JP2006115073A - Repeater in network, external repeater, communication system and method - Google Patents
Repeater in network, external repeater, communication system and method Download PDFInfo
- Publication number
- JP2006115073A JP2006115073A JP2004298685A JP2004298685A JP2006115073A JP 2006115073 A JP2006115073 A JP 2006115073A JP 2004298685 A JP2004298685 A JP 2004298685A JP 2004298685 A JP2004298685 A JP 2004298685A JP 2006115073 A JP2006115073 A JP 2006115073A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication protocol
- protocol
- terminal device
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式のプロトコルによって通信される外部サーバとの間の通信を可能にする技術に関する。 The present invention relates to a technology that enables communication between a terminal device of a network in an organization isolated by a firewall and an external server that is communicated by a protocol that is rejected by the firewall.
ファイヤーウォールにより隔離された組織内のネットワークの端末装置から、ファイヤーウォールにより遮断されるプロトコル(例えば、LDAP)によって通信される外部サーバにアクセスする技術としては、非特許文献1に開示された技術が知られている。この技術は、ファイヤーウォールを二重に設定し、2つのファイヤーウォール間にHTTPからLDAPに変換する変換用のプロキシサーバ(電子入札用LDAPプロキシサーバ)を設置したものである。より具体的には、ファイヤーウォールを通過させるために、端末装置からはHTTPで通信を行い、電子入札用LDAPプロキシサーバにアクセスし、当該電子入札用LDAPプロキシサーバにおいてHTTPからLDAPに変換し、LDAPの通過を可能としたファイヤーウォールを通過させ、インターネット上で電子入札を行っている。
ところで、非特許文献1に記載のようなシステムを設定していない場合、電子入札を行うときに、CRL情報を取得するためには、LDAPでの通信を直接行う専用の別回線を敷設しているのが一般的である。このため、端末装置には、LDAPによる電子入札等を行うためのソフトウエア等が既に端末装置に設定されている。かかる場合に、非特許文献1に記載の技術を用いるとすると、改めて、HTTP通信により電子入札等を行うためのソフトウエアあるいはHTTP通信を可能にするための何らかの機能追加モジュールを組み込んだりする必要がある。 By the way, when the system as described in Non-Patent Document 1 is not set, in order to obtain CRL information when performing electronic bidding, a dedicated separate line for direct communication with LDAP is installed. It is common. For this reason, software for performing electronic bidding by LDAP is already set in the terminal device. In such a case, if the technique described in Non-Patent Document 1 is used, it is necessary to incorporate software for performing electronic bidding by HTTP communication or some function addition module for enabling HTTP communication. is there.
本発明は上記に鑑みなされたものであり、専用の別回線を敷設したり、特殊なプログラムを端末装置等に設定する必要がなく、すなわち、既存の設備の設定を変更することなく、容易かつ低コストでファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる外部サーバとの間での通信を確立することができるネットワーク内中継装置、外部中継装置、通信システム及び通信方法を提供することを課題とする。 The present invention has been made in view of the above, and it is not necessary to install a dedicated separate line or to set a special program in the terminal device or the like, that is, without changing the setting of existing equipment, Intra-network relay that can establish communication between a network terminal in an organization that is isolated by a firewall at low cost and an external server that is accessed by a rejection communication protocol in the form that is rejected by the firewall It is an object to provide a device, an external relay device, a communication system, and a communication method.
上記課題を解決するため、請求項1記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするためのネットワーク内中継装置であって、
前記ファイヤーウォールと端末装置との間に介在され、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段とを備えることを特徴とするネットワーク内中継装置を提供する。
請求項2記載の発明では、前記組織内のネットワークにプロキシサーバが設定されており、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項1記載のネットワーク内中継装置を提供する。
請求項3記載の発明では、前記代理DNSが、前記端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名に該当しない場合に、前記ネットワーク内の他のDNSに該DNS問い合わせを転送する機能を備えることを特徴とする請求項1又は2記載のネットワーク内中継装置を提供する。
請求項4記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項1〜3のいずれか1に記載のネットワーク内中継装置を提供する。
請求項5記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項1〜4のいずれか1に記載のネットワーク内中継装置を提供する。
請求項6記載の発明では、前記代理DNSとネットワーク内プロトコル変換手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のネットワーク内中継装置を提供する。
In order to solve the above-mentioned problem, in the invention described in claim 1, a terminal device of the network in the organization isolated by the firewall, and an external device outside the network accessed by a rejection communication protocol of a form rejected by the firewall. An intra-network relay device for enabling communication with a server,
Interposed between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device An intra-network relay apparatus comprising: an intra-network protocol conversion means.
The invention according to claim 2 is characterized in that a proxy server is set in the network in the organization and is interposed between the proxy server and the terminal device. I will provide a.
According to a third aspect of the present invention, when the DNS inquiry from the terminal device does not correspond to a domain name of an external server that can be relayed, the proxy DNS forwards the DNS inquiry to another DNS in the network. 3. The intra-network relay apparatus according to claim 1 or 2, further comprising a function.
The invention according to claim 4 provides the intra-network relay apparatus according to any one of claims 1 to 3, wherein the rejection communication protocol is an LDAP protocol.
According to a fifth aspect of the invention, there is provided the intra-network relay apparatus according to any one of the first to fourth aspects, wherein the licensed communication protocol is an HTTP protocol.
The invention according to claim 6 is a hardware / software integrated type in which the proxy DNS and the in-network protocol conversion means are integrally incorporated in a casing. An intra-network relay device is provided.
請求項7記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするため、前記ネットワーク外に設けられる外部中継装置であって、
前記ファイヤーウォールと外部サーバとの間に介在され、
前記ネットワーク内から送信される、ファイヤーウォールを通過可能な許諾通信プロトコルによる問い合わせ情報を、前記拒否通信プロトコルに変換して前記外部サーバに送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を許諾通信プロトコルに変換して前記ネットワーク内へ送信可能とする外部プロトコル変換手段を備えることを特徴とする外部中継装置を提供する。
According to the seventh aspect of the present invention, communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. In order to enable the external relay device provided outside the network,
Interposed between the firewall and an external server,
Inquiry information transmitted from within the network using a permitted communication protocol that can pass through a firewall is converted into the rejected communication protocol so that it can be transmitted to the external server, and a reply is transmitted from the external server using the rejected communication protocol. There is provided an external relay device comprising an external protocol conversion means for converting information into a licensed communication protocol and transmitting the information into the network.
請求項8記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信システムであって、
前記ネットワーク内においてファイヤーウォールと端末装置との間に介在されるネットワーク内中継装置と、前記ネットワーク外において外部サーバの前段に介在される外部中継装置とを具備し、
前記ネットワーク内中継装置が、端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
ファイヤーウォールを通過可能な許諾通信プロトコルとファイヤーウォールにより拒否される拒否通信プロトコルとの間でプロトコル変換を行うネットワーク内プロトコル変換手段とを備えてなり、
前記外部中継装置が、前記許諾通信プロトコルと拒否通信プロトコルとの間でプロトコル変換を行う外部プロトコル変換手段を備えてなり、
前記ネットワーク内中継装置の代理DNSから該代理DNSのIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、前記ネットワーク内プロトコル変換手段によりファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能とし、
前記外部中継装置が、前記問い合わせ情報を受信したならば、前記外部プロトコル変換手段により許諾通信プロトコルから拒否通信プロトコルに変換して、前記外部サーバへ送信し、
前記外部中継装置が、前記外部サーバからの返信情報を受信したならば、前記外部プロトコル変換手段により拒否通信プロトコルから許諾通信プロトコルに変換して、前記ネットワーク内へ送信し、
前記ネットワーク内中継装置が、前記外部中継装置を介しての外部サーバからの返信情報を受信したならば、前記ネットワーク内プロトコル変換手段により、該返信情報を拒否通信プロトコルに変換して端末装置に返信する構成であることを特徴とする通信システムを提供する。
請求項9記載の発明では、前記組織内のネットワークにプロキシサーバが設定されており、前記ネットワーク内中継装置が、該プロキシサーバと前記端末装置との間に介在されることを特徴とする請求項8記載の通信システムを提供する。
請求項10記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項8又は9記載の通信システムを提供する。
請求項11記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項8〜10のいずれか1に記載の通信システムを提供する。
In the invention according to claim 8, communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall A communication system for enabling
An intra-network relay device interposed between a firewall and a terminal device in the network, and an external relay device interposed before the external server outside the network,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, the intra-network relay device returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server. Proxy DNS,
In-network protocol conversion means for performing protocol conversion between a permitted communication protocol that can pass through the firewall and a rejected communication protocol that is rejected by the firewall,
The external relay device comprises external protocol conversion means for performing protocol conversion between the permitted communication protocol and the rejected communication protocol;
After obtaining the IP address of the proxy DNS from the proxy DNS of the relay device in the network, permission to allow inquiry information based on the reject communication protocol transmitted from the terminal device to pass through the firewall by the protocol conversion means in the network It can be converted to a communication protocol and transmitted outside the network,
When the external relay device receives the inquiry information, the external protocol conversion unit converts the permitted communication protocol into a rejected communication protocol, and transmits it to the external server.
If the external relay device receives the reply information from the external server, the external protocol conversion means converts the rejection communication protocol into a permitted communication protocol, and transmits it into the network.
When the intra-network relay apparatus receives reply information from an external server via the external relay apparatus, the intra-network protocol conversion means converts the reply information into a reject communication protocol and returns it to the terminal apparatus. There is provided a communication system characterized by having a configuration.
The invention according to claim 9 is characterized in that a proxy server is set in the network in the organization, and the intra-network relay device is interposed between the proxy server and the terminal device. A communication system according to claim 8 is provided.
The invention according to claim 10 provides the communication system according to claim 8 or 9, wherein the rejection communication protocol is an LDAP protocol.
The invention according to
請求項12記載の発明では、ファイヤーウォールにより隔離された組織内のネットワークの端末装置と、ファイヤーウォールにより拒否される形式の拒否通信プロトコルによりアクセスされる前記ネットワーク外の外部サーバとの間での通信を可能にするための通信方法であって、
前記ファイヤーウォールと端末装置との間に、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えるネットワーク内中継装置を介在させることにより、
端末装置とネットワーク内中継装置との間で拒否通信プロトコルにより通信を確立し、端末装置において、拒否通信プロトコルによる問い合わせ情報を送信し、拒否通信プロトコルによる返信情報を受信可能としたことを特徴とする通信方法を提供する。
請求項13記載の発明では、前記拒否通信プロトコルが、LDAPプロトコルであることを特徴とする請求項12記載の通信方法を提供する。
請求項14記載の発明では、前記許諾通信プロトコルが、HTTPプロトコルであることを特徴とする請求項12又は13記載の通信方法を提供する。
In the invention described in claim 12, communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. A communication method for enabling
Between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device By interposing an intra-network relay device comprising intra-network protocol conversion means,
Communication is established between the terminal device and the intra-network relay device using a reject communication protocol, and the terminal device can send inquiry information using the reject communication protocol and receive reply information using the reject communication protocol. A communication method is provided.
The invention according to claim 13 provides the communication method according to claim 12, wherein the rejection communication protocol is an LDAP protocol.
The invention according to claim 14 provides the communication method according to claim 12 or 13, wherein the licensed communication protocol is an HTTP protocol.
本発明では、ネットワーク内中継装置が、自己のIPアドレスを、中継可能な外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、拒否通信プロトコルと許諾通信プロトコルとの変換を行うネットワーク内プロトコル変換手段とを備えた構成である。このため、ファイヤーウォールと端末装置との間にネットワーク内中継装置を介在させるだけで、端末装置と該ネットワーク内中継装置との間では、拒否通信プロトコルによる通信が確立されることになり、端末装置からは、専用の別回線を通じて外部サーバに直接アクセスする場合と全く同様の操作でアクセスすることができる。従って、専用の別回線を敷設したり、特殊なプログラムを端末装置等に設定する必要がなく、ネットワーク内中継装置を介在させるだけで、容易かつ低コストで、拒否通信プロトコルによりアクセスされる外部サーバとの間の通信を確立することができる。 In the present invention, the relay device in the network converts the proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server that can be relayed, and the conversion between the reject communication protocol and the permitted communication protocol. And an intra-network protocol conversion means. For this reason, simply by interposing a relay device in the network between the firewall and the terminal device, communication using the reject communication protocol is established between the terminal device and the relay device in the network. Can be accessed in exactly the same way as when directly accessing an external server through a separate dedicated line. Therefore, there is no need to install a dedicated dedicated line or set a special program in the terminal device, etc., and an external server that can be accessed easily and at low cost by a rejected communication protocol simply by interposing a relay device in the network. Communication can be established.
特に、企業内ネットワーク、企業間ネットワークなどにおいては、HTTPによる通信が許容されるファイヤーウォール設定となっているのが一般的である一方、電子入札等におけるCRLの入手に必要なLDAPによる通信はファイヤーウォールによって拒否される。従って、HTTPとLDAPとの間でのプロトコル変換が可能となるように設定すると、CRL等の情報を容易に入手できるため、特に有効である。 In particular, in an intra-company network, an inter-company network, etc., it is common to use a firewall setting in which HTTP communication is allowed. Rejected by the wall. Therefore, setting so that protocol conversion between HTTP and LDAP is possible is particularly effective because information such as CRL can be easily obtained.
また、拒否通信プロトコルと許諾通信プロトコルとの変換を行う外部プロトコル変換手段を備えた外部中継装置を、ファイヤーウォールと外部サーバとの間に介在させると、外部サーバへの特殊なプログラムの設定が不要となるため、より容易に本発明を導入することができる。 In addition, if an external relay device equipped with external protocol conversion means that converts between a rejected communication protocol and a permitted communication protocol is interposed between the firewall and the external server, it is not necessary to set a special program on the external server. Therefore, the present invention can be introduced more easily.
以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、本実施形態のネットワーク内中継装置であるLDAP中継装置20を用いてLDAPサーバ70へアクセスするための通信システム1を示した概略図であり、図2は、LDAP中継装置20のハードウェア構成を示すブロック図であり、図3及び図4は、端末装置10から送信されたLDAPの問い合わせ情報がLDAPサーバ70に到達するまでのフローチャートであり、図5は、LDAPサーバ70に到達したLDAPの問い合わせ情報に対する返信情報が端末装置10に返信されるまでを示したフローチャートである。
Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a schematic diagram showing a communication system 1 for accessing the
本発明の実施形態である通信システム1は、LDAP(Lightweight Directory Access Protocol)という通信プロトコルの利用を前提として構築されたシステムであり、LDAPの利用形態としては、電子入札等におけるCRL(Certificate Revocation List)情報の取得などが挙げられる。LDAPは、各省庁、地方自治体などへの電子申請や電子入札などで使用されているプロトコルであるが、これは企業内LAN等の組織内のネットワーク(以下、「組織内ネットワーク)に設定されたファイヤーウォールを通過できないことが多いため、本発明を用いるのに適している。また、CRLは、認証局(CA)等が管理する失効した電子証明書のリスト情報のことであるが、これもLDAPを利用して取得するため、本発明の適用対象として適している。 A communication system 1 according to an embodiment of the present invention is a system constructed on the premise of using a communication protocol called LDAP (Lightweight Directory Access Protocol). As a usage form of LDAP, a CRL (Certificate Revocation List) in electronic bidding or the like is used. ) Acquisition of information. LDAP is a protocol used in electronic applications and electronic bidding to ministries and local governments, etc., but this is set for internal networks such as corporate LAN (hereinafter referred to as “internal network”). It is often suitable for using the present invention because it cannot pass through a firewall, and CRL is a list of revoked digital certificates managed by a certificate authority (CA). Since it acquires using LDAP, it is suitable as an application object of this invention.
より具体的には、通信システム1は、図1に示したように、組織内ネットワーク100の端末装置10と該組織内ネットワーク100の外部のLDAPサーバ70との間での通信を確立する。組織内ネットワーク100は、ファイヤーウォール50により外部ネットワークと隔離されているため、拒否通信プロトコルであるLDAPによる通信を試みた場合には、ファイヤーウォール50を通過できず、許諾通信プロトコルである所定のプロトコル(例えば、HTTP)のみがファイヤーウォール50を通過可能に設定されている。組織内ネットワーク100には、通常の企業内ネットワークにおいて設置されているHTTPプロキシサーバ30及び社内DNS40を備えているが、本実施形態においては、このほかに、HTTPプロキシサーバ30と端末装置10との間に、ネットワーク内中継装置としてのLDAP中継装置20を設けていることを特徴とするものである。なお、ファイヤーウォール50としては、ファイヤーウォール専用機を設置してもよいし、HTTPプロキシサーバ30等にファイヤーウォール機能を果たすソフトウエアを導入して設けてもよい。
More specifically, as shown in FIG. 1, the communication system 1 establishes communication between the terminal device 10 of the intra-organization network 100 and the
LDAP中継装置20は、図1に示したように、代理DNS21と、ネットワーク内プロトコル変換手段22とを備えて構成される。LDAP中継装置20は、中継しようとする1以上のLDAPサーバ70のドメイン名を記憶するドメイン記憶部23を有しており、代理DNS21は、端末装置10からのDNS問い合わせがLDAPサーバ70のドメイン名であるか否かをドメイン記憶部23のデータを参照して判断し、LDAPサーバ70のIPアドレスに代えて、自己のIPアドレスを端末装置10に返信する機能を備える。この結果、端末装置10では、この時点でLDAPサーバ70のIPアドレスが返信されたものと認識し、通信設定を行う。なお、図においてLDAPサーバ70は一つしか示していないが、複数であってもよいことはもちろんであり、その場合、後述の外部中継装置60は、複数のLDAPサーバ70に対して一つの割合で設定することができる。
As shown in FIG. 1, the
ネットワーク内プロトコル変換手段22は、LDAP及びHTTP相互間のプロトコル変換を行う手段であり、かかる機能を備える限りどのような手段を用いてもよい。本実施形態では、アプリケーションソフトウエアとしてhttp tunnnel22a(図2参照)を設定し、トンネリング手段によりプロトコル変換を行っている。すなわち、端末装置10から送信されるLDAPで記述されたパケットをHTTPのパケットで包み、HTTPプロキシサーバ30に送信する一方、HTTPプロキシサーバ30を経由して返信されてきたHTTPのパケットをLDAPのパケットに復元して端末装置10にLDAPとして送信する。
The intra-network protocol conversion means 22 is means for performing protocol conversion between LDAP and HTTP, and any means may be used as long as it has such a function. In the present embodiment,
なお、本実施形態のLDAP中継装置20のハードウェア構成は、図2に示すように、OSとして、Linuxカーネル25をコアとして動作するRedHatベースのディストリビューション26を採用しており、OS上で動作する代理DNS21のサーバソフトウェアとして、BIND(Berkeley Internet Name Domain)21aを用い、同じくOS上で動作するネットワーク内プロトコル変換手段22として、上記のようにhttp tunnnel22aを用いている。そして、本実施形態のLDAP中継装置20は、代理DNS21(BIND21a)と、ネットワーク内プロトコル変換手段22(http tunnnel22a)と、これらを動作制御させるOSとがモジュール化され、ケーシング内に一体に組み込まれたハード・ソフト一体型(アプライアンス型)となっている。なお、OS、代理DNS21、及びネットワーク内プロトコル変換手段22を構成する各ソフトウエアはこれらに限定されるものではないことはもちろんである。
As shown in FIG. 2, the hardware configuration of the
代理DNS21は、端末装置10からのDNS問い合わせが、中継可能なLDAPサーバ70のドメイン名でない場合に、社内DNS40に該DNS問い合わせを転送する機能を備えている。つまり、予め、特定のLDAPサーバ70のドメイン名を記憶しているため、LDAPサーバ70以外のDNS問い合わせに対しては、社内DNS40に転送するよう設定されている。これにより、端末装置10からインターネット、組織内ネットワーク100内部にある任意の業務ネットワーク等へのアクセスがなされた場合には、代理DNS21は、自己のIPアドレスを端末装置10に返信するのではなく、そのまま転送して社内DNS40に問い合わせすると共に、社内DNS40からのDNS返答をそのまま端末装置10に返信する。この結果、端末装置10とHTTPプロキシサーバ30との間にLDAP中継装置20を介在させても、端末装置10による、LDAP通信以外の通常の通信も支障なく実行される。
The
LDAPサーバ70へのアクセス経路の前段には外部中継装置60が設置される。外部中継装置60には、外部プロトコル変換手段61が設定されており、外部プロトコル変換手段61として、上記したネットワーク内プロトコル変換手段22と同様に、LDAP及びHTTP相互間のプロトコル変換を行うhttp tunnnelを用いている。これにより、HTTPプロキシサーバ30から送信される情報は、HTTPのパケットからLDAPのパケットに復元され、LDAPとしてLDAPサーバ70に送られる。一方、LDAPサーバ70から返信されるLDAPのパケットは、外部プロトコル変換手段61により、HTTPのパケットにより包まれてHTTPプロキシサーバ30に返信されるため、途中のファイヤーウォール50を通過できる。なお、外部中継装置60は、LDAPサーバ70と組織内ネットワーク100との通信経路中に介在させるだけで済むように、OSとhttp tunnnel等とがモジュール化されて設定されるアプライアンス型としておくことが好ましいことは、上記ネットワーク内中継装置20と同様である。
An external relay device 60 is installed in the previous stage of the access path to the
次に、図3及び図4を参照して端末装置10から送信されたLDAPの問い合わせ情報がLDAPサーバ70に到達するまでの処理手順を説明する。図3に示すように、まず、端末装置10がDNSの問い合わせ情報をLDAP中継装置20に送信する(S101)。LDAP中継装置20は、受信したDNSの問い合わせ情報が中継可能なLDAPサーバ70であるか否かをドメイン記憶部23を参照して判断し(S102)、中継可能なLDAPのドメイン名であることを確認すると、LDAP中継装置20の代理DNS21は、自己のIPアドレス(擬装IPアドレス)を端末装置10に返信し(S103)、自らがLDAPサーバであると端末装置10に認識させる。端末装置10は、擬装IPアドレスを受信すると(S104)、LDAP中継装置20にLDAPの問い合わせ情報を送信する(S105)。そして、LDAP中継装置20はこのLDAPの問い合わせ情報を受信すると(S106)、ネットワーク内プロトコル変換手段22(http tunnnel22a)により、上記したように、受信したLDAPの問い合わせ情報をファイヤーウォール50が通過可能な形態であるHTTPの問い合わせ情報へと変換を行う(S107)。
Next, a processing procedure until the LDAP inquiry information transmitted from the terminal device 10 reaches the
一方、端末装置10から受信したDNSの問い合わせ情報がドメイン記憶部23にあるLDAPサーバ70でない場合は、代理DNS21が社内DNS40宛てにDNS問い合わせ情報を転送(S108)する。受信した社内DNS40は、自身がデータを持っていればDNS返信し(S110)、持っていなければ上流DNSへDNSの問い合わせを行う(S109)。
On the other hand, if the DNS inquiry information received from the terminal device 10 is not the
図4に示すように、LDAP中継装置20は、HTTPプロキシサーバ30宛てにLDAPからHTTPに変換されたHTTPの問い合わせ情報を送信する(S201)。HTTPプロキシサーバ30は、HTTP形式になった問い合わせ情報を受信した後(S202)、外部中継装置60に該問い合わせ情報を送信する(S203)。従って、ファイヤーウォール50の通過時には、端末装置10からのLDAPの問い合わせ情報は、HTTPへ変換済みとなっているため、ファイヤーウォール50の設定等を変えることなく、通常のHTTPパケット扱いとして通過可能となる。外部中継装置60は、HTTP形式となった問い合わせ情報を受信すると(S204)、外部プロトコル変換手段(http tunnel)61により、HTTPの問い合わせ情報をLDAPの問い合わせ情報に復元し(S205)、復元処理されたLDAPの問い合わせ情報をLDAPサーバ70に送信する(S206)。LDAPサーバ70は、LDAPの問い合わせ情報を受信する(S207)。
As shown in FIG. 4, the
次に、図5を参照してLDAPサーバ70に到達したLDAPの問い合わせ情報が返信情報として端末装置10に返信されるまでの処理手順を説明する。LDAPサーバ70は、受信したLDAPの問い合わせ情報に対する回答(返信情報)を、LDAP形式で返信する(S301)。外部中継装置60は、LDAPの返信情報を受信すると(S302)、外部プロトコル変換手段(http tunnel)61が、受信したLDAPの返信情報をHTTPの返信情報に変換すると共に(S303)、該HTTPの返信情報を組織内ネットワーク100のHTTPプロキシサーバ30に送信する(S304)。従って、外部中継装置60からHTTPプロキシサーバ30への返信情報の送信時も、HTTP形式となっているため、ファイヤーウォール50を通常のHTTP通信と同様に通過できる。HTTPプロキシサーバ30は、HTTP形式の返信情報を受信した後(S305)、LDAP中継装置20に対してHTTP形式の状態で該返信情報を送信する(S306)。LDAP中継装置20は、このHTTPの返信情報を受信すると(S307)、ネットワーク内プロトコル変換手段22(http tunnnel22a)により、HTTPの返信情報をLDAPの返信情報に復元し(S308)、復元された該LDAP形式の返信情報を端末装置10に送信する(S309)。端末装置10は、LDAP中継装置20からLDAPの返信情報を受信する(S310)。
Next, a processing procedure until the inquiry information of the LDAP that has reached the
本実施形態によれば、組織内ネットワーク100のファイヤーウォール50と端末装置10との間にLDAP中継装置20を介在させると共に、ファイヤーウォール50と外部のLDAPサーバ70との間に外部中継装置60を設置するだけで、その他の通信システム1の構成は、全く変更する必要はない。すなわち、端末装置10、HTTPプロキシサーバ30、社内DNS40、ファイヤーウォール50、LDAPサーバ70の設定は何ら変更する必要がないにも拘わらず、端末装置10とLDAP中継装置20との間では、LDAPによる通信が確立されることになる。従って、端末装置10からは、LDAPの専用線を通じてLDAPサーバ70に直接アクセスする場合と全く同様の操作でアクセスすることができ、従来のように専用線を敷設したり、特殊なプログラムを端末装置等に設定する必要がない。
According to the present embodiment, the
なお、上記した説明では、HTTPとLDAP間でのプロトコル変換を例示して説明しており、電子入札やCRLの入手等において、組織内ネットワークから外部のLDAPサーバにアクセスする場合に特に有効であるが、本発明は、HTTPとLDAP間に限らず、ファイヤーウォールにより隔離された組織内ネットワーク内の端末装置と外部に設定されるサーバとの間において、ファイヤーウォールを通過可能な任意の許諾通信プロトコルとファイヤウォールにより拒否される任意の拒否通信プロトコル間での通信の確立に適用可能である。 In the above description, protocol conversion between HTTP and LDAP is described as an example, which is particularly effective when accessing an external LDAP server from an in-house network for electronic bidding and CRL acquisition. However, the present invention is not limited to HTTP and LDAP, and any licensed communication protocol that can pass through a firewall between a terminal device in an organization network isolated by a firewall and a server set outside. And establishment of communication between any rejected communication protocols rejected by the firewall.
また、上記した説明では、HTTPとLDAP間でのプロトコル変換を行うネットワーク内プロトコル変換手段22及び外部プロトコル変換手段61としてhttp tunnnelを用いているが、同様の目的を達成できる限り、他のプロトコル変換ソフトウエアを用いることも可能である。もちろん、上記のように、HTTPとLDAP間ではない他の許諾通信プロトコルと拒否通信プロトコル間での変換を行う場合にも、それに適する任意のプロトコル変換ソフトウエアが用いられる。 Further, in the above description, http tunnel is used as the intra-network protocol conversion means 22 and the external protocol conversion means 61 that perform protocol conversion between HTTP and LDAP. However, as long as the same purpose can be achieved, other protocol conversions are possible. It is also possible to use software. Of course, as described above, any protocol conversion software suitable for the conversion between another permitted communication protocol and a rejection communication protocol that is not between HTTP and LDAP is used.
また、上記した説明では、組織内ネットワーク100にHTTPプロキシサーバ30を設定しているが、このようなプロキシサーバを有さない組織内ネットワークにおいて本発明を適用することももちろん可能である。その場合には、ネットワーク内中継装置20と外部中継装置60との間で、ファイヤーウォール50を介した情報の送受信が行われる。
In the above description, the
1 通信システム
10 端末装置
20 LDAP中継装置
21 代理DNS
22 ネットワーク内プロトコル変換手段
30 HTTPプロキシサーバ
40 社内DNS
50 ファイヤーウォール
60 外部中継装置
61 外部プロトコル変換手段
70 LDAPサーバ
100 組織内ネットワーク
1 Communication system 10
22 Intra-network protocol conversion means 30
50 Firewall 60
Claims (14)
前記ファイヤーウォールと端末装置との間に介在され、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えることを特徴とするネットワーク内中継装置。 In the network for enabling communication between a terminal device of the network in the organization isolated by the firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall. A relay device,
Interposed between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device An intra-network relay apparatus comprising: intra-network protocol conversion means.
前記ファイヤーウォールと外部サーバとの間に介在され、
前記ネットワーク内から送信される、ファイヤーウォールを通過可能な許諾通信プロトコルによる問い合わせ情報を、前記拒否通信プロトコルに変換して前記外部サーバに送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を許諾通信プロトコルに変換して前記ネットワーク内へ送信可能とする外部プロトコル変換手段を備えることを特徴とする外部中継装置。 In order to enable communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a deny communication protocol in the form of being denied by the firewall, the network An external relay device provided outside,
Interposed between the firewall and an external server,
Inquiry information transmitted from within the network using a permitted communication protocol that can pass through a firewall is converted into the rejected communication protocol so that it can be transmitted to the external server, and a reply is transmitted from the external server using the rejected communication protocol. An external relay device comprising external protocol conversion means for converting information into a licensed communication protocol and transmitting the information into the network.
前記ネットワーク内においてファイヤーウォールと端末装置との間に介在されるネットワーク内中継装置と、前記ネットワーク外において外部サーバの前段に介在される外部中継装置とを具備し、
前記ネットワーク内中継装置が、端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
ファイヤーウォールを通過可能な許諾通信プロトコルとファイヤーウォールにより拒否される拒否通信プロトコルとの間でプロトコル変換を行うネットワーク内プロトコル変換手段とを備えてなり、
前記外部中継装置が、前記許諾通信プロトコルと拒否通信プロトコルとの間でプロトコル変換を行う外部プロトコル変換手段を備えてなり、
前記ネットワーク内中継装置の代理DNSから該代理DNSのIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、前記ネットワーク内プロトコル変換手段によりファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能とし、
前記外部中継装置が、前記問い合わせ情報を受信したならば、前記外部プロトコル変換手段により許諾通信プロトコルから拒否通信プロトコルに変換して、前記外部サーバへ送信し、
前記外部中継装置が、前記外部サーバからの返信情報を受信したならば、前記外部プロトコル変換手段により拒否通信プロトコルから許諾通信プロトコルに変換して、前記ネットワーク内へ送信し、
前記ネットワーク内中継装置が、前記外部中継装置を介しての外部サーバからの返信情報を受信したならば、前記ネットワーク内プロトコル変換手段により、該返信情報を拒否通信プロトコルに変換して端末装置に返信する構成であることを特徴とする通信システム。 A communication system for enabling communication between a terminal device of a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall Because
An intra-network relay device interposed between a firewall and a terminal device in the network, and an external relay device interposed before the external server outside the network,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, the intra-network relay device returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server. Proxy DNS,
In-network protocol conversion means for performing protocol conversion between a permitted communication protocol that can pass through the firewall and a rejected communication protocol that is rejected by the firewall,
The external relay device comprises external protocol conversion means for performing protocol conversion between the permitted communication protocol and the rejected communication protocol;
After obtaining the IP address of the proxy DNS from the proxy DNS of the relay device in the network, permission to allow inquiry information based on the reject communication protocol transmitted from the terminal device to pass through the firewall by the protocol conversion means in the network It can be converted to a communication protocol and transmitted outside the network,
When the external relay device receives the inquiry information, the external protocol conversion unit converts the permitted communication protocol into a rejected communication protocol, and transmits it to the external server.
If the external relay device receives the reply information from the external server, the external protocol conversion means converts the rejection communication protocol into a permitted communication protocol, and transmits it into the network.
When the intra-network relay apparatus receives reply information from an external server via the external relay apparatus, the intra-network protocol conversion means converts the reply information into a reject communication protocol and returns it to the terminal apparatus. A communication system, characterized in that
前記ファイヤーウォールと端末装置との間に、
端末装置からのDNS問い合わせが、中継可能な外部サーバのドメイン名である場合に、自己のIPアドレスを前記外部サーバのドメイン名に対応するIPアドレスとして端末装置に返信する代理DNSと、
前記代理DNSからIPアドレスを取得した後、前記端末装置から送信される前記拒否通信プロトコルによる問い合わせ情報を、ファイヤーウォールを通過可能な許諾通信プロトコルに変換して、前記ネットワーク外へ送信可能にすると共に、前記外部サーバからの拒否通信プロトコルによる返信情報を前記ネットワーク外の外部プロトコル変換手段により許諾通信プロトコルに変換された形態で受信し、該返信情報を拒否通信プロトコルに変換して端末装置に返信するネットワーク内プロトコル変換手段と
を備えるネットワーク内中継装置を介在させることにより、
端末装置とネットワーク内中継装置との間で拒否通信プロトコルにより通信を確立し、端末装置において、拒否通信プロトコルによる問い合わせ情報を送信し、拒否通信プロトコルによる返信情報を受信可能としたことを特徴とする通信方法。 A communication method for enabling communication between a terminal device in a network in an organization isolated by a firewall and an external server outside the network accessed by a rejection communication protocol in a form rejected by the firewall Because
Between the firewall and the terminal device,
When the DNS inquiry from the terminal device is the domain name of the external server that can be relayed, a proxy DNS that returns its own IP address to the terminal device as an IP address corresponding to the domain name of the external server;
After obtaining the IP address from the proxy DNS, the inquiry information by the reject communication protocol transmitted from the terminal device is converted into a permitted communication protocol that can pass through a firewall, and can be transmitted outside the network. , Receiving reply information from the external server in a rejected communication protocol in a form converted into a licensed communication protocol by an external protocol converting means outside the network, converting the reply information into a rejected communication protocol, and sending it back to the terminal device By interposing an intra-network relay device comprising intra-network protocol conversion means,
Communication is established between the terminal device and the intra-network relay device using a reject communication protocol, and the terminal device can send inquiry information using the reject communication protocol and receive reply information using the reject communication protocol. Communication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298685A JP2006115073A (en) | 2004-10-13 | 2004-10-13 | Repeater in network, external repeater, communication system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004298685A JP2006115073A (en) | 2004-10-13 | 2004-10-13 | Repeater in network, external repeater, communication system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006115073A true JP2006115073A (en) | 2006-04-27 |
Family
ID=36383240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004298685A Pending JP2006115073A (en) | 2004-10-13 | 2004-10-13 | Repeater in network, external repeater, communication system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006115073A (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11234270A (en) * | 1998-02-16 | 1999-08-27 | Nippon Telegr & Teleph Corp <Ntt> | Method for replication/updating data base between networks |
JP2001318889A (en) * | 2000-05-11 | 2001-11-16 | Nec Corp | Directory system |
JP2003058459A (en) * | 2001-08-10 | 2003-02-28 | Fujitsu Ltd | Internet printing method, its system, proxy device, and print server |
WO2003105015A1 (en) * | 2002-06-01 | 2003-12-18 | Akonix Systems, Inc. | Systems and methods for a protocol gateway |
-
2004
- 2004-10-13 JP JP2004298685A patent/JP2006115073A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11234270A (en) * | 1998-02-16 | 1999-08-27 | Nippon Telegr & Teleph Corp <Ntt> | Method for replication/updating data base between networks |
JP2001318889A (en) * | 2000-05-11 | 2001-11-16 | Nec Corp | Directory system |
JP2003058459A (en) * | 2001-08-10 | 2003-02-28 | Fujitsu Ltd | Internet printing method, its system, proxy device, and print server |
WO2003105015A1 (en) * | 2002-06-01 | 2003-12-18 | Akonix Systems, Inc. | Systems and methods for a protocol gateway |
JP2005529409A (en) * | 2002-06-10 | 2005-09-29 | アコニクス・システムズ・インコーポレイテッド | System and method for protocol gateway |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI413389B (en) | Trans-network roaming and resolution with web services for devices | |
US8850553B2 (en) | Service binding | |
US20050240758A1 (en) | Controlling devices on an internal network from an external network | |
EP3032859B1 (en) | Access control method and system, and access point | |
US20100014521A1 (en) | Address conversion device and address conversion method | |
US20090129301A1 (en) | Configuring a user device to remotely access a private network | |
JP4679453B2 (en) | Gateway and program for controlling information devices connected to LAN via WAN | |
WO2005069535A1 (en) | Encryption communication system | |
US20050135269A1 (en) | Automatic configuration of a virtual private network | |
GB2397477A (en) | Establishing a secure communication channel using the Secure Shell (SSH) protocol | |
EP2127246B1 (en) | Automatic protocol switching | |
JP2004208101A (en) | Gateway and communication method therefor | |
JP5478546B2 (en) | Access control system and access control method | |
US20170207921A1 (en) | Access to a node | |
JP2009230256A (en) | Communication controller, communication control method and communication control program | |
JP3970857B2 (en) | Communication system, gateway device | |
JP2006115073A (en) | Repeater in network, external repeater, communication system and method | |
Touch | Recommendations on Using Assigned Transport Port Numbers | |
JP5708288B2 (en) | Satellite communication method, control station and earth station | |
US10248365B2 (en) | Method and system of using OAuth2 to secure neighbor discovery | |
JP3616571B2 (en) | Address resolution method for Internet relay connection | |
JP2006352710A (en) | Packet repeating apparatus and program | |
WO2011139138A1 (en) | Method of providing multi address binding in a network | |
US10693673B2 (en) | Method and apparatus for routing data to cellular network | |
JP2010055200A (en) | Server explicit selection type reverse proxy device, data relay method therefor, and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Effective date: 20071010 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100218 |
|
A131 | Notification of reasons for refusal |
Effective date: 20100324 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
A02 | Decision of refusal |
Effective date: 20100819 Free format text: JAPANESE INTERMEDIATE CODE: A02 |