CN100525304C - 网络系统、内部服务器、终端设备、存储介质和分组中继方法 - Google Patents

网络系统、内部服务器、终端设备、存储介质和分组中继方法 Download PDF

Info

Publication number
CN100525304C
CN100525304C CNB2005100524756A CN200510052475A CN100525304C CN 100525304 C CN100525304 C CN 100525304C CN B2005100524756 A CNB2005100524756 A CN B2005100524756A CN 200510052475 A CN200510052475 A CN 200510052475A CN 100525304 C CN100525304 C CN 100525304C
Authority
CN
China
Prior art keywords
server
terminal equipment
information
grouping
internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2005100524756A
Other languages
English (en)
Other versions
CN1731786A (zh
Inventor
齐藤和雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Publication of CN1731786A publication Critical patent/CN1731786A/zh
Application granted granted Critical
Publication of CN100525304C publication Critical patent/CN100525304C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种具有连接外部网和内部网的防火墙的网络系统。终端设备位于该外部网上。应用服务器位于该内部网上,并且根据来自该终端设备的请求向该终端设备提供数据。外部服务器位于该防火墙的DMZ或者外部网上,接收来自终端设备的、连接到应用服务器的请求,并且根据来自该终端设备的请求,通过内部服务器在该终端设备和该应用服务器之间中继通信。该内部服务器位于该内部网上,并且在该外部服务器和该应用服务器之间中继通信。该内部服务器具有加密单元,该加密单元加密分组的方式为:加密的分组只能被该终端设备解密。

Description

网络系统、内部服务器、终端设备、存储介质和分组中继方法
技术领域
本发明涉及网络系统,其中外部网上的终端设备和内部网上的应用服务器经由连接在外部网和内部网之间的防火墙相互通信。
背景技术
随着因特网环境的扩展,其内部网连接到诸如因特网的外部网,从而可以通过电子邮件或网络(HTTP,超文本传输协议)把数据发送到公司以及从公司接收数据的公司的数量越来越多。
其中能够利用无线LAN(局域网)或PHS(个人手持电话系统)远程地访问诸如因特网的外部网的环境,也迅速地变得更加普遍。
在这种环境当中,出现了公司雇员想要从公司以外的地方访问他们自己公司的内部网的需求。按照惯例,作为响应这种需求的装置,拨号工具已被配备在公司中。然而,因为拨号连接的速度慢,并由此引起费用,因此,近来被称为VPN(虚拟专用网)和SSL-VPN(安全套接字层—虚拟专用网)的网络已经使用,从而使用户能够从因特网连接到用户公司的内部网。在这种情况下,例如,有时也使用被称为反向代理的服务器,该服务器被布置在诸如公司LAN的内部网和因特网之间的节点处,并且中继从外部网到诸如网络服务器的网络中的设备的访问。
VPN是其中专用网被构造在共享网络(例如因特网)上的网络。在VPN中,在通过因特网连接的点A和点B之间,加密的信道被保护来创建似乎这两个点通过专用线连接的状态。因此,当个人客户PC(个人计算机)连接到因特网,并访问位于公司防火墙的DMZ(非管制区)中的VPN设备时,个人客户PC和VPN设备利用加密的协议相互通信,从而用户能够安全地使用内部网,就好像客户PC连接到公司内部的网络。然而,在这种情况下,必需把VPN设备(服务器)布置在公司中,以及必需把客户软件布置在客户PC中。
SSL-VPN是这样一种试图不在客户PC中安装专用客户软件的情况下,提供类似于VPN的功能,以便更容易地访问公司中的资源的网络。为了访问公司内的数据,一般使用被预先安装在客户PC中的网络浏览器。访问数据的方法限制在网络浏览器可以访问的范围,但是由于各种公司应用程序近来已经基于网络被实现,因此从实际观点来看,这常常不会成为大问题。因此,SSL-VPN近来尤其受到注意。此外,当客户PC被连接在VPN中时,VPN能够创建似乎客户PC被直接连接到公司网的状态,与VPN对比,SSL-VPN设置为使得即使被连接时,也只有预先确定的网络服务器能够被访问。因此,从安全的观点来看,这是优选的。
通常,公司网经由防火墙连接到外部网,以便保护公司网不受来自因特网等的未授权访问。利用防火墙,可以详细地设定在因特网和公司网之间传递的分组的种类。通常,设置防火墙以使得诸如HTTP(超文本传输协议)和HTTPS(安全超文本传输协议)的公共协议被允许从公司网传递到因特网,以及使得其它协议不能从因特网传递到公司网。
然而,由于VPN和SSL-VPN都是用于从因特网访问公司网的网络,因此必需改变防火墙的设置,以便允许从因特网访问公司网。也有公司决定改变防火墙设置是不可行的多种情况,因为这样做将造成安全威胁。
在这点上,公开的日本专利申请公开(JP-A)No.2002-140239的SWANStor
Figure C200510052475D0008091404QIETU
访问方法已被设计。这个发明由两个服务器配置而成:公司网内部的内部服务器,以及因特网或被布置在防火墙的DMZ中的外部服务器。连接请求总是从内部服务器被发往外部服务器。具体地,连接请求继续周期地从内部服务器被发往外部服务器,以便创建服务器被伪-连续地连接的状态。因此,能够在不改变防火墙设置的情况下,正常地从因特网访问公司网。
因此,当因特网上的客户PC连接到外部服务器,并发送连接到公司服务器的请求时,作为对来自内部服务器的连接请求的响应,外部服务器把来自外部用户的请求发送给内部服务器。
由于内部服务器被布置在公司网上,因此内部服务器能够正常地访问公司服务器。内部服务器连接到公司服务器,并把返回的结果发送给外部服务器。结果,外部服务器把内部数据发送给外部客户PC,借此外部客户PC能够访问公司服务器。
此外,已经提出了这样一种方法,其中在用户的客户PC和外部服务器之间以及在外部服务器和内部服务器之间的通信路径上,可以利用被称为SSL(安全套接字层)的加密协议来安全地传输数据,因为数据被加密了。因此,外面的公司雇员能够在无需改变防火墙设置的情况下,安全地访问公司服务器。
利用这种方法,出现了“用于识别特定服务器的绝对地址信息”被包括在从公司服务器返回的数据中的问题。
即,当识别特定的公司服务器的地址信息,诸如“http://intra.foo.var.co.jp/index.htm”,被包括在从内部服务器返回的数据中时,并且当用户选择该地址信息时,当然不能从因特网直接访问公司服务器。因此,出现了错误消息“不能定位服务器”被显示在网络浏览器中的问题。
在这点上,已经提出了改变绝对地址的处理方式。即,当绝对地址信息被包括在要传送到外部的数据中时,绝对地址信息被改变为穿过外部服务器的地址信息。例如,假定外部服务器的地址是“https://outside.abc.net”,则该地址就被改变为“https://outside.abc.net/intra.php?=″http://intra.foo.var.co.jp/index.htm”。当地址以这种方式被改变时,外部服务器接收那个请求,把由变元(argument)指定的地址解释为公司服务器的地址,并向公司服务器发送连接请求。
然而,即使利用这种方法,也会出现以下问题。
即,在以上方法中,外部服务器与内部服务器,以及外部服务器与客户PC是利用SSL来连接的,但是从内部服务器发往外部服务器的数据被外部服务器临时解密,然后再次被外部服务器加密,并被发往客户。因此,未加密的数据瞬间地出现在外部服务器上。
当未加密的数据出现在外部服务器上时,例如,当外部服务器在独立服务提供商所操作的服务站点上被操作,并且该外部服务器被几个公司的内部服务器共享时,则那些公司的未被加密的机密数据保留在服务站点上,即使是瞬间的。从安全的观点来看,这导致了不希望的情形,因为关于数据泄漏的安全性被委托给营业公司的管理。
发明内容
本发明是鉴于以上环境做出的并且提供了一种数据访问方法,该数据访问方法允许在无需改变防火墙设置的情况下,从外部网访问数据,其中在外部网和内部网之间交换的数据没有在未加密的状态下被保留在外部服务器上。
根据本发明的一个方面,提供了一种网络系统,该网络系统包括:连接在外部网和内部网之间的防火墙;位于该外部网上的终端设备;位于该内部网上的应用服务器,该应用服务器被配置成,响应来自该终端设备的请求向该终端设备提供期望的数据;外部服务器位于该防火墙的DMZ或者该外部网上,该外部服务器被配置成,接收来自该终端设备的连接到该应用服务器的请求,并且在该终端设备和该应用服务器之间中继通信;以及位于该内部网上的内部服务器,该内部服务器被配置成在该外部服务器和该应用服务器之间中继通信,该外部服务器和该内部服务器之间的通信只被,根据来自该内部服务器的连接到该外部服务器的连接请求而建立的会话所允许,并且作为对来自该内部服务器的连接请求的响应,该外部服务器中继来自该终端设备的连接到该应用服务器的请求,其中该内部服务器包括:接收单元,其接收来自该应用服务器的用于该终端设备的分组;加密单元,其对于所接收的分组,用于实施只能被该终端设备解密的加密;以及发送单元,其用于经由该防火墙将加密的分组发送给该外部服务器,以及其中该外部服务器包括:接收单元,其用于接收由该内部服务器加密的分组;以及发送单元,其用于在不对加密的分组进行解密的情况下,将所接收的加密的分组原封不动地发送给该终端设备。
根据本发明,内部服务器对于收到的前往终端设备的分组,实施只能被终端设备解密的加密,并且经由防火墙把加密的分组发送给外部服务器。外部服务器接收由内部服务器加密的分组,并且在不对加密的分组进行解密的情况下,把加密的分组照原样发送给终端设备。因此,在位于防火墙的DMZ上或外部网上的、并且一般用户能够访问的外部服务器中,来自内部网的分组在没有被无意地解密的情况下,到达外部网上的终端设备。因此,与分组被外部服务器临时解密的情况相比,可以提高安全性。
附图说明
以下,将参考附图来详细描述本发明的系统和方法的各个示范性实施例,其中:
图1所示为第一和第二实施例中的网络系统的网络配置图;
图2所示为在第一实施例中,因特网终端设备和公司网上的商用服务器通信的过程图;
图3所示为在第二实施例中,因特网终端设备和公司网上的商用服务器通信的过程图;以及
图4所示为应用于第一和第二实施例的网络系统的网络配置的示例图。
具体实施方式
以下将利用附图来描述本发明的第一实施例。
图1显示了第一实施例的网络系统的网络配置。第一实施例的网络系统由三个网络构成:公司网1、因特网2以及非管制区(DMZ)3,这三个网络以防火墙10为中心。该系统主要用于从因特网2上的终端设备50访问公司网1上的商用服务器40,使得终端设备50能够从商用服务器40接收期望的服务。
图1中的公司网1是只可由特定用户访问的内部网。因特网2是可由一般用户访问的外部网。DMZ 3是与公司网1和因特网2隔离的网络,并且在公司网1和因特网2之间中继通信。
防火墙10是安全设备,它通过截留发自公司网1和因特网2的对于其它网络的所有连接请求分组,并任意地禁止或允许那些分组安全地通过,来确保只有必需的服务被提供给用户。第一实施例的防火墙10被设置成,如果所使用的协议是HTTP或HTTPS,则允许从公司网1到外部网(DMZ 3、因特网2)的连接请求分组,并且禁止关于所有协议的从外部网到公司网1的连接请求分组。
网关(GW)服务器20位于DMZ 3上。GW服务器20是中继设备,它接收从因特网2上的终端设备50前往公司网1的分组,并把那些分组发送到公司网1,并且该GW服务器20接收从公司网1前往终端设备50的分组,并把那些分组发送到终端设备50。在第一实施例中,在所描述的例子中,GW服务器20位于DMZ 3上,但是GW服务器20也可以位于除公司网1之外的网络,诸如因特网2上。
内部服务器30位于公司网1上。内部服务器30是中继设备,它经由防火墙10从GW服务器20接收从因特网2上的终端设备50前往公司网1的分组,并把那些分组发送到由终端设备50指定的商用服务器40,并且该内部服务器30接收从商用服务器40前往终端设备50的分组,并经由防火墙10把那些分组发送到GW服务器20。
商用服务器40是应用服务器,它把所期望的基于网络的服务提供给终端设备50等。
终端设备50是通用个人计算机,并且是无线地或利用电缆连接到因特网2的客户终端设备。
数据库(DB)服务器60是一个通信设备,它起着对商用服务器40所提供的服务进行补充的作用。例如,DB服务器60使参考-目的地地址显示在商用服务器40所提供的网络屏幕上,并且当终端设备50访问该参考-目的地地址时,DB服务器60向终端设备50提供附加数据。
当因特网2上的终端设备50访问这种方式配置的网络系统中的公司网1上的商用服务器40时,终端设备50经由GW服务器20和内部网30与商用服务器40通信。
然而,如上所述,从GW服务器20到内部服务器30的连接请求分组的传输被防火墙10的设置所禁止。因此,当GW服务器20接收来自终端设备50的连接到商用服务器40的请求时,即使GW服务器20把连接请求分组发送到内部服务器30以建立与中继-目的地内部服务器30的会话,该连接请求分组也会被防火墙10破坏。因此,除非执行别的处理,否则终端设备50不能与商用服务器40进行通信。
因此,在第一实施例中,GW服务器20和内部服务器30的配置使得GW服务器20和内部服务器30之间的会话被来自内部服务器30的连接请求连续地保持,以致于内部服务器30能够伪-接收(pseudo-receive)来自GW服务器20的连接请求分组。例如,可以通过JP-A No.2002-140239中所描述的技术来实现,在不改变防火墙10的设置的情况下,确保内部服务器30能够伪-接收来自GW服务器20的连接请求分组的技术。
在这种方式配置的网络系统中,当用于访问位于公司网1上的,诸如DB服务器60的通信设备的绝对地址信息被包括在商用服务器40响应于来自终端设备50的请求而提供的分组中时,即使终端设备50试图根据该绝对地址信息直接访问公司网1上的通信设备,也由于防火墙10的设置,而使得到该通信设备的连接以被拒绝而结束。
为了防止这种情形发生,当绝对地址信息被包括在分组中时,传统上,在终端设备50和商用服务器40之间中继通信的GW服务器20中,绝对地址信息已被改写为经由GW服务器20的绝对地址信息,使得终端设备50直接连接到绝对地址信息中所描述的参考-目的地通信设备的企图被阻止。
然而,利用该方法,潜在地会出现安全问题,这是因为,即使从内部服务器30发往GW服务器20的分组在内部服务器30中被加密,分组也以在位于DMZ 3上的GW服务器20中被临时解密而结束,DMZ 3是因特网上的一般用户的终端设备能够访问的。
因此,在第一实施例中,内部服务器30改变绝对地址信息并对分组加密,使得分组只能被终端设备50解密。具体地,在每一个设备中进行处理使得在内部服务器30和终端设备50经由GW服务器20连接的通信路径上,内部服务器30和终端设备50通过SSL伪-直接地连接。因此,在GW服务器20中,因为绝对地址信息改变了,所以对分组解密变得不必要了,并且可以提高安全性。
以下,将利用图2进一步详细地描述因特网2上的终端设备50与公司网1上的商用服务器40进行通信的过程。在第一实施例中,URL被作为用于明确地识别网络上的每个设备的识别信息。具体地,GW服务器20的URL是https://gw.foo.net,内部服务器30的URL是https://srv.bar.co.jp,以及商用服务器40的URL是http://intra.abc.bar.co.jp。
现在参考图2,首先终端设备50发送连接请求分组给GW服务器20以发起与商用服务器40的通信(S101)。为了识别连接-目的地商用服务器,https://gw.foo.net/http://intra.abc.bar.co.jp在连接请求分组中被描述为URL信息。
GW服务器20等待接收来自因特网2上的终端设备50的连接请求分组。然后,当GW服务器20收到来自终端设备50的连接请求分组时,GW服务器20参考在分组中描述的URL信息中的GW服务器20自己的地址之后的信息(即,在该例子的情况下,在https://gw.foo.net之后描述的http://intra.abc.bar.co.jp),以便识别关于商用服务器40的内部服务器30的地址(S102)。例如,可以按照以下规则来识别内部服务器30的地址。即,其中特定的主机名“srv”被加到域名“bar.co.jp”上的地址“srv.bar.co.jp”,被识别为内部服务器30的地址。关于每个商用服务器的内部服务器的地址也可以预先被关联并注册在GW服务器20上的数据库中,以致于当在每种情况下参考数据库时,关于连接-目的地商用服务器的内部服务器的地址就被识别。在GW服务器20以这种方式识别了内部服务器30的地址之后,GW服务器20请求关于该内部服务器30的SSL站点凭证(S103)
其SSL站点凭证已被请求的内部服务器30将其自己的SSL站点凭证发送给GW服务器20(S104)。应该注意,该网络系统也可以被配置为,使得内部服务器30的SSL站点凭证预先被注册在GW服务器20的存储器中,以致于在每种情况下,GW服务器20都不请求关于已识别的内部服务器30的SSL站点凭证。因此,充当目标的服务器的URL信息被嵌入在SSL站点凭证中,并且终端设备50检查SSL凭证中的URL信息是否匹配终端设备50所连接的URL。假定GW服务器20的URL信息预先被嵌入在这里使用的SSL凭证中(然而,假定关于站点凭证的密钥仅由实际上实施加密的内部服务器30管理)。因此,因为终端设备50所连接的是GW服务器20,所以它能够通过由终端设备50实施的URL检查。
接下来,GW服务器20将收到的内部服务器30的SSL站点凭证发送到终端设备50(S105)。
终端设备50利用收到的SSL站点凭证来执行与传统SSL相同的协议过程、产生密钥交换信息(S106),并且把该密钥交换信息发送到GW服务器20(S107)。
当GW服务器20接收密钥交换信息时,它把该密钥交换信息和在S101中所接收的URL信息发送到内部服务器30(S108)。
当内部服务器30接收该信息时,它利用自己的SSL站点凭证和所接收的密钥交换信息来产生公用密钥(S109)。终端设备50也利用与内部服务器30相同的过程,利用SSL站点凭证和密钥交换信息来产生公用密钥(S109′)。此后,终端设备50和内部服务器30利用该公用密钥来相互发送和接收加密的分组。
然后,内部服务器30发送关于在所接收的URL信息中所描述的商用服务器40的地址“http://intra.abc.bar.co.jp”的连接请求分组(S110)。根据该连接请求分组,在内部服务器30和商用服务器40之间建立会话,并且商用服务器40向内部服务器30发送包括由终端设备50所请求的数据的分组(S111)。
当内部服务器30接收该分组时,它确定绝对地址信息是否被包括在分组中所包括的HTML表达数据中(S112)。如果包括绝对地址信息,则内部服务器30确定在该绝对地址信息中描述的参考目的地(访问目的地)的URL是否为公司网1的URL(S113)。作为确定的结果,当包括绝对地址信息时,内部服务器30把该绝对地址信息改变为经由GW服务器20(S114)。具体地,例如,当HTML表达数据中包括的绝对地址信息是“http://intra2.abc.bar.co.jp/public/index.htm”时,内部服务器30通过比较服务器名的域来确定参考目的地的URL是否为公司网1的URL,以及当URL是公司网1的URL时,内部服务器30把内部服务器30当前连接的GW服务器20的URL“https://gw.foo.net”加到该URL的头上,从而把该地址改变为绝对地址信息“https://gw.foo.net/http://intra2.abc.co.jp/public/index.htm”。由于内部服务器30以这种方式改变绝对地址信息,因此终端设备50不是直接访问公司网1,而是通过GW服务器20访问公司网1。因而,可以消除不能从位于因特网2上的终端设备50访问公司网1的缺点。
接下来,当其中参考目的地是公司网1的URL的绝对地址信息被包括在从商用服务器40收到的分组中时,内部服务器30利用在S109中产生的公用密钥,对其绝对地址信息已被改变的分组进行加密(S115),并把加密的分组发送给GW服务器20(S116)。虽然在图2中未显示,但是当其中参考目的地是公司网1的URL的绝对地址信息没有被包括在分组中时,内部服务器30照原样对从商用服务器40收到的分组进行加密,并把加密的分组发送给GW服务器20。
接下来,GW服务器20在不对收到的分组进行解密的情况下,把分组照原样发送给终端设备50(S117)。终端设备50利用在S109′中产生的公用密钥对收到的分组进行解密,并把结果显示在网络浏览器上(S118)。
根据第一实施例,即使被嵌入在由商用服务器40提供的HTML文档中的绝对地址信息的参考目的地是公司网1上的地址,该信息也被改变为经由GW服务器20的地址信息。因此,终端设备50直接访问公司网1,从而能够防止访问被拒绝。
此外,由于商用服务器40和终端设备50之间交换的分组由在内部服务器30和终端设备50之间产生的公用密钥加密,因此在内部服务器30和终端设备50之间中继分组的GW服务器20不对分组进行解密。因而,由于无意中未被加密的数据没有出现在一般用户能够访问的GW服务器20中,提高了安全性。
此外,当如同第一实施例中一样,内部服务器30改变绝对地址信息时,不必在终端设备50中引进专用软件,从而可以减少用于设置终端设备50的时间和努力。
也可以由终端设备,而不是内部服务器来实施绝对地址信息的改变。在这种情况下,即使当存在大量终端设备时,也由每个终端设备来实施地址信息的改变,从而能够减轻内部服务器上的处理负荷。
接下来将利用附图来描述作为本发明第二实施例的情况,其中由终端设备来改变绝对地址信息。
在第二实施例中,通过预先增加功能到结合在终端设备50中的网络浏览器上或者通过预先把专用助手程序(处理指定的mime(多用途因特网邮件扩展协议)-型数据的程序)存储在终端设备50的存储器中,并在每种情况下利用位于终端设备50中的CPU来读取该程序,来由终端设备50来改变绝对地址信息。
这里,在第二实施例中,将利用图3来描述因特网2上的终端设备50与公司网1上的商用服务器40进行通信的过程。由于S201至S211与第一实施例的S101至S111相同,因此将简述它们,并且将详细描述S212至S218。
首先,终端设备50向GW服务器20发送连接请求分组,以便发起与商用服务器40的通信(S201)。GW服务器20接收来自终端设备50的连接请求分组,参考在分组中描述的URL信息中的GW服务器20自己的地址之后的信息,以及识别关于商用服务器40的内部服务器30的地址(S202)。然后,GW服务器20请求关于已识别的内部服务器30的SSL站点凭证(S203)。其SSL站点凭证已经被请求的内部服务器30把它自己的SSL站点凭证发送给GW服务器20(S204)。
接下来,GW服务器20把收到的内部服务器30的SSL站点凭证发送给终端设备50(S205)。终端设备50利用收到的SSL站点凭证产生密钥交换信息(S206),并把该密钥交换信息发送给GW服务器20(S207)。当GW服务器20接收密钥交换信息时,它把该密钥交换信息和在S201中收到的URL信息发送给内部服务器30(S208)。
当内部服务器30接收该信息时,它利用自己的SSL站点凭证和收到的密钥交换信息来产生公用密钥(S209)。终端设备50也利用与内部服务器30相同的过程,利用SSL站点凭证和密钥交换信息产生公用密钥(S209′)。然后,内部服务器30发送关于在收到的URL信息中所描述的商用服务器40的地址“http://intra.abc.bar.co.jp”的连接请求分组(S210)。根据该连接请求分组,在内部服务器30和商用服务器40之间建立会话,并且商用服务器40向内部服务器30发送包括由终端设备50所请求的数据的分组(S211)。
此外,在内部服务器30从商用服务器40接收包括由终端设备50所请求的数据的分组之后,内部服务器30把预先确定的mime类型(例如,“application/x-special-ssl-vpn”)加到收到的分组的数据部分,并利用在S209中产生的公用密钥对分组进行加密(S213)。然后,内部服务器30把加密的分组发送给GW服务器20(S214)。GW服务器20在不对经由防火墙10从内部服务器30接收的分组进行解密的情况下,照原样把分组发送给终端设备50。
终端设备50利用在S209′中产生的公用密钥对收到的分组加密(S216)、参考加到该分组上的mime类型、启动与mime类型相对应的助手应用程序以及改变绝对地址信息(S217)。
例如,助手应用程序如下实施绝对地址信息的改变。
即,在绝对地址信息是“http://intra2.abc.bar.co.jp/public/index.htm”的情况下,首先终端设备50通过对公司网1的域与终端设备50最初试图连接的服务器名的域进行比较,来确定该URL是否为位于公司网1上的URL。当URL是位于公司网1上的URL时,终端设备50把终端设备50当前连接的GW服务器20的URL“https://gw.foo.net”加到该URL的头上,并把该信息改变为绝对地址信息“https://gw.foo.net/http://intra2.abc.bar.co.jp/public/index.htm”。
然后,终端设备50把其绝对地址信息以这种方式被改变的HTML数据显示在网络浏览器上(S218)。虽然在图3中未显示,但是当其中参考目的地是公司网1的URL的绝对地址信息没有被包括在分组中时,终端设备50可以在不启动助手应用程序的情况下,把收到的分组中包括的HTML数据照原样显示在网络浏览器上。
根据第二实施例,用户指定与浏览器上显示的绝对地址信息相对应的地址,并且即使当关于该地址的连接请求被实施时,终端设备50也经由GW服务器20被连接。因此,由于公司网1直接请求连接,从而防止了连接被拒绝。
同样,在第二实施例中,类似于第一实施例,由于在商用服务器40和终端设备50之间交换的分组由在内部服务器30和终端设备50之间产生的公用密钥所加密,因此在内部服务器30和终端设备50之间中继分组的GW服务器20不对分组进行解密。因而,由于无意中未被加密的数据没有出现在一般用户能够访问的GW服务器20上,所以能够提高安全性。
在第一或第二实施例中,如果当终端设备50经由GW服务器20连接到公司网1时,必需鉴定用户,则当终端设备50向GW服务器20发送连接请求分组时,GW服务器20可以请求关于终端设备50的用户信息,诸如用户标识符(ID)和口令。也可以在不由GW服务器20来实施用户鉴定的情况下,通过利用内部服务器30中的轻型目录访问协议(LDAP)等,把用户信息从GW服务器20传送到内部服务器30,来实施用户鉴定。此外,也可以利用公共密钥加密方法中的凭证,而不是利用用户ID和口令,来实施用户鉴定。
此外,在第一和第二实施例中,在所描述的例子中DMZ是由一个防火墙10构成的,如图1所示,但是防火墙不限于一个。例如,如图4所示,本发明也可应用于DMZ由两个防火墙构成的情况。
此外,也可以通过向系统或设备提供存储介质来实现本发明的目的,在该存储介质中存储有用来实现以上实施例的功能的软件程序,使得系统或设备的计算机(例如CPU或MPU)读取并执行该存储介质中存储的程序代码。
在这种情况下,从存储介质中读出的程序代码本身实现以上实施例的功能,并且其中存储有程序代码的存储介质配置本发明。软盘、硬盘、光盘、光-磁盘、CD-ROM、CD-R、磁带、非易失性存储卡或ROM可以用作用于提供程序代码的存储介质。
本发明也包括以下情况:不是通过执行计算机已读出的程序代码来实现以上实施例的功能,而是在计算机上运行的0S(操作系统)根据程序代码中的指令来实施部分或全部的实际处理,从而通过该处理来实现以上实施例的功能。
此外,本发明也包括以下情况:在从存储介质读出的程序代码被写入位于被插入计算机中的功能扩展板或者连接到计算机的功能扩展单元中的存储器中之后,位于功能扩展板或功能扩展单元中的CPU根据程序代码中的指令来实施部分或全部的实际处理,从而通过该处理来实现以上实施例的功能。
根据属于本发明的网络系统的一方面,内部服务器包括:确定单元,确定用于访问位于内部网上的通信设备的绝对地址信息是否被包括在由接收单元所接收的分组中;以及改变单元,当包括绝对地址信息时,把该绝对地址信息改变为经由外部服务器,并且当包括绝对地址信息时,加密单元对于其绝对地址信息已被改变的分组,实施只能由接收-目的地终端设备解密的加密。
根据本发明,当用于访问位于内部网上的通信设备的绝对地址信息被包括在收到的分组中时,内部服务器把该绝对地址信息改变为经由外部服务器,然后进行加密,并把分组发送给外部服务器。因此,当外部网上的终端设备接收来自公司网的分组,并根据该分组中包括的绝对地址信息访问位于内部网上的通信设备时,该终端设备经由外部服务器访问通信设备,从而终端设备直接访问内部网上的通信设备,借此能够防止由于防火墙的设置而造成访问被拒绝。
根据属于本发明的网络系统的一个方面,终端设备包括:接收单元,接收应用服务器已发送的分组;确定单元,确定用来访问位于内部网上的通信设备的绝对地址信息是否被包括在由接收单元所接收的分组中;以及改变单元,当包括绝对地址信息时,把该绝对地址信息改变为经由外部服务器。
根据本发明,当终端设备接收包括用于访问位于内部网上的通信设备的绝对地址信息的分组时,终端设备把该绝对地址信息改变为经由外部服务器。因此,当外部网上的终端设备接收来自公司网的分组,并根据该分组中包括的绝对地址信息访问位于内部网上的通信设备时,该终端设备经由外部服务器访问通信设备。因此,终端设备直接访问内部网上的通信设备,借此能够防止由于防火墙的设置而造成访问被拒绝。
虽然在此已经详细描述了本发明的说明性和目前的实施例,但是应该理解,可以不同地具体实施和使用本发明的概念,以及附加的权利要求试图包括除了被现有技术限定的范围之外的这种变化。
2004年8月4日提交的包括说明书、权利要求、附图和摘要的日本专利申请No.2004-227617的完整公开,在此被引入作为参考。

Claims (9)

1、一种网络系统,包括:
连接外部网和内部网的防火墙;
位于所述外部网上的终端设备;
位于所述内部网上的应用服务器,所述应用服务器根据来自所述终端设备的请求向所述终端设备提供数据;
位于所述防火墙的DMZ或者所述外部网上的外部服务器,所述外部服务器被配置成,接收来自所述终端设备的连接到所述应用服务器的请求,以及通过内部服务器在所述终端设备和所述应用服务器之间中继通信;
位于所述内部网上的所述内部服务器,所述内部服务器被配置成在所述外部服务器和所述应用服务器之间中继通信,
所述内部服务器进一步包括:
接收单元,接收来自所述应用服务器的用于所述终端设备的分组;
加密单元,加密所述分组的方式为:加密的分组只能被所述终端设备解密;以及
发送单元,经由所述防火墙将所述加密的分组发送给所述外部服务器,
所述外部服务器进一步包括:
接收单元,接收由所述内部服务器加密的分组;以及
发送单元,在不对所接收的加密分组进行解密的情况下,把所接收的加密分组发送给所述终端设备,
其中
当根据来自所述内部服务器的连接到所述外部服务器的连接请求来建立会话时,允许所述外部服务器和所述内部服务器之间的通信,并且
作为对来自所述内部服务器的连接请求的响应,所述外部服务器中继来自所述终端设备的用于通过所述内部服务器连接到所述应用服务器的请求。
2、根据权利要求1所述的网络系统,其中所述内部服务器进一步包括:
确定单元,确定由所述内部服务器中的所述接收单元所接收的分组是否包含用于访问通信设备的绝对地址信息,所述通信设备包括所述应用服务器或连接到所述内部网的数据库服务器,所述数据库服务器向所述终端设备提供附加信息;以及
改变单元,当包含所述绝对地址信息时,所述改变单元把所述绝对地址信息改变为经由所述外部服务器的地址信息,
其中
所述加密单元加密其地址信息被所述改变单元所改变的分组的方式为:加密的分组只能被所述终端设备解密。
3、根据权利要求1所述的网络系统,其中所述终端设备进一步包括:
接收单元,接收发自所述应用服务器的分组;
确定单元,确定由所述终端设备的所述接收单元所接收的分组是否包含用于访问通信设备的绝对地址信息,所述通信设备包括所述应用服务器或连接到所述内部网的数据库服务器,所述数据库服务器向所述终端设备提供附加信息;以及
改变单元,当包含所述绝对地址信息时,所述改变单元将所述绝对地址信息改变为经由所述外部服务器的地址信息。
4、根据权利要求1所述的网络系统,其中所述外部服务器请求所述终端设备提供用户信息,并且所述外部服务器建立到所述终端设备的连接。
5、一种位于内部网上的内部服务器,所述内部服务器经由连接在外部网和所述内部网之间的防火墙与外部服务器通信,所述外部服务器位于所述防火墙的DMZ或所述外部网上,所述内部服务器包括:
接收单元,接收来自应用服务器的用于终端设备的分组,所述终端设备位于所述外部网上;
加密单元,加密所述分组的方式为:加密的分组只能被所述终端设备解密;以及
发送单元,将所述加密的分组发送给所述外部服务器,
其中
当根据来自所述内部服务器的连接到所述外部服务器的连接请求来建立会话时,允许所述外部服务器和所述内部服务器之间的通信,并且
作为对所述连接请求的响应,所述外部服务器中继来自所述终端设备的用于通过所述内部服务器连接到所述应用服务器的请求。
6、根据权利要求5所述的内部服务器,进一步包括:
确定单元,确定由所述接收单元所接收的分组是否包含用于访问通信设备的绝对地址信息,所述通信设备位于所述内部网上并且包括所述应用服务器或数据库服务器,所述数据库服务器向所述终端设备提供附加信息;以及
改变单元,当包含所述绝对地址信息时,所述改变单元将所述绝对地址信息改变为经由所述外部服务器的地址信息,
其中
当包含所述绝对地址信息时,所述加密单元加密其地址信息被所述改变单元所改变的分组的方式为:加密的分组只能被所述终端设备解密。
7、一种位于外部网上的终端设备,所述外部网络通过防火墙连接到内部网,所述内部网具有应用服务器和内部服务器,所述应用服务器根据来自所述终端设备的请求向所述终端设备提供数据,所述内部服务器在外部服务器和所述应用服务器之间中继通信,
所述外部服务器位于所述防火墙的DMZ或所述外部网上,所述外部服务器根据来自所述终端设备的请求,通过内部服务器在所述终端设备和所述应用服务器之间中继通信,
所述终端设备包括:
接收单元,接收发自所述应用服务器的分组;
确定单元,确定由所述接收单元所接收的分组是否包含用于访问通信设备的绝对地址信息,所述通信设备包括所述应用服务器或连接到所述内部网的数据库服务器,所述数据库服务器向所述终端设备提供附加信息;以及
改变单元,当包含所述绝对地址信息时,所述改变单元将所述绝对地址信息改变为经由所述外部服务器的地址信息。
8、一种用于对网络系统上的分组进行中继处理的分组中继方法,所述网络系统包括:连接在外部网和内部网之间的防火墙;位于所述外部网上的终端设备;位于所述内部网上的应用服务器,所述应用服务器响应来自所述终端设备的请求向所述终端设备提供数据;位于所述防火墙的DMZ或者所述外部网上的外部服务器,所述外部服务器接收来自所述终端设备的连接到所述应用服务器的请求,并在所述终端设备和所述应用服务器之间中继通信;以及位于所述内部网上的内部服务器,所述内部服务器在所述外部服务器和所述应用服务器之间中继通信,所述外部服务器和所述内部服务器之间的通信只被根据来自所述内部服务器的连接到所述外部服务器的连接请求而建立的会话所允许,并且响应来自所述内部服务器的连接请求,所述外部服务器中继来自所述终端设备的连接到所述应用服务器的请求,所述分组中继方法包括:
由所述内部服务器接收来自所述应用服务器的用于所述终端设备的分组;
由所述内部服务器确定所接收的分组是否包含用于访问位于所述内部网上的通信设备的绝对地址信息;
当包含所述绝对地址信息时,将所述绝对地址信息改变为经由所述外部服务器的地址信息;
当包含所述绝对地址信息时且在已经改变所述绝对地址信息之后,或者当不包含所述绝对地址信息时没有任何改变的情况下,将所接收的分组加密为只能被所述终端设备解密;
由内部服务器经由所述防火墙将所述加密的分组发送给所述外部服务器;
由所述外部服务器接收由所述内部服务器加密的分组;以及
在不对加密的分组进行解密的情况下,由所述外部服务器将所接收的加密分组原封不动地发送给所述终端设备。
9、一种网络系统,包括:
具有内部服务器的内部网;
具有终端设备的外部网;以及
将所述内部网连接到所述外部网的防火墙;
其中所述内部服务器发送数据到所述终端设备,以及所述数据被所述内部服务器加密的方式为:加密的分组只能被所述终端设备解密;并且
当所述数据具有绝对地址信息时,所述内部服务器将所述绝对地址信息改变为所述终端设备可以访问的地址信息。
CNB2005100524756A 2004-08-04 2005-02-28 网络系统、内部服务器、终端设备、存储介质和分组中继方法 Expired - Fee Related CN100525304C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004227617A JP4492248B2 (ja) 2004-08-04 2004-08-04 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP227617/2004 2004-08-04

Publications (2)

Publication Number Publication Date
CN1731786A CN1731786A (zh) 2006-02-08
CN100525304C true CN100525304C (zh) 2009-08-05

Family

ID=35759054

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2005100524756A Expired - Fee Related CN100525304C (zh) 2004-08-04 2005-02-28 网络系统、内部服务器、终端设备、存储介质和分组中继方法

Country Status (3)

Country Link
US (1) US7707628B2 (zh)
JP (1) JP4492248B2 (zh)
CN (1) CN100525304C (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8161538B2 (en) * 2004-09-13 2012-04-17 Cisco Technology, Inc. Stateful application firewall
US7930365B2 (en) * 2005-02-16 2011-04-19 Cisco Technology, Inc. Method and apparatus to modify network identifiers at data servers
US8549295B2 (en) 2006-05-31 2013-10-01 Microsoft Corporation Establishing secure, mutually authenticated communication credentials
JP4224084B2 (ja) * 2006-06-26 2009-02-12 株式会社東芝 通信制御装置、通信制御方法および通信制御プログラム
JP4081724B1 (ja) 2006-12-27 2008-04-30 日本電気株式会社 クライアント端末、中継サーバ、通信システム、及び通信方法
US8601124B2 (en) * 2007-06-25 2013-12-03 Microsoft Corporation Secure publishing of data to DMZ using virtual hard drives
JP4569649B2 (ja) * 2008-03-19 2010-10-27 ソニー株式会社 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
DE102009022977A1 (de) * 2009-05-28 2010-12-02 Deutsche Telekom Ag Service Interface
JP5504940B2 (ja) * 2010-02-05 2014-05-28 日本電気株式会社 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
US9710425B2 (en) 2010-12-13 2017-07-18 Vertical Computer Systems, Inc. Mobile proxy server for internet server having a dynamic IP address
US10305915B2 (en) 2010-12-13 2019-05-28 Vertical Computer Systems Inc. Peer-to-peer social network
US9112832B1 (en) 2010-12-13 2015-08-18 Vertical Computer Systems, Inc. System and method for running a web server on a mobile internet device
WO2012170705A1 (en) * 2011-06-07 2012-12-13 Vertical Computer Systems, Inc. System and method for running an internet server behind a closed firewall
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
IL218185B (en) 2012-02-19 2018-12-31 Safe T Data A R Ltd Internal server intrusion protection system
US20140075541A1 (en) * 2012-09-11 2014-03-13 Orion Energy Systems, Inc. Systems and methods for accessing resources through a firewall
US20140141746A1 (en) * 2012-11-20 2014-05-22 Khiam Yong Tan Subscriber identity systems, servers, methods for controlling a subscriber identity system, and methods for controlling a server
JP2014123864A (ja) * 2012-12-21 2014-07-03 Sumitomo Electric System Solutions Co Ltd 情報通信機器の管理システム、管理サーバ、情報通信機器、及びコンピュータプログラム
US9432336B2 (en) * 2013-02-13 2016-08-30 Blackberry Limited Secure electronic device application connection to an application server
JP7375342B2 (ja) * 2019-06-17 2023-11-08 富士フイルムビジネスイノベーション株式会社 中継装置、情報処理システム及び中継処理プログラム
US11233749B2 (en) * 2019-10-23 2022-01-25 Microsoft Technologly Licensing, LLC External access to internal network resource

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01503028A (ja) * 1986-06-09 1989-10-12 データコンサルト、イ、マルメ、アクチェボラーグ 暗号化及び解読装置
US7272639B1 (en) * 1995-06-07 2007-09-18 Soverain Software Llc Internet server access control and monitoring systems
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
US5944823A (en) 1996-10-21 1999-08-31 International Business Machines Corporations Outside access to computer resources through a firewall
US7055173B1 (en) * 1997-12-19 2006-05-30 Avaya Technology Corp. Firewall pooling in a network flowswitch
US6820204B1 (en) * 1999-03-31 2004-11-16 Nimesh Desai System and method for selective information exchange
JP2001318842A (ja) * 2000-05-08 2001-11-16 Kuikku:Kk データ配信システム
JP2002140239A (ja) * 2000-08-17 2002-05-17 Masahiro Mizuno 情報管理システム及び情報管理方法及びシステム制御装置
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US20060031927A1 (en) 2000-08-23 2006-02-09 Masahiro Mizuno Information management system, information management method, and system control apparatus
WO2002080442A1 (fr) * 2001-03-29 2002-10-10 Sony Corporation Appareil de traitement d'informations
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
US7286671B2 (en) 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
US7577425B2 (en) 2001-11-09 2009-08-18 Ntt Docomo Inc. Method for securing access to mobile IP network
JP3822555B2 (ja) * 2001-11-09 2006-09-20 株式会社エヌ・ティ・ティ・ドコモ 安全なネットワークアクセス方法
US7404207B2 (en) * 2002-03-12 2008-07-22 Ils Technology, Inc. Data sharing and networking system for integrated remote tool access, data collection, and control
JP3782981B2 (ja) * 2002-04-26 2006-06-07 インターナショナル・ビジネス・マシーンズ・コーポレーション セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム
US7395536B2 (en) * 2002-11-14 2008-07-01 Sun Microsystems, Inc. System and method for submitting and performing computational tasks in a distributed heterogeneous networked environment
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7774831B2 (en) * 2002-12-24 2010-08-10 International Business Machines Corporation Methods and apparatus for processing markup language messages in a network
CN1480872A (zh) 2003-07-08 2004-03-10 移动警务办公系统
US7831693B2 (en) * 2003-08-18 2010-11-09 Oracle America, Inc. Structured methodology and design patterns for web services
CN100559781C (zh) 2004-05-24 2009-11-11 卡米尔资讯股份有限公司 将信息由防火墙内的资料源服务器推送至行动装置的方法

Also Published As

Publication number Publication date
US20060031929A1 (en) 2006-02-09
JP2006050191A (ja) 2006-02-16
CN1731786A (zh) 2006-02-08
US7707628B2 (en) 2010-04-27
JP4492248B2 (ja) 2010-06-30

Similar Documents

Publication Publication Date Title
CN100525304C (zh) 网络系统、内部服务器、终端设备、存储介质和分组中继方法
Miller Facing the challenge of wireless security
US6529513B1 (en) Method of using static maps in a virtual private network
CN100508517C (zh) 选择用于有线和无线设备的安全格式转换
EP1536601B1 (en) Encryption method and system for emails
CN103596173B (zh) 无线网络认证方法、客户端及服务端无线网络认证装置
US7457946B2 (en) Method and program product for privately communicating web requests
CA2636780C (en) Method and device for anonymous encrypted mobile data and speech communication
KR100563907B1 (ko) 원격제어 시스템 및 방법
US20060190991A1 (en) System and method for decentralized trust-based service provisioning
JP2002523973A (ja) コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法
US11368334B1 (en) Providing a split-configuration virtual private network
KR20150053912A (ko) 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US20240039894A1 (en) Providing substitute domain information in a virtual private network
US11165825B2 (en) System and method for creating encrypted virtual private network hotspot
JP2007281919A (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
Song et al. Review of network-based approaches for privacy
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
JP2007281918A (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP4185852B2 (ja) 通信システム
US12003478B1 (en) Sharing domain name service resources in a mesh network
JP4752062B2 (ja) アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置
Müller Past, Present and Future of Tor Hidden Services
Loesing et al. Virtual private services

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090805

Termination date: 20180228