JP2004165761A - Communication system - Google Patents
Communication system Download PDFInfo
- Publication number
- JP2004165761A JP2004165761A JP2002326397A JP2002326397A JP2004165761A JP 2004165761 A JP2004165761 A JP 2004165761A JP 2002326397 A JP2002326397 A JP 2002326397A JP 2002326397 A JP2002326397 A JP 2002326397A JP 2004165761 A JP2004165761 A JP 2004165761A
- Authority
- JP
- Japan
- Prior art keywords
- data center
- data
- user terminal
- public internet
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、通信システムにかかり、特に、ユーザ端末がデータセンタのファイアフォールを介して公衆インターネット網上においてデータ通信を行う通信システムに関する。
【0002】
【従来の技術】
近年、インターネットの普及により、インターネットを利用したビジネスやサービスが加速度的に増加する一方で、「盗聴」や「なりすまし」などの問題が生じている。かかる問題を防止すべく、通信のセキュリティ強化がきわめて重要になっている。
【0003】
特に、ユーザを複数抱える企業などにおいては、ユーザ端末間の通信(LAN)のセキュリティを維持しつつ、公衆インターネット網上のウェブサイトを閲覧できるよう、インターネットの出入口までは専用線を用いるシステム等が構築されていた。その具体例を図6に示す。
【0004】
図6に示すように、セキュリティを考慮すると、ユーザ端末100及びそれを管理する管理サーバ101は、ファイアウォールFW102を有するデータセンタ102を経由して公衆インターネット網N110にアクセスすることが望ましい。従って、イントラネット網N101にて接続されたユーザ端末100群は、管理サーバ101のルータR101及び専用線110を介してデータセンタ102(ルータR102)にアクセスし、そこからファイアウォールFW102を介して公衆インターネット網N110に接続することとなる。これにより、外部からの攻撃やイントラネットN101への不正アクセスは、データセンタ102(またはインターネットサービスプロバイダ(ISP))のファイアウォールFW102にて防御することができる。換言すると、管理サーバ101すなわちユーザ端末100は、直接的には公衆インターネット網N110にアクセスせず、データセンタ102への専用線110に接続されているのみであるため、データの盗聴などを抑制することができ、セキュリティの強化を図っている。
【0005】
また、ユーザ端末1等との接続に専用線を用いることで、重要なデータを管理することの多いデータセンタ102自体を、公衆インターネット網に無造作に接続することを抑制することができ、よりセキュリティの高いデータ通信を実現できる。
【0006】
さらに、ユーザ端末間、すなわち、ユーザの拠点間におけるイントラネット通信は、IP網によるVPNを用いることで、十分なセキュリティを確保することができる。
【0007】
一方で、上述したユーザの拠点間の通信を行う別の手段として、特許文献1に示すように、公衆インターネット網上にプライベートネットワークを構築し、仮想的な専用線のように利用することができるVPN技術が開発されている。
【0008】
【特許文献1】
特開2002−208965号公報
【0009】
【発明が解決しようとする課題】
しかしながら、いずれにしてもデータセンタには、セキュリティの面から専用線やIP−VPN網にて接続する必要があり、これを実現すべく専用線を引いたり、IP網を利用することは、その回線コストやイントラネット構築に費やす費用が高価となるという問題点が生じる。
【0010】
【発明の目的】
本発明は、ユーザが公衆インターネット網においてデータ通信を行う際のセキュリティの強化を図ると共に、設備導入コストの抑制を図ることができる通信システムを提供すること、をその目的とする。
【0011】
【課題を解決するための手段】
そこで、本発明では、ネットワークを介して複数のユーザ端末に接続されたファイアウォール手段を有するデータセンタを備え、ユーザ端末がデータセンタのファイアウォール手段を介して公衆インターネット網上の他のコンピュータと通信を行うシステムであって、データセンタとユーザ端末とを接続するネットワークは、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網である、という構成を採っている。
【0012】
このような構成にすることにより、ユーザ端末とデータセンタ間は、既存の公衆インターネット網にて接続されているにも関わらず、仮想私設網にてセキュリティの強化が図られている。そして、データセンタのファイアウォールにて公衆インターネット網上の他のコンピュータからの攻撃や不正アクセスを抑制することができる。従って、特別に専用線を敷設することなく、低コストにてセキュリティの強化を実現することができる。
【0013】
そして、仮想私設網は、インターネットワーキングの標準化団体であるInternet Engineering Task Force(IETF)が策定するIPsec方式によるものを用いることで、その設計及び利用が容易となる。
【0014】
また、データセンタとユーザ端末とを接続するネットワークは、公衆インターネット網であると共に、当該公衆インターネット網とデータセンタ及びユーザ端末との各接続箇所に、データセンタとユーザ端末とが相互にデータ通信を行う際にあらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段をそれぞれ設けても、上記同様の効果を得ることができ、各接続中継手段は、IETFが策定するIPsec方式にて通信を行うIPsecルータであることとすると望ましい。
【0015】
さらに、公衆インターネット網への出入口となるデータセンタは、ユーザ端末が送受信するデータのうち、あらかじめ登録されたコンピュータウイルスデータを有するデータを検出するウイルス検出手段を備えていると望ましい。また、他にも、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトがあらかじめ定められたサイトである場合にユーザ端末のアクセスを制限するアクセス制限手段や、ユーザ端末が公衆インターネット網上のウェブサイトからダウンロードするコンテンツデータがあらかじめ記憶されたデータに基づいて不適切であると判断した場合に当該コンテンツのダウンロードを制限するコンテンツフィルタリング手段、そして、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトのコンテンツを一時的に保管するプロキシ手段、ユーザ端末のデータ通信状況を記憶する通信ログ管理手段などを備えていると望ましい。
【0016】
これにより、ユーザ端末におけるインターネット網への出入口であるデータセンタにおいて、ユーザが被害を被ることのあるウイルスデータや、ユーザにとって好ましくないコンテンツデータをそのユーザ端末に伝送することを抑制することができるため、よりセキュリティの強化を図りつつ、有害データの蔓延を抑制することができる。そして、データセンタがプロキシとして機能する場合には、ユーザ端末によるウェブサイトの閲覧の効率化を図ることができる。
【0017】
そして、上記のように、インターネット上において生じる問題を改善する機能をデータセンタに集めることで、各機能を実現すべく複数のコンピュータなどを用意する必要がなく、サービス提供者側はその運用が容易となると共に、サービスを受けるユーザにとっては、低額な導入コスト、ランニングコストにて利用することができる。
【0018】
【発明の実施の形態】
〈第1の実施形態〉
本発明の第1の実施形態を、図1乃至図4を参照して説明する。図1は、本発明のシステムの概要を示すブロック図である。図2は、本発明のシステム構成の詳細を示す機能ブロック図である。図3は、データ通信の方式を説明する説明図である。図4は、システムの動作を示す説明図である。
【0019】
(全体構成)
図1に示すように、本発明の第1の実施形態における通信システムは、ネットワークNを介して複数のユーザ端末1に接続されたファイアウォール手段FWを有するデータセンタ2を備え、ユーザ端末1がデータセンタ2のファイアウォール手段FWを介して公衆インターネット網上の他のコンピュータと通信を行うシステムである。すなわち、ユーザ端末1が公衆インターネット網N上のウェブサイトWなどにアクセスする際に、データセンタ2を介するシステムである。
【0020】
そして、本発明では特に、複数のユーザ端末1とデータセンタ2とを接続するネットワークNも、種々のウェブサイトが存在する公衆インターネット網Nであり、このような構成においても、ユーザ端末1とデータセンタ2間のセキュリティの強化を図ることを実現するシステムである。具体的には、図1の太線箇所(符号B)の通信に特徴のあるシステムである。以下、これを詳述する。
【0021】
(ユーザ端末)
本発明におけるユーザ端末1は、所定の企業内における従業員が操作するコンピュータである。そして、これらのユーザ端末1は、相互に社内イントラネット(LAN)に接続されており、これらは一つのユーザ端末群1Aを形成している。例えば、ユーザ端末群1Aは、所定の企業の本社内に構築されたLANであり、1B,1Cは、他の地域に位置する事業所内に構築されたLANであるとする。このように、本発明では、多拠点に位置するユーザが、一つのデータセンタを介してインターネット網に接続する。
【0022】
そして、各ユーザ端末群1A,1B,1Cには、それぞれデータセンタ2とユーザ端末1とが相互にデータ通信を行う際に、あらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段であるIPsecルータR1a,R1b,R1c(図2にて、VPNルータ)が備えられている。このIPsecルータR1a,R1b,R1cは、IETFが策定するIPsec方式にて通信を行うルータであり、後述するデータセンタ2に備えられたIPsecルータR2と対となってインターネットVPN(仮想私設網)を形成する。すなわち、ユーザ端末群1A側のIPsecルータR1aと、データセンタ2側のIPsecルータR2とは、それぞれ公衆インターネット網Nを介して接続されている。さらに換言すると、公衆インターネット網Nとユーザ端末1及びデータセンタ2との各接続箇所に、IPsecルータR1a,R1b,R1c,R2が設けられている。このようにすることで、インターネット網Nを仮想的な専用線のように利用することができる。
【0023】
(仮想私設網)
ここで、仮想施設網について図3を参照して説明する。仮想私設網とは、共有ネットワーク上にプライベートネットワークを構築すること、またはそのための技術であり、仮想的な専用線のように利用できることから、そのように呼ばれている。また、仮想私設網は、Virtual Private Networkの頭文字を取ってVPNとも呼ばれている。そして、通信相手との間に仮想的なトンネルをつくることにより(トンネリング)、本来ならインターネットを経由できないプライベートアドレスの通信が、公衆インターネット網を介して行うことができる。
【0024】
例えば、図3(a)に示すように、端末A1を含む一方のLAN(符号A側)の公衆インターネット網Nとの接続箇所に、上述したようなVPNを実現するためのIPsecルータA2を設け、同様に端末B1を含む他方のLAN(符号B側)の公衆インターネット網Nとの接続箇所には、上記ルータA2と対となるIPsecルータB2を設ける。すると、これらルータによって仮想的なトンネルが形成され(トンネリング)、当該ルータ間のデータ通信のセキュリティを確保することができる。
【0025】
このとき、トンネリングには、図3(b)〜(d)に示すような手法がある。(b)に示すトンネリングのみの場合、端末A1が端末B1に送信したデータをルータA2がルータB2宛のヘッダをつけて送信する。すると、公衆インターネット網Nを通過する間は、ルータA2からルータB2へのデータとして扱われ、受信したルータB2がデータを元に戻して端末B1に送ることで端末A1から端末B1へのデータ通信を実現することができる。また、図3(c)に示す手法では、端末A1からのデータをヘッダ(From:A1,To:B1)も含めて暗号化し、これにルータA2がルータB2宛のヘッダをつけてトンネリングする。これにより、データ自身の安全を確保しさらに、送信元や宛先の情報を隠すことも可能になる。また、図3(d)に示す手法では、ヘッダの変換は行わずにデータ部のみ暗号化する。かかる場合には、ヘッダはそのまま送信されるため、端末A1から端末B1へのデータはインターネットを通過可能なデータでなければならないため、NAT機能を使ってインターネットに接続することとなる。このように、VPNによるトンネリングの手法はいくつか種類があるが、いずれの手法を用いてもよい。本実施形態では、図3(c)の手法を用いることとする。
【0026】
そして、IPsec方式によるVPN通信では、対となる通信相手との間で暗号アルゴリズムや鍵データの設定など、SA(Security Association)と呼ばれる論理的なコネクションを確立する。例えば、図1に示す本発明では、対となる通信相手とは、各ユーザ端末群1A,1B,1CのVPNルータR1a,R1b,R1c毎に対してデータセンタR2が対応する。すなわち、R1a−R2,R1b−R2,R1c−R3がそれぞれ対となってVPNを形成する。
【0027】
ちなみに、IPsecとは、インターネットワーキングの標準化団体であるIETF(Internet Engineering Task)において、IPレベルの暗号化方式として標準化されている機能である。
【0028】
(データセンタ)
次に、データセンタ2について説明する。データセンタ2は、主に委託を受けた企業に代わって当該企業のサーバを管理したり、公衆インターネット網Nへの接続の出入口となり、企業内のデータの盗聴や改竄、なりすましなどを防止する働きをする。このため、データセンタ2には、公衆インターネット網の出入口にファイアウォールFWが備えられている。
【0029】
また、上述したように、データセンタ2とユーザ端末1とは公衆インターネットNを介して接続されているが、当該データセンタ2と公衆インターネットNとの接続箇所にはIPsecルータR2が設けられている。これにより、ユーザ端末1とデータセンタ2との間は、公衆インターネット網Nを用いているにも関わらずセキュリティの強化を図ることができ、専用線などを構築するよりも低コスト化を図ることができる。また、データセンタ2のファイアウォールFWにてユーザ端末1を含む社内LANに対する外部からの攻撃や不正アクセスを防ぐことが可能になり、しかも、複数の拠点に位置しているユーザ端末(群)をまとめてデータセンタ2においてセキュリティ強化を図ることができるため、管理の効率化を図ることができる。
【0030】
ここで、データセンタ2は、一つのサーバコンピュータにて構成されており、その内部にIPsecルータR2が内蔵されていたり、ファイアウォール機能FWが組み込まれていてもよい。但し、本実施形態では、データセンタ2は、一群のサーバコンピュータの集合体を指すこととし、IPsecルータR2は単独の機器であり、ファイアウォールFWなどは個別のサーバコンピュータにて構成されている。
【0031】
(動作)
次に、本実施形態におけるシステムの動作を、図4を参照して説明する。この図において、符号Cは企業側のユーザ端末群1A,1Bを示し、符号wwwは、公衆インターネット網N上のウェブサイト群を示す。
【0032】
まず、企業内でイントラネット通信を行う場合を説明する。ユーザ端末群1A(例えば本社)の所定のユーザ端末1が、別のユーザ端末群1B(例えば事業所)の所定のユーザ端末1とデータ通信を行う場合には、かかる情報を送信すると、IPsecルータR1aにてトンネリングされた状態でデータセンタ2のIPsecルータR2に伝送され、その後、トンネリングされた状態のまま送信先であるユーザ端末群1Bに設置されているIPsecルータR1bに送信される。そして、かかるルータR1bにてトンネリング状態が解除され、他のユーザ端末1にて受信される(図4の矢印D1参照)。
【0033】
また、ユーザ端末1が公衆インターネット網上のウェブサイトにアクセスする際には、そのときに送信する情報はデータセンタ2まではトンネリングされた状態で公衆インターネット網を伝送するため(矢印D2参照)、その間にデータが盗聴されることは抑制される。たとえ、盗聴されたとしても、その内容が認識されることはない。そして、ユーザ端末1は、データセンタ2からはインターネット網にアクセスすることができ、種々のウェブサイトを閲覧することができる。逆に、ウェブサイトWなど公衆インターネット網上の外部コンピュータからは、データセンタ2のファイアウォールFWにて防御されているため(矢印D3参照)、企業LAN内(符号C)への不正アクセスなどを抑制することができる。
【0034】
このようにすることにより、ユーザ端末1とデータセンタ2との間に専用線を敷設する必要がなく、既存の公衆インターネット網を用いてもセキュリティの向上を図ることができ、設備の低コスト化を図ることができる。
【0035】
〈第2の実施形態〉
以下、本発明の第2の実施形態を、図5を参照して説明する。第2の実施形態における通信システムは、上述した第1の実施形態とほぼ同一の構成であるが、データセンタ20が以下のような機能を有する点で異なる。本実施形態のデータセンタ20の構成を図5のブロック図に示す。ちなみに、本実施形態においてもユーザは企業の従業者であり、かかる従業者を管理する企業が本システムを利用している場合を例示する。但し、ユーザはこれに限定されない。
【0036】
図5に示すデータセンタ20は、ユーザ端末1が送受信するデータのうち、あらかじめ登録されたコンピュータウイルスデータを有するデータを検出するウイルス検出手段21を備えている。このウイルス検出手段21は、データセンタ20としての一つのサーバに備えられている機能であってもよく、データセンタ20を一つの施設として捉える場合には、IPsecルータR2やファイアウォールFWに接続されているウイルス検出サーバコンピュータ21であってもよい。これにより、ユーザ端末1が公衆インターネット網上のウェブサイトWからダウンロードするデータや、他のコンピュータから受信する電子メールなどのデータのウイルスチェックを、データセンタ20の時点で実行することができ、チェックをクリアしたデータのみがユーザ端末1へと伝送されることとなる。従って、公衆インターネット網に対する出入口となるデータセンタ20がウイルスチェックをすることにより、ユーザ端末1及びこれらによるLANなど、企業全体のセキュリティの強化を一括して実現することができる。
【0037】
また、データセンタ20には、ユーザ端末1がアクセスする公衆インターネット網上のウェブサイトがあらかじめ定められたサイトである場合に、ユーザ端末1のアクセスを制限するアクセス制限手段も備えられている。このアクセス制限手段も上記ウイルス検出手段21と同様に、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。かかる手段には、あらかじめアクセスが禁止されているサイト(例えば、公序良俗に反するサイトなど)のアドレス情報が記憶されていて、ユーザ端末1からそのサイトへのアクセス要求があったときにそのアドレスをチェックし、記憶しているアドレスと一致したときに当該サイトへの接続を禁止するというものである。これにより、企業内において従業者がユーザ端末にて不適切なサイトにアクセスすることを抑制することができ、当該従業者に与える悪影響を抑制したり、業務の効率化を図ることができる。
【0038】
また、データセンタ20には、ユーザ端末1が公衆インターネット網上のウェブサイトWからダウンロードするコンテンツデータがあらかじめ定められたデータに基づいて不適切であると判断した場合に当該コンテンツのダウンロードを制限するコンテンツフィルタリング手段22を備えている。このコンテンツフィルタリング手段22もデータセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。コンテンツフィルタリング手段22は、例えば、猥褻な画像のダウンロードを制限する機能であって、ユーザ端末1がダウンロードしようとしている画像の色彩と、あらかじめ記憶されている、猥褻画像と判断する基準となる色彩データとに基づいて、当該ダウンロード画像が猥褻画像であると判断するとユーザ端末1には伝送しない。これにより、ユーザの不適切なサイトアクセスを自動的に制限することができる。
【0039】
さらに、データセンタ20は、ユーザ端末がアクセスする公衆インターネット網上のウェブサイトのコンテンツを一時的に保管するプロキシ手段23を備えている。このプロキシ手段23も、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。プロキシ手段は、以前に自身あるいは他人がダウンロードしたサイトのコンテンツを一時的にデータセンタ20に保管し、次に当該コンテンツのダウンロード要求がユーザ端末1からあった場合には、一時保管されたデータを送信する。このようなキャッシュ機能により、コンテンツのダウンロードの高速化を図ることができ、ウェブサイトの閲覧の効率化を図ることができる。
【0040】
また、データセンタ20は、ユーザ端末1のデータ通信状況を記憶する通信ログ管理手段24を備えている。この通信ログ管理手段23も、データセンタ20内の機能であってもよく、サーバコンピュータにて実現されていてもよい。通信ログ管理手段23は、例えば、ユーザ端末1のアクセス時間、回数、アクセス先のURLなどを記憶する。そして、場合によっては、記憶した通信ログデータをユーザである企業の従業員を管理する者の端末1へと送信する機能をも有する。これにより、企業のユーザの通信管理が容易となり、業務の迅速化を図ることができる。
【0041】
このように、あらゆる機能、すなわち、公衆インターネット網上において生じる問題を改善する機能をデータセンタに集めることで、各機能を実現する複数のコンピュータなどを用意する必要がなく、サービス提供側にとって運用が容易となる。また、これにより、サービスを受ける側も低コストにて当該サービスを受けることができる。
【0042】
〈第3の実施形態〉
次に、本発明の第3の実施形態について説明する。第3の実施形態においては、ユーザ端末1が一般的なユーザであって、データセンタ20が一般的なユーザがウェブサイトを閲覧する際に利用するインターネットサービスプロバイダ(ISP)である。そして、ユーザ端末1やデータセンタ20が有する機能は、上述した第1,第2の実施形態と相違はない。
【0043】
このように、一般ユーザに対して本システムを利用することにより、外部からの不正アクセスを抑制できると共に、ユーザがコンテンツフィルタリングやウイルスチェック、プロキシなど、種々の機能を容易に利用するができ、安心してウェブサイトの閲覧など、データ通信を行うことができる。
【0044】
【発明の効果】
本発明は、以上のように構成され機能するので、これによると、ユーザ端末がデータセンタのファイアウォール手段を介して公衆インターネット網にアクセスする際に、データセンタとユーザ端末とを接続するネットワークとして、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網(例えば、インターネットワーキングの標準化団体であるInternet Engineering Task Force(IETF)が策定するIPsec方式によるもの)を用いているので、ユーザ端末とデータセンタ間は、既存の公衆インターネット網にて接続されているにも関わらずセキュリティの強化が図られ、そして、データセンタのファイアウォールにて公衆インターネット網上の他のコンピュータからの攻撃や不正アクセスを抑制することができ、これにより、低コストにてセキュリティの強化を実現することができる、という従来にない優れた効果を有する。
【0045】
また、公衆インターネット網への出入口となるデータセンタに、ユーザ端末が通信するデータに対して様々な処理を行う機能を設けた場合には、さらなるセキュリティの強化や、有害データのフィルタリングによるユーザの健全化、また、通信の高速化などを実現することができる。そして、これらの機能がデータセンタにまとめて備えられることにより、サービス提供者側はその運用が容易となると共に、サービスを受けるユーザにとっては、低額な導入コスト、ランニングコストにて利用することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態におけるシステム概要を示すブロック図である。
【図2】図1に開示したシステムの詳細を示す機能ブロック図である。
【図3】図3(a)は、本発明に用いるデータ通信の方式であるIPsec方式についての説明図である。図3(b)〜(d)は、伝送されるデータ構造を示す図である。
【図4】本発明である通信システムの動作を示す説明図である。
【図5】本発明の第2の実施形態におけるデータセンタの構成を示すブロック図である。
【図6】従来例における通信システムの構成を示すブロック図である。
【符号の説明】
1 ユーザ端末
2,20 データセンタ
21 ウイルス検出手段
22 コンテンツフィルタリング手段
23 プロキシ手段
24 通信ログ管理手段
R1a,R1b,R1c,R2 接続中継手段(IPsecルータ)
N ネットワーク(公衆インターネット網)
FW ファイアウォール[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication system, and more particularly, to a communication system in which a user terminal performs data communication on a public Internet network via a data center firewall.
[0002]
[Prior art]
2. Description of the Related Art In recent years, with the spread of the Internet, businesses and services using the Internet are increasing at an accelerating rate, while problems such as "wiretapping" and "spoofing" have arisen. In order to prevent such a problem, it is extremely important to enhance communication security.
[0003]
Particularly, in a company having a plurality of users, a system using a dedicated line up to the entrance of the Internet, etc., so that a website on a public Internet network can be browsed while maintaining the security of communication (LAN) between user terminals is maintained. Had been built. FIG. 6 shows a specific example.
[0004]
As shown in FIG. 6, in consideration of security, it is desirable that the
[0005]
Further, by using a dedicated line for connection with the user terminal 1 or the like, it is possible to suppress the casual connection of the data center 102, which often manages important data, to the public Internet network. High data communication can be realized.
[0006]
Furthermore, for intranet communication between user terminals, that is, between user sites, sufficient security can be ensured by using a VPN over an IP network.
[0007]
On the other hand, as another means for performing the above-mentioned communication between user bases, as shown in Patent Document 1, a private network can be constructed on a public Internet network and used like a virtual dedicated line. VPN technology has been developed.
[0008]
[Patent Document 1]
JP 2002-208965 A
[Problems to be solved by the invention]
However, in any case, it is necessary to connect to the data center with a dedicated line or an IP-VPN network from the viewpoint of security. To achieve this, drawing a dedicated line or using an IP network is not possible. There is a problem that the line cost and the cost for constructing the intranet are high.
[0010]
[Object of the invention]
An object of the present invention is to provide a communication system capable of enhancing security when a user performs data communication in a public Internet network and suppressing the facility introduction cost.
[0011]
[Means for Solving the Problems]
Therefore, in the present invention, a data center having a firewall unit connected to a plurality of user terminals via a network is provided, and the user terminal communicates with another computer on the public Internet network via the firewall unit of the data center. A system for connecting a data center and a user terminal in a system is a virtual private network that performs data conversion in a predetermined format on a public Internet network and performs data communication with each other. I have.
[0012]
By adopting such a configuration, the security between the user terminal and the data center is enhanced by the virtual private network, despite being connected by the existing public Internet network. Then, an attack or an unauthorized access from another computer on the public Internet network can be suppressed by the firewall of the data center. Accordingly, security can be enhanced at low cost without laying a special line.
[0013]
The design and use of the virtual private network can be facilitated by using an IPsec scheme formulated by the Internet Engineering Task Force (IETF), which is a standardization organization for internetworking.
[0014]
The network connecting the data center and the user terminal is a public Internet network, and the data center and the user terminal communicate with each other at each connection point between the public Internet network and the data center and the user terminal. The same effect as described above can be obtained even if connection relay means for performing data conversion to perform communication by performing data conversion in a predetermined format at the time of performing the connection, and each connection relay means uses the IPsec method formulated by IETF. It is desirable to be an IPsec router that performs communication.
[0015]
Further, it is desirable that the data center serving as the gateway to the public Internet network be provided with a virus detecting means for detecting data having computer virus data registered in advance among data transmitted and received by the user terminal. In addition, there are other access restriction means for restricting the access of the user terminal when the website on the public Internet network accessed by the user terminal is a predetermined site, Content filtering means for restricting downloading of content data to be downloaded from a public terminal when the content data is determined to be inappropriate based on data stored in advance, and content of a website on a public Internet network accessed by a user terminal It is desirable to include a proxy means for temporarily storing the data, a communication log management means for storing the data communication status of the user terminal, and the like.
[0016]
As a result, in the data center, which is the gateway to the Internet network in the user terminal, it is possible to suppress transmission of virus data that may cause damage to the user and content data that is undesirable for the user to the user terminal. Thus, the spread of harmful data can be suppressed while further enhancing security. When the data center functions as a proxy, the efficiency of browsing the website by the user terminal can be improved.
[0017]
As described above, by collecting functions that improve problems that occur on the Internet in the data center, there is no need to prepare multiple computers to realize each function, and the service provider can easily operate it. In addition, the service receiving user can use the service at low introduction cost and running cost.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
<First embodiment>
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a block diagram showing an outline of the system of the present invention. FIG. 2 is a functional block diagram showing details of the system configuration of the present invention. FIG. 3 is an explanatory diagram illustrating a data communication method. FIG. 4 is an explanatory diagram showing the operation of the system.
[0019]
(overall structure)
As shown in FIG. 1, the communication system according to the first embodiment of the present invention includes a
[0020]
In the present invention, in particular, the network N connecting the plurality of user terminals 1 and the
[0021]
(User terminal)
The user terminal 1 in the present invention is a computer operated by an employee in a predetermined company. These user terminals 1 are mutually connected to a company intranet (LAN), and form one
[0022]
In each of the
[0023]
(Virtual private network)
Here, the virtual facility network will be described with reference to FIG. The virtual private network is a technology for constructing a private network on a shared network, or a technology for that purpose, and is so called because it can be used like a virtual dedicated line. The virtual private network is also called a VPN, taking the initials of Virtual Private Network. Then, by creating a virtual tunnel with a communication partner (tunneling), communication of a private address that cannot otherwise pass through the Internet can be performed via the public Internet network.
[0024]
For example, as shown in FIG. 3A, an IPsec router A2 for implementing the above-described VPN is provided at a connection point of one LAN (reference numeral A) including the terminal A1 to the public Internet network N. Similarly, an IPsec router B2 paired with the router A2 is provided at a connection point of the other LAN (reference numeral B) including the terminal B1 with the public Internet network N. Then, a virtual tunnel is formed (tunneling) by these routers, and security of data communication between the routers can be secured.
[0025]
At this time, there is a tunneling method as shown in FIGS. In the case of only the tunneling shown in (b), the data transmitted from the terminal A1 to the terminal B1 is transmitted by the router A2 with a header addressed to the router B2. Then, while passing through the public Internet network N, the data is handled as data from the router A2 to the router B2, and the received data is transmitted from the terminal A1 to the terminal B1 by the router B2 returning the data to the terminal B1. Can be realized. In the method shown in FIG. 3C, the data from the terminal A1 is encrypted including the header (From: A1, To: B1), and the router A2 attaches a header addressed to the router B2 to perform tunneling. This makes it possible to ensure the security of the data itself and to hide the information of the source and destination. In the method shown in FIG. 3D, only the data portion is encrypted without performing header conversion. In such a case, since the header is transmitted as it is, the data from the terminal A1 to the terminal B1 must be data that can pass through the Internet, so that the connection to the Internet is performed using the NAT function. As described above, there are several types of tunneling methods using VPN, and any of these methods may be used. In the present embodiment, the method shown in FIG. 3C is used.
[0026]
Then, in the VPN communication by the IPsec method, a logical connection called SA (Security Association) is established between a communication partner to be paired, such as setting of an encryption algorithm and key data. For example, in the present invention shown in FIG. 1, the communication partner to be paired corresponds to the data center R2 for each of the VPN routers R1a, R1b, R1c of the
[0027]
Incidentally, IPsec is a function standardized as an IP-level encryption system in the Internet Engineering Task (IETF), which is a standardization group of internetworking.
[0028]
(Data center)
Next, the
[0029]
Further, as described above, the
[0030]
Here, the
[0031]
(motion)
Next, the operation of the system according to the present embodiment will be described with reference to FIG. In this figure, the symbol C indicates a group of
[0032]
First, a case where intranet communication is performed in a company will be described. When a predetermined user terminal 1 of the
[0033]
When the user terminal 1 accesses a website on the public Internet network, information transmitted at that time is transmitted to the
[0034]
By doing so, it is not necessary to lay a dedicated line between the user terminal 1 and the
[0035]
<Second embodiment>
Hereinafter, a second embodiment of the present invention will be described with reference to FIG. The communication system according to the second embodiment has substantially the same configuration as that of the first embodiment described above, but differs in that the
[0036]
The
[0037]
Further, the
[0038]
The
[0039]
Further, the
[0040]
Further, the
[0041]
In this way, by collecting all functions in the data center, that is, functions that improve problems that occur on the public Internet network, there is no need to prepare multiple computers that realize each function, and the service provider can operate it. It will be easier. This also allows the service receiving side to receive the service at low cost.
[0042]
<Third embodiment>
Next, a third embodiment of the present invention will be described. In the third embodiment, the user terminal 1 is a general user, and the
[0043]
In this way, by using this system for general users, unauthorized access from the outside can be suppressed, and various functions such as content filtering, virus check, and proxy can be easily used by users. Data communication, such as browsing websites, can be performed with care.
[0044]
【The invention's effect】
Since the present invention is configured and functions as described above, according to this, when the user terminal accesses the public Internet network through the firewall means of the data center, as a network connecting the data center and the user terminal, A virtual private network that performs data conversion by performing data conversion on a public Internet network in a predetermined format and performs data communication with each other (for example, an IPsec system formulated by the Internet Engineering Task Force (IETF), a standardization organization for internetworking). , Security is enhanced between the user terminal and the data center despite being connected by the existing public Internet network, and the public Internet network is established by the data center firewall. Of it is possible to suppress the attack and unauthorized access from other computers, which makes it possible to achieve enhanced security at a low cost, it has an excellent effect unprecedented called.
[0045]
Also, if the data center serving as the gateway to the public Internet network is provided with a function to perform various processes on the data communicated by the user terminal, the security will be further enhanced and the user's soundness will be improved by filtering harmful data. And speeding up of communication can be realized. By providing these functions collectively in the data center, the service provider can easily operate the data center and can use the service with low introduction cost and running cost for the user receiving the service. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing an outline of a system according to a first embodiment of the present invention.
FIG. 2 is a functional block diagram showing details of the system disclosed in FIG. 1;
FIG. 3A is an explanatory diagram of an IPsec system which is a data communication system used in the present invention. FIGS. 3B to 3D are diagrams showing a data structure to be transmitted.
FIG. 4 is an explanatory diagram showing an operation of the communication system according to the present invention.
FIG. 5 is a block diagram showing a configuration of a data center according to a second embodiment of the present invention.
FIG. 6 is a block diagram showing a configuration of a communication system in a conventional example.
[Explanation of symbols]
1
N network (public Internet network)
FW firewall
Claims (9)
前記データセンタと前記ユーザ端末とを接続するネットワークは、公衆インターネット網上においてあらかじめ定められた形式にデータ変換を行って相互にデータ通信を行う仮想私設網であることを特徴とする通信システム。A system comprising a data center having a firewall connected to a plurality of user terminals via a network, wherein the user terminal communicates with another computer on a public Internet network through a firewall of the data center. ,
A communication system, wherein the network connecting the data center and the user terminal is a virtual private network that performs data conversion in a predetermined format on a public Internet network and performs data communication with each other.
前記データセンタと前記ユーザ端末とを接続するネットワークは、公衆インターネット網であると共に、
当該公衆インターネット網と前記データセンタ及び前記ユーザ端末との各接続箇所に、前記データセンタと前記ユーザ端末とが相互にデータ通信を行う際にあらかじめ定められた形式にデータ変換を行って通信を行う接続中継手段をそれぞれ設けたことを特徴とする通信システム。A system comprising a data center having a firewall connected to a plurality of user terminals via a network, wherein the user terminal communicates with another computer on a public Internet network through a firewall of the data center. ,
The network connecting the data center and the user terminal is a public Internet network,
When the data center and the user terminal perform data communication with each other at the connection points between the public Internet network and the data center and the user terminal, the data center and the user terminal perform data conversion to a predetermined format to perform communication. A communication system comprising connection relay means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002326397A JP2004165761A (en) | 2002-11-11 | 2002-11-11 | Communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002326397A JP2004165761A (en) | 2002-11-11 | 2002-11-11 | Communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004165761A true JP2004165761A (en) | 2004-06-10 |
Family
ID=32805313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002326397A Pending JP2004165761A (en) | 2002-11-11 | 2002-11-11 | Communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004165761A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008038386A1 (en) * | 2006-09-28 | 2008-04-03 | Fujitsu Limited | Service providing device, service providing system, and service providing method |
JP2018510576A (en) * | 2015-03-30 | 2018-04-12 | アマゾン・テクノロジーズ、インコーポレイテッド | Network flow log for multi-tenant environments |
-
2002
- 2002-11-11 JP JP2002326397A patent/JP2004165761A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008038386A1 (en) * | 2006-09-28 | 2008-04-03 | Fujitsu Limited | Service providing device, service providing system, and service providing method |
JP2018510576A (en) * | 2015-03-30 | 2018-04-12 | アマゾン・テクノロジーズ、インコーポレイテッド | Network flow log for multi-tenant environments |
US10187427B2 (en) | 2015-03-30 | 2019-01-22 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US10469536B2 (en) | 2015-03-30 | 2019-11-05 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US11659004B2 (en) | 2015-03-30 | 2023-05-23 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
US7616597B2 (en) | System and method for integrating mobile networking with security-based VPNs | |
JP4727125B2 (en) | Secure dual channel communication system and method through a firewall | |
US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
KR100758733B1 (en) | System and method for managing a proxy request over a secure network using inherited security attributes | |
JP4707992B2 (en) | Encrypted communication system | |
JP3464610B2 (en) | Packet verification method | |
JP3492920B2 (en) | Packet verification method | |
US7536715B2 (en) | Distributed firewall system and method | |
US8011000B2 (en) | Public network access server having a user-configurable firewall | |
US20020069356A1 (en) | Integrated security gateway apparatus | |
KR20070053345A (en) | Architecture for routing and ipsec integration | |
CN1949705B (en) | Dynamic tunnel construction method for safety access special LAN and apparatus therefor | |
CN100352220C (en) | Safety access method based on dynamic host configuration arrangment and network gate verification | |
CN1521993A (en) | Network control method and equipment | |
Forbacha et al. | Design and Implementation of a Secure Virtual Private Network Over an Open Network (Internet) | |
JP2004165761A (en) | Communication system | |
KR20170017860A (en) | Network virtualization system based of network vpn | |
EP1290852A2 (en) | Distributed firewall system and method | |
JP3596489B2 (en) | VPN system, VPN device and program | |
Jørstad | Personalised ubiquitous file access with XML Web Services | |
KR20160119549A (en) | Network virtualization system based of network vpn | |
TWI254533B (en) | A method of data communication control applying package-oriented filtering mechanism | |
Tsuda et al. | Design and implementation of Network CryptoGate-IP-layer security and mobility support | |
Libonati | Virtual Private Networks Finding Privacy in a Public Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040427 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050830 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050906 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060110 |