特許第5816293号(P5816293)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > テレフオンアクチーボラゲット エル エム エリクソン(パブル)

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧

特許5816293パブリックネットワークにおけるプライベート装置の識別
<>
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000002
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000003
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000004
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000005
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000006
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000007
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000008
  • 特許5816293-パブリックネットワークにおけるプライベート装置の識別 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5816293
(24)【登録日】2015年10月2日
(45)【発行日】2015年11月18日
(54)【発明の名称】パブリックネットワークにおけるプライベート装置の識別
(51)【国際特許分類】
   H04L 12/749 20130101AFI20151029BHJP
   H04L 12/46 20060101ALI20151029BHJP
   H04L 12/66 20060101ALI20151029BHJP
【FI】
   H04L12/749
   H04L12/46 E
   H04L12/66 A
【請求項の数】15
【全頁数】22
(21)【出願番号】特願2013-541454(P2013-541454)
(86)(22)【出願日】2011年11月24日
(65)【公表番号】特表2014-502110(P2014-502110A)
(43)【公表日】2014年1月23日
(86)【国際出願番号】IB2011055290
(87)【国際公開番号】WO2012073163
(87)【国際公開日】20120607
【審査請求日】2014年10月24日
(31)【優先権主張番号】12/955,540
(32)【優先日】2010年11月29日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エル エム エリクソン(パブル)
(74)【代理人】
【識別番号】100095957
【弁理士】
【氏名又は名称】亀谷 美明
(74)【代理人】
【識別番号】100096389
【弁理士】
【氏名又は名称】金本 哲男
(74)【代理人】
【識別番号】100101557
【弁理士】
【氏名又は名称】萩原 康司
(74)【代理人】
【識別番号】100128587
【弁理士】
【氏名又は名称】松本 一騎
(72)【発明者】
【氏名】クリシュナン、スレッシュ
(72)【発明者】
【氏名】カヴァナー、アラン
【審査官】 安藤 一道
(56)【参考文献】
【文献】 特開2000−341337(JP,A)
【文献】 特開2009−267522(JP,A)
【文献】 米国特許出願公開第2002/0024959(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/749
H04L 12/46
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
パブリックネットワークにおいてプライベート装置のトラフィックを処理するための方法であって、当該プライベート装置は、パブリックIPv4アドレスを有するネットワークアドレス変換装置の背後に位置し、前記方法は、
−前記パブリックネットワークのネットワークノードにおいて、2つ以上のポートを含むポートのブロックが前記プライベート装置について予約されていることを示す、前記パブリックIPv4アドレス上の前記ポートのブロックの識別子を受信するステップと、
−前記パブリックネットワークの前記ネットワークノードにおいて、前記プライベート装置について予約された前記ポートのブロックからの少なくとも1つのポート上の前記パブリックIPv4アドレスを送信元アドレスとするトラフィックを受信するステップと、
−受信される前記トラフィックを前記プライベート装置のトラフィックとして識別するステップと、
−受信される前記トラフィックは前記プライベート装置からであると識別した際に、前記パブリックネットワークの前記ネットワークノードにおいて、前記プライベート装置から到来する前記トラフィックにトラフィック処理サービスルールを適用するために前記プライベート装置に関連するルールをアクティブ化するステップと、
を含む、方法
【請求項2】
前記プライベート装置から到来する前記トラフィックを処理するために前記プライベート装置に関連する前記ルールをアクティブ化する前記ステップは、
−前記パブリックネットワークの前記ネットワークノードにおいて、前記プライベート装置から到来する前記トラフィックに前記ルールを適用することと、
−前記パブリックネットワークの前記ネットワークノードにおいて、前記パブリックネットワークにおける前記トラフィックをその宛先にむけて転送することと、
をさらに含む、請求項1に記載の方法
【請求項3】
前記プライベート装置から到来する前記トラフィックを処理するために前記プライベート装置に関連する前記ルールをアクティブ化する前記ステップは、
−前記ポートのブロックの前記識別子の受信時に前記ルールをアクティブ化する前に、前記パブリックネットワークの別のネットワークノードから前記ルールを受信すること、又は、
−前記ポートのブロックの前記識別子の受信時に前記ルールを生成し及びアクティブ化すること、
をさらに含む、請求項1に記載の方法
【請求項4】
前記パブリックIPv4アドレス上のポートのブロックの前記識別子を受信する前記ステップは、前記ネットワークアドレス変換装置から前記プライベート装置の識別子を受信すること、をさらに含み、前記方法は、
−前記ルールをアクティブ化する前に、前記パブリックネットワークの前記ネットワークノードにおいて、前記プライベート装置の前記識別子を認証機能とのその認証期間中に傍受するステップ、又は、
−前記ルールをアクティブ化する前に、前記パブリックネットワークの前記ネットワークノードにおいて、前記認証機能による前記プライベート装置の認証に続き前記プライベート装置の前記識別子を当該認証機能から受信するステップ、
をさらに含む、請求項に記載の方法。
【請求項5】
前記プライベート装置から到来する前記トラフィックに前記ルールを適用することは、トラフィックフィルタリング、合法的傍受、E−911サービス、ビリング及びアカウンティング、並びにインテリジェントポリシーベースルーティングのうちの1つを含む、請求項2に記載の方法
【請求項6】
パブリックIPv4アドレスを有するネットワークアドレス変換装置と通信する、パブリックネットワークにおけるネットワークノードであって、プライベート装置が当該ネットワークアドレス変換装置の背後に位置し、前記ネットワークノードは、
−前記プライベート装置について予約されているポートのブロックからの少なくとも1つのポート上の前記パブリックIPv4アドレスを送信元アドレスとするトラフィックを受信するネットワークインタフェースと、
−2つ以上のポートを含む前記ポートのブロックが前記パブリックネットワーク中には存在しない前記プライベート装置について予約されていることを示す、前記パブリックIPv4アドレス上の前記ポートのブロックの識別子を受信し、
−受信される前記トラフィックを前記プライベート装置からのトラフィックとして識別し、及び、
−受信される前記トラフィックは前記プライベート装置からであると識別した際に、前記プライベート装置から到来する前記トラフィックにトラフィック処理サービスを適用するために前記プライベート装置に関連するルールをアクティブ化する、
−前記ネットワークインタフェースに接続されるトラフィック処理モジュールと、
を備える、ネットワークノード
【請求項7】
前記トラフィック処理モジュールは、
−前記プライベート装置から到来する前記トラフィックに前記ルールを適用すること、及び、
−前記パブリックネットワークにおける前記トラフィックをその宛先に向けて転送すること、
によって、前記プライベート装置から到来する前記トラフィックを処理するために前記プライベート装置に関連するルールをさらにアクティブ化する、請求項6に記載のネットワークノード
【請求項8】
前記トラフィック処理モジュールは、さらに、
−前記ポートのブロックの前記識別子の受信時に前記ルールをアクティブ化する前に、前記パブリックネットワークの別のネットワークノードから前記ルールを受信し、又は、
−前記ポートのブロックの前記識別子の受信時に前記ルールを生成し及びアクティブ化する、
請求項に記載のネットワークノード。
【請求項9】
前記トラフィック処理モジュールは、前記ネットワークアドレス変換装置から、前記プライベート装置の識別子を前記パブリックIPv4アドレス上の前記ポートのブロックの前記識別子と共にさらに受信し、前記トラフィック処理モジュールは、さらに、
−前記ルールをアクティブ化する前に、前記プライベート装置の前記識別子を認証機能とのその認証期間中に傍受し、又は、
−前記ルールをアクティブ化する前に、前記認証機能による前記プライベート装置の認証に続き前記認証機能から前記プライベート装置の前記識別子を受信する、
請求項に記載のネットワークノード。
【請求項10】
前記トラフィック処理モジュールは、前記プライベート装置から到来する前記トラフィックに、トラフィックフィルタリング、合法的傍受、E−911サービス、ビリング及びアカウンティング、並びにインテリジェントポリシーベースルーティングのうちの1つをさらに適用する、請求項6に記載のネットワークノード
【請求項11】
パブリックネットワークにおいてプライベート装置のトラフィックを処理するためのシステムであって、当該システムは、
−前記パブリックネットワークにおいて有効なパブリックIPv4アドレスを有するネットワークアドレス変換装置であって、
−前記パブリックネットワーク中には存在しないプライベート装置にプライベートIPv4アドレスを割り振り、
−前記プライベート装置について前記パブリックIPv4アドレス上の、2つ以上のポートを含むポートのブロックを予約し、及び、
−前記パブリックネットワークにおけるネットワークノードに前記ポートのブロックの識別子を送信する、
ネットワークアドレス変換装置と、
前記パブリックネットワークにおける前記ネットワークノードであって、
−前記ポートのブロックが前記プライベート装置について予約されていることを示す、前記パブリックIPv4アドレス上の前記ポートのブロックの識別子を受信し、
−前記プライベート装置について予約されている前記ポートのブロックからの少なくとも一つのポート上の前記パブリックIPv4アドレスを送信元とするトラフィックを受信し、受信される前記トラフィックを前記プライベート装置のトラフィックとして識別し、及び、
−受信される前記トラフィックは前記プライベート装置からであると識別した際に、前記プライベート装置から到来する前記トラフィックにトラフィック処理サービスを適用するために前記プライベート装置に関連するルールをアクティブ化する、
−前記ネットワークノードと、
を備える、システム
【請求項12】
−前記ネットワークアドレス変換装置は、前記パブリックネットワークにおける前記ネットワークノードに前記プライベート装置の識別子を前記ポートのブロックの前記識別子と共にさらに送信し、
−前記パブリックネットワークにおける前記ネットワークノードは、前記ルールをアクティブ化する前に、さらに
−前記プライベート装置の前記識別子を認証機能とのその認証期間中に傍受し、又は、
−前記認証機能による前記プライベート装置の認証に続き当該認証機能から前記プライベート装置の前記識別子を受信する、
請求項11に記載のシステム。
【請求項13】
−前記ネットワークアドレス変換装置は、さらに、
−前記プライベート装置から、前記パブリックネットワークに向けてのトラフィックを受信し、及び、
−前記プライベート装置について予約された前記ポートのブロックからの少なくとも1つのポートを用いて前記パブリックネットワーク上で前記トラフィックを転送し、
−前記パブリックネットワークの前記ネットワークノードは、さらに、
−前記プライベート装置から到来する前記トラフィックに前記プライベート装置に関連する前記ルールを適用し、及び、
−前記パブリックネットワークにおける前記トラフィックをその宛先に向けて転送する、
請求項11に記載のシステム
【請求項14】
前記パブリックIPv4アドレス上の前記ポートのブロックの前記識別子は、前記プライベート装置のパブリック識別子と共に1つのパブリックレジストリにさらに登録され、
前記システムは、
−前記プライベート装置の前記パブリック識別子を用いて、前記プライベート装置について予約された前記ポートのブロックの前記識別子を前記パブリックレジストリから取得し、及び、
−インカミングトラフィックを前記プライベート装置について予約された前記ポートのブロックからの少なくとも1つのポート上の前記パブリックIPv4アドレスに送信する、
−対応ノード、
をさらに備え、
−前記パブリックネットワークの前記ネットワークノードは、
−前記プライベート装置について予約された前記ポートのブロックからの前記少なくとも1つのポート上の前記パブリックIPv4アドレスを宛て先アドレスとする前記インカミングトラフィックを受信し、
−前記インカミングトラフィックを前記プライベート装置のインカミングトラフィックとして識別し、
−前記プライベート装置の前記インカミングトラフィックに前記ルールを適用し、及び、
−前記インカミングトラフィックを前記ネットワークアドレス変換装置に向けて転送し、
−前記ネットワークアドレス変換装置は、さらに、
−前記パブリックネットワークから、前記プライベート装置についての前記インカミングトラフィックを前記プライベート装置について予約された前記ポートのブロックからの前記少なくとも1つのポート上で受信し、及び、
−前記インカミングトラフィックを前記プライベート装置に転送する、
請求項11に記載のシステム。
【請求項15】
前記パブリックネットワークにおける前記ネットワークノードは、前記プライベート装置から到来する前記トラフィックに、トラフィックフィルタリング、合法的傍受、E−911サービス、ビリング及びアカウンティング、並びにインテリジェントポリシーベースルーティングのうちの1つをさらに適用する、請求項11に記載のシステム
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IPv4アドレッシングに関し、特に、ネットワークアドレス変換装置の背後からのIPv4アドレッシング制限に関する。
【背景技術】
【0002】
インターネットプロトコル(IP)バージョン4(IPv4)は、32ビット(4バイト)のアドレスを用い、これはアドレス空間を4,294,967,296(232)個の一意のIPv4アドレスの候補に制限する。幾つかのIPv4アドレスは、プライベートネットワーク(18百万個までのIPv4アドレス)又はマルチキャストIPv4アドレス(270百万個までのIPv4アドレス)といった特別な目的のために予約される。その結果、パブリックインターネット上のルーティングのために潜在的に割り当てられることができるパブリックIPv4アドレスの数は削減される。さらに、パブリックIPv4アドレスは、様々な組織に割り当てられてきており及び割り当てられ続ける。パブリックIPv4アドレスの枯渇は、長期的にはIPバージョン6(IPv6)の配備によって対処されることが期待される既知の問題である。しかしながら、広く配備され及び適当に機能しているシステムをIPv4からIPv6へ短中期的に変更する働きかけは、特に、既に割り当てられているパブリックIPv4アドレスの比較的大きなプールから利益を享受するプロバイダからは殆どない。例えばネットワークアドレス変換(NAT:network address translation)をプライベートIPv4アドレスと共に用いるなどの解決策は、多くのプロバイダによって充分であると見なされている。プライベートIPv4アドレスは、パブリックネットワーク上で通信することができず、そのためにはNAT装置を通過しなければならないため、プライベートネットワーク及びプライベートマシンの外部ではルーティング可能ではない。
【0003】
大抵の固定されたブロードバンドサービスプロバイダ(SP)は、特定の加入者のためのNAT装置として動作するレジデンシャルゲートウェイ(RG)に割り当てられる単一のパブリックIPv4アドレスを提供する。典型的に、当該加入者は、複数のIPv4装置をレジデンシャルゲートウェイ(RG)の背後に接続する。これらの装置には、ホームネットワークにおけるRGによって割り振られるプライベートIPv4アドレスが割り当てられ、これらの装置全てが、NATを用いて、SPからRGに割り当てられた同じ単一のパブリックIPv4アドレスを共有する。
【0004】
幾つかの固定及びモバイルSPは、固定/モバイルコンバージェンス又は相互作用ネットワークビジネスモデルへと移行しており、固定/モバイルSPに、又はさもなければ当該SPの加入者に固定/モバイルSPを提示するためのパートナになる。これらの例示的なビジネスモデルにおいて、装置は、当該装置の固定/モバイルSPからサービスを得るために如何なるネットワークアクセスタイプも用いることが可能であるべきである。より具体的な例は、固定/モバイルSPによって提供されるRGに無線ローカルエリアネットワーク(WLAN又はWiFi)上で接続する第3世代パートナシッププロジェクト(3GPP)のユーザ機器(UE)モバイル装置に関与する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
残念ながら、NAT及びプライベートIPv4アドレスに基づく現在のアドレッシングスキームは、適切に提供されるべきサービスについてSPネットワークにおける適当な装置識別(device identification)を提供しない。本発明は、前述された問題に少なくとも部分的な解決策を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明の第1の観点は、パブリックネットワークにおいてプライベート装置の識別を可能にするための方法を対象とする。当該方法は、ネットワークアドレス変換装置において、プライベート装置にプライベートIPv4アドレスを割り振るステップ、を含む。ネットワークアドレス変換装置は、パブリックネットワークにおいて有効なパブリックIPv4アドレスを有し、プライベート装置は、パブリックネットワーク中には存在しない。上記方法は、ネットワークアドレス変換装置において、プライベート装置についてパブリックIPv4アドレス上の複数のポートのブロック(a block of ports)を予約するステップと、当該ポートのブロックの識別子をパブリックネットワークにおけるネットワークノードに送信するステップと、も含む。
【0007】
随意的に、上記方法は、ネットワークアドレス変換装置において、プライベート装置から、パブリックネットワークに向けての接続要求を受信するステップと、プライベート装置について予約されたポートのブロックからの少なくとも1つのポートを用いて、パブリックネットワーク上で当該接続要求を転送するステップと、をさらに含んでもよい。
【0008】
ポートのブロックの識別子を送信するステップは、随意的に、パブリックネットワークにおけるネットワークノードにプライベート装置の識別子を送信することをさらに含んでもよい。パブリックネットワークは、IPv6ネットワークであってもよく、パブリックIPv4アドレスは、後方互換性を確保するためにIPv6アドレスにおいて表されてもよい。ポートのブロックは、少なくとも2つのポートの非隣接グループ又は隣接グループであってもよい。
【0009】
本発明の第2の観点は、パブリックネットワークにおいてプライベート装置のトラフィックを処理するための方法を対象とし、当該プライベート装置は、パブリックIPv4アドレスを有するネットワークアドレス変換装置の背後に位置する。上記方法は、パブリックネットワークのネットワークノードにおいて、ポートのブロックがプライベート装置について予約されていることを示す、パブリックIPv4アドレス上のポートのブロックの識別子を受信するステップと、プライベート装置のトラフィックを処理するためのルールをアクティブ化するステップと、を含む。
【0010】
随意的に、上記方法は、パブリックネットワークのネットワークノードにおいて、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを送信元アドレスとする(addressed from)トラフィックを受信するステップと、受信されたトラフィックをプライベート装置のトラフィックとして識別するステップと、プライベート装置のトラフィックにルールを適用するステップと、トラフィックをその宛先にむけてパブリックネットワークにおいて転送するステップと、をさらに含んでもよい。
【0011】
プライベート装置のトラフィックを処理するためのルールをアクティブ化するステップは、随意的に、ポートのブロックの識別子の受信時にルールをアクティブ化する前に、パブリックネットワークの別のネットワークノードからルールを受信すること、又は、ポートのブロックの識別子の受信時にルールを生成し及びアクティブ化すること、をさらに含んでもよい。
【0012】
パブリックIPv4アドレス上のポートのブロックの識別子を受信するステップは、随意的に、ネットワークアドレス変換装置からプライベート装置の識別子を受信すること、をさらに含んでもよく、上記方法は、ルールをアクティブ化する前に、パブリックネットワークのネットワークノードにおいてプライベート装置の識別子を認証機能とのその認証期間中に傍受する(intercepting)ステップ、又は、ルールをアクティブ化する前に、パブリックネットワークのネットワークノードにおいて認証機能によるプライベート装置の認証に続きプライベートの識別子を当該認証機能から受信するステップ、をさらに含んでもよい。
【0013】
本発明の第3の観点は、アドレス管理モジュールと、ネットワークアドレス変換モジュールと、を備える、通信ネットワークにおけるネットワークノードを対象とする。アドレス管理モジュールは、パブリックネットワークにおいて有効なパブリックIPv4アドレスを割り当てられ、及び、パブリックネットワーク中には存在しないプライベート装置にプライベートIPv4アドレスを割り当てる。ネットワークアドレス変換モジュールは、プライベート装置についてパブリックIPv4アドレス上のポートのブロックを予約し、及び、パブリックネットワークにおけるさらなるネットワークノードに当該ポートのブロックの識別子を送信する。
【0014】
随意的に、ネットワークアドレス変換モジュールは、プライベート装置から、パブリックネットワークに向けての接続要求をさらに受信し、及びプライベート装置について予約されたポートのブロックからの少なくとも1つのポートを用いて当該接続要求をパブリックネットワーク上で転送してもよい。ネットワークアドレス変換モジュールは、ポートのブロックの識別子をプライベート装置の識別子と共にパブリックネットワークにおけるさらなるネットワークノードに送信してもよい。
【0015】
本発明の第4の観点は、パブリックIPv4アドレスを有するネットワークアドレス変換装置と通信する、パブリックネットワークにおけるネットワークノードを対象とする。プライベート装置は、ネットワークアドレス変換装置の背後に位置し、パブリックネットワーク中には存在しない。上記ネットワークノードは、ポートのブロックがプライベート装置について予約されていることを示す、パブリックIPv4アドレス上のポートのブロックの識別子を受信し、及び、プライベート装置のトラフィックを処理するためのルールをアクティブ化するトラフィック処理モジュールを備える。
【0016】
随意的に、トラフィック処理モジュールは、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを送信元アドレスとするトラフィックを受信し、受信されたトラフィックをプライベート装置のトラフィックとして識別し、プライベート装置のトラフィックにルールを適用し、及び、トラフィックをその宛先に向けてパブリックネットワークにおいて転送してもよい。
【0017】
前記トラフィック処理モジュールは、随意的に、さらに、ポートのブロックの識別子の受信時にルールをアクティブ化する前に、パブリックネットワークの別のネットワークノードからルールを受信し、又は、ポートのブロックの識別子の受信時にルールを生成し及びアクティブ化することによって、プライベート装置のトラフィックを処理するためのルールをアクティブ化してもよい。
【0018】
トラフィック処理モジュールは、随意的に、ネットワークアドレス変換装置から、プライベート装置の識別子をパブリックIPv4アドレス上のポートのブロックの識別子と共にさらに受信してもよく、この場合において、トラフィック処理モジュールは、さらに、ルールをアクティブ化する前に、プライベート装置の識別子を認証機能とのその認証期間中に傍受し、又は、認証機能によるプライベート装置の認証に続き当該認証機能からプライベートの識別子を受信してもよい。
【0019】
本発明の第5の観点は、パブリックネットワークにおいてプライベート装置の識別を可能にするためのシステムを対象とする。当該システムは、パブリックネットワークにおいて有効なパブリックIPv4アドレスを有するネットワークアドレス変換装置と、パブリックネットワークにおけるネットワークノードと、を備える。
【0020】
ネットワークアドレス変換装置は、パブリックネットワーク中には存在しないプライベート装置にプライベートIPv4アドレスを割り振り、プライベート装置についてパブリックIPv4アドレス上のポートのブロックを予約し、及びパブリックネットワークにおけるネットワークノードにポートのブロックの識別子を送信する。パブリックネットワークにおけるネットワークノードは、ポートのブロックがプライベート装置について予約されていることを示す、パブリックIPv4アドレス上のポートのブロックの識別子を受信し、及び、プライベート装置のトラフィックを処理するためのルールをアクティブ化する。
【0021】
随意的に、ネットワークアドレス変換装置は、パブリックネットワークにおけるネットワークノードにプライベート装置の識別子をポートのブロックの前記識別子と共にさらに送信してもよく、パブリックネットワークにおけるネットワークノードは、ルールをアクティブ化する前に、さらに、プライベート装置の識別子を認証機能とのその認証期間中に傍受し、又は、認証機能によるプライベート装置の認証に続き当該認証機能からプライベートの識別子を受信してもよい。
【0022】
ネットワークアドレス変換装置は、随意的に、さらに、プライベート装置から、パブリックネットワークに向けてのトラフィックを受信し、及び、プライベート装置について予約されたポートのブロックからの少なくとも1つのポートを用いてパブリックネットワーク上で当該トラフィックを転送してもよい。パブリックネットワークのネットワークノードは、さらに、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを送信元アドレスとするトラフィックを受信し、受信されたトラフィックを前記プライベート装置のトラフィックとして識別し、及び、プライベート装置のトラフィックにルールを適用してもよい。
【0023】
パブリックIPv4アドレス上のポートのブロックの識別子は、プライベート装置のパブリック識別子と共に1つのパブリックレジストリにさらに登録されてもよい。上記システムは、プライベート装置のパブリック識別子を用いて、プライベート装置について予約されたポートのブロックの識別子をパブリックレジストリから取得し、及び、インカミングトラフィックをプライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスに送信する、対応ノード、をさらに備えてもよい。パブリックネットワークのネットワークノードは、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを宛て先アドレスとする(addressed to)インカミングトラフィックを受信し、当該インカミングトラフィックをプライベート装置のインカミングトラフィックとして識別し、プライベート装置のインカミングトラフィックにルールを適用し、及び、インカミングトラフィックをネットワークアドレス変換装置に向けて転送してもよい。ネットワークアドレス変換装置は、さらに、パブリックネットワークから、プライベート装置についてのインカミングトラフィックをプライベート装置について予約されたポートのブロックからの少なくとも1つのポート上で受信し、及び、当該インカミングトラフィックをプライベート装置に転送してもよい。
【図面の簡単な説明】
【0024】
添付の図面において:
【0025】
図1】本発明の教示に係る例示的なネットワークの表現である。
図2】本発明の教示に係る、パブリックネットワークにおいて第1の例示的なプライベート装置の識別を可能にするための例示的なフロー及びノードの動作チャートである。
図3】本発明の教示に係る、パブリックネットワークにおいて第2の例示的なプライベート装置の識別を可能にするための例示的なフロー及びノードの動作チャートである。
図4】本発明の教示に係る、パブリックネットワークにおいてプライベート装置の識別を可能にするための例示的なフローチャートである。
図5】本発明の教示に係る、パブリックネットワークにおいて例示的なプライベート装置の識別を可能にするための第1のネットワークノードの例示的なモジュール表現である。
図6】本発明の教示に係る、パブリックネットワークにおいて例示的なプライベート装置の識別を可能にするための第2のネットワークノードの例示的なモジュール表現である。
【発明を実施するための形態】
【0026】
ユーザ装置は、プライベートIPv4アドレスを有し、及びNAT装置に接続される。NAT装置は、当該NAT装置に割り当てられたパブリックIPv4アドレスを有する。本発明の実施形態は、NAT装置のパブリック側におけるノードにおいてユーザ装置が識別されることを可能にする。これは、ユーザ装置についての、NAT装置におけるパブリックIPv4アドレス上のポートのグループの予約と、NAT装置から当該NAT装置のパブリック側におけるノードへの、予約されたポートのグループの通信と、を通じて達成される。
【0027】
幾つかのより具体的な実施形態において、NAT装置として動作するレジデンシャルゲートウェイ(RG)は、パブリックIPv4アドレスを用いて、サービスプロバイダネットワークにおけるIPエッジノード(又はボーダエッジノード又はボーダーノード)に接続される。IPエッジノードは、RG(例えば、3GPPのUEモバイル装置)を通じて接続される特定の装置に、例えばQoS、フィルタリング等(例えば、ポリシーエンフォースメント)を適用することに関与する。そのような装置がRGに接続されると、RGは、プライベートIPv4アドレスを接続中の装置に割り振り、及び当該接続中の装置についてRGのパブリックIPv4アドレス上のポートのグループを予約する。RGは、予約されたポートのグループの識別子を、後で使用する可能性のためにIPエッジノードに送信することができる。RGにおいて装置からパブリックアドレスについてのトラフィックが受信される場合、パブリックIPv4アドレス上の予約されたポートのうちの1つが用いられる。従って、本発明は、必要な場合はいつでも、装置がNAT装置の背後に存在していても、IPエッジノードにおける当該装置の適当な識別を可能にする。これは、IPエッジノードにおける求められるトラフィック処理を可能にし得る。
【0028】
ここで図面を参照すると、図1は、本発明の教示に係る例示的なネットワーク100の表現を示す。例示的なネットワーク100は、レジデンシャルゲートウェイ(RG)110を示し、当該RG110に向けて1つ以上のユーザ装置が接続される。図1の例において、パーソナルコンピュータ(PC)112、ユーザ機器(UE)114、及びセットトップボックス(STB)116が示される。装置112〜116とRG110との間の種々のタイプのネットワーク接続(例えば、WLAN若しくはWIFI、LAN)は、本発明の教示に影響を及ぼすことなく存在することができる。RG110は、プライベート(又は、ホーム)ネットワーク118を定義する。当業者は、図1のプライベートネットワーク118が例を提示すること、及び様々な装置の多くの他の組み合わせがRG110などのネットワークノードへ接続できることを容易に認識するであろう。
【0029】
RG110は、図1上でIPエッジノード130として表されるボーダーノード130に向けてアクセスネットワーク120(又は、広域ネットワーク(WAN:Wide Area Network))に接続される。RG110は、アクセスノード122を介してIPエッジノード130に向けて接続される可能性が高い。アクセスノード122の機能性は、IPエッジノード130に一体化されてもよい。言うまでもなく、アクセスネットワーク120は、当該アクセスネットワーク120にさらに多くの加入者を接続する複数のレジデンシャルゲートウェイ(図示せず)を備える可能性が高い。
【0030】
IPエッジノード130は、サービスプロバイダネットワーク140及びパブリックインターネット150に接続する。認証機能は、IPエッジノード130に利用可能であり得る。図1は、同時に存在し得るがサービスプロバイダネットワーク140において相互排他的な可能性が高い2つの例示的な認証機能を示す。1つの例示的な認証機能132Aは、IPエッジノード130と同一の場所に配置され又は一体化される一方、もう1つの例示的な認証機能132Bは、サービスプロバイダネットワーク140における別個のネットワークノードの一部である。エレメント132への言及が為される場合、認証機能132A及び132Bのうちの一方又は他方への言及が為されると理解されるべきである。認証機能132の例は、認証、承認及びアカウンティング(AAA:Authentication, Authorization and Accounting)サーバを含む。
【0031】
当業者は、図1の例示的なネットワーク100が(中間ルータ、コアルータ、動的ホスト構成プロトコル(DHCP:Dynamic Host Configuration Protocol)サーバ、ホーム加入者サーバ(HSS:Home Subscriber Server)等といった)さらに多くのネットワークノード及びネットワーク機能を備える可能性が高いことを容易に認識するであろう。本発明は、それによって影響を受けない。
【0032】
本発明を例示するために、図1の例示的なRG110は、レイヤ3モード又はルーテッドモードにおいて動作される。RG110は、IPエッジノード130又はアクセスネットワーク120若しくはサービスプロバイダネットワーク140の別のノード(図示せず)から、パブリックIPv4アドレスを取得する。RG110は、取得されたパブリックIPv4アドレスを、アクセスネットワーク120を介して行われる全ての通信について用いる。RG110は、プライベートネットワーク118を定義し、及び当該プライベートネットワーク118内の全ての装置(112〜116)についてのデフォルトのレイヤ3ゲートウェイとして構成される。各装置(112〜116)は、当該装置についてのネットワークアドレス変換(NAT)装置として動作するRG110から、プライベートIPv4アドレスを取得する。さらに詳細には、及びNATの一例として、パブリックIPv4アドレスにアクセスするための接続要求がPC112からRG110において(即ち、プライベートネットワーク118において)受信されると、RG110は、そのパブリックIPv4アドレス上のポートを開放し、及び上記要求を当該ポートを介してアクセスネットワーク120において転送する。上記要求に対応する応答が開放されたポート上で受信される場合、当該応答はプライベートネットワーク118においてRG110によってPC112に転送される。大抵の状況において、PC112は、RG110がNAT装置として動作することを認識せず及び認識する必要もない。
【0033】
認識され得るように、この例示的なシナリオにおいては、RG110に接続される複数のIPv4ホスト又は装置(112〜116)がネットワークアドレス変換の使用を通じてRG110のIPv4アドレスを共有する。そのため、各装置(112〜116)の個別のプライベートIPv4アドレスは、RG110において除去され、その単一のパブリックIPv4アドレスが選択される。結果として、IPエッジノード130は、どのIPv4ホストが要求を送信し又は受信しているのかを判定することができず、それ故に、RG110の背後に位置する装置(112〜116)にトラフィック処理を適合させることができない。トラフィック処理の例は、QoS(Quality of Service)サービス、加入者ベースポリシー制御及びホスト単位でのトラフィックスケジューリング等を含む。RG110の背後にある装置を識別することができないことは、そのホーム3GPPネットワーク(図示せず)及び/又はサービスプロバイダネットワーク140からサービスを取得する必要があり得るUE114の例において、より大きな問題となる。上記に示されるように、IPエッジノード130は、UE114がRG110に接続されるその他の装置(112、116)と共有するパブリックIPv4アドレスに基づいて、UE114のトラフィックを実際には分類することができない。
【0034】
特定の装置及び/又は加入者がIPエッジノード130において識別される必要がある他の例示的なトラフィック処理サービス(又は、動的ポリシー制御及びサービス)は、以下を含む:
・トラフィックフィルタリング;
・合法的傍受(lawful intercept);
・E−911サービス;
・ビリング及びアカウンティングの提供;
・インテリジェントポリシーベースルーティング;
・UE114のトラフィックのホーム3GPPネットワークへのトンネリング;等。
【0035】
ここで図2を参照すると、図2は、本発明の教示に係る、パブリックネットワーク(例えば、140、150)においてプライベート装置(例えば、112〜116)の識別を可能にするためのシステムの例示的なフローチャートを示す。図2上に示されるノード110、114、130及び132は、図1の例にも示される。
【0036】
図2の例において、UE114は、最初にUE114自体を認証機能132により認証する必要があり得る。認証を達成するための多くの異なる可能性のうちの2つ(202、210)が、図2に示される。第1のオプション202は、UE114に認証機能132との通信(204)を達成させることによって認証を達成する。様々な認証プロトコル又は単純なメッセージ交換が通信204の期間中に用いられ得る。一例は、RADIUS(Remote Authentication Dial-In User Service)プロトコルセッションである。通信204において多数の異なるメッセージが存在し得る。本例の目的のためには、UE114が認証機能132により認証されることを考慮すれば充分である。一旦これが達成されると、認証機能132は、UE114の認証識別子206をIPエッジノード130に送信し得る。留意されるべき点は、この第1のオプション202において、通信204が認証の結果に影響を及ぼすことなくIPエッジノード130を含んでも又は含まなくてもよい点である。通信204にIPエッジノード130が関与する場合、IPエッジノード130はUEの認証識別子206を傍受したかもしれないため、UEの認証識別子206をIPエッジノード130に送信することは必要とされないことがあり得る。
【0037】
第2のオプション210において、IPエッジノード130は、プロキシ認証機能(例えば、プロキシRADIUS)としての役割を果たすことができる。UE114は、例えばRADIUSプロトコルセッションを用いて、IPエッジノード130との通信(212)を確立する。IPエッジノード130は、例えば同じ認証プロトコル(即ち、RADIUS)を用いて、認証機能132と通信214する。IPエッジノード130は、認証210に直接関与するため、UE114の認証識別子を認証機能132から送信する必要無しに取得する可能性が高い。しかしながら、IPエッジノード130がUE114の認証識別子を取得しても、認証機能132は、UE114の認証識別子をIPエッジノード130に送信してもよい(図示せず)。例えば、IPエッジ130は、できる限り認証識別子を傍受するように随意的に構成され、及び認証機能132は、認証識別子をIPエッジノード130に常に送信するように随意的に構成され得る。
【0038】
UE114の認証(202又は210)が必要であった場合、RG110は、UE114が成功裏に認証されたことを知ることが可能である可能性が高いであろう。RG110は、UE114の認証識別子を傍受すること(図示せず)も可能であり得る。認証識別子という用語は、実際には、認証機能132がUE114を一意に識別することを可能にする任意の識別子を表し得ることに留意すべきである。認証が必要ではない場合又はノードが異なった手法で構成される場合、任意の他の識別子も用いられ得る。
【0039】
図2の例は、プライベートネットワーク118においては有効であるがパブリックネットワーク(例えば、120、140、150)においては有効ではないプライベートIPv4アドレスをUE114が取得220することに続く。例えば、そのプライベートIPv4アドレスを取得するために、UE114は、DHCP_Discover(図示せず)をRG110に送信してもよく、RG110は、UE114にプライベートIPv4アドレスを提供するDHCP_Offer(図示せず)をUE114に送信するであろう。UE114は、提供されたプライベートIPv4アドレスを受け入れるために、DHCP_Request(図示せず)をRG110に送信することによって応答するであろう。RG110は、DHCP_Ack(図示せず)をUE114に送信することによって、割り当てられたプライベートIPv4アドレスを確認応答し、それによってUE114へのプライベートIPv4アドレスの割り当てを完了させるであろう。UE114は、RG110により静的に構成されるプライベートIPv4アドレスを用いるように構成されてもよい。静的に構成されるプライベートIPv4アドレスを用いても、RG110は、UE114にトラフィックをルーティングすることを可能とするために、少なくともアドレス管理の観点から、依然としてUE114にプライベートIPv4アドレスを割り振る必要がある。
【0040】
IPv4アドレスの割り振り220に続いて、RG110は、UE114に割り当てられたプライベートIPv4アドレスに基づいて、UE114についてのポートのブロックを予約222する。これは、例えば、RG110に接続される特に3GPPの装置又は全てのプライベートIPv4ホストについて為されることができる。上記予約222に続き、RG110は、UE114について予約されたポートのブロックの識別子224を送信し、及びUE114の認証識別子もIPエッジノード130に送信し得る。RG110は、ポートのブロックの識別子を送信する際、そのパブリックIPv4アドレスをソースアドレスとして暗黙的に送信する。それにかかわらず、パブリックIPv4アドレスは、同じメッセージ中に明示的にも含まれ得る。UE114について予約されるポートのブロックの識別子は、数値範囲又は数値のリストから成る可能性が高い。複数のポートを所定の手法でグループ化し、グループ識別子をポートのブロックの識別子として提供するという決定をすることもできる。IPのコンテキストにおいて用いられる、ポートについての数値は、0から65535に及び、多くの範囲及び特定の値が予約される。予約されるポートの数が判定される手法及び実際の数値は、本発明に影響を及ぼさない。
【0041】
IPエッジノード130は、UE114について予約されたポートのブロックの識別子を受信し、及びRG110からUE114の認証識別子を受信し得る。IPエッジノード130は、RG110のパブリックIPv4アドレスも暗黙的又は明示的に取得する。IPエッジノード130は、認証手続き202又は210の期間中に、UE114の認証識別子を既に取得していることがある。そのような例において、IPエッジノード130は、UE114の2つの同一の認証識別子を相互に関連付け、及びUE114をパブリックIPv4アドレスのポートのブロックに適当に関連付けることが可能である。UE114の認証識別子が提供されない場合、IPエッジノード130は、(もし存在すれば)認証識別子又は別の識別子を要求するように構成され得る。要求は、RG110を又は(例えば、UE114について予約されたポートのブロックのうちの1つ以上を用いて)UE114を直接的に宛て先アドレスとし得る。一旦パブリックIPv4アドレス上のポートのブロックがUE114に関連付けられると、IPエッジノード130は、UE114のトラフィックを処理するための適切なルールをアクティブ化226する(生成し又はさもなければインストールする)ことが可能である。UE114に関連する1つ以上のルールは、IPエッジノード130において生成され、又は(例えば、認証手続き202又は210の一部として)認証機能132若しくはネットワーク100における別のノード(図示せず)(例えば、HSS、若しくはネットワーク140若しくはUE114のホームネットワーク(図示せず)における他の管理ノード)から受信され得る。
【0042】
UE114へのプライベートIPv4アドレスの割り当てに続き、UE114は、ある時点において、パブリックネットワーク(例えば、140又は150)に向けてトラフィック228を送信し始め得る。当該トラフィックは、RG110において傍受される。RG110は、当該トラフィック228にNAT230を適用する。例えば、NAT230は、RG110において、プライベートIPv4アドレス及びUE114から受信されるポートをRG110のパブリックIPv4アドレス及びUE114について予約されるポートのブロックのうちの1つのポートとスワッピングすることによって提供されることができる。RG110は、UEトラフィック232をその目的地に向けて転送し、それによって、IPエッジノード130に到達する。
【0043】
IPエッジノード130は、UEトラフィック232を受信し、当該トラフィック中のポート情報とUE114について予約されたポートのブロックの識別子とを比較することによって、受信されたトラフィックをUE114のトラフィックとして識別することが可能である。IPエッジノード130は、UE114のUEトラフィック232にルールを適用234することが可能である。妥当な場合(例えば、IPエッジノード130以外の別のノードを宛て先アドレスとし、且つトラフィック処理がそれを許可する場合)、IPエッジノード130は、パブリックネットワーク(例えば、140又は150)においてUEトラフィック236を転送することが可能である。
【0044】
UEトラフィック236に関連する任意の応答(例えば、UEトラフィック238)は、IPエッジノード130において受信されるであろう。IPエッジノード130は、RG110にUEトラフィック240を転送する前に、UEトラフィック238に同じ若しくは異なるルールを適用しても(図示せず)又は如何なるルールも適用しなくてもよい。RG110は、UEトラフィック238にNAT242を適用し、及びUE114にそのプライベートIPv4アドレスを用いてトラフィック244を転送する。
【0045】
RG110のパブリックIPv4アドレス上の、UE114について予約されたポートのブロックの識別子は、UE114のパブリック識別子と共に1つのパブリックレジストリに(例えば、DNS又はSIPレジストリ内に)さらに登録(250)され得る。登録は、UE114がRG110のパブリックIPv4アドレス及びUE114について予約されたポートのブロックを認識している場合、UE114によって実行され得る。登録は、UE114からの要求に応じて又は通常の手続きとして、RG110によっても実行され得る。このシナリオにおいて、対応ノード(図示せず)は、UE114のパブリック識別子を用いて、UE114について予約されたポートのブロックの識別子をレジストリから取得し、及びUE114についてのUEトラフィック252を自発的に(且つ、必ずしもUEトラフィック236について示されるような応答としてではなく)送信することが可能であろう。対応ノードは、UE114について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスをUEトラフィック252の宛て先とするであろう。
【0046】
UEトラフィック252の受信に続き、IPエッジノード130は、(例えば、それが自発的な通信であって応答ではないことを考慮するかしないかによらず)UEトラフィック256をRG110に転送する前に、同じ又は異なるルールをUEトラフィック252に適用(254)し得る。RG110は、UEトラフィック256にNAT258を適用し、及びUE114にそのプライベートIPv4アドレスを用いてトラフィック260を転送する。RG110は、トラフィック256中の他の情報(例えば、他のヘッダフィールド又はペイロード)を用いて、プライベートIPv4アドレスのどのポートにトラフィック260が送信されるべきかを判定し得る。あるいは、UE114について予約されたポートのブロックとそのプライベートIPv4アドレス上で用いられるべきポートとのマッピングも存在し得る。さらに別の代替案は、全てのインカミングトラフィック260について1つの所定のポート(又は、ポート範囲)を用いることである。
【0047】
言うまでもなく、UE114をプライベート装置として用いる図2の例は、実例となる例であって、唯一の可能性として解釈されるべきではない。より確実にするために、パーソナルコンピュータ(PC)112をプライベート装置として用いる例が、図3に与えられる。
【0048】
図3の例は、プライベートネットワーク118において有効であるがパブリックネットワーク(例えば、120、140、及び150)において有効ではないプライベートIPv4アドレスをPC112が取得320することから開始する。例えば、PC112は、そのプライベートIPv4アドレスを取得するために、DHCP_Discover(図示せず)をRG110に送信してもよく、当該RG110は、PC112にプライベートIPv4アドレスを提供するDHCP_Offer(図示せず)をPC112に送信するであろう。PC112は、提供されたプライベートIPv4アドレスを受け入れるために、RG110にDHCP_ReqPCst(図示せず)を送信することによって応答するであろう。RG110は、DHCP_Ack(図示せず)をPC112に送信することによって、割り当てられるプライベートIPv4アドレスに対して確認応答を送信し、それによって、PC112へのプライベートIPv4アドレスの割り当てを完了する。PC112は、RG110により静的に構成されるプライベートIPv4アドレスを用いるように構成されてもよい。静的に構成されるプライベートIPv4アドレスを用いても、RG110は、トラフィックをPC112にルーティングすることが可能であるように、少なくともアドレス管理の観点から、PC112にプライベートIPv4アドレスを割り振る必要が依然としてある。
【0049】
IPv4アドレスの割り振り320に続き、RG110は、PC112に割り当てられたプライベートIPv4アドレスに基づいてPC112についてのポートのブロックを予約322する。当該予約322に続き、RG110は、PC112について予約されたポートのブロックの識別子をIPエッジノード130に送信324し、及びPC112の識別子もIPエッジノード130に送信し得る。RG110は、ポートのブロックの識別子を送信する際、そのパブリックIPv4アドレスをソースアドレスとして暗黙的に送信する。それでもなお、パブリックIPv4アドレスは、同じメッセージ中に明示的にも含まれ得る。PC112について予約されるポートのブロックの識別子は、数値範囲又は数値のリストから成る可能性が高い。複数のポートを所定の手法でグループ化し、グループ識別子をポートのブロックの識別子として提供するという決定をすることもできる。IPのコンテキストにおいて用いられる、ポートについての数値は、0から65535に及び、多くの範囲及び特定の値が予約される。予約されるポートの数が判定される手法及び実際の数値は、本発明に影響を及ぼさない。
【0050】
IPエッジノード130は、PC112について予約されたポートのブロックの識別子を受信し、及びRG110からPC112の識別子を受信し得る。PC112の識別子が提供されない場合、IPエッジノード130は、識別子をRG110又は(例えば、PC112について予約されたポートのブロックのうちの1つ以上を用いて)PC112に直接要求するように構成され得る。IPエッジノード130は、RG110のパブリックIPv4アドレスも黙示的又は明示的に取得する。PC112に関連する1つ以上のルール(例えば、ベストエフォートトラフィックについての一般的なルール)は、IPエッジノード130において生成され、又はネットワーク100における別のノード(図示せず)から受信され得る。IPエッジノード130は、PC112の2つの同一の識別子を相互に関連付け、及びPC112をパブリックIPv4アドレスのポートのブロックに適当に関連付けることが可能である。一旦パブリックIPv4アドレス上のポートのブロックがPC112に関連付けられると、IPエッジノード130は、適当なルールをアクティブ化326し(生成し又はさもなければインストールし)て、PC112のトラフィックを処理することが可能である。
【0051】
PC112へのプライベートIPv4アドレスの割り当てに続き、PC112は、ある時点において、パブリックネットワーク(例えば、140又は150)に向けてトラフィック328を送信し始め得る。当該トラフィックは、RG110において傍受される。RG110は、当該トラフィック328にNAT330を適用する。例えば、NAT330は、プライベートIPv4アドレス及びPC112から受信されるポートをRG110のパブリックIPv4アドレス及びPC112について予約されるポートのブロックからの1つのポートとスワッピングすることによって、RG110において提供されることができる。RG110は、PCトラフィック332をその宛先に向けて転送し、それによって、IPエッジノード130に到達する。
【0052】
IPエッジノード130は、PCトラフィック332を受信し、及び当該トラフィック中のポート情報をPC112について予約されたポートのブロックの識別子と比較することによって、受信されたトラフィックをPC112のトラフィックとして識別することが可能である。IPエッジノード130は、PC112のPCトラフィック332にルールを適用334することが可能である。妥当な場合(例えば、IPエッジノード130以外の別のノードを宛て先アドレスとし、且つトラフィック処理がそれを許可する場合)、IPエッジノード130は、パブリックネットワーク(例えば、140又は150)においてPCトラフィック336を転送することができる。
【0053】
図4は、本発明の教示に係る、パブリックネットワークにおいてプライベート装置の識別を可能にするための例示的なフローチャートを示す。プライベート装置は、パブリックネットワークにおいて有効なパブリックIPv4アドレスを有するネットワークアドレス変換装置の背後に位置する。プライベート装置は、幾つかの場合において、認証機能に当該プライベート装置自体を認証しなければならないことがあり得る405。パブリックネットワークのネットワークノードは、プライベート装置の識別子を当該プライベート装置の認証機能への認証の期間中に傍受し得る410。あるいは、パブリックネットワークのネットワークノードは、プライベート装置の認証機能への認証に続き、当該認証機能からプライベートの識別子を受信し得る。ネットワークアドレス変換装置は、認証の成功を知って、プライベート装置の識別子を取得し得る415。
【0054】
ネットワークアドレス変換装置は、プライベートIPv4アドレスをプライベート装置に割り振る420。プライベート装置はパブリックネットワーク中には存在しないことが理解されるべきである。言うまでもなく、当業者は、プライベート装置が1つよりも多くのアドレスを有し得ること、及びプライベート装置がそのプライベートアドレスを有してパブリックネットワーク中には存在しないことを容易に認識するであろう。プライベート装置のプライベートIPv4アドレスは、パブリックネットワーク上では用いられることができない。ネットワークアドレス変換装置は、プライベート装置についてパブリックIPv4アドレス上のポートのブロックを予約し425、及び当該ポートのブロックの識別子をパブリックネットワークにおけるネットワークノードに送信する430。随意的に、ネットワークアドレス変換装置は、以前取得されたプライベート装置の識別子をパブリックネットワークにおけるネットワークノードに送信してもよい435。
【0055】
パブリックネットワークのネットワークノードは、ポートのブロックがプライベート装置について予約されていることを示す、IPv4アドレス上のポートのブロックの識別子を受信する430。ネットワークノードは、随意的に、ネットワークアドレス変換装置からプライベート装置の識別子を受信し得る435。パブリックネットワークのネットワークノードは、その後、プライベート装置のトラフィックを処理するためのルールをアクティブ化する440。ルールをアクティブ化することは、随意的に、ポートのブロックの識別子の受信時にルールをアクティブ化し、又はポートのブロックの識別子の受信時にルールを生成し及びアクティブ化する前に、パブリックネットワークの別のネットワークノードからルールを受信することを含み得る。
【0056】
ネットワークアドレス変換装置は、プライベート装置からパブリックネットワークへの接続要求を受信し445、及びプライベート装置について予約されたポートのブロックからの少なくとも1つのポートを用いて当該パブリックネットワークへの接続要求を転送することができる450。パブリックネットワークのネットワークノードは、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを送信元アドレスとするトラフィックを受信するであろう455。パブリックネットワークのネットワークノードは、例えばトラフィックパケットのソースアドレスにおいて用いられているポート範囲に基づいて、受信されたトラフィックをプライベート装置のトラフィックとして識別するであろう460。パブリックネットワークのネットワークノードは、プライベート装置のトラフィックにルールを適用し465、及び当該トラフィックをパブリックネットワークにおいて転送し得る470。
【0057】
パブリックネットワークは、例えばIPv6ネットワークとすることができ、パブリックIPv4アドレスは、そのような例示的なシナリオにおいて、後方互換性を確保するためにIPv6アドレスにおいて表され得る。ポートのブロックは、少なくとも2つのポートの隣接するグループである可能性が高いが、本発明に影響を及ぼすことなく、少なくとも2つのポートの非隣接グループであってもよい。
【0058】
パブリックIPv4アドレス上のポートのブロックの識別子は、プライベート装置のパブリック識別子と共に1つのパブリックレジストリにもさらに登録され得る。このシナリオにおいて、対応ノードは、プライベート装置のパブリック識別子を用いて、プライベート装置について予約されたポートのブロックの識別子をパブリックレジストリから取得し、インカミングトラフィックをプライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスに送信することが可能である。
【0059】
パブリックネットワークのネットワークノードは、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上のパブリックIPv4アドレスを宛て先アドレスとするインカミングトラフィックを受信し、当該インカミングトラフィックをプライベート装置のインカミングトラフィックとして識別し、プライベート装置のインカミングトラフィックにルールを適用し、及びインカミングトラフィックをネットワークアドレス変換装置に向けて転送することができる。ネットワークアドレス変換装置は、プライベート装置について予約されたポートのブロックからの少なくとも1つのポート上で、プライベート装置に向けたパブリックネットワークからのインカミングトラフィックを受信し、及びインカミングトラフィックをプライベート装置に転送することができる。
【0060】
図5は、本発明の教示に係る、パブリックネットワークにおいて第2の例示的なプライベート装置の識別を可能にするためのネットワークノード4000の例示的なモジュール表現を示す。ネットワークノード4000は、プロセッサモジュール4100、メモリモジュール4200、及びネットワークインタフェースモジュール4400を備え、並びにストレージデバイスモジュール4300を備え又はさもなければネットワークノード4000の他のモジュールに利用可能にする。ネットワークノード4000は、アドレス管理モジュール4500、及びネットワークアドレス変換モジュール4600も備える。アドレス管理モジュール4500及びネットワークアドレス変換モジュール4600は、物理的なハードウェアモジュールであってもよいが、1つ以上の他のモジュール4100〜4400によって実装される論理モジュールを表してもよい。アドレス管理モジュール4500は、パブリックネットワークにおいて有効なIPv4アドレスを割り当てられ、及び当該パブリックネットワーク中に存在しないプライベート装置にプライベートIPv4アドレスを割り振る。ネットワークアドレス変換モジュール4600は、プライベート装置についてパブリックIPv4アドレス上のポートのブロックを予約し、及び当該ポートのブロックの識別子をパブリックネットワークにおけるさらなるネットワークノードに送信する。
【0061】
プロセッサモジュール4100は、1つ以上のプロセッサコア又は各々が1つ以上のプロセッサコアを備えるプロセッサのアレイを有する単一のプロセッサを表し得る。メモリモジュール4200は、種々のタイプのメモリ(様々に標準化された又は様々な種類のRAM(Random Access Memory)モジュール、メモリカード、ROM(Read-Only Memory)モジュール、プログラマブルROM等)を備え得る。ストレージデバイスモジュール4300は、1つ以上の論理的又は物理的な及びローカル又はリモートのハードディスクドライブ(HDD)(又は、そのアレイ)を表し得る。ストレージデバイスモジュール4300は、標準又はプロプライエタリなインタフェースによってネットワークノード4000にアクセス可能にされるローカル又はリモートのデータベースをさらに表し得る。ネットワークインタフェースモジュール4400は、他のネットワークノードと通信するために用いられることができる少なくとも1つの物理的なインタフェースを表す。ネットワークインタフェースモジュール4400は、1つ以上の論理インタフェースを通じてネットワークノード4000の他のモジュールに可視化されてもよい。ネットワークインタフェースモジュール4400の物理的なネットワークインタフェース及び/又は論理的なネットワークインタフェースによって用いられる実際のプロトコルのスタックは、本発明の教示に影響を及ぼさない。本発明のコンテキストにおいて使用可能なプロセッサモジュール4100、メモリモジュール4200、ネットワークインタフェースモジュール4400、及びストレージデバイスモジュール4300の変形例は、当業者には容易に明らかとなるであろう。同様に、メモリモジュール4200及び/又はプロセッサモジュール4100についての明示的な言及は本例の説明全体に渡って為されないが、当業者は、当該モジュールがネットワークノード4000の他のモジュールと共に用いられてルーチン及び本発明に関連する革新的なステップを実行することを容易に認識するであろう。
【0062】
図6は、本発明の教示に係る、パブリックネットワークにおいて第2の例示的なプライベート装置の識別を可能にするためのネットワークノード5000の例示的なモジュール表現を示す。ネットワークノード5000は、プロセッサモジュール5100、メモリモジュール5200、及びネットワークインタフェースモジュール5400を備え、並びにストレージデバイスモジュール5300を備え又はさもなければネットワークノード5000の他のモジュールに利用可能にする。ネットワークノード5000は、ポートのブロックがプライベート装置について予約されていることを示す、パブリックIPv4アドレス上の当該ポートのブロックの識別子を受信するトラフィック処理モジュール5500も備え、プライベート装置は、パブリックネットワーク中には存在せず、トラフィック処理モジュール5500は、プライベート装置のトラフィックを処理するためのルールをアクティブ化する。トラフィック処理モジュール5500は、物理的なハードウェアモジュールであってもよいが、1つ以上の他のモジュール5100〜5400によって実装される論理モジュールを表してもよい。
【0063】
プロセッサモジュール5100は、1つ以上のプロセッサコア又は各々が1つ以上のプロセッサコアを備えるプロセッサのアレイを有する単一のプロセッサを表し得る。メモリモジュール5200は、種々のタイプのメモリ(異なる標準又は種類のRAM(Random Access Memory)モジュール、メモリカード、ROM(Read-Only Memory)モジュール、プログラマブルROM等)を備え得る。ストレージデバイスモジュール5300は、1つ以上の論理的又は物理的な及びローカル又はリモートのハードディスクドライブ(HDD)(又は、そのアレイ)を表し得る。ストレージデバイスモジュール5300は、標準又はプロプライエタリなインタフェースによってネットワークノード5000にアクセス可能にされるローカル又はリモートのデータベースをさらに表し得る。ネットワークインタフェースモジュール5400は、他のネットワークノードと通信するために用いられることができる少なくとも1つの物理的なインタフェースを表す。ネットワークインタフェースモジュール540は、1つ以上の論理インタフェースを通じてネットワークノード5000の他のモジュールに可視化されてもよい。ネットワークインタフェースモジュール5400の物理的なネットワークインタフェース及び/又は論理的なインタフェースによって用いられる実際のプロトコルのスタックは、本発明の教示に影響を及ぼさない。本発明のコンテキストにおいて使用可能なプロセッサモジュール5100、メモリモジュール5200、ネットワークインタフェースモジュール5400、及びストレージデバイスモジュール5300の変形例は、当業者には容易に明らかとなるであろう。同様に、メモリモジュール5200及び/又はプロセッサモジュール5100についての明示的な言及は本例の説明全体にわたって為されないが、当業者は、当該モジュールがネットワークノード5000の他のモジュールと共に用いられてルーチン及び本発明に関連する革新的なステップを実行することを容易に認識するであろう。
【0064】
明細書全体にわたる「1つの実施形態」又は「ある実施形態」への言及は、ある実施形態に関連して特定の特徴、構造、又は特性が開示される主題の少なくとも1つの実施形態に含まれることを意味する。従って、明細書の全体にわたる種々の箇所における「1つの実施形態において」又は「ある実施形態において」という表現の出現は、必ずしも同じ実施形態に言及しない。さらに、特定の特徴、構造又は特性は、1つ以上の実施形態において任意の適切な手法において組み合わせられ得る。
【0065】
本発明の幾つかの好適な実施形態は、添付の図面において例示され及び前述の説明において記載されてきたが、本発明は、開示された実施形態に限定されず、本発明の教示から逸脱することなく多数の再構成、変更及び置換が可能であることが理解されるであろう。例えば、図面は種々のアルゴリズムを扱う単一のノードを提示していても、ノードのクラスタがタスクを透過的にさらに実行し得る。従って、これは本発明の必須条件として解釈されるべきではない。一般に、本発明の説明において為される記述は、必ずしも特許請求の範囲に記載される本発明の種々の観点のいずれも限定しない。さらに、幾つかの記述は、幾つかの進歩的な特徴に当てはまるが、他の進歩的な特徴には当てはまらないことがあり得る。図面において、同様又は類似の要素は、幾つかの図にわたって同一の参照番号により示され、図示される種々の要素は、必ずしも縮尺通りに描かれているわけではない。さらに、種々のステップが実行される順序は、種々のアルゴリズムの結果に必ずしも重要ではない。また、前述の詳細な説明は、本発明を限定しない。その代わりに、本発明の範囲は、添付の特許請求の範囲によって定義される。
図1
図2
図2C
図3
図4
図4C
図5
図6
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.