JP2008160497A - Communication apparatus and communication method - Google Patents

Communication apparatus and communication method Download PDF

Info

Publication number
JP2008160497A
JP2008160497A JP2006346937A JP2006346937A JP2008160497A JP 2008160497 A JP2008160497 A JP 2008160497A JP 2006346937 A JP2006346937 A JP 2006346937A JP 2006346937 A JP2006346937 A JP 2006346937A JP 2008160497 A JP2008160497 A JP 2008160497A
Authority
JP
Japan
Prior art keywords
communication
communication path
initial value
host
internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006346937A
Other languages
Japanese (ja)
Inventor
Tomoya Saito
智哉 齋藤
Kei Tanaka
圭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2006346937A priority Critical patent/JP2008160497A/en
Priority to US11/761,471 priority patent/US8386783B2/en
Publication of JP2008160497A publication Critical patent/JP2008160497A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication apparatus capable of maintaining a continuous channel and detecting a risk of spoofing and being altered when an external host in an external network establishes a tunnel to an internal host in an internal network beyond a firewall to perform a communication. <P>SOLUTION: The communication apparatus performs a communication after establishing a tunnel from the external host in the external network to the internal host device in the internal network beyond the firewall has a transmitting means for transmitting channel maintenance data for maintaining the tunnel in accordance with timing required to maintain the tunnel, and an electronic signature means for performing an electronic signature in the channel maintenance data. Further, the channel maintenance data includes data having a meaning that nothing will be done. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、通信システムおよび通信方法に関する。   The present invention relates to a communication system and a communication method.

インターネット等のネットワーク上に分散している各種サービスを組み合わせて新しいサービスを構築する技術が注目を集めている。特にWebサービスと呼ばれる技術が広く使われ始めている。WebサービスはHTTP(Hyper Text Transfer Protocol)やSOAP(Simple Object Access Protocol)、 XML(Extensible Markup Language)などのオープンな標準技術をもとに構築されている。   A technique for building a new service by combining various services distributed on a network such as the Internet is attracting attention. In particular, a technique called a Web service has begun to be widely used. Web services are built based on open standard technologies such as Hyper Text Transfer Protocol (HTTP), Simple Object Access Protocol (SOAP), and Extensible Markup Language (XML).

ところで、企業ではインターネットと社内ネットの境界にファイアウォール(防火壁)と呼ばれるシステムを導入することで、インターネットからのアクセスを制限するのが一般的である。このようにファイアウォールが存在する環境でも、企業ネットワーク内部に存在する計算資源を利用するサービスをインターネット上で構成されたサービスから呼び出したいという要求がある。図1は従来のWebサービスとファイアウォールの関係を説明するための図である。インターネットなどの外部ネットワーク3に接続されたユーザ端末7は、サービス6a〜6cを介してファイアウォール2を超えて内部ネットワーク2内のサービス5a〜5cを呼び出す場合、特定のユーザ端末だけがファイアウォール2を超えることができる。   By the way, companies generally restrict access from the Internet by introducing a system called a firewall (firewall) at the boundary between the Internet and the company network. Even in such an environment where a firewall exists, there is a demand to call a service that uses computing resources existing in the corporate network from a service configured on the Internet. FIG. 1 is a diagram for explaining the relationship between a conventional Web service and a firewall. When a user terminal 7 connected to an external network 3 such as the Internet calls the services 5a to 5c in the internal network 2 over the firewall 2 via the services 6a to 6c, only a specific user terminal exceeds the firewall 2 be able to.

上記要求にこたえるためには、インターネットから社内ネットワークへの通信を可能とする必要がある。このための技術としては、VPN(Virtual Private Network)技術を利用する方法と、リバースプロキシ(Reverse Proxy)と呼ばれる技術を利用することが一般的である。VPNでは、一般的に専用ルーターのような高価な機器を必要とするという問題がある。また、リバースプロキシは、ネットワーク境界(ファイアウォール)に通常の反対向きのプロキシを設置し、内部ネットワークリソースを限定的に外部公開する手法である。しかし、リバースプロキシでは、ファイアウォールもしくは境界ネットワークの構成を変更する必要があるという問題がある。   In order to meet the above requirements, it is necessary to enable communication from the Internet to the corporate network. As a technique for this purpose, it is common to use a method using a VPN (Virtual Private Network) technique and a technique called a reverse proxy. VPNs generally have the problem of requiring expensive equipment such as dedicated routers. The reverse proxy is a technique in which a normal reverse proxy is installed at the network boundary (firewall) and internal network resources are limitedly disclosed to the outside. However, the reverse proxy has a problem that it is necessary to change the configuration of the firewall or the perimeter network.

また、ファイアウォール内部から外部へ通過しやすいHTTP(Hyper Text Transfer Protocol、HTTP/1.1 RFC2616)やHTTPS(Hyper Text Transfer Protocol Security、RFC2660)などの通信手段で外部ホストへ接続し、その接続の中で外部ホストからデータを送信できる状態にする技術として、サーバプッシュ、リバーストンネル(Reverse Tunneling)などの技術が提案されている。HTTPは、ステートレスでシンプルな通信が特徴あり、クライアントはリクエストをサーバへ送信し、サーバはリクエスト対応したレスポンスを返してセッションが終了する。また、HTTPでは、ファイアウォールなどがあっても汎用のプロキシを利用することで透過的な接続が可能となる。HTTPでは、クライアントが要求を出してサーバが応答をしたが、サーバプッシュでは情報をサーバ側から決められた各クライアントホストへ自動的に配信することになる。   In addition, it connects to an external host by communication means such as HTTP (Hyper Text Transfer Protocol, HTTP / 1.16 RFC2616) and HTTPS (Hyper Text Transfer Protocol Security, RFC2660) that can easily pass from inside the firewall to the outside. As a technology for making data ready to be transmitted from an external host, technologies such as server push and reverse tunneling have been proposed. HTTP is characterized by stateless and simple communication. The client transmits a request to the server, and the server returns a response corresponding to the request, and the session ends. In HTTP, even if there is a firewall or the like, a transparent connection is possible by using a general-purpose proxy. In HTTP, a client issues a request and a server responds. In server push, information is automatically distributed to each client host determined from the server side.

しかし、サーバプッシュは、圧縮処理等をしていないため、データ更新間隔を短くすると単純にデータ量の更新回数倍となり、結果として全体のトラフィックデータが大きくなり、リアルタイム通信には向かない。また、サーバプッシュでは、サーバが定期的に更新データを配信するため、インタラクティブ通信は考慮されておらず、対話的な通信には向かない。また、動画の配信ではMPEG2/MPEG4などストリーム配信に適した他のデータフォーマットを使うのが一般的である。このため、サーバプッシュは、1997年頃に次世代Web技術として話題になったが、現在ではあまり使われていない。これに対して、接続開始時とは逆方法の通信を実現する接続形態としてリバーストンネルが提案されている(特許文献1参照)。リバーストンネルは、内部から外部へ通信を始めて、トンネル接続を確立する手法である。   However, since server push does not perform compression processing or the like, if the data update interval is shortened, the data amount is simply multiplied by the number of updates, resulting in a large overall traffic data, which is not suitable for real-time communication. Further, in server push, since the server periodically delivers update data, interactive communication is not considered and is not suitable for interactive communication. Further, in the distribution of moving images, it is common to use other data formats suitable for stream distribution such as MPEG2 / MPEG4. For this reason, server push became a hot topic as a next-generation Web technology around 1997, but it is not used much now. On the other hand, a reverse tunnel has been proposed as a connection form that realizes communication in a reverse method to that at the start of connection (see Patent Document 1). The reverse tunnel is a technique for establishing a tunnel connection by starting communication from the inside to the outside.

また、なりすましを防ぐための一般的な技術として以下のような技術が提案されている。特許文献2では、なりすましが困難になるよう、複合機などへデジタル証明書をインストールする技術が提案されている。また、特許文献3では、電子送信の処理にトークンの代わりにユーザのバイオメトリックスを利用して利用者を認証する技術が提案されている。さらに、特許文献4では、ネットワークゲームのためのセキュリティゲートウェイを用いて、セキュアな通信を可能としている。
特開2003−50756号公報 特開2004−320715号公報 特開2003−509775号公報 特開2004−56784号公報 The following techniques have been proposed as general techniques for preventing spoofing. Patent Document 2 proposes a technique for installing a digital certificate in a multifunction machine or the like so that impersonation becomes difficult. Patent Document 3 proposes a technique for authenticating a user using a user's biometrics instead of a token for electronic transmission processing. Furthermore, in patent document 4, the secure communication is enabled using the security gateway for network games.
JP 2003-50756 A JP 2004-320715 A JP 2003-509775 A JP 2004-56784 A

しかしながら、通常のリバーストンネルは、HTTPSやSSLなどのトンネルモードをもつプロトコルを用いての暗号化されたトンネルを作成する。HTTPは、ステートレスでシンプルな通信が特徴あり、クライアントはリクエストをサーバへ送信し、サーバはリクエスト対応したレスポンスを返してセッションが終了する。このため、HTTPでは、ステートレスな通信を前提として設計されているため、通信路を継続的に保持できないという問題がある。また、このトンネルはHTTPベースなので簡単になりすましや、改竄される危険性がある。   However, a normal reverse tunnel creates an encrypted tunnel using a protocol having a tunnel mode such as HTTPS or SSL. HTTP is characterized by stateless and simple communication. The client transmits a request to the server, and the server returns a response corresponding to the request, and the session ends. For this reason, since HTTP is designed on the premise of stateless communication, there is a problem that a communication path cannot be continuously maintained. In addition, since this tunnel is based on HTTP, there is a risk of being simply spoofed or tampered with.

そこで、本発明は、上記問題点に鑑みてなされたもので、外部ネットワーク内の外部ホストがファイアウォールを越えて内部ネットワーク内の内部ホストとの間でトンネルを構築して通信を行う際に、継続的な通信路の維持が可能で、かつなりすましや改竄される危険性を検知することができる通信システムおよび通信方法を提供することを目的とする。   Therefore, the present invention has been made in view of the above problems, and continues when an external host in an external network establishes a tunnel and communicates with an internal host in the internal network across a firewall. An object of the present invention is to provide a communication system and a communication method capable of maintaining a typical communication path and detecting the risk of impersonation and tampering.

上記課題を解決するために、本発明は、外部ネットワーク内の外部ホストから内部ネットワーク内の内部ホストへの通信を遮断すると共に前記内部ネットワークから前記外部ネットワークへの通信は選択的に通過させるファイアウォールがある環境で、前記外部ネットワーク内の前記外部ホストから前記内部ネットワーク内の内部ホストへの通信路を構築して通信を行う通信システムであって、前記外部ホストは、前記通信路を維持するのに必要なタイミングに応じて前記通信路を維持するための通信路維持データを前記内部ホストに送信する送信手段と、前記通信路維持データの中に電子署名を施す電子署名手段と、を有することを特徴とする。   In order to solve the above problems, the present invention provides a firewall that blocks communication from an external host in an external network to an internal host in an internal network and selectively allows communication from the internal network to the external network. In a certain environment, a communication system that performs communication by establishing a communication path from the external host in the external network to the internal host in the internal network, wherein the external host maintains the communication path Transmission means for transmitting communication path maintenance data for maintaining the communication path to the internal host according to necessary timing, and electronic signature means for applying an electronic signature to the communication path maintenance data. Features.

本発明によれば、通信路を維持するのに必要なタイミングで通信路維持データを送ることで、外部ネットワーク内の外部ホストがファイアウォールを越えて内部ネットワーク内の内部ホストとの間で通信路を構築して通信を行う際に、継続的な通信路の維持が可能となる。また、通信路を維持するための通信路維持データの中に電子署名を施すことで、接続元は接続先の確かさを検証し、また接続先ホストはそれ自身の確かさを保証することができる。これにより、悪意ある第3者によるなりすましを防止し、改竄を検出するための仕組みを提供することができる。   According to the present invention, the communication path maintenance data is sent at a timing necessary for maintaining the communication path, so that the external host in the external network passes the firewall and establishes the communication path with the internal host in the internal network. When constructing and performing communication, it is possible to maintain a continuous communication path. Also, by applying a digital signature to the communication path maintenance data for maintaining the communication path, the connection source can verify the reliability of the connection destination, and the connection destination host can guarantee its own reliability. it can. As a result, it is possible to provide a mechanism for preventing spoofing by a malicious third party and detecting tampering.

また、前記内部ホストは、前記通信路を確立するための要求情報を前記外部ホストに送信し、かつ当該要求情報の返信情報を前記外部ホストから受信することにより、前記通信路を確立する確立手段を有し、前記返信情報の受信の後に前記通信路維持データを受信することにより、前記通信路を維持する。前記通信路維持データは前記内部ホスト側での処理不用を示す情報を含むものである。この内部ホスト側での処理不用を示す情報は、何もしないという意味のデータである。前記要求情報及び返信情報はハイパーテキストトランスファプロトコルに基づくものである。前記通信路維持データは、所定の初期値を署名し暗号化したランダム値を含む構成とすることができる。   Further, the internal host establishes the communication path by transmitting request information for establishing the communication path to the external host and receiving reply information of the request information from the external host. The communication path is maintained by receiving the communication path maintenance data after receiving the reply information. The communication path maintenance data includes information indicating that processing is not required on the internal host side. The information indicating that processing is not required on the internal host side is data meaning that nothing is done. The request information and reply information are based on the hypertext transfer protocol. The communication path maintenance data may include a random value obtained by signing and encrypting a predetermined initial value.

本発明の通信システムにおいて、前記外部ホストは、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値を生成するための擬似乱数生成手段をさらに有する構成とすることができる。前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、認証時、前記所定の初期値に基づいて前記ランダム値を生成することにより通信相手を認証する認証手段をさらに有する構成とすることができる。   In the communication system according to the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, the external host includes pseudo random number generation means for generating the predetermined initial value. Furthermore, it can be set as the structure which has. When the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, an authentication unit that authenticates a communication partner by generating the random value based on the predetermined initial value at the time of authentication. Furthermore, it can be set as the structure which has.

本発明の通信システムは、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して送信側の秘密鍵で署名を施す署名手段をさらに有する構成とすることができる。本発明の通信システムは、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して受信側の公開鍵で暗号化を施す初期値暗号化手段をさらに有する構成とすることができる。本発明の通信システムは、前記公開鍵への証明書を交付する認証局をさらに有する構成とすることができる。これにより、データの発行元が信頼のおけるサーバであることを証明するための署名を生成できる。また、接続先ホストとデータの真正性確認をより強固かつ確実に行える。また新規接続ホストが増えた場合の真正性確認が容易になり、スケーラビリティのあるシステム拡張が可能になる。   In the communication system according to the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, a signing unit that signs the predetermined initial value with a secret key on a transmitting side is provided. Furthermore, it can be set as the structure which has. In the communication system according to the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, the initial value for encrypting the predetermined initial value with the public key of the receiving side It may be configured to further include an encryption unit. The communication system of the present invention may further include a certificate authority that issues a certificate to the public key. This makes it possible to generate a signature for proving that the data issuer is a reliable server. In addition, the authenticity of the connection destination host and data can be confirmed more securely and reliably. In addition, it is easy to check the authenticity when the number of newly connected hosts increases, and it is possible to expand the system with scalability.

本発明の通信システムは、リバーストンネル技術を用いて前記通信路を構築する構築手段をさらに有する構成とすることができる。前記外部ホストは、前記内部ネットワーク内のサービス呼出を受け付け、前記内部ホストに前記サービス呼出のためのサービス呼出データを送信するサービス呼出受付手段をさらに有する構成とすることができる。これにより、外部ネットワークからファイアウォールを越えて例えば企業内の内部ネットワーク上に存在するサービスを呼び出すことができる。   The communication system of the present invention can be configured to further include construction means for constructing the communication path using reverse tunnel technology. The external host may further include service call accepting means for accepting a service call in the internal network and transmitting service call data for the service call to the internal host. Thereby, for example, a service existing on the internal network in the company can be called over the firewall from the external network.

本発明の通信システムは、前記通信路を介して送信する送信データに対して暗号化を施す送信データ暗号化手段をさらに有する構成とすることができる。これにより必要に応じてデータの機密性を保障することができる。前記サービス呼出データは、テキストデータである構成とすることができる。前記サービス呼出データは、XMLデータである構成とすることができる。これにより構造化された文書フォーマットを用いて通信を行うことができる。   The communication system of the present invention may further comprise transmission data encryption means for encrypting transmission data transmitted via the communication path. As a result, the confidentiality of the data can be ensured as necessary. The service call data may be text data. The service call data may be XML data. As a result, communication can be performed using a structured document format.

本発明は、外部ネットワーク内の外部ホストから内部ネットワーク内の内部ホストへの通信を遮断すると共に前記内部ネットワークから前記外部ネットワークへの通信は選択的に通過させるファイアウォールがある環境で前記外部ネットワークから前記内部ネットワークへの通信路を構築して通信を行う通信方法であって、前記通信路を維持するのに必要なタイミングに応じて前記通信路を維持するための通信路維持データに対して電子署名を施して前記外部ホストから前記内部ホストに送信する送信ステップを有することを特徴とする。   The present invention cuts off communication from an external host in an external network to an internal host in an internal network and selectively transmits the communication from the internal network to the external network from the external network in the environment. A communication method for establishing a communication path to an internal network and performing communication, wherein an electronic signature is applied to communication path maintenance data for maintaining the communication path according to a timing required to maintain the communication path And transmitting from the external host to the internal host.

本発明によれば、通信路(トンネル)を維持するのに必要なタイミングで通信路維持データを送ることで、外部ネットワーク内の外部ホストがファイアウォールを越えて内部ネットワーク内の内部ホストとの間で通信路を構築して通信を行う際に、継続的な通信路の維持が可能となる。また、通信路を維持するための通信路維持データの中に電子署名を施すことで、接続元は接続先の確かさを検証し、また接続先ホストはそれ自身の確かさを保証することができる。これにより、悪意ある第3者によるなりすましを防止できる。また通信路維持データの中に含まれた署名データを検証することで、悪意ある第3者による通信維持データの改竄を検出するための仕組みを提供することができる。   According to the present invention, the communication path maintenance data is sent at the timing necessary to maintain the communication path (tunnel), so that the external host in the external network can pass over the firewall and the internal host in the internal network. When a communication path is constructed and communication is performed, a continuous communication path can be maintained. Also, by applying a digital signature to the communication path maintenance data for maintaining the communication path, the connection source can verify the reliability of the connection destination, and the connection destination host can guarantee its own reliability. it can. This can prevent spoofing by a malicious third party. Further, by verifying the signature data included in the communication path maintenance data, it is possible to provide a mechanism for detecting falsification of the communication maintenance data by a malicious third party.

前記通信路維持データは、所定の初期値を署名し暗号化したランダム値を含む構成とすることができる。本発明の通信方法は、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値を生成するための生成ステップをさらに有する構成とすることができる。本発明の通信方法は、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、認証時、前記所定の初期値に基づいて前記ランダム値を生成することにより通信相手を認証する認証ステップをさらに有する構成とすることができる。   The communication path maintenance data may include a random value obtained by signing and encrypting a predetermined initial value. The communication method of the present invention may further include a generation step for generating the predetermined initial value when the communication path maintenance data includes a random value obtained by signing and encrypting the predetermined initial value. it can. In the communication method of the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, communication is performed by generating the random value based on the predetermined initial value at the time of authentication. It may be configured to further include an authentication step for authenticating the other party.

本発明の通信方法は、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して送信側の秘密鍵で署名を施す署名ステップをさらに有する構成とすることができる。本発明の通信方法は、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して受信側の公開鍵で暗号化を施すステップをさらに有する構成とすることができる。   In the communication method according to the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, a signature step of applying a signature to the predetermined initial value with a secret key on the transmitting side is performed. Furthermore, it can be set as the structure which has. In the communication method of the present invention, when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, the predetermined initial value is encrypted with a public key on the receiving side. Furthermore, it can be set as the structure which has.

本発明の通信方法は、前記内部ネットワーク内のサービス呼出を受け付け、前記内部ホストに前記サービス呼出のためのサービス呼出データを送信するステップをさらに有する構成とすることができる。これにより、外部ネットワークからファイアウォールを越えて例えば企業内の内部ネットワーク上に存在するサービスを呼び出すことができる。本発明の通信方法は、前記通信路を介して送信する送信データに対して暗号化を施すステップをさらに有する構成とすることができる。これにより必要に応じてデータの機密性を保障することができる。   The communication method of the present invention may further include a step of receiving a service call in the internal network and transmitting service call data for the service call to the internal host. Thereby, for example, a service existing on the internal network in the company can be called over the firewall from the external network. The communication method of the present invention may further comprise a step of encrypting transmission data transmitted via the communication path. As a result, the confidentiality of the data can be ensured as necessary.

本発明によれば、外部ネットワーク内の外部ホストがファイアウォールを越えて内部ネットワーク内の内部ホストとの間でトンネルを構築して通信を行う際に、継続的な通信路の維持が可能で、かつなりすましや改竄される危険性を検知することができる通信システムおよび通信方法を提供できる。   According to the present invention, when an external host in an external network establishes a tunnel and communicates with an internal host in the internal network over a firewall, it is possible to maintain a continuous communication path, and A communication system and a communication method that can detect the risk of impersonation or tampering can be provided.

以下、本発明を実施するための最良の形態について説明する。図2は、本発明の実施形態に係る通信システム(通信装置)の構成を示す図である。図2に示すように、通信システム10は、セッションを開始する内部ホスト20、セッションを受け付ける外部ホスト30を備える。内部ホスト20と外部ホスト30は、ファイアウォール40を介して接続されている。この通信システム10は、外部ネットワーク35内の外部ホスト30から内部ネットワーク25内の内部ホスト20への通信を遮断すると共に内部ネットワーク25から外部ネットワーク35への通信は選択的に通過させるファイアウォール40がある環境で、外部ネットワーク35内の外部ホスト30から内部ネットワーク25内の内部ホスト20への通信路としてのトンネル50を構築して通信を行う。   Hereinafter, the best mode for carrying out the present invention will be described. FIG. 2 is a diagram showing a configuration of a communication system (communication device) according to the embodiment of the present invention. As shown in FIG. 2, the communication system 10 includes an internal host 20 that starts a session and an external host 30 that receives the session. The internal host 20 and the external host 30 are connected via a firewall 40. The communication system 10 includes a firewall 40 that blocks communication from the external host 30 in the external network 35 to the internal host 20 in the internal network 25 and selectively allows communication from the internal network 25 to the external network 35. In the environment, communication is performed by building a tunnel 50 as a communication path from the external host 30 in the external network 35 to the internal host 20 in the internal network 25.

ファイアウォール40は、インターネットを経由した外部ネットワーク35からから内部ネットワーク25への通信を遮断する役割を持つ。一方、内部ネットワーク25から外部ネットワーク35への通信は選択的に通過させる機能をもつ。このファイアウォール40が選択的に通信を許可する場合、内部ネットワーク25と外部ネットワーク35の間で通信されるデータパケットの内、予め許可されているパケットのみを通し、それ以外のパケットを遮断するというフィルタ処理を行うばあいもあるし、アプリケーションゲートウェイ(典型的にはHTTP Proxy)といわれる特別なアプリケーションを介した通信のみを許可するような場合もある。フィルタ処理の設定は、通常、送信元端末のIP(Internet Protocol)アドレス、送信先端末のIPアドレス、使用プロトコルの種類、及び、ポート番号等を指定することにより行われることが多い。なお、ポート番号とは、TCP、UDP(User Datagram Protocol)において上位層のプロセスを特定するために使用する識別子である。   The firewall 40 has a role of blocking communication from the external network 35 to the internal network 25 via the Internet. On the other hand, communication from the internal network 25 to the external network 35 has a function of selectively passing through. When the firewall 40 selectively permits communication, a filter that passes only packets that are permitted in advance among data packets communicated between the internal network 25 and the external network 35 and blocks other packets. There are cases where processing is performed, and there are cases where only communication via a special application called an application gateway (typically, HTTP Proxy) is permitted. The setting of the filter processing is usually performed by designating the IP (Internet Protocol) address of the transmission source terminal, the IP address of the transmission destination terminal, the type of protocol used, the port number, and the like. The port number is an identifier used for specifying an upper layer process in TCP and UDP (User Datagram Protocol).

内部ホスト20は、例えば社内のイントラネットなどの内部ネットワーク25に接続され、内部ネットワーク25から、外部ネットワーク35である社外ネットワークに存在する外部ホスト30へ接続要求を送信する。内部ホスト20は、暗号化・復号・署名・検証部21、通信路確立・維持部22、データ中継部23を備える。外部ホスト30は、インターネットなどの外部ネットワーク35に接続され、内部ホスト20からの接続要求を受け付ける。外部ホスト30は、暗号化・復号・署名・検証部31、通信路確立・維持部32、データ中継部33を備える。   The internal host 20 is connected to an internal network 25 such as an in-house intranet, for example, and transmits a connection request from the internal network 25 to an external host 30 existing in an external network that is an external network 35. The internal host 20 includes an encryption / decryption / signature / verification unit 21, a communication path establishment / maintenance unit 22, and a data relay unit 23. The external host 30 is connected to an external network 35 such as the Internet and accepts a connection request from the internal host 20. The external host 30 includes an encryption / decryption / signature / verification unit 31, a communication path establishment / maintenance unit 32, and a data relay unit 33.

まず、内部ホスト20について説明すると、暗号化・復号・署名・検証部21は、接続ホスト間で真正性を検証/保証するために、通信データに公開鍵暗号を利用した電子署名を施す機能を有する。また、暗号化・復号・署名・検証部21は、送信データを暗号化することでデータの秘匿性を確保することも可能である。   First, the internal host 20 will be described. The encryption / decryption / signature / verification unit 21 has a function of applying a digital signature using public key encryption to communication data in order to verify / guarante authenticity between connected hosts. Have. Further, the encryption / decryption / signature / verification unit 21 can also ensure the confidentiality of the data by encrypting the transmission data.

暗号・復号化部21および31は、トンネル50を介して送信する送信データに対して暗号化を施す機能を有し、必要に応じて、XMLデータの一部を暗号化もしくは復号化する。具体的には、暗号・復号化部21および31は、送信データが構造化された構造化データであり、送信データ中に機密情報がある場合、XML暗号化のような暗号化技術を用いて、構造化されたデータの一部分(必要部分)のみ暗号化する。   The encryption / decryption units 21 and 31 have a function of encrypting transmission data transmitted via the tunnel 50, and encrypt or decrypt a part of the XML data as necessary. Specifically, the encryption / decryption units 21 and 31 are structured data in which the transmission data is structured. If there is confidential information in the transmission data, the encryption / decryption units 21 and 31 use an encryption technique such as XML encryption. Encrypt only a part (necessary part) of structured data.

暗号化・復号・署名・検証部21は、トンネル50内で交換される通信データに更に暗号化を施すことにより、通信内容の秘匿性をより高めた暗号化トンネリングを実現することもできる。かかる暗号化トンネリングの技術を用いれば、本来無接続を基本とするパケット通信ネットワークにおいて、端末−端末間にセキュリティの高い接続リンクを実現する閉じた仮想的なネットワーク、即ちVPNのような機能を提供することが可能となる。データ中継部23は、確立されたトンネル50を使って、端末36のプログラム37から受け取ったデータを中継する機能を有する。   The encryption / decryption / signature / verification unit 21 can further realize encryption tunneling with higher confidentiality of communication contents by further encrypting communication data exchanged in the tunnel 50. By using this encryption tunneling technology, in a packet communication network that is basically based on no connection, a closed virtual network that realizes a highly secure connection link between terminals, that is, a VPN-like function is provided. It becomes possible to do. The data relay unit 23 has a function of relaying data received from the program 37 of the terminal 36 using the established tunnel 50.

また、暗号化・復号・署名・検証部31は、トンネル50を介して送信する送信データに対して暗号化し、又は復号化をする機能を有する。暗号化・復号・署名・検証部31は、送信データが構造化された構造化データであり、送信データ中に機密情報がある場合、XML暗号化のような暗号化技術を用いて、構造化されたデータの一部分(必要部分)のみ暗号化する。暗号化・復号・署名・検証部31は、構造化データがSOAP形式の文書である場合、構造化データのうちボディ部分だけを暗号化して、ヘッダー部分を暗号化しないようにする。また、暗号化・復号・署名・検証部31は、接続ホスト間で接続先の認証や通信内容の真正性を検証/保証するために、通信データに公開鍵暗号を利用した電子署名を施す機能を有する。   The encryption / decryption / signature / verification unit 31 has a function of encrypting or decrypting transmission data to be transmitted via the tunnel 50. The encryption / decryption / signature / verification unit 31 is structured data in which transmission data is structured. If there is confidential information in the transmission data, the encryption / decryption / signature / verification unit 31 uses an encryption technique such as XML encryption Only a part (necessary part) of encrypted data is encrypted. When the structured data is a SOAP format document, the encryption / decryption / signature / verification unit 31 encrypts only the body portion of the structured data and does not encrypt the header portion. In addition, the encryption / decryption / signature / verification unit 31 has a function of applying an electronic signature using public key encryption to communication data in order to verify / guarante the authentication of the connection destination and the authenticity of the communication contents between the connected hosts. Have

暗号化・復号・署名・検証部31は、通信のペイロード部分の一部又は全部に対して電子署名を施す。ここで、ペイロードとは、パケット通信において、パケットの総サイズのうち、宛先アドレスや発信元アドレスなどの管理情報(ヘッダ情報)を除いた正味のデータのことをいう。暗号化・復号・署名・検証部31は、通信のペイロード部分の一部又は全部に対して、データの重要度に応じて公開鍵を用いて暗号化する。暗号化・復号・署名・検証部21および31は、公開鍵の代わりに、認証局から発行された公開鍵証明書を使うとなおよい。   The encryption / decryption / signature / verification unit 31 applies an electronic signature to part or all of the payload portion of communication. Here, the payload refers to net data excluding management information (header information) such as a destination address and a source address in the total packet size in packet communication. The encryption / decryption / signature / verification unit 31 encrypts a part or all of the payload portion of the communication using a public key according to the importance of the data. It is more preferable that the encryption / decryption / signature / verification units 21 and 31 use a public key certificate issued by a certificate authority instead of the public key.

通信路確立・維持部32は、内部ホスト20の通信路確立・維持部22との間で、リバーストンネル技術を用いて通信路を暗号化せずにトンネル50を構築する。通信路確立・維持部32は、双方向接続のための通信データを送受信し、通信路を確立し、維持する。   The communication channel establishment / maintenance unit 32 establishes the tunnel 50 without encrypting the communication channel with the communication channel establishment / maintenance unit 22 of the internal host 20 using the reverse tunnel technology. The communication path establishment / maintenance unit 32 establishes and maintains a communication path by transmitting and receiving communication data for bidirectional connection.

通信路確立・維持部32は、通信路を維持するために、トンネル50を維持するのに必要なタイミングに応じてトンネル50を維持するための通信路維持データを送信する。この通信路維持データは、例えばNOP(No Operation: CPU(Central Processing Unit)命令の1つ)のような、何もしないという意味のデータと、ランダム(Random)値とを含む。通信路確立・維持部32は、接続確立後は接続を維持するために適切なタイミングでNOPデータを送信する。例えば通信路確立・維持部32は、サービスを呼び出す必要がないときに、通信路維持データを送信する。   In order to maintain the communication path, the communication path establishment / maintenance unit 32 transmits communication path maintenance data for maintaining the tunnel 50 according to the timing necessary to maintain the tunnel 50. This communication path maintenance data includes, for example, NOP (No Operation: one of CPU (Central Processing Unit) instructions) data meaning nothing, and a random value. The communication path establishment / maintenance unit 32 transmits NOP data at an appropriate timing to maintain the connection after the connection is established. For example, the communication path establishment / maintenance unit 32 transmits communication path maintenance data when there is no need to call a service.

上記ランダム値は、擬似乱数発生装置により生成された予測しにくい初期値を署名し暗号化したデータである。内部ホスト20と外部ホスト30は、通信開始時に初期値を交換して初期値を共有する。以降、内部ホスト20と外部ホスト30は、この初期値をベースに同じ処理工程のもとに次にランダム値を生成し、同じ処理を繰り返すことで通信相手の認証が相互に可能となる。   The random value is data obtained by signing and encrypting a hard-to-predict initial value generated by the pseudo-random number generator. The internal host 20 and the external host 30 share initial values by exchanging initial values at the start of communication. Thereafter, the internal host 20 and the external host 30 generate a random value next under the same processing steps based on this initial value, and repeat the same processing, thereby enabling mutual authentication of communication partners.

さらに、上述した暗号化・復号・署名・検証部31は、通信路維持データの中に電子署名を施す機能と、認証時、初期値に基づいてランダム値を生成することにより通信相手を認証する機能と、初期値に対して送信側の秘密鍵で署名を施す機能と、初期値に対して受信側の公開鍵で暗号化を施す機能とを有する。通信システム10では上記公開鍵への証明書を交付する認証局をさらに設けてもよい。   Further, the encryption / decryption / signature / verification unit 31 described above authenticates the communication partner by generating a random value based on an initial value at the time of authentication and a function for applying an electronic signature to the communication path maintenance data. A function, a function of signing the initial value with the private key of the transmitting side, and a function of encrypting the initial value with the public key of the receiving side. The communication system 10 may further include a certificate authority that issues a certificate to the public key.

データ中継部33は、トンネルを使って端末36からのデータを中継する。また、データ中継部33は、内部ネットワーク25内のサービス呼出を受け付け、内部ホスト20にサービス呼出のためのサービス呼出データを送信する。このとき、データ中継部33は、サービスを呼び出すために、SOAPの様な構造化されたテキストデータ(例えばXMLデータ)を用いる。   The data relay unit 33 relays data from the terminal 36 using a tunnel. Further, the data relay unit 33 receives a service call in the internal network 25 and transmits service call data for the service call to the internal host 20. At this time, the data relay unit 33 uses structured text data (for example, XML data) such as SOAP in order to call a service.

次に、トンネル50を確立する際の内部ホスト20の処理について説明する。図3はトンネル50を確立する際の内部ホスト20の処理フローチャートである。内部ホスト20から外部ホスト30による通信によって開始する。まず、内部ホスト20の通信路確立・維持部22は、プロキシサーバなどを経由し、インターネット上の外部ホスト30へHTTPでトンネルを確立するためのトンネル確立要求情報を送信する(ステップS11)。内部ホスト20の通信路確立・維持部22は、外部ホストからの応答がない場合(ステップS12で「N」)はS11へ戻る。一方、外部ホストからの応答を受信した場合(ステップS12で「Y」)で、受信した応答がリセット応答だった場合(ステップS13で「Y」)はトンネルが確立できないと判断しトンネルを切断する(ステップS14)。一方、受信した応答が正常な応答だった場合(ステップS13で「N」)で、かつ正常な応答がトンネル維持応答だった場合(ステップS15で「Y」)はトンネル50が確立していると判断する。   Next, processing of the internal host 20 when establishing the tunnel 50 will be described. FIG. 3 is a processing flowchart of the internal host 20 when the tunnel 50 is established. This is started by communication from the internal host 20 to the external host 30. First, the communication path establishment / maintenance unit 22 of the internal host 20 transmits tunnel establishment request information for establishing a tunnel by HTTP to the external host 30 on the Internet via a proxy server or the like (step S11). If there is no response from the external host (“N” in step S12), the communication path establishment / maintenance unit 22 of the internal host 20 returns to S11. On the other hand, if a response from the external host is received (“Y” in step S12) and the received response is a reset response (“Y” in step S13), it is determined that the tunnel cannot be established and the tunnel is disconnected. (Step S14). On the other hand, if the received response is a normal response (“N” in step S13) and the normal response is a tunnel maintenance response (“Y” in step S15), the tunnel 50 is established. to decide.

内部ホスト20の通信路確立・維持部22は、トンネル50が確立していると判断している場合で、受信した応答が通信路を維持するためのデータを受信した場合(ステップS15で「Y」)にはトンネル50の維持を行い(ステップS16)、ステップS12へ戻る。一方受信した応答がサービス呼び出しだった場合(ステップS15で「N」)は内部サービスを呼び出し(ステップS17)、ステップS12へ戻る。内部ホスト20の通信路確立・維持部22は、リセット応答を受け取った場合はトンネル確立の維持が不要と判断し、トンネル切断を行う(ステップS14)。   The communication path establishment / maintenance unit 22 of the internal host 20 determines that the tunnel 50 has been established, and if the received response receives data for maintaining the communication path (“Y” in step S15). ]), The tunnel 50 is maintained (step S16), and the process returns to step S12. On the other hand, if the received response is a service call (“N” in step S15), the internal service is called (step S17), and the process returns to step S12. When the communication path establishment / maintenance unit 22 of the internal host 20 receives the reset response, the communication path establishment / maintenance unit 22 determines that it is not necessary to maintain the tunnel establishment, and disconnects the tunnel (step S14).

次に、トンネル50を確立する際の外部ホスト30の処理について説明する。図4は、トンネル50を確立する際の外部ホスト30の処理フローチャートである。外部ホスト30の通信路確立・維持部32は、トンネル確立要求を受信する(ステップS21)。外部ホスト30の通信路確立・維持部32は、トンネル確立要求の相手先が信頼できる相手先か否かを判断し、信頼できない相手先であると判断した場合(ステップS22で「N」)、リセット応答を送出する(ステップS23)。   Next, processing of the external host 30 when establishing the tunnel 50 will be described. FIG. 4 is a process flowchart of the external host 30 when the tunnel 50 is established. The communication path establishment / maintenance unit 32 of the external host 30 receives the tunnel establishment request (step S21). When the communication path establishment / maintenance unit 32 of the external host 30 determines whether the partner of the tunnel establishment request is a reliable partner, and determines that the partner is an untrusted partner (“N” in step S22), A reset response is sent (step S23).

外部ホスト30の通信路確立・維持部32は、相手先が信頼できる相手先である場合(ネゴシエーション後、ステップS22で「Y」)、トンネル確立処理を行う(ステップS24)。ここで、やりとりする通信データには電子署名が施されている。電子署名を検証することで相互に接続先ホストの信憑性を確認することができる。   The communication path establishment / maintenance unit 32 of the external host 30 performs tunnel establishment processing (step S24) when the partner is a reliable partner (“Y” in step S22 after negotiation). Here, an electronic signature is applied to communication data to be exchanged. By verifying the electronic signature, it is possible to mutually confirm the authenticity of the connected hosts.

通信路確立・維持部32は、通信路のセッションが切れないように通信路を維持するためだけの通信路維持応答を生成する。外部ホスト30の通信路確立・維持部32は、生成した通信路維持応答を内部ホスト20へ送信する(ステップS25)。この通信路維持応答を送信することにより、ファイアウォール40等を挟んでサービス呼び出しのための通信路を確立して、維持できる。通信路維持データは、上記と同様に電子署名が施してある。これにより、ファイアウォール40等を挟んだ接続において、接続先の真正性を検証しながら、サービス呼び出し通信のための通信路を確立して、維持できる。   The communication channel establishment / maintenance unit 32 generates a communication channel maintenance response only for maintaining the communication channel so that the session of the communication channel is not disconnected. The communication path establishment / maintenance unit 32 of the external host 30 transmits the generated communication path maintenance response to the internal host 20 (step S25). By transmitting this communication path maintenance response, it is possible to establish and maintain a communication path for calling a service across the firewall 40 or the like. The communication path maintenance data is digitally signed as described above. As a result, a communication path for service call communication can be established and maintained while verifying the authenticity of the connection destination in the connection across the firewall 40 and the like.

外部ホスト30の通信路確立・維持部32は、トンネル確立の維持が不要と判断した場合にはトンネル終了要求を行う(ステップS26)。なお、セッションハイジャックされた場合には上述した通信路維持応答を検証することで検知可能である。万一接続断が発生したら、予め決められた時間で内部ホスト20から再接続要求を送信する。通信システム10によれば、トンネル5を維持するのに必要なタイミングで通信路維持データを送ることで、外部ネットワーク35内の外部ホスト30がファイアウォール40を越えて内部ネットワーク25内の内部ホスト20との間でトンネルを構築して通信を行う際に、継続的な通信路の維持が可能となる。これによって、端末36は、外部ホスト30内のデータ中継部33、トンネル50、内部ホスト20内のデータ中継部23を介して、端末26へ継続的にデータを送ることができる。   If the communication path establishment / maintenance unit 32 of the external host 30 determines that it is not necessary to maintain the tunnel establishment, it makes a tunnel termination request (step S26). In the case of session hijacking, it can be detected by verifying the communication path maintenance response described above. If a connection disconnection occurs, a reconnection request is transmitted from the internal host 20 at a predetermined time. According to the communication system 10, the external host 30 in the external network 35 crosses the firewall 40 and the internal host 20 in the internal network 25 by sending the communication path maintenance data at a timing necessary to maintain the tunnel 5. It is possible to maintain a continuous communication path when establishing a tunnel between the two and performing communication. As a result, the terminal 36 can continuously send data to the terminal 26 via the data relay unit 33 in the external host 30, the tunnel 50, and the data relay unit 23 in the internal host 20.

図5は、認証・初期値共有処理のフローチャートである。まず、送信側である内部ホスト20内の擬似乱数発生装置は擬似乱数を生成する(ステップS31)。この擬似乱数が初期値となる。次に、内部ホスト20の暗号化・復号・署名・検証部21は、送信側秘密鍵に基づいて初期値に対して電子署名を施す(ステップS32)。次に、内部ホスト20の暗号化・復号・署名・検証部21は、受信側である外部ホスト30の公開鍵に基づいて初期値に対して暗号化処理を行う(ステップS33)。次に、内部ホスト20の暗号化・復号・署名・検証部21は、署名し暗号化した初期値を外部ホスト30へ送出する(ステップS34)。   FIG. 5 is a flowchart of the authentication / initial value sharing process. First, the pseudorandom number generator in the internal host 20 on the transmission side generates a pseudorandom number (step S31). This pseudo random number is the initial value. Next, the encryption / decryption / signature / verification unit 21 of the internal host 20 applies an electronic signature to the initial value based on the transmission side secret key (step S32). Next, the encryption / decryption / signature / verification unit 21 of the internal host 20 performs an encryption process on the initial value based on the public key of the external host 30 on the receiving side (step S33). Next, the encryption / decryption / signature / verification unit 21 of the internal host 20 sends the signed and encrypted initial value to the external host 30 (step S34).

受信側の外部ホスト30は、内部ホスト20より署名し暗号化された初期値を受信する(ステップS35)。外部ホスト30の暗号化・復号・署名・検証部31は、受信側である外部ホスト30の秘密鍵で署名し暗号化された初期値に対して復号処理を行う(ステップS36)。外部ホスト30の暗号化・復号・署名・検証部31は、送信側である内部ホスト20の公開鍵でデータの検証処理(認証処理)を行う(ステップS37)。このようにして、内部ホスト20と外部ホスト30で初期値を共有することができる(ステップS38)。尚、上記では内部ホスト20に擬似乱数発生装置を設けて初期値を外部ホスト23へ送るようにしたが、擬似乱数発生装置を外部ホスト30側に設けて初期値を内部ホスト20へ送るようにしてもよい。   The external host 30 on the receiving side receives the initial value signed and encrypted from the internal host 20 (step S35). The encryption / decryption / signature / verification unit 31 of the external host 30 performs a decryption process on the initial value signed and encrypted with the private key of the external host 30 on the receiving side (step S36). The encryption / decryption / signature / verification unit 31 of the external host 30 performs data verification processing (authentication processing) using the public key of the internal host 20 on the transmission side (step S37). In this way, the initial value can be shared between the internal host 20 and the external host 30 (step S38). In the above description, the pseudo random number generator is provided in the internal host 20 and the initial value is sent to the external host 23. However, the pseudo random number generator is provided on the external host 30 side and the initial value is sent to the internal host 20. May be.

上記通信システムによれば、トンネルを維持するのに必要なタイミングで通信路維持データを送ることで、外部ネットワーク内の外部ホストがファイアウォールを越えて内部ネットワーク内の内部ホストとの間でトンネルを構築して通信を行う際に、継続的な通信路の維持が可能となる。また、トンネルを維持するための通信路維持データの中に電子署名を施すことで、接続元は接続先の確かさを検証し、また接続先ホストはそれ自身の確かさを保証することができる。これにより、悪意ある第3者によるなりすましを防止や、通信内容の改竄を検出するための仕組みを提供することができる。   According to the above communication system, an external host in the external network constructs a tunnel with the internal host in the internal network across the firewall by sending communication path maintenance data at the timing necessary to maintain the tunnel. Thus, when performing communication, it is possible to maintain a continuous communication path. In addition, by applying an electronic signature to the communication path maintenance data for maintaining the tunnel, the connection source can verify the reliability of the connection destination, and the connection destination host can guarantee its own reliability. . Thereby, it is possible to provide a mechanism for preventing spoofing by a malicious third party and detecting tampering of communication contents.

また、ファイアウォールがあっても透過的に接続が可能であり、双方向通信が可能な通信路であり、ネットワーク管理者による監視が可能であるため、ネットワーク構成やファイアウォールシステムを変更せずに、ファイアウォールなどで防御された内部ネットワーク内にあるリソースへのアクセスを実現することができる。また、上記暗号化・復号・署名・検証部21および31は、通信データに公開鍵暗号を利用した電子署名を施し、相手側では受信した電子署名を検証すると良い。これにより、なりすまし、データの改竄等を検出できる。またデータを暗号化することでデータの秘匿性を確保することもできる。これによりファイアウォール等を挟んだ接続において、接続先の真正性や通信内容の完全性を検証できる。   In addition, even if there is a firewall, it is possible to connect transparently, and it is a communication path that allows two-way communication, and it can be monitored by a network administrator, so there is no need to change the network configuration or firewall system. It is possible to realize access to resources in the internal network protected by such as. Also, the encryption / decryption / signature / verification units 21 and 31 may apply a digital signature using public key cryptography to the communication data and verify the received digital signature on the other side. This makes it possible to detect impersonation, data falsification, and the like. In addition, data confidentiality can be ensured by encrypting the data. As a result, it is possible to verify the authenticity of the connection destination and the integrity of the communication contents in the connection with the firewall or the like interposed therebetween.

なお、本発明による通信方法は、通信システム10により実現される。内部ホスト20および外部ホスト30は、例えば、CPU、ROM(Read Only Memory)、RAM(Random Access Memory)等を用いたマイクロコンピュータにより実現される。CPUが所定のプログラムを実行することにより通信方法の各機能が実現される。   The communication method according to the present invention is realized by the communication system 10. The internal host 20 and the external host 30 are realized by, for example, a microcomputer using a CPU, a ROM (Read Only Memory), a RAM (Random Access Memory), and the like. Each function of the communication method is realized by the CPU executing a predetermined program.

以上本発明の好ましい実施例について詳述したが、本発明は係る特定の実施例に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形、変更が可能である。   Although the preferred embodiments of the present invention have been described in detail above, the present invention is not limited to the specific embodiments, and various modifications, within the scope of the gist of the present invention described in the claims, It can be changed.

従来のWebサービスとファイアウォールの関係を説明するための図である。It is a figure for demonstrating the relationship between the conventional web service and a firewall. 本発明の実施形態に係る通信システム(通信装置)の構成を示す図である。It is a figure which shows the structure of the communication system (communication apparatus) which concerns on embodiment of this invention. トンネル50を確立する際の内部ホスト20の処理フローチャートである。5 is a processing flowchart of the internal host 20 when a tunnel 50 is established. トンネル50を確立する際の外部ホスト30の処理フローチャートである。6 is a processing flowchart of the external host 30 when establishing a tunnel 50. 認証・初期値共有処理のフローチャートである。It is a flowchart of an authentication and initial value sharing process.

符号の説明Explanation of symbols

10 通信システム
20 内部ホスト
21 暗号化・復号・署名・検証部
22 通信路確立・維持部
23 データ中継部
30 外部ホスト
31 暗号化・復号・署名・検証部
32 通信路確立・維持部
33 データ中継部 DESCRIPTION OF SYMBOLS 10 Communication system 20 Internal host 21 Encryption / decryption / signature / verification unit 22 Communication channel establishment / maintenance unit 23 Data relay unit 30 External host 31 Encryption / decryption / signature / verification unit 32 Communication channel establishment / maintenance unit 33 Data relay Part

Claims (23)

外部ネットワーク内の外部ホストから内部ネットワーク内の内部ホストへの通信を遮断すると共に前記内部ネットワークから前記外部ネットワークへの通信は選択的に通過させるファイアウォールがある環境で、前記外部ネットワーク内の前記外部ホストから前記内部ネットワーク内の内部ホストへの通信路を構築して通信を行う通信システムであって、
前記外部ホストは、前記通信路を維持するのに必要なタイミングに応じて前記通信路を維持するための通信路維持データを前記内部ホストに送信する送信手段と、
前記通信路維持データの中に電子署名を施す電子署名手段と、
を有することを特徴とする通信システム。 The external host in the external network in an environment having a firewall that blocks communication from the external host in the external network to the internal host in the internal network and selectively allows communication from the internal network to the external network. A communication system that performs communication by constructing a communication path from an internal host to an internal host in the internal network,
The external host, transmitting means for transmitting communication path maintenance data for maintaining the communication path to the internal host according to a timing required to maintain the communication path;
An electronic signature means for applying an electronic signature to the communication path maintenance data;
A communication system comprising: 前記内部ホストは、前記通信路を確立するための要求情報を前記外部ホストに送信し、かつ当該要求情報の返信情報を前記外部ホストから受信することにより、前記通信路を確立する確立手段を有し、前記返信情報の受信の後に前記通信路維持データを受信することにより、前記通信路を維持する請求項1記載の通信システム。 The internal host has establishment means for establishing the communication path by transmitting request information for establishing the communication path to the external host and receiving return information of the request information from the external host. 2. The communication system according to claim 1, wherein the communication path is maintained by receiving the communication path maintenance data after receiving the reply information. 前記通信路維持データは前記内部ホスト側での処理不用を示す情報を含むものである請求項1記載の通信システム。 2. The communication system according to claim 1, wherein the communication path maintenance data includes information indicating that processing is not required on the internal host side. 前記要求情報及び返信情報はハイパーテキストトランスファプロトコルに基づくものである請求項2記載の通信システム。 The communication system according to claim 2, wherein the request information and the reply information are based on a hypertext transfer protocol. 前記通信路維持データは、所定の初期値を署名し暗号化したランダム値を含むことを特徴とする請求項1から請求項4のいずれかに記載の通信システム。 5. The communication system according to claim 1, wherein the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. 前記外部ホストは、前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値を生成するための擬似乱数生成手段をさらに有することを特徴とする請求項1から請求項5のいずれかに記載の通信システム。 The external host further includes pseudo-random number generation means for generating the predetermined initial value when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. The communication system according to any one of claims 1 to 5. 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、認証時、前記所定の初期値に基づいて前記ランダム値を生成することにより通信相手を認証する認証手段をさらに有することを特徴とする請求項1から請求項6のいずれかに記載の通信システム。 When the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, an authentication unit that authenticates a communication partner by generating the random value based on the predetermined initial value at the time of authentication. The communication system according to any one of claims 1 to 6, further comprising: 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して送信側の秘密鍵で署名を施す署名手段をさらに有する請求項1から請求項7のいずれかに記載の通信システム。 The signing means for signing the predetermined initial value with a secret key on the transmission side when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. Item 8. The communication system according to any one of Item 7. 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して受信側の公開鍵で暗号化を施す初期値暗号化手段をさらに有する請求項1から請求項8のいずれかに記載の通信システム。 When the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, the communication path maintenance data further includes initial value encryption means for encrypting the predetermined initial value with a public key on the receiving side. The communication system according to any one of claims 1 to 8. 前記公開鍵への証明書を交付する認証局をさらに有することを特徴とする請求項9に記載の通信システム。 The communication system according to claim 9, further comprising a certificate authority that issues a certificate to the public key. リバーストンネル技術を用いて前記通信路を構築する構築手段をさらに有する請求項1から請求項10のいずれかに記載の通信システム。 The communication system according to any one of claims 1 to 10, further comprising construction means for constructing the communication path using a reverse tunnel technology. 前記外部ホストは、前記内部ネットワーク内のサービス呼出を受け付け、前記内部ホストに前記サービス呼出のためのサービス呼出データを送信するサービス呼出受付手段をさらに有する請求項1から請求項11のいずれかに記載の通信システム。 The said external host further has a service call reception means which receives the service call in the said internal network, and transmits the service call data for the said service call to the said internal host. Communication system. 前記通信路を介して送信する送信データに対して暗号化を施す送信データ暗号化手段をさらに有する請求項1から請求項12のいずれかに記載の通信システム。 The communication system according to any one of claims 1 to 12, further comprising transmission data encryption means for encrypting transmission data transmitted through the communication path. 前記サービス呼出データは、テキストデータであることを特徴とする請求項12に記載の通信システム。 The communication system according to claim 12, wherein the service call data is text data. 前記サービス呼出データは、XMLデータであることを特徴とする請求項12に記載の通信システム。 The communication system according to claim 12, wherein the service call data is XML data. 外部ネットワーク内の外部ホストから内部ネットワーク内の内部ホストへの通信を遮断すると共に前記内部ネットワークから前記外部ネットワークへの通信は選択的に通過させるファイアウォールがある環境で前記外部ネットワークから前記内部ネットワークへの通信路を構築して通信を行う通信方法であって、
前記通信路を維持するのに必要なタイミングに応じて前記通信路を維持するための通信路維持データに対して電子署名を施して前記外部ホストから前記内部ホストに送信する送信ステップを有することを特徴とする通信方法。 The communication from the external network in the external network to the internal host in the internal network is blocked and the communication from the internal network to the external network is selectively passed from the external network to the internal network. A communication method for establishing a communication path and performing communication,
A transmission step of applying an electronic signature to communication path maintenance data for maintaining the communication path according to a timing required to maintain the communication path and transmitting the digital signature from the external host to the internal host. A characteristic communication method. 前記通信路維持データは、所定の初期値を署名し暗号化したランダム値を含むことを特徴とする請求項16に記載の通信方法。 The communication method according to claim 16, wherein the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値を生成するための生成ステップをさらに有することを特徴とする請求項16又は請求項17に記載の通信方法。 18. The generation method for generating the predetermined initial value when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. The communication method described in 1. 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、認証時、前記所定の初期値に基づいて前記ランダム値を生成することにより通信相手を認証する認証ステップをさらに有することを特徴とする請求項16から請求項18のいずれかに記載の通信方法。 When the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value, an authentication step of authenticating a communication partner by generating the random value based on the predetermined initial value at the time of authentication The communication method according to any one of claims 16 to 18, further comprising: 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して送信側の秘密鍵で署名を施す署名ステップをさらに有する請求項16から請求項19のいずれかに記載の通信方法。 The signing step of signing the predetermined initial value with a secret key on the transmission side when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. Item 20. The communication method according to any one of Items 19. 前記通信路維持データが、所定の初期値を署名し暗号化したランダム値を含む場合、前記所定の初期値に対して受信側の公開鍵で暗号化を施すステップをさらに有する請求項16から請求項20のいずれかに記載の通信方法。 17. The method according to claim 16, further comprising the step of encrypting the predetermined initial value with a public key on the receiving side when the communication path maintenance data includes a random value obtained by signing and encrypting a predetermined initial value. Item 21. The communication method according to any one of Items 20. 前記内部ネットワーク内のサービス呼出を受け付け、前記内部ホストに前記サービス呼出のためのサービス呼出データを送信するステップをさらに有する請求項16から請求項21のいずれかに記載の通信方法。 The communication method according to any one of claims 16 to 21, further comprising a step of receiving a service call in the internal network and transmitting service call data for the service call to the internal host. 前記通信路を介して送信する送信データに対して暗号化を施すステップをさらに有する請求項16から請求項22のいずれかに記載の通信方法。 The communication method according to any one of claims 16 to 22, further comprising a step of performing encryption on transmission data transmitted through the communication path.
JP2006346937A 2006-12-04 2006-12-25 Communication apparatus and communication method Pending JP2008160497A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006346937A JP2008160497A (en) 2006-12-25 2006-12-25 Communication apparatus and communication method
US11/761,471 US8386783B2 (en) 2006-12-04 2007-06-12 Communication apparatus and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006346937A JP2008160497A (en) 2006-12-25 2006-12-25 Communication apparatus and communication method

Publications (1)

Publication Number Publication Date
JP2008160497A true JP2008160497A (en) 2008-07-10

Family

ID=39660906

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006346937A Pending JP2008160497A (en) 2006-12-04 2006-12-25 Communication apparatus and communication method

Country Status (1)

Country Link
JP (1) JP2008160497A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011071190A2 (en) 2009-12-10 2011-06-16 Panasonic Corporation Networking method of communication apparatus, communication apparatus and storage medium
JP2011186912A (en) * 2010-03-10 2011-09-22 Fujitsu Ltd Relay processing method, program and device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011071190A2 (en) 2009-12-10 2011-06-16 Panasonic Corporation Networking method of communication apparatus, communication apparatus and storage medium
JP2011186912A (en) * 2010-03-10 2011-09-22 Fujitsu Ltd Relay processing method, program and device

Similar Documents

Publication Publication Date Title
US10880294B2 (en) End-to-end authentication at the service layer using public keying mechanisms
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
US7584505B2 (en) Inspected secure communication protocol
Rescorla et al. Guidelines for writing RFC text on security considerations
US8082574B2 (en) Enforcing security groups in network of data processors
JP4101839B2 (en) Session control server and communication system
WO2017181894A1 (en) Method and system for connecting virtual private network by terminal, and related device
US20170201382A1 (en) Secure Endpoint Devices
WO2005015827A1 (en) Communication system, communication device, communication method, and communication program for realizing the same
CA2437894A1 (en) Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
JP2005236939A (en) Method for verifying and constructing highly secure anonymous communication channel in peer-to-peer type anonymous proxy
CN106169952B (en) A kind of authentication method that internet Key Management Protocol is negotiated again and device
US8386783B2 (en) Communication apparatus and communication method
CN102811225A (en) Method and switch for security socket layer (SSL) intermediate agent to access web resource
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
CN113904809A (en) Communication method, communication device, electronic equipment and storage medium
KR20070006913A (en) Fast and secure connectivity for a mobile node
US8046820B2 (en) Transporting keys between security protocols
JP2008160497A (en) Communication apparatus and communication method
KR101089269B1 (en) Attack Detection Method And System with Secure SIP Protocol
Cisco Introduction to Cisco IPsec Technology
Cisco Introduction to Cisco IPsec Technology
JP4893279B2 (en) Communication apparatus and communication method
JP5804480B2 (en) An optimization method for the transfer of secure data streams over autonomous networks
Rey et al. MAFIS Overlay Network: Towards a Secure Network for Mobile Automated Fingerprint Identification System over Virtual Private Network (VPN)