(ST2180)。另外,当发送源地址未注册于地址变换表格505地情况下,可使用的私用IP地址被分配给发送源地址并被注册后,发送源地址被变换成该私用IP地址(ST2210),并且IP分组被转发到发送单元315(ST2180)。
这样,目的地地址以及发送源地址的双方和目的地端口或者发送源端口在网关装置300中被变换成分组转发目的地的网络的IP地址以及端口,在横跨两个网络的访问中,能够对分组发送源的主机隐藏分组转发目的地的实际的IP地址,能够提高安全性。
接下来,说明私用网络100和全球网络200之间的访问。除了不仅发送源地址被变换成全球地址,而且发送源端口也被变换成全球端口这一点,关于从本实施方式的私用网络100对全球网络200进行的访问与实施方式1相同,所以省略其说明。
因此,在下面,参照图21所示的时序图以下说明从全球网络200对私用网络100进行的访问。
首先,全球网络200内的主机200b将有关_Service._Proto.Name「_www._tcp.private.com」的DNS查询600发送到全球网络200内的DNS服务器200c。但是,因为_Service._Proto.Name“_www._tcp.private.com”未注册于DNS服务器200c,所以名称查询601被发送到网关装置300。
名称查询601经由全球网络接口单元313、接收识别单元314以及DNS消息识别单元303,输入到名称解析单元304,由名称解析单元304尝试进行名称解析。这里,作为_Service._Proto.Name“_www._tcp.private.com”未注册于SRV记录/名称-地址表格501的情况,继续进行说明。在该情况下,DNS消息生成单元306所生成的名称查询602被转发到私用网络100内的DNS服务器100b。DNS服务器100b从保存在本服务器的名称-地址表格中搜索“_www._tcp.private.com”,以获取私用IP地址“PA3”以及私用端口“aaa”。获取私用IP地址/端口后,DNS服务器100b将包含私用IP地址“PA3”以及私用端口“aaa”的地址/端口回答603转发到网关装置300。
接收到地址/端口回答603的网关装置300进行表格设定单元502的上述处理。也就是说,从端口管理表格504选择可使用的全球端口“xxx”,并且与网关装置300的全球IP地址“GA1”、实际的私用IP地址“PA3”以及私用端口“aaa”被对应地注册于地址变换表格505。另外,_Service._Proto.Name“_www._tcp.private.com”和全球IP地址“GA1”以及全球端口“xxx”对应地被注册于SRV记录/名称-地址表格501。
当表格设定单元502所进行的处理结束后,DNS消息生成单元306生成包含了全球IP地址“GA1”以及全球端口“xxx”的地址回答,地址/端口回答604从发送单元312通过全球网络接口单元313发送到DNS服务器200c。DNS服务器200c将_Service._Proto.Name“_www.tcp.private.com”的IP地址为全球IP地址“GA1”、全球端口为“xxx”的内容的DNS回答605转发到主机200b。由此,对全球网络200内的主机200b以及DNS服务器200c隐藏了私用网络100内的主机100a的实际的私用IP地址“PA3”以及私用端口“aaa”。然后,主机200b将发送源地址作为全球IP地址“GA4”,将目的地地址作为全球IP地址“GA1”,将目的地端口作为全球端口“xxx”,将IP分组606发送到网关装置300。
接收到IP分组606的网关装置300进行两次NAT处理单元506的上述处理。也就是说,通过两次NAT处理单元506参照地址变换表格505,目的地地址的全球IP地址“GA1”以及目的地端口的全球端口“xxx”被分别变换成私用IP地址“PA3”以及私用端口“aaa”。另外,通过两次NAT处理单元506,可使用的私用IP地址“PA4”作为与发送源地址对应的私用IP地址从地址管理表格503选择,作为发送源地址的全球IP地址“GA4”和所选择的私用IP地址“ PA4”被注册于地址变换表格505,发送源地址被变换成私用IP地址“PA4”。这样,进行了两次NAT后,即目的地地址以及发送源地址的双方都被变换成私用IP地址后,IP分组607被发送到私用网络100内的主机100a。由此,对私用网络100内的主机100a隐藏了全球网络200内的主机200b的实际的全球IP地址“GA4”。
之后,从全球网络200内的主机200b对私用网络100内的主机100a进行的通信中,在网关装置300中,基于地址变换表格505实施两次NAT。
如上所述,根据本实施方式,在进行全球网络和私用网络之间的通信时,在网关装置中,在名称解析时将与域名对应的IP地址变换成发送源的网络内的未使用的IP地址,并且在IP分组的发送时将发送源地址以及目的地地址变换成分组转发目的地的网络内的IP地址。因此,即使不越过互相的网络来交换实际的IP地址,也能够在维持安全性的同时,使从全球网络端对私用网络端进行的访问成为可能,从而能够实现全球网络与私用网络之间的相互通信。
另外,在本实施方式中,只将一个全球IP地址赋予给网关装置,通过包含在SRV记录中的端口来进行全球IP地址的识别,因此能够防止网关装置占有多个IP地址。
(实施方式3)本发明实施方式3的特征在于当私用网络内的主机具有UpnP(UniversalPlug and Play,通用即插即用)协议等的即插即用的功能的情况下,在网关装置自动地创建端口映射。
本实施方式的网络结构与图4(实施方式1)相同,因此省略其说明。但是,与实施方式1不同的是,本实施方式的主机100a具有UPnP协议。另外,本实施方式的网关装置300与实施方式2相同,在全球网络200端只被赋予全球IP地址“GA1”。
UPnP是指被称为“UPnP Forum,通用即插即用论坛”的组织进行了标准化的技术规范,用来将家庭内的电脑、电脑外围设备、AV设备以及家电制品等的设备经由网络连接,从而互相提供功能。为了实现以下的目标UPnP被人们研究讨论着将在因特网已经成为标准的技术作为基础,只连接网络,不进行复杂的操作和设定作业就能发挥功能。另外,UPnP主要具有装置检测、来自LAN内的设备的端口映射请求、以及全球IP地址的通知等的功能。
图22表示本实施方式的网关装置300的结构的方框图。在该图中,将相同的标号赋予给与图5以及图14相同的部分,并省略其说明。如图22所示,网关装置300包括私用网络接口单元301、接收识别单元701、DNS消息识别单元303、名称解析单元304、SRV记录/名称-地址表格501、DNS消息生成单元306、表格设定单元703、地址管理表格503、端口管理表格504、地址变换表格505、两次NAT处理单元506、发送单元312、全球网络接口单元313、接收识别单元314、发送单元315以及UPnP处理单元702。
接收识别单元701对来自私用网络100的信号进行识别,识别其是DNS消息、UPnP消息还是除前述两者以外的消息,并且将DNS消息转发到DNS消息识别单元303,将UPnP消息转发到UPnP处理单元702,将除它们以外的消息转发到两次NAT处理单元506。
当UPnP消息为端口映射请求的情况下,UPnP处理单元702将包括主机100a的私用IP地址/端口的端口映射请求发送到表格设定单元703。另外,UPnP处理单元702从表格设定单元703接收端口映射请求响应,并将表示被通知的全球端口的UPnP消息转发到发送单元315。
当从UPnP处理单元702接收端口映射请求时,表格设定单元703从端口管理表格504选择可使用的全球端口,并将包含在端口映射请求的私用IP地址/端口、网关装置300的全球IP地址、以及所选择的全球端口注册于地址变换表格505。另外,表格设定单元703将网关装置300的全球IP地址和所选择的全球端口注册于SRV记录/名称-地址表格501。
接下来,参照图23所示的时序图来说明如上构成的网关装置300的地址变换表格505以及SRV记录/名称-地址表格501的设定动作。
首先,当主机100a被启动时,通过主机100a的UPnP,网关装置300被检测(装置检测),端口映射请求800被发送。网关装置300判断在UPnP处理单元702接收了的UPnP消息为端口映射请求,将端口映射请求801转发到表格设定单元703。此时,端口映射请求801包含有主机100a的私用IP地址“PA3”和私用端口“aaa”。
表格设定单元703从端口管理表格504选择可使用的全球端口“xxx”,将地址变换表格注册802输出到地址变换表格505。也就是说,表格设定单元703将私用IP地址“PA3”、私用端口“aaa”、网关装置300的全球IP地址“GA1”以及所选择的端口“xxx”注册于地址变换表格505。
另外,表格设定单元703将SRV记录/名称-地址表格注册803输出到SRV记录/名称-地址表格501。也就是说,表格设定单元703将网关装置300的全球IP地址“GA1”和所选择的端口“xxx”注册于SRV记录/名称-地址表格501。
这样进行了端口映射后,表格设定单元703将表示端口映射完成的端口映射请求响应804输出到UPnP处理单元702,端口映射请求响应805从UPnP处理单元702被转发到主机100a。
之后,主机100a定期地将端口映射确认请求806发送到网关装置300,网关装置300的UPnP处理单元702将端口映射确认请求807输出到表格设定单元703,表格设定单元703进行地址变换表格参照808,并将其结果作为端口映射确认响应809发回到UPnP处理单元702。UPnP处理单元702将端口映射确认响应810转发到主机100a,由此确认端口映射是否被设定在地址变换表格505。
以上这样的动作,比如在私用网络100内的主机重新提供服务的情况下被实施。
接下来,参照图24所示的时序图说明从全球网络200对私用网络100进行的访问。
首先,全球网络200内的主机200b将有关_Service._Proto.Name“_www._tcp.private.com”的DNS查询850发送到全球网络200内的DNS服务器200c。但是,因为_Servic e._Proto.Name“_www._tcp.private.com”未注册于DNS服务器200c,所以名称查询851被发送到网关装置300。
名称查询851经由全球网络接口单元313、接收识别单元314以及DNS消息识别单元303,输入到名称解析单元304。在本实施方式中,因为在与私用网络100内的主机100a之间通过UPnP,地址变换表格505以及SRV记录/名称-地址表格501被预先设定,所以通过名称解析单元304,从SRV记录/名称-地址表格501搜索“_www._tcp.private.com”,以获取私用IP地址“PA3”以及私用端口“aaa”。
所获取的私用IP地址“PA3”以及私用端口“aaa”通过参照地址变换表格505,被变换成网关装置300的全球IP地址“GA1”以及全球端口“xxx”,作为地址/端口回答852被发送到全球网络200内的DNS服务器200c。DNS服务器200c将_Service._Proto.Name“_www._tcp.private.com”的IP地址为全球IP地址“GA1”、全球端口为“xxx”的内容的DNS回答853转发到主机200b。由此,对全球网络200内的主机200b以及DNS服务器200c隐藏了私用网络100内的主机100a的实际的私用IP地址“PA3”以及私用端口“aaa”。然后,主机200b将发送源地址作为全球IP地址“GA4”,将目的地地址作为全球IP地址“GA1”,将目的地端口作为私用端口“xxx”,将IP分组854发送到网关装置300。
之后,进行与实施方式2相同的两次NAT处理,目的地地址被变换成私用IP地址“PA3”,目的地端口被变换成私用端口“aaa”,以及发送源地址被变换成私用IP地址“PA4”,并且IP分组855被发送到主机100a。由此,对私用网络100内的主机100a隐藏了全球网络200内的主机200b的实际的全球IP地址“GA4”。
如上所述,根据本实施方式,在进行全球网络和私用网络之间的通信时,在网关装置中,在名称解析时将与域名对应的IP地址变换成发送源的网络内的未使用的IP地址,并且在IP分组的发送时将发送源地址以及目的地地址变换成分组转发目的地的网络内的IP地址。因此,即使不进行越过互相的网络来交换实际的IP地址,也能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而能够实现全球网络与私用网络之间的相互通信。
另外,在本实施方式,在私用网络内的主机通过UPnP被启动的同时,创建端口映射,因此在私用网络内即使不具有DNS服务器也能够在网关装置进行名称解析。
另外,在上述各个实施方式中,在从全球网络对私用网络进行访问时,只有发送源地址被变换;在从私用网络对全球网络进行访问时,只有发送目的地的地址被变换。因此,在上述各个实施方式,可同时访问私用网络的全球网络内的主机数目依赖于网关装置可使用的私用IP地址数目。另外,可从私用网络同时访问的全球网络内的主机数目也是一样,依赖于网关装置可使用的私用IP地址数目。
因此,在本发明,从全球网络对私用网络进行访问时,也可以不只是变换发送源地址,就连端口也变换。另外,从私用网络对全球网络进行访问时,还可以变换目的地地址以及端口。
由此,可从私用网络访问的全球网络的主机数目,或者可访问私用网络的全球网络的主机数目,不依赖于网关装置可使用的私用IP地址。
如上述说明,本发明的第一形态的地址变换装置设置在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间,其采取的结构包括设定单元,使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;第一发送单元,将所设定的临时的地址发送到所述分组发送源;变换单元,将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及第二发送单元,将地址变换后的分组发送到所述分组发送目的地。
根据该结构,使临时的地址与分组发送目的地对应,将从分组发送源发送到临时的地址的分组的发送源地址以及目的地地址变换成第一网络内的地址,再发送到分组发送目的地,因此能够对分组发送目的地隐藏分组发送源的地址,并且能够对分组发送源隐藏分组发送目的地的地址。因此,能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而能够实现全球网络与私用网络之间的相互通信。
另外,本发明的第二形态的地址变换装置,采用的结构为在所述第一形态,所述设定单元使本装置的所述第二网络内的地址成为所述临时的地址,并且使所述第二网络内的临时的端口号码与所述分组发送目的地的端口号码对应而进行设定。
根据该结构,将临时的地址作为本装置的地址,使临时的端口号码与端口号码对应,因此能够根据端口号码来进行地址的识别,能够防止较多地占有有限的地址。
另外,本发明的第三形态的地址变换装置,采用的结构为在所述第二形态,还包括接收单元,接收请求消息,所述请求消息为所述分组发送目的地在启动时发送的请求消息,请求使所述第二网络内的临时的端口号码与所述分组发送目的地的端口号码对应,其中,当接收到所述请求消息时,所述设定单元设定所述分组发送目的地的端口号码和所述临时的端口号码。
根据该结构,因为当分组发送目的地的启动时分组发送目的地的端口号码与临时的端口号码对应,所以即使不在第一网络内设置DNS服务器等也能够进行名称解析。
另外,本发明的第四形态的地址变换方法,为在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间的地址变换方法,包括以下步骤使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;将所设定的临时的地址发送到所述分组发送源;将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及将地址变换后的分组发送到所述分组发送目的地。
根据该方法,使临时的地址与分组发送目的地对应,将从分组发送源发送到临时的地址目的地的分组的发送源地址以及目的地地址变换成第一网络内的地址,再发送到分组发送目的地,因此能够对分组发送目的地隐藏分组发送源的地址,并且能够对分组发送源隐藏分组发送目的地的地址。因此,能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而能够实现全球网络与私用网络之间的相互通信。
本说明书是根据2004年12月22日申请提交的日本专利申请特愿第2004-372328。其内容通过引用全部包括在此。
工业实用性本发明的地址变换装置以及地址变换方法,能够在维持安全性的同时,可以从全球网络端对私用网络端进行访问,从而实现全球网络与私用网络之间的相互通信,比如适用于全球网络与私用网络之间的网关等的地址变换装置以及地址变换方法等。
权利要求
1.一种地址变换装置,设置在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间,包括设定单元,使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;第一发送单元,将所设定的临时的地址发送到所述分组发送源;变换单元,将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及第二发送单元,将地址变换后的分组发送到所述分组发送目的地。
2.如权利要求1所述的地址变换装置,其中,所述设定单元使本装置的所述第二网络内的地址成为所述临时的地址,并且使所述第二网络内的临时的端口号码与所述分组发送目的地的端口号码对应而进行设定。
3.如权利要求2所述的地址变换装置,其中,还包括接收单元,接收请求消息,所述请求消息是所述分组发送目的地在启动时发送的请求消息,请求使所述第二网络内的临时的端口号码与所述分组发送目的地的端口号码相对应,当接收了所述请求消息时,所述设定单元设定所述分组发送目的地的端口号码和所述临时的端口号码。
4.一种地址变换方法,为在包含分组发送目的地的第一网络以及包含分组发送源的第二网络之间的地址变换方法,包括以下步骤使所述第二网络内的临时的地址与所述分组发送目的地的所述第一网络内的地址对应而进行设定;将所设定的临时的地址发送到所述分组发送源;将所述分组发送源所发送的分组的目的地地址以及发送源地址变换成所述第一网络内的地址;以及将地址变换后的分组发送到所述分组发送目的地。
全文摘要
本发明的地址变换装置能够在维持安全性的同时,使从全球网络端对私用网络端进行访问成为可能,从而实现全球网络与私用网络之间的相互通信。表格设定单元(307)确定私用IP地址和全球IP地址之间的对应关系,并注册于地址变换表格(310)。地址变换表格(310)将私用IP地址与全球IP地址相对应地保存着。两次NAT处理单元(311)参照地址变换表格(310),将来自私用网络(100)或者全球网络(200)的分组的发送源地址以及目的地地址的双方变换成全球IP地址或者私用IP地址,并输出到发送单元(312)或者发送单元(315)。
文档编号H04L12/56GK101088264SQ200580044278
公开日2007年12月12日 申请日期2005年12月15日 优先权日2004年12月22日
发明者田村智史, 桥本裕司, 饭野聪, 饭田健一郎, 神藏敦吏 申请人:松下电器产业株式会社