JP2006115073A - Repeater in network, external repeater, communication system and method - Google Patents

Repeater in network, external repeater, communication system and method Download PDF

Info

Publication number
JP2006115073A
JP2006115073A JP2004298685A JP2004298685A JP2006115073A JP 2006115073 A JP2006115073 A JP 2006115073A JP 2004298685 A JP2004298685 A JP 2004298685A JP 2004298685 A JP2004298685 A JP 2004298685A JP 2006115073 A JP2006115073 A JP 2006115073A
Authority
JP
Japan
Prior art keywords
network
communication protocol
protocol
terminal device
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004298685A
Other languages
Japanese (ja)
Inventor
Shunyo Suzuki
春洋 鈴木
Shinji Murase
晋二 村瀬
Osamu Sugie
修 杉江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chuden Cti Co Ltd
Original Assignee
Chuden Cti Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chuden Cti Co Ltd filed Critical Chuden Cti Co Ltd
Priority to JP2004298685A priority Critical patent/JP2006115073A/en
Publication of JP2006115073A publication Critical patent/JP2006115073A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To establish communication between the terminal of network in an organization isolated by a firewall and an external server being accessed by an LDAP easily and inexpensively. <P>SOLUTION: An LDAP repeater 20 comprises a proxy DNS 21 sending back its own IP address as the domain name of a repeatable LDAP server 70 to a terminal 10, and a protocol converting means 23 in network for converting LDAP and HTTP. Consequently, communication is established by LDAP between the terminal 10 and the LDAP repeater 20 by simply interposing the LDAP repeater 20 between a firewall 50 and the terminal 10, and it is accessible from the terminal 10 by an operation quite similar to the operation for accessing the LDAP server 70 directly through a leased line. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式のプロトコルによって通信される外部サーバとの間の通信を可能にする技術に関する。   The present invention relates to a technology that enables communication between a terminal device of a network in an organization isolated by a firewall and an external server that is communicated by a protocol that is rejected by the firewall.

ファイヤーウォールにより隔離された組織内のネットワークの端末装置から、ファイヤーウォールにより遮断されるプロトコル(例えば、LDAP)によって通信される外部サーバにアクセスする技術としては、非特許文献1に開示された技術が知られている。この技術は、ファイヤーウォールを二重に設定し、2つのファイヤーウォール間にHTTPからLDAPに変換する変換用のプロキシサーバ(電子入札用LDAPプロキシサーバ)を設置したものである。より具体的には、ファイヤーウォールを通過させるために、端末装置からはHTTPで通信を行い、電子入札用LDAPプロキシサーバにアクセスし、当該電子入札用LDAPプロキシサーバにおいてHTTPからLDAPに変換し、LDAPの通過を可能としたファイヤーウォールを通過させ、インターネット上で電子入札を行っている。
http://www.tdb.co.jp/whatsnew/k031203.html/ As a technique for accessing an external server communicated by a protocol (for example, LDAP) blocked by a firewall from a terminal device in an organization network isolated by a firewall, a technique disclosed in Non-Patent Document 1 is known. Are known. In this technology, a double firewall is set, and a proxy server for conversion (LDAP proxy server for electronic bidding) for converting from HTTP to LDAP is installed between two firewalls. More specifically, in order to pass through the firewall, the terminal device communicates with HTTP, accesses the electronic bidding LDAP proxy server, converts the HTTP from the electronic bidding LDAP proxy server to the LDAP, E-bidding is done on the Internet by passing through the firewall that allowed the passage of.
http://www.tdb.co.jp/whatsnew/k031203.html/

ところで、非特許文献1に記載のようなシステムを設定していない場合、電子入札を行うときに、CRL情報を取得するためには、LDAPでの通信を直接行う専用の別回線を敷設しているのが一般的である。このため、端末装置には、LDAPによる電子入札等を行うためのソフトウエア等が既に端末装置に設定されている。かかる場合に、非特許文献1に記載の技術を用いるとすると、改めて、HTTP通信により電子入札等を行うためのソフトウエアあるいはHTTP通信を可能にするための何らかの機能追加モジュールを組み込んだりする必要がある。   By the way, when the system as described in Non-Patent Document 1 is not set, in order to obtain CRL information when performing electronic bidding, a dedicated separate line for direct communication with LDAP is installed. It is common. For this reason, software for performing electronic bidding by LDAP is already set in the terminal device. In such a case, if the technique described in Non-Patent Document 1 is used, it is necessary to incorporate software for performing electronic bidding by HTTP communication or some function addition module for enabling HTTP communication. is there.

本発明は上記に鑑みなされたものであり、専用の別回線を敷設したり、特殊なプログラムを端末装置等に設定する必要がなく、すなわち、既存の設備の設定を変更することなく、容易かつ低コストでファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる外部サーバとの間での通信を確立することができるネットワーク内中継装置、外部中継装置、通信システム及び通信方法を提供することを課題とする。   The present invention has been made in view of the above, and it is not necessary to install a dedicated separate line or to set a special program in the terminal device or the like, that is, without changing the setting of existing equipment, Intra-network relay that can establish communication between a network terminal in an organization that is isolated by a firewall at low cost and an external server that is accessed by a rejection communication protocol in the form that is rejected by the firewall It is an object to provide a device, an external relay device, a communication system, and a communication method.

上記課題を解決するため、請求項1記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするためのネットワーク内中継装置であって、
前記ファイヤーウォールと端末装置との間に介在され、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段とを備えることを特徴とするネットワーク内中継装置を提供する。
請求項2記載の発明では、前記組織内のネットワークにプロキシサーバが設定されており、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項1記載のネットワーク内中継装置を提供する。
請求項3記載の発明では、前記代理DNSが、前記端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名に該当しない場合に、前記ネットワーク内の他のDNSに該DNS問い合わせを転送する機能を備えることを特徴とする請求項1又は2記載のネットワーク内中継装置を提供する。
請求項4記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項1〜3のいずれか1に記載のネットワーク内中継装置を提供する。
請求項5記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項1〜4のいずれか1に記載のネットワーク内中継装置を提供する。
請求項6記載の発明では、前記代理DNSとネットワーク内プロトコル変換手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のネットワーク内中継装置を提供する。 In order to solve the above-mentioned problem, in the invention described in claim 1, a terminal device of the network in the organization isolated by the firewall, and an external device outside the network accessed by a rejection communication protocol of a form rejected by the firewall. An intra-network relay device for enabling communication with a server,
Interposed between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device An intra-network relay apparatus comprising: an intra-network protocol conversion means.
The invention according to claim 2 is characterized in that a proxy server is set in the network in the organization and is interposed between the proxy server and the terminal device. I will provide a.
According to a third aspect of the present invention, when the DNS inquiry from the terminal device does not correspond to a domain name of an external server that can be relayed, the proxy DNS forwards the DNS inquiry to another DNS in the network. 3. The intra-network relay apparatus according to claim 1 or 2, further comprising a function.
The invention according to claim 4 provides the intra-network relay apparatus according to any one of claims 1 to 3, wherein the rejection communication protocol is an LDAP protocol.
According to a fifth aspect of the invention, there is provided the intra-network relay apparatus according to any one of the first to fourth aspects, wherein the licensed communication protocol is an HTTP protocol.
The invention according to claim 6 is a hardware / software integrated type in which the proxy DNS and the in-network protocol conversion means are integrally incorporated in a casing. An intra-network relay device is provided.

請求項7記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするため、前記ネットワーク外に設けられる外部中継装置であって、
前記ファイヤーウォールと外部サーバとの間に介在され、
前記ネットワーク内から送信される、ファイヤーウォールを通過可能な許諾通信プロトコルによる問い合わせ情報を、前記拒否通信プロトコルに変換して前記外部サーバに送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を許諾通信プロトコルに変換して前記ネットワーク内へ送信可能とする外部プロトコル変換手段を備えることを特徴とする外部中継装置を提供する。 According to the seventh aspect of the present invention, communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. In order to enable the external relay device provided outside the network,
Interposed between the firewall and an external server,
Inquiry information transmitted from within the network using a permitted communication protocol that can pass through a firewall is converted into the rejected communication protocol so that it can be transmitted to the external server, and a reply is transmitted from the external server using the rejected communication protocol. There is provided an external relay device comprising an external protocol conversion means for converting information into a licensed communication protocol and transmitting the information into the network.

請求項8記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信システムであって、
前記ネットワーク内においてファイヤーウォールと端末装置との間に介在されるネットワーク内中継装置と、前記ネットワーク外において外部サーバの前段に介在される外部中継装置とを具備し、
前記ネットワーク内中継装置が、端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
ファイヤーウォールを通過可能な許諾通信プロトコルとファイヤーウォールにより拒否される拒否通信プロトコルとの間でプロトコル変換を行うネットワーク内プロトコル変換手段とを備えてなり、
前記外部中継装置が、前記許諾通信プロトコルと拒否通信プロトコルとの間でプロトコル変換を行う外部プロトコル変換手段を備えてなり、
前記ネットワーク内中継装置の代理DNSから該代理DNSのIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、前記ネットワーク内プロトコル変換手段によりファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能とし、
前記外部中継装置が、前記問い合わせ情報を受信したならば、前記外部プロトコル変換手段により許諾通信プロトコルから拒否通信プロトコルに変換して、前記外部サーバへ送信し、
前記外部中継装置が、前記外部サーバからの返信情報を受信したならば、前記外部プロトコル変換手段により拒否通信プロトコルから許諾通信プロトコルに変換して、前記ネットワーク内へ送信し、
前記ネットワーク内中継装置が、前記外部中継装置を介しての外部サーバからの返信情報を受信したならば、前記ネットワーク内プロトコル変換手段により、該返信情報を拒否通信プロトコルに変換して端末装置に返信する構成であることを特徴とする通信システムを提供する。
請求項9記載の発明では、前記組織内のネットワークにプロキシサーバが設定されており、前記ネットワーク内中継装置が、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項8記載の通信システムを提供する。
請求項10記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項8又は9記載の通信システムを提供する。
請求項11記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項8〜10のいずれか1に記載の通信システムを提供する。 In the invention according to claim 8, communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall A communication system for enabling
An intra-network relay device interposed between a firewall and a terminal device in the network, and an external relay device interposed before the external server outside the network,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, the intra-network relay device returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server. Proxy DNS,
In-network protocol conversion means for performing protocol conversion between a permitted communication protocol that can pass through the firewall and a rejected communication protocol that is rejected by the firewall,
The external relay device comprises external protocol conversion means for performing protocol conversion between the permitted communication protocol and the rejected communication protocol;
After obtaining the IP address of the proxy DNS from the proxy DNS of the relay device in the network, permission to allow inquiry information based on the reject communication protocol transmitted from the terminal device to pass through the firewall by the protocol conversion means in the network It can be converted to a communication protocol and transmitted outside the network,
When the external relay device receives the inquiry information, the external protocol conversion unit converts the permitted communication protocol into a rejected communication protocol, and transmits it to the external server.
If the external relay device receives the reply information from the external server, the external protocol conversion means converts the rejection communication protocol into a permitted communication protocol, and transmits it into the network.
When the intra-network relay apparatus receives reply information from an external server via the external relay apparatus, the intra-network protocol conversion means converts the reply information into a reject communication protocol and returns it to the terminal apparatus. There is provided a communication system characterized by having a configuration.
The invention according to claim 9 is characterized in that a proxy server is set in the network in the organization, and the intra-network relay device is interposed between the proxy server and the terminal device. A communication system according to claim 8 is provided.
The invention according to claim 10 provides the communication system according to claim 8 or 9, wherein the rejection communication protocol is an LDAP protocol.
The invention according to claim 11 provides the communication system according to any one of claims 8 to 10, wherein the licensed communication protocol is an HTTP protocol.

請求項12記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信方法であって、
前記ファイヤーウォールと端末装置との間に、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えるネットワーク内中継装置を介在させることにより、
端末装置とネットワーク内中継装置との間で拒否通信プロトコルにより通信を確立し、端末装置において、拒否通信プロトコルによる問い合わせ情報を送信し、拒否通信プロトコルによる返信情報を受信可能としたことを特徴とする通信方法を提供する。
請求項13記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項12記載の通信方法を提供する。
請求項14記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項12又は13記載の通信方法を提供する。 In the invention described in claim 12, communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. A communication method for enabling
Between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device By interposing an intra-network relay device comprising intra-network protocol conversion means,
Communication is established between the terminal device and the intra-network relay device using a reject communication protocol, and the terminal device can send inquiry information using the reject communication protocol and receive reply information using the reject communication protocol. A communication method is provided.
The invention according to claim 13 provides the communication method according to claim 12, wherein the rejection communication protocol is an LDAP protocol.
The invention according to claim 14 provides the communication method according to claim 12 or 13, wherein the licensed communication protocol is an HTTP protocol.

本発明では、ネットワーク内中継装置が、自己のIPアドレスを、中継可能な外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、拒否通信プロトコルと許諾通信プロトコルとの変換を行うネットワーク内プロトコル変換手段とを備えた構成である。このため、ファイヤーウォールと端末装置との間にネットワーク内中継装置を介在させるだけで、端末装置と該ネットワーク内中継装置との間では、拒否通信プロトコルによる通信が確立されることになり、端末装置からは、専用の別回線を通じて外部サーバに直接アクセスする場合と全く同様の操作でアクセスすることができる。従って、専用の別回線を敷設したり、特殊なプログラムを端末装置等に設定する必要がなく、ネットワーク内中継装置を介在させるだけで、容易かつ低コストで、拒否通信プロトコルによりアクセスされる外部サーバとの間の通信を確立することができる。   In the present invention, the relay device in the network converts the proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server that can be relayed, and the conversion between the reject communication protocol and the permitted communication protocol. And an intra-network protocol conversion means. For this reason, simply by interposing a relay device in the network between the firewall and the terminal device, communication using the reject communication protocol is established between the terminal device and the relay device in the network. Can be accessed in exactly the same way as when directly accessing an external server through a separate dedicated line. Therefore, there is no need to install a dedicated dedicated line or set a special program in the terminal device, etc., and an external server that can be accessed easily and at low cost by a rejected communication protocol simply by interposing a relay device in the network. Communication can be established.

特に、企業内ネットワーク、企業間ネットワークなどにおいては、HTTPによる通信が許容されるファイヤーウォール設定となっているのが一般的である一方、電子入札等におけるCRLの入手に必要なLDAPによる通信はファイヤーウォールによって拒否される。従って、HTTPとLDAPとの間でのプロトコル変換が可能となるように設定すると、CRL等の情報を容易に入手できるため、特に有効である。   In particular, in an intra-company network, an inter-company network, etc., it is common to use a firewall setting in which HTTP communication is allowed. Rejected by the wall. Therefore, setting so that protocol conversion between HTTP and LDAP is possible is particularly effective because information such as CRL can be easily obtained.

また、拒否通信プロトコルと許諾通信プロトコルとの変換を行う外部プロトコル変換手段を備えた外部中継装置を、ファイヤーウォールと外部サーバとの間に介在させると、外部サーバへの特殊なプログラムの設定が不要となるため、より容易に本発明を導入することができる。   In addition, if an external relay device equipped with external protocol conversion means that converts between a rejected communication protocol and a permitted communication protocol is interposed between the firewall and the external server, it is not necessary to set a special program on the external server. Therefore, the present invention can be introduced more easily.

以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、本実施形態のネットワーク内中継装置であるLDAP中継装置20を用いてLDAPサーバ70へアクセスするための通信システム1を示した概略図であり、図2は、LDAP中継装置20のハードウェア構成を示すブロック図であり、図3及び図4は、端末装置10から送信されたLDAPの問い合わせ情報がLDAPサーバ70に到達するまでのフローチャートであり、図5は、LDAPサーバ70に到達したLDAPの問い合わせ情報に対する返信情報が端末装置10に返信されるまでを示したフローチャートである。   Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a schematic diagram showing a communication system 1 for accessing the LDAP server 70 using the LDAP relay device 20 which is an intra-network relay device of the present embodiment, and FIG. 2 is a hardware diagram of the LDAP relay device 20. FIG. 3 and FIG. 4 are flowcharts until the LDAP inquiry information transmitted from the terminal device 10 reaches the LDAP server 70, and FIG. 5 reaches the LDAP server 70. 5 is a flowchart showing a process until reply information for LDAP inquiry information is returned to the terminal device 10;

本発明の実施形態である通信システム1は、LDAP(Lightweight Directory Access Protocol)という通信プロトコルの利用を前提として構築されたシステムであり、LDAPの利用形態としては、電子入札等におけるCRL(Certificate Revocation List)情報の取得などが挙げられる。LDAPは、各省庁、地方自治体などへの電子申請や電子入札などで使用されているプロトコルであるが、これは企業内LAN等の組織内のネットワーク(以下、「組織内ネットワーク)に設定されたファイヤーウォールを通過できないことが多いため、本発明を用いるのに適している。また、CRLは、認証局(CA)等が管理する失効した電子証明書のリスト情報のことであるが、これもLDAPを利用して取得するため、本発明の適用対象として適している。   A communication system 1 according to an embodiment of the present invention is a system constructed on the premise of using a communication protocol called LDAP (Lightweight Directory Access Protocol). As a usage form of LDAP, a CRL (Certificate Revocation List) in electronic bidding or the like is used. ) Acquisition of information. LDAP is a protocol used in electronic applications and electronic bidding to ministries and local governments, etc., but this is set for internal networks such as corporate LAN (hereinafter referred to as “internal network”). It is often suitable for using the present invention because it cannot pass through a firewall, and CRL is a list of revoked digital certificates managed by a certificate authority (CA). Since it acquires using LDAP, it is suitable as an application object of this invention.

より具体的には、通信システム1は、図1に示したように、組織内ネットワーク100の端末装置10と該組織内ネットワーク100の外部のLDAPサーバ70との間での通信を確立する。組織内ネットワーク100は、ファイヤーウォール50により外部ネットワークと隔離されているため、拒否通信プロトコルであるLDAPによる通信を試みた場合には、ファイヤーウォール50を通過できず、許諾通信プロトコルである所定のプロトコル(例えば、HTTP)のみがファイヤーウォール50を通過可能に設定されている。組織内ネットワーク100には、通常の企業内ネットワークにおいて設置されているHTTPプロキシサーバ30及び社内DNS40を備えているが、本実施形態においては、このほかに、HTTPプロキシサーバ30と端末装置10との間に、ネットワーク内中継装置としてのLDAP中継装置20を設けていることを特徴とするものである。なお、ファイヤーウォール50としては、ファイヤーウォール専用機を設置してもよいし、HTTPプロキシサーバ30等にファイヤーウォール機能を果たすソフトウエアを導入して設けてもよい。   More specifically, as shown in FIG. 1, the communication system 1 establishes communication between the terminal device 10 of the intra-organization network 100 and the LDAP server 70 outside the intra-organization network 100. Since the intra-organization network 100 is isolated from the external network by the firewall 50, when attempting communication using LDAP, which is a rejected communication protocol, the internal network 100 cannot pass through the firewall 50, and a predetermined protocol that is a permitted communication protocol Only (for example, HTTP) is set to be able to pass through the firewall 50. The intra-organization network 100 includes an HTTP proxy server 30 and an in-house DNS 40 installed in a normal corporate network. In the present embodiment, in addition to this, the HTTP proxy server 30 and the terminal device 10 include An LDAP relay device 20 as a relay device in the network is provided between them. As the firewall 50, a firewall dedicated machine may be installed, or software that performs a firewall function may be installed in the HTTP proxy server 30 or the like.

LDAP中継装置20は、図1に示したように、代理DNS21と、ネットワーク内プロトコル変換手段22とを備えて構成される。LDAP中継装置20は、中継しようとする1以上のLDAPサーバ70のドメイン名を記憶するドメイン記憶部23を有しており、代理DNS21は、端末装置10からのDNS問い合わせがLDAPサーバ70のドメイン名であるか否かをドメイン記憶部23のデータを参照して判断し、LDAPサーバ70のIPアドレスに代えて、自己のIPアドレスを端末装置10に返信する機能を備える。この結果、端末装置10では、この時点でLDAPサーバ70のIPアドレスが返信されたものと認識し、通信設定を行う。なお、図においてLDAPサーバ70は一つしか示していないが、複数であってもよいことはもちろんであり、その場合、後述の外部中継装置60は、複数のLDAPサーバ70に対して一つの割合で設定することができる。   As shown in FIG. 1, the LDAP relay device 20 includes a proxy DNS 21 and an intra-network protocol conversion unit 22. The LDAP relay device 20 has a domain storage unit 23 that stores the domain names of one or more LDAP servers 70 to be relayed, and the proxy DNS 21 receives the DNS inquiry from the terminal device 10 as the domain name of the LDAP server 70. Whether or not the IP address of the LDAP server 70 is returned to the terminal device 10 instead of the IP address of the LDAP server 70. As a result, the terminal device 10 recognizes that the IP address of the LDAP server 70 has been returned at this point, and performs communication settings. Although only one LDAP server 70 is shown in the figure, it is needless to say that a plurality of LDAP servers 70 may be used. In this case, the external relay device 60 described later has a ratio of one to a plurality of LDAP servers 70. Can be set.

ネットワーク内プロトコル変換手段22は、LDAP及びHTTP相互間のプロトコル変換を行う手段であり、かかる機能を備える限りどのような手段を用いてもよい。本実施形態では、アプリケーションソフトウエアとしてhttp tunnnel22a(図2参照)を設定し、トンネリング手段によりプロトコル変換を行っている。すなわち、端末装置10から送信されるLDAPで記述されたパケットをHTTPのパケットで包み、HTTPプロキシサーバ30に送信する一方、HTTPプロキシサーバ30を経由して返信されてきたHTTPのパケットをLDAPのパケットに復元して端末装置10にLDAPとして送信する。   The intra-network protocol conversion means 22 is means for performing protocol conversion between LDAP and HTTP, and any means may be used as long as it has such a function. In the present embodiment, http tunnel 22a (see FIG. 2) is set as application software, and protocol conversion is performed by a tunneling means. That is, a packet described in LDAP transmitted from the terminal device 10 is wrapped in an HTTP packet and transmitted to the HTTP proxy server 30, while an HTTP packet returned via the HTTP proxy server 30 is converted into an LDAP packet To the terminal device 10 as LDAP.

なお、本実施形態のLDAP中継装置20のハードウェア構成は、図2に示すように、OSとして、Linuxカーネル25をコアとして動作するRedHatベースのディストリビューション26を採用しており、OS上で動作する代理DNS21のサーバソフトウェアとして、BIND(Berkeley Internet Name Domain)21aを用い、同じくOS上で動作するネットワーク内プロトコル変換手段22として、上記のようにhttp tunnnel22aを用いている。そして、本実施形態のLDAP中継装置20は、代理DNS21(BIND21a)と、ネットワーク内プロトコル変換手段22(http tunnnel22a)と、これらを動作制御させるOSとがモジュール化され、ケーシング内に一体に組み込まれたハード・ソフト一体型(アプライアンス型)となっている。なお、OS、代理DNS21、及びネットワーク内プロトコル変換手段22を構成する各ソフトウエアはこれらに限定されるものではないことはもちろんである。   As shown in FIG. 2, the hardware configuration of the LDAP relay apparatus 20 according to the present embodiment employs a RedHat-based distribution 26 that operates using the Linux kernel 25 as a core, and operates on the OS. BND (Berkeley Internet Name Domain) 21a is used as server software for proxy DNS 21 to perform, and http tunnel 22a is used as in-network protocol conversion means 22 that also operates on the OS as described above. In the LDAP relay apparatus 20 of the present embodiment, the proxy DNS 21 (BIND 21a), the intra-network protocol conversion means 22 (http tunnel 22a), and the OS that controls the operation thereof are modularized and integrated into the casing. Hardware / software integrated type (appliance type). Of course, the software constituting the OS, proxy DNS 21, and in-network protocol conversion means 22 is not limited to these.

代理DNS21は、端末装置10からのDNS問い合わせが、中継可能なLDAPサーバ70のドメイン名でない場合に、社内DNS40に該DNS問い合わせを転送する機能を備えている。つまり、予め、特定のLDAPサーバ70のドメイン名を記憶しているため、LDAPサーバ70以外のDNS問い合わせに対しては、社内DNS40に転送するよう設定されている。これにより、端末装置10からインターネット、組織内ネットワーク100内部にある任意の業務ネットワーク等へのアクセスがなされた場合には、代理DNS21は、自己のIPアドレスを端末装置10に返信するのではなく、そのまま転送して社内DNS40に問い合わせすると共に、社内DNS40からのDNS返答をそのまま端末装置10に返信する。この結果、端末装置10とHTTPプロキシサーバ30との間にLDAP中継装置20を介在させても、端末装置10による、LDAP通信以外の通常の通信も支障なく実行される。   The proxy DNS 21 has a function of transferring the DNS inquiry to the in-house DNS 40 when the DNS inquiry from the terminal device 10 is not the domain name of the relayable LDAP server 70. That is, since the domain name of the specific LDAP server 70 is stored in advance, DNS inquiries other than the LDAP server 70 are set to be forwarded to the in-house DNS 40. As a result, when the terminal device 10 accesses the Internet, an arbitrary business network in the organization network 100, etc., the proxy DNS 21 does not return its own IP address to the terminal device 10, The in-house DNS 40 is inquired and transferred as it is, and the DNS response from the in-house DNS 40 is returned to the terminal device 10 as it is. As a result, even if the LDAP relay device 20 is interposed between the terminal device 10 and the HTTP proxy server 30, normal communication other than the LDAP communication by the terminal device 10 is executed without any problem.

LDAPサーバ70へのアクセス経路の前段には外部中継装置60が設置される。外部中継装置60には、外部プロトコル変換手段61が設定されており、外部プロトコル変換手段61として、上記したネットワーク内プロトコル変換手段22と同様に、LDAP及びHTTP相互間のプロトコル変換を行うhttp tunnnelを用いている。これにより、HTTPプロキシサーバ30から送信される情報は、HTTPのパケットからLDAPのパケットに復元され、LDAPとしてLDAPサーバ70に送られる。一方、LDAPサーバ70から返信されるLDAPのパケットは、外部プロトコル変換手段61により、HTTPのパケットにより包まれてHTTPプロキシサーバ30に返信されるため、途中のファイヤーウォール50を通過できる。なお、外部中継装置60は、LDAPサーバ70と組織内ネットワーク100との通信経路中に介在させるだけで済むように、OSとhttp tunnnel等とがモジュール化されて設定されるアプライアンス型としておくことが好ましいことは、上記ネットワーク内中継装置20と同様である。   An external relay device 60 is installed in the previous stage of the access path to the LDAP server 70. An external protocol conversion means 61 is set in the external relay device 60. As the external protocol conversion means 61, as in the above-described intra-network protocol conversion means 22, an http tunnel that performs protocol conversion between LDAP and HTTP is used. Used. As a result, the information transmitted from the HTTP proxy server 30 is restored from the HTTP packet to the LDAP packet, and sent to the LDAP server 70 as LDAP. On the other hand, the LDAP packet returned from the LDAP server 70 is wrapped in the HTTP packet by the external protocol conversion means 61 and returned to the HTTP proxy server 30, so that it can pass through the firewall 50 on the way. The external relay device 60 may be an appliance type in which an OS and an http tunnel are modularized and set so that it is only necessary to intervene in the communication path between the LDAP server 70 and the intra-organization network 100. What is preferable is the same as the intra-network relay apparatus 20 described above.

次に、図3及び図4を参照して端末装置10から送信されたLDAPの問い合わせ情報がLDAPサーバ70に到達するまでの処理手順を説明する。図3に示すように、まず、端末装置10がDNSの問い合わせ情報をLDAP中継装置20に送信する(S101)。LDAP中継装置20は、受信したDNSの問い合わせ情報が中継可能なLDAPサーバ70であるか否かをドメイン記憶部23を参照して判断し(S102)、中継可能なLDAPのドメイン名であることを確認すると、LDAP中継装置20の代理DNS21は、自己のIPアドレス(擬装IPアドレス)を端末装置10に返信し(S103)、自らがLDAPサーバであると端末装置10に認識させる。端末装置10は、擬装IPアドレスを受信すると(S104)、LDAP中継装置20にLDAPの問い合わせ情報を送信する(S105)。そして、LDAP中継装置20はこのLDAPの問い合わせ情報を受信すると(S106)、ネットワーク内プロトコル変換手段22(http tunnnel22a)により、上記したように、受信したLDAPの問い合わせ情報をファイヤーウォール50が通過可能な形態であるHTTPの問い合わせ情報へと変換を行う(S107)。   Next, a processing procedure until the LDAP inquiry information transmitted from the terminal device 10 reaches the LDAP server 70 will be described with reference to FIGS. As shown in FIG. 3, first, the terminal device 10 transmits DNS inquiry information to the LDAP relay device 20 (S101). The LDAP relay device 20 determines whether or not the received DNS inquiry information is the relayable LDAP server 70 by referring to the domain storage unit 23 (S102), and confirms that it is a relayable LDAP domain name. Upon confirmation, the proxy DNS 21 of the LDAP relay device 20 returns its own IP address (impersonated IP address) to the terminal device 10 (S103), and makes the terminal device 10 recognize that it is an LDAP server. When the terminal device 10 receives the spoofed IP address (S104), the terminal device 10 transmits LDAP inquiry information to the LDAP relay device 20 (S105). When the LDAP relay device 20 receives the inquiry information of the LDAP (S106), the firewall 50 can pass the received inquiry information of the LDAP as described above by the intra-network protocol conversion means 22 (http tunnel 22a). Conversion into HTTP inquiry information which is a form is performed (S107).

一方、端末装置10から受信したDNSの問い合わせ情報がドメイン記憶部23にあるLDAPサーバ70でない場合は、代理DNS21が社内DNS40宛てにDNS問い合わせ情報を転送(S108)する。受信した社内DNS40は、自身がデータを持っていればDNS返信し(S110)、持っていなければ上流DNSへDNSの問い合わせを行う(S109)。   On the other hand, if the DNS inquiry information received from the terminal device 10 is not the LDAP server 70 in the domain storage unit 23, the proxy DNS 21 forwards the DNS inquiry information to the in-house DNS 40 (S108). The received in-house DNS 40 returns a DNS if it has data (S110), and if it does not have it, makes an inquiry about the DNS to the upstream DNS (S109).

図4に示すように、LDAP中継装置20は、HTTPプロキシサーバ30宛てにLDAPからHTTPに変換されたHTTPの問い合わせ情報を送信する(S201)。HTTPプロキシサーバ30は、HTTP形式になった問い合わせ情報を受信した後(S202)、外部中継装置60に該問い合わせ情報を送信する(S203)。従って、ファイヤーウォール50の通過時には、端末装置10からのLDAPの問い合わせ情報は、HTTPへ変換済みとなっているため、ファイヤーウォール50の設定等を変えることなく、通常のHTTPパケット扱いとして通過可能となる。外部中継装置60は、HTTP形式となった問い合わせ情報を受信すると(S204)、外部プロトコル変換手段(http tunnel)61により、HTTPの問い合わせ情報をLDAPの問い合わせ情報に復元し(S205)、復元処理されたLDAPの問い合わせ情報をLDAPサーバ70に送信する(S206)。LDAPサーバ70は、LDAPの問い合わせ情報を受信する(S207)。   As shown in FIG. 4, the LDAP relay device 20 transmits HTTP inquiry information converted from LDAP to HTTP to the HTTP proxy server 30 (S201). After receiving the inquiry information in the HTTP format (S202), the HTTP proxy server 30 transmits the inquiry information to the external relay device 60 (S203). Accordingly, since the inquiry information of the LDAP from the terminal device 10 has already been converted into HTTP when passing through the firewall 50, it can be passed as normal HTTP packet handling without changing the setting of the firewall 50 or the like. Become. When the external relay device 60 receives the inquiry information in the HTTP format (S204), the external protocol conversion means (http tunnel) 61 restores the HTTP inquiry information to the LDAP inquiry information (S205), and the restoration processing is performed. The LDAP inquiry information is transmitted to the LDAP server 70 (S206). The LDAP server 70 receives the LDAP inquiry information (S207).

次に、図5を参照してLDAPサーバ70に到達したLDAPの問い合わせ情報が返信情報として端末装置10に返信されるまでの処理手順を説明する。LDAPサーバ70は、受信したLDAPの問い合わせ情報に対する回答(返信情報)を、LDAP形式で返信する(S301)。外部中継装置60は、LDAPの返信情報を受信すると(S302)、外部プロトコル変換手段(http tunnel)61が、受信したLDAPの返信情報をHTTPの返信情報に変換すると共に(S303)、該HTTPの返信情報を組織内ネットワーク100のHTTPプロキシサーバ30に送信する(S304)。従って、外部中継装置60からHTTPプロキシサーバ30への返信情報の送信時も、HTTP形式となっているため、ファイヤーウォール50を通常のHTTP通信と同様に通過できる。HTTPプロキシサーバ30は、HTTP形式の返信情報を受信した後(S305)、LDAP中継装置20に対してHTTP形式の状態で該返信情報を送信する(S306)。LDAP中継装置20は、このHTTPの返信情報を受信すると(S307)、ネットワーク内プロトコル変換手段22(http tunnnel22a)により、HTTPの返信情報をLDAPの返信情報に復元し(S308)、復元された該LDAP形式の返信情報を端末装置10に送信する(S309)。端末装置10は、LDAP中継装置20からLDAPの返信情報を受信する(S310)。   Next, a processing procedure until the inquiry information of the LDAP that has reached the LDAP server 70 is returned to the terminal device 10 as return information will be described with reference to FIG. The LDAP server 70 returns a response (reply information) to the received LDAP inquiry information in the LDAP format (S301). When the external relay device 60 receives the LDAP reply information (S302), the external protocol conversion means (http tunnel) 61 converts the received LDAP reply information into HTTP reply information (S303). The reply information is transmitted to the HTTP proxy server 30 of the intra-organization network 100 (S304). Accordingly, even when the reply information is transmitted from the external relay device 60 to the HTTP proxy server 30, the HTTP information is in the HTTP format, so that it can pass through the firewall 50 in the same manner as normal HTTP communication. After receiving the HTTP-format reply information (S305), the HTTP proxy server 30 transmits the reply information to the LDAP relay apparatus 20 in the HTTP-format state (S306). Upon receiving the HTTP reply information (S307), the LDAP relay apparatus 20 restores the HTTP reply information to the LDAP reply information by the intra-network protocol conversion means 22 (http tunnel 22a) (S308). The reply information in the LDAP format is transmitted to the terminal device 10 (S309). The terminal device 10 receives the LDAP reply information from the LDAP relay device 20 (S310).

本実施形態によれば、組織内ネットワーク100のファイヤーウォール50と端末装置10との間にLDAP中継装置20を介在させると共に、ファイヤーウォール50と外部のLDAPサーバ70との間に外部中継装置60を設置するだけで、その他の通信システム1の構成は、全く変更する必要はない。すなわち、端末装置10、HTTPプロキシサーバ30、社内DNS40、ファイヤーウォール50、LDAPサーバ70の設定は何ら変更する必要がないにも拘わらず、端末装置10とLDAP中継装置20との間では、LDAPによる通信が確立されることになる。従って、端末装置10からは、LDAPの専用線を通じてLDAPサーバ70に直接アクセスする場合と全く同様の操作でアクセスすることができ、従来のように専用線を敷設したり、特殊なプログラムを端末装置等に設定する必要がない。   According to the present embodiment, the LDAP relay device 20 is interposed between the firewall 50 and the terminal device 10 of the intra-organization network 100, and the external relay device 60 is interposed between the firewall 50 and the external LDAP server 70. It is not necessary to change the configuration of the other communication system 1 at all by simply installing it. In other words, although there is no need to change the settings of the terminal device 10, the HTTP proxy server 30, the in-house DNS 40, the firewall 50, and the LDAP server 70, between the terminal device 10 and the LDAP relay device 20, LDAP is used. Communication will be established. Therefore, the terminal device 10 can be accessed by the same operation as when directly accessing the LDAP server 70 through the LDAP dedicated line, and a dedicated line can be laid as in the past, or a special program can be installed in the terminal device or the like. There is no need to set to.

なお、上記した説明では、HTTPとLDAP間でのプロトコル変換を例示して説明しており、電子入札やCRLの入手等において、組織内ネットワークから外部のLDAPサーバにアクセスする場合に特に有効であるが、本発明は、HTTPとLDAP間に限らず、ファイヤーウォールにより隔離された組織内ネットワーク内の端末装置と外部に設定されるサーバとの間において、ファイヤーウォールを通過可能な任意の許諾通信プロトコルとファイヤウォールにより拒否される任意の拒否通信プロトコル間での通信の確立に適用可能である。   In the above description, protocol conversion between HTTP and LDAP is described as an example, which is particularly effective when accessing an external LDAP server from an in-house network for electronic bidding and CRL acquisition. However, the present invention is not limited to HTTP and LDAP, and any licensed communication protocol that can pass through a firewall between a terminal device in an organization network isolated by a firewall and a server set outside. And establishment of communication between any rejected communication protocols rejected by the firewall.

また、上記した説明では、HTTPとLDAP間でのプロトコル変換を行うネットワーク内プロトコル変換手段22及び外部プロトコル変換手段61としてhttp tunnnelを用いているが、同様の目的を達成できる限り、他のプロトコル変換ソフトウエアを用いることも可能である。もちろん、上記のように、HTTPとLDAP間ではない他の許諾通信プロトコルと拒否通信プロトコル間での変換を行う場合にも、それに適する任意のプロトコル変換ソフトウエアが用いられる。   Further, in the above description, http tunnel is used as the intra-network protocol conversion means 22 and the external protocol conversion means 61 that perform protocol conversion between HTTP and LDAP. However, as long as the same purpose can be achieved, other protocol conversions are possible. It is also possible to use software. Of course, as described above, any protocol conversion software suitable for the conversion between another permitted communication protocol and a rejection communication protocol that is not between HTTP and LDAP is used.

また、上記した説明では、組織内ネットワーク100にHTTPプロキシサーバ30を設定しているが、このようなプロキシサーバを有さない組織内ネットワークにおいて本発明を適用することももちろん可能である。その場合には、ネットワーク内中継装置20と外部中継装置60との間で、ファイヤーウォール50を介した情報の送受信が行われる。   In the above description, the HTTP proxy server 30 is set in the intra-organization network 100, but the present invention can of course be applied to an intra-organization network that does not have such a proxy server. In that case, transmission / reception of information through the firewall 50 is performed between the intra-network relay device 20 and the external relay device 60.

本発明の実施形態に係る通信システムの全体構造を示す概略構成図である。It is a schematic block diagram which shows the whole structure of the communication system which concerns on embodiment of this invention. LDAP中継装置のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a LDAP relay apparatus. 端末装置から送信されたLDAPの問い合わせ情報がLDAPサーバに到達するまでを示したフローチャートである。It is the flowchart which showed until the inquiry information of the LDAP transmitted from the terminal device reaches the LDAP server. 端末装置から送信されたLDAPの問い合わせ情報がLDAPサーバに到達するまでを示したフローチャートである。It is the flowchart which showed until the inquiry information of the LDAP transmitted from the terminal device reaches the LDAP server. LDAPサーバに到達したLDAPの問い合わせ情報が返信情報として端末装置に返信されてくるまでを示したフローチャートである。It is the flowchart which showed until the inquiry information of the LDAP which reached | attained the LDAP server was returned to a terminal device as reply information.

符号の説明Explanation of symbols

1 通信システム
10 端末装置
20 LDAP中継装置
21 代理DNS
22 ネットワーク内プロトコル変換手段
30 HTTPプロキシサーバ
40 社内DNS
50 ファイヤーウォール
60 外部中継装置
61 外部プロトコル変換手段
70 LDAPサーバ
100 組織内ネットワーク 1 Communication system 10 Terminal device 20 LDAP relay device 21 Proxy DNS
22 Intra-network protocol conversion means 30 HTTP proxy server 40 In-house DNS
50 Firewall 60 External Relay Device 61 External Protocol Conversion Means 70 LDAP Server 100 Organizational Network

Claims (14)

ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするためのネットワーク内中継装置であって、
前記ファイヤーウォールと端末装置との間に介在され、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えることを特徴とするネットワーク内中継装置。 In the network for enabling communication between a terminal device of the network in the organization isolated by the firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. A relay device,
Interposed between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device An intra-network relay apparatus comprising: intra-network protocol conversion means. 前記組織内のネットワークにプロキシサーバが設定されており、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項1記載のネットワーク内中継装置。   2. The intra-network relay apparatus according to claim 1, wherein a proxy server is set in the network in the organization, and is interposed between the proxy server and the terminal apparatus. 前記代理DNSが、前記端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名に該当しない場合に、前記ネットワーク内の他のDNSに該DNS問い合わせを転送する機能を備えることを特徴とする請求項1又は2記載のネットワーク内中継装置。   The proxy DNS is provided with a function of transferring the DNS inquiry to another DNS in the network when the DNS inquiry from the terminal device does not correspond to the domain name of the external server that can be relayed. The intra-network relay device according to claim 1 or 2. 前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項1〜3のいずれか1に記載のネットワーク内中継装置。   The intra-network relay apparatus according to claim 1, wherein the reject communication protocol is an LDAP protocol. 前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項1〜4のいずれか1に記載のネットワーク内中継装置。   5. The intra-network relay apparatus according to claim 1, wherein the licensed communication protocol is an HTTP protocol. 前記代理DNSとネットワーク内プロトコル変換手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のネットワーク内中継装置。   6. The intra-network relay apparatus according to claim 1, wherein said proxy DNS and intra-network protocol conversion means are of a hardware / software integrated type integrally incorporated in a casing. ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするため、前記ネットワーク外に設けられる外部中継装置であって、
前記ファイヤーウォールと外部サーバとの間に介在され、
前記ネットワーク内から送信される、ファイヤーウォールを通過可能な許諾通信プロトコルによる問い合わせ情報を、前記拒否通信プロトコルに変換して前記外部サーバに送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を許諾通信プロトコルに変換して前記ネットワーク内へ送信可能とする外部プロトコル変換手段を備えることを特徴とする外部中継装置。 In order to enable communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a deny communication protocol in the form of being denied by the firewall, the network An external relay device provided outside,
Interposed between the firewall and an external server,
Inquiry information transmitted from within the network using a permitted communication protocol that can pass through a firewall is converted into the rejected communication protocol so that it can be transmitted to the external server, and a reply is transmitted from the external server using the rejected communication protocol. An external relay device comprising external protocol conversion means for converting information into a licensed communication protocol and transmitting the information into the network. ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信システムであって、
前記ネットワーク内においてファイヤーウォールと端末装置との間に介在されるネットワーク内中継装置と、前記ネットワーク外において外部サーバの前段に介在される外部中継装置とを具備し、
前記ネットワーク内中継装置が、端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
ファイヤーウォールを通過可能な許諾通信プロトコルとファイヤーウォールにより拒否される拒否通信プロトコルとの間でプロトコル変換を行うネットワーク内プロトコル変換手段とを備えてなり、
前記外部中継装置が、前記許諾通信プロトコルと拒否通信プロトコルとの間でプロトコル変換を行う外部プロトコル変換手段を備えてなり、
前記ネットワーク内中継装置の代理DNSから該代理DNSのIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、前記ネットワーク内プロトコル変換手段によりファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能とし、
前記外部中継装置が、前記問い合わせ情報を受信したならば、前記外部プロトコル変換手段により許諾通信プロトコルから拒否通信プロトコルに変換して、前記外部サーバへ送信し、
前記外部中継装置が、前記外部サーバからの返信情報を受信したならば、前記外部プロトコル変換手段により拒否通信プロトコルから許諾通信プロトコルに変換して、前記ネットワーク内へ送信し、
前記ネットワーク内中継装置が、前記外部中継装置を介しての外部サーバからの返信情報を受信したならば、前記ネットワーク内プロトコル変換手段により、該返信情報を拒否通信プロトコルに変換して端末装置に返信する構成であることを特徴とする通信システム。 A communication system for enabling communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall Because
An intra-network relay device interposed between a firewall and a terminal device in the network, and an external relay device interposed before the external server outside the network,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, the intra-network relay device returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server. Proxy DNS,
In-network protocol conversion means for performing protocol conversion between a permitted communication protocol that can pass through the firewall and a rejected communication protocol that is rejected by the firewall,
The external relay device comprises external protocol conversion means for performing protocol conversion between the permitted communication protocol and the rejected communication protocol;
After obtaining the IP address of the proxy DNS from the proxy DNS of the relay device in the network, permission to allow inquiry information based on the reject communication protocol transmitted from the terminal device to pass through the firewall by the protocol conversion means in the network It can be converted to a communication protocol and transmitted outside the network,
When the external relay device receives the inquiry information, the external protocol conversion unit converts the permitted communication protocol into a rejected communication protocol, and transmits it to the external server.
If the external relay device receives the reply information from the external server, the external protocol conversion means converts the rejection communication protocol into a permitted communication protocol, and transmits it into the network.
When the intra-network relay apparatus receives reply information from an external server via the external relay apparatus, the intra-network protocol conversion means converts the reply information into a reject communication protocol and returns it to the terminal apparatus. A communication system, characterized in that 前記組織内のネットワークにプロキシサーバが設定されており、前記ネットワーク内中継装置が、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項8記載の通信システム。   9. The communication system according to claim 8, wherein a proxy server is set in the network in the organization, and the intra-network relay device is interposed between the proxy server and the terminal device. 前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項8又は9記載の通信システム。   10. The communication system according to claim 8, wherein the reject communication protocol is an LDAP protocol. 前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項8〜10のいずれか1に記載の通信システム。   The communication system according to any one of claims 8 to 10, wherein the licensed communication protocol is an HTTP protocol. ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信方法であって、
前記ファイヤーウォールと端末装置との間に、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えるネットワーク内中継装置を介在させることにより、
端末装置とネットワーク内中継装置との間で拒否通信プロトコルにより通信を確立し、端末装置において、拒否通信プロトコルによる問い合わせ情報を送信し、拒否通信プロトコルによる返信情報を受信可能としたことを特徴とする通信方法。 A communication method for enabling communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall Because
Between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device By interposing an intra-network relay device comprising intra-network protocol conversion means,
Communication is established between the terminal device and the intra-network relay device using a reject communication protocol, and the terminal device can send inquiry information using the reject communication protocol and receive reply information using the reject communication protocol. Communication method. 前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項12記載の通信方法。   The communication method according to claim 12, wherein the rejection communication protocol is an LDAP protocol. 前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項12又は13記載の通信方法。   The communication method according to claim 12 or 13, wherein the licensed communication protocol is an HTTP protocol.
JP2004298685A 2004-10-13 2004-10-13 Repeater in network, external repeater, communication system and method Pending JP2006115073A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004298685A JP2006115073A (en) 2004-10-13 2004-10-13 Repeater in network, external repeater, communication system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004298685A JP2006115073A (en) 2004-10-13 2004-10-13 Repeater in network, external repeater, communication system and method

Publications (1)

Publication Number Publication Date
JP2006115073A true JP2006115073A (en) 2006-04-27

Family

ID=36383240

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004298685A Pending JP2006115073A (en) 2004-10-13 2004-10-13 Repeater in network, external repeater, communication system and method

Country Status (1)

Country Link
JP (1) JP2006115073A (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11234270A (en) * 1998-02-16 1999-08-27 Nippon Telegr & Teleph Corp <Ntt> Method for replication/updating data base between networks
JP2001318889A (en) * 2000-05-11 2001-11-16 Nec Corp Directory system
JP2003058459A (en) * 2001-08-10 2003-02-28 Fujitsu Ltd Internet printing method, its system, proxy device, and print server
WO2003105015A1 (en) * 2002-06-01 2003-12-18 Akonix Systems, Inc. Systems and methods for a protocol gateway

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11234270A (en) * 1998-02-16 1999-08-27 Nippon Telegr & Teleph Corp <Ntt> Method for replication/updating data base between networks
JP2001318889A (en) * 2000-05-11 2001-11-16 Nec Corp Directory system
JP2003058459A (en) * 2001-08-10 2003-02-28 Fujitsu Ltd Internet printing method, its system, proxy device, and print server
WO2003105015A1 (en) * 2002-06-01 2003-12-18 Akonix Systems, Inc. Systems and methods for a protocol gateway
JP2005529409A (en) * 2002-06-10 2005-09-29 アコニクス・システムズ・インコーポレイテッド System and method for protocol gateway

Similar Documents

Publication Publication Date Title
TWI413389B (en) Trans-network roaming and resolution with web services for devices
US8850553B2 (en) Service binding
US20050240758A1 (en) Controlling devices on an internal network from an external network
EP3032859B1 (en) Access control method and system, and access point
US20100014521A1 (en) Address conversion device and address conversion method
US20090129301A1 (en) Configuring a user device to remotely access a private network
JP4679453B2 (en) Gateway and program for controlling information devices connected to LAN via WAN
WO2005069535A1 (en) Encryption communication system
US20050135269A1 (en) Automatic configuration of a virtual private network
GB2397477A (en) Establishing a secure communication channel using the Secure Shell (SSH) protocol
EP2127246B1 (en) Automatic protocol switching
JP2004208101A (en) Gateway and communication method therefor
JP5478546B2 (en) Access control system and access control method
US20170207921A1 (en) Access to a node
JP2009230256A (en) Communication controller, communication control method and communication control program
JP3970857B2 (en) Communication system, gateway device
JP2006115073A (en) Repeater in network, external repeater, communication system and method
Touch Recommendations on Using Assigned Transport Port Numbers
JP5708288B2 (en) Satellite communication method, control station and earth station
US10248365B2 (en) Method and system of using OAuth2 to secure neighbor discovery
JP3616571B2 (en) Address resolution method for Internet relay connection
JP2006352710A (en) Packet repeating apparatus and program
WO2011139138A1 (en) Method of providing multi address binding in a network
US10693673B2 (en) Method and apparatus for routing data to cellular network
JP2010055200A (en) Server explicit selection type reverse proxy device, data relay method therefor, and program thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Effective date: 20071010

Free format text: JAPANESE INTERMEDIATE CODE: A621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100218

A131 Notification of reasons for refusal

Effective date: 20100324

Free format text: JAPANESE INTERMEDIATE CODE: A131

A02 Decision of refusal

Effective date: 20100819

Free format text: JAPANESE INTERMEDIATE CODE: A02