CN101128805B - 连接支持装置及网关装置 - Google Patents
连接支持装置及网关装置 Download PDFInfo
- Publication number
- CN101128805B CN101128805B CN200580048712XA CN200580048712A CN101128805B CN 101128805 B CN101128805 B CN 101128805B CN 200580048712X A CN200580048712X A CN 200580048712XA CN 200580048712 A CN200580048712 A CN 200580048712A CN 101128805 B CN101128805 B CN 101128805B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- gateway apparatus
- connection
- identifier
- supportive device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种连接支持装置及网关装置,其可容易地进行信息管理、并且可容易且安全地进行从用户终端对网关装置的远程访问,该连接支持装置具有:控制单元,其对用户终端连接的网关装置进行控制,以许可来自认证成功的用户终端的连接;以及通信单元,其向用户终端提供用于连接到网关装置的连接信息。
Description
技术领域
本发明涉及连接支持装置及网关装置,特别涉及从用户终端连接(远程访问)的网关装置、及对用户终端和网关装置之间的连接进行支持的连接支持装置。
背景技术
近年来,公知有用户经由互联网等网络,与LAN(Local AreaNetwork,局域网)等家庭内网络或企业内网络的网关装置连接,对数字家电设备等设备进行控制的图1所示的远程访问系统。
例如,作为互联网上的安全远程访问系统的一个例子,有VPN(Virtual Private Network,虚拟专用网)。所谓VPN是指这样的技术:对在进行远程访问的用户终端(客户端)和接受来自该用户终端的连接的网关装置(服务器)之间传输的数据进行加密,从而使第三者无法窃听在用户终端和网关装置之间发送接收的数据。
以往,作为与远程访问相关的文献,公知有以下的专利文献1~2、非专利文献1~3。
专利文献1:日本特开2002-135867号公报
专利文献2:日本特开2004-266562号公报
非专利文献1:RFC 2637 PPTP(Point to Point Tunneling Protocol)
非专利文献2:RFC 2409 The Internet Key Exchange(IKE)
非专利文献3:RFC 2246 The TLS Protocol Version 1.0
如上述文献中记载,从以往公知有对远距离的设备进行远程访问的技术。但是,在以往的远程访问系统中,一般情况下,用户终端和网关装置为一对一关系。
从而,在增加了网关装置的数量时,用户终端需要根据所连接的网关装置的数量保持连接信息和用户的安全信息等,所以存在信息的管理变得烦杂的问题。
并且,如图2所示,在通过SSL(Secure Sockets Layer,安全套接层)来进行加密的VPN(SSL-VPN)等的情况下,网关装置需要长时开放用户终端所连接的端口,所以存在遭到DoS攻击(Denial of Service Attack,拒绝服务攻击)等的危险性、非法用户进行远程访问的可能性的问题。
发明内容
本发明是鉴于上述问题而产生的,其目的在于提供可容易地进行信息管理、并且可容易且安全地进行从用户终端对网关装置的远程访问的连接支持装置及网关装置。
为解决上述课题,本发明的连接支持装置的特征在于,该连接支持装置具有:控制单元,其对用户终端连接的网关装置进行控制,以许可来自认证成功的所述用户终端的连接;以及通信单元,其向所述用户终端提供用于连接到所述网关装置的连接信息。
并且,本发明的网关装置的特征在于,该网关装置具有:设定单元,其从连接支持装置接收控制请求,根据该请求进行用于向用户终端赋予连接许可的设定,以许可来自认证成功的所述用户终端的连接;以及通信单元,其许可来自所述用户终端的连接.
在本发明中,导入了进行用户终端连接到网关装置用的支持的连接支持装置。连接支持装置对网关装置进行控制以许可来自认证成功的用户终端的连接,从而可简单且安全地进行从用户终端对网关装置的远程访问。
并且,连接支持装置对认证成功的用户终端提供用于连接到网关装置的连接信息,从而可容易地进行信息管理。
根据本发明,提供了可容易地进行信息管理、并且可容易且安全地进行从用户终端对网关装置的远程访问的连接支持装置及网关装置。
附图说明
图1是示出以往的远程访问系统的一个例子的结构图。
图2是示出以往的远程访问系统的另一个例子的结构图。
图3是本发明的远程访问系统的一个例子的概略图。
图4是本发明的远程访问系统的一个例子的结构图。
图5A是连接支持装置管理的用户认证数据库的一个例子的图。
图5B是连接支持装置管理的用户连接目的地地址管理数据库的一个例子的图。
图5C是连接支持装置管理的网关装置地址管理数据库的一个例子的图。
图5D是连接支持装置管理的用户会话管理数据库的一个例子的图。
图6是利用用户终端个体ID的远程访问系统的一个例子的概略图。
图7是加密的通信路径的一个例子的结构图。
图8是利用随机数的远程访问系统的一个例子的概略图。
图9是由连接支持装置进行的网关装置地址管理处理的一个例子的说明图。
图10是表示没有终端类别判定时的连接支持装置的处理的一个例子的时序图。
图11是表示有终端类别判定时的连接支持装置的处理的一个例子的时序图。
图12是终端类别管理数据库的一个例子的结构图。
图13是表示有终端类别判定且赋予了用户终端个体ID时的连接支持装置的处理的一个例子的时序图。
图14是表示有终端类别判定且赋予了随机数时的连接支持装置的处理的一个例子的时序图。
图15是表示会话结束时的连接支持装置的处理的一个例子的时序图。
图16是示出本发明的远程访问系统的第1实施例的结构图。
图17是用户认证消息的一个例子的结构图。
图18是防火墙控制消息的一个例子的结构图。
图19是防火墙控制应答消息的一个例子的结构图。
图20是应答消息的一个例子的结构图。
图21是重定向消息的一个例子的结构图。
图22是示出本发明的远程访问系统的用户注销处理的说明图。
图23是示出本发明的远程访问系统的第2实施例的结构图。
图24是示出本发明的远程访问系统的第3实施例的结构图。
图25是防火墙控制消息的一个例子的结构图。
图26是示出本发明的远程访问系统的第4实施例的结构图。
图27是表示会话开始时的连接支持装置的处理的一个例子的时序图。
图28是表示会话结束时的连接支持装置的处理的一个例子的时序图。
图29是会话结束通知消息的一个例子的结构图。
图30是会话结束应答消息的一个例子的结构图。
图31是示出本发明的远程访问系统的第5实施例的结构图。
图32是利用随机数的远程访问系统的整体时序图。
图33是利用随机数的远程访问系统的整体时序图。
图34是利用随机数的远程访问系统的整体时序图。
标号说明
1:连接支持装置;2、2a、2b:网关装置;3:用户终端;4:便携电话IP网关;11:用户请求受理功能;12:用户认证功能;13:用户连接目的地管理功能;14:防火墙控制功能;15:用户-网关装置会话管理功能;21:防火墙设定功能;22:用户请求受理功能;23a、23b:IP地址取得功能;24:Web应用;25:IP过滤器;26:ID过滤器;27:随机数过滤器。
具体实施方式
图3是本发明的远程访问系统的一个例子的概略图。图3的远程访问系统构成为,经由预定的网络连接了连接支持装置1、网关装置2和用户终端3。
连接支持装置1是用于支持用户终端3连接到网关装置2的装置。在步骤S1中,用户终端3向连接支持装置1发送用户认证信息。连接支持装置1利用所接收到的用户认证信息来进行认证。
在认证成功时,连接支持装置1进入到步骤S2,对网关装置2进行控制请求,以许可来自用户终端3的连接。网关装置2根据来自连接支持装置1的控制请求,向用户终端3赋予连接许可。进入到步骤S3,网关装置2对连接支持装置1进行与控制请求相应的应答。
进入到步骤S4,连接支持装置1向用户终端3提供用于连接到网关装置2的连接信息。进入到步骤S5,用户终端3利用所提供的连接信息来向网关装置2进行连接请求。网关装置2向用户终端3赋予连接许可,从而许可来自用户终端3的连接。
在图3的远程访问系统中,连接支持装置1可对网关装置2进行控制,以许可来自认证成功的用户终端3的连接。从而,在图3的远程访问系统中,连接支持装置1对网关装置2进行控制,以在认证成功后许可来自用户终端3的连接,从而可简单且安全地实现从用户终端3对网关装置2的远程访问。
并且,在图3的远程访问系统中,可从连接支持装置1对认证成功的用户终端3提供用于连接到网关装置2的连接信息。从而,在图3的远程访问系统中,因为由连接支持装置1对用于连接到网关装置2的连接信息进行管理,所以即使增加了网关装置2的数量,也能容易地管理信息。
进而,说明本发明的远程访问系统.图4是本发明的远程访问系统的一个例子的结构图.在图4中,示出了连接支持装置1及网关装置2的功能框图、和连接支持装置1、网关装置2及用户终端3之间的接口.
连接支持装置1构成为包括用户请求受理功能11、用户认证功能12、用户连接目的地管理功能13、防火墙控制功能14、和用户-网关装置会话管理功能15。用户请求受理功能11受理来自用户终端3的请求。用户认证功能12进行用户的认证。用户连接目的地管理功能13管理用户终端3的连接目的地的地址信息。
防火墙控制功能14进行网关装置2的防火墙控制,以使用户终端3连接到网关装置2。用户-网关装置会话管理功能15对网关装置2和用户终端3之间的会话进行管理。
网关装置2构成为包括防火墙设定功能21和用户请求受理功能22。防火墙设定功能21根据来自连接支持装置1的请求,进行防火墙设定。用户请求受理功能22受理来自用户终端3的请求。
在网关装置2和用户终端3之间,存在经由连接支持装置1的接口和进行直接连接的接口。连接支持装置1具有图5所示的数据库。
图5是连接支持装置管理的数据库的一个例子的图。图5(a)示出了用户认证数据库。图5(b)示出了用户连接目的地地址管理数据库。图5(c)示出了网关装置地址管理数据库。另外,图5(d)示出了用户会话管理数据库。
图5(a)的用户认证数据库将用户ID和用户认证信息关联起来进行管理。图5(b)的用户连接目的地地址管理数据库将用户ID、网关装置2的识别符即HGW识别符、和用户终端3的连接目的地地址关联起来进行管理。图5(c)的网关装置地址管理数据库将HGW识别符和网关装置2的IP地址(HGW IP地址)关联起来进行管理。
图5(d)的用户会话管理数据库将用户ID、HGW识别符和表示用户终端3连接的端口的应用端口号关联起来进行管理。端口是用于识别用户终端3连接的应用的识别符。
图6是利用用户装置个体ID的远程访问系统的一个例子的概略图。在步骤S11中,用户终端3向连接支持装置1发送用户认证信息和用户终端个体ID。
在认证成功时,连接支持装置1进入到步骤S12,向网关装置2发送包含用户终端个体ID的防火墙控制信号,以许可来自用户终端3的连接。例如,用户终端个体ID可以使用在从用户终端3发送来的HTTP消息内的用户代理(User Agent)值中包含的信息。
网关装置2根据防火墙控制信号来进行用于向用户终端3施加连接许可的设定。进入到步骤S13,网关装置2对连接支持装置1进行与防火墙控制信号相应的应答。进入到步骤S14,连接支持装置1向用户终端3发送包含有用于连接到网关装置2的网关装置连接信息的消息。
从连接支持装置1接收到包含网关装置连接信息的消息时,进入到步骤S15,用户终端3直接向网关装置2发送包含用户终端个体ID的HTTP消息。网关装置2对步骤S12中从连接支持装置1接收到的用户终端个体ID和步骤S15中从用户终端3接收到的用户终端个体ID进行比对,从而可以认证是合法的用户利用合法的用户终端3进行连接。
本发明的远程访问系统还可以应用于将用户终端个体ID置换为用户个体ID的情况、和根据用户终端个体ID和用户个体ID这两方来进行认证的情况。对于用户个体ID可以假设由装到用户终端3上的插装型存储器等构成的情况。在根据用户个体ID进行认证的情况下,本发明的远程访问系统可应用于可利用插装型存储器的各种终端。
另外,在实际的通信中,当以明文形式在互联网上传输用户终端个体ID和用户个体ID时,存在用户隐私泄露的危险性.因此,本发明的远程访问系统假定单个运营商内的网络或加密通信路径上的应用.
例如,在以HTTPS(Hypertext Transfer Protocol Security,安全超文本传输协议)进行通信的情况下,用户终端3使用户终端个体ID、用户个体ID包含在HTTPS报头的用户代理值中,从而可对用户终端个体ID、用户个体ID进行加密后发送到连接支持装置1或网关装置2。
图7是加密的通信路径的一个例子的结构图。例如,用户终端3使用户终端个体ID、用户个体ID包含在Web浏览器的用户代理中,从而可通过HTTPS向连接支持装置1和网关装置2发送用户终端个体ID和用户个体ID。另外,可通过SSL或IPsec来对连接支持装置1和网关装置2之间发送的防火墙控制信号进行加密。
图8是利用随机数的远程访问系统的一个例子的概略图。在步骤S21中,用户终端3向连接支持装置1发送用户认证信息。在认证成功时,连接支持装置1产生唯一的随机数。从安全保护上考虑,需要如32位的随机二进制字符串那样,根据不容易确定的方法来产生随机数。进入到步骤S22,连接支持装置1向网关装置2发送包含随机数的防火墙控制信号。
网关装置2根据防火墙控制信号,进行用于向用户终端3赋予连接许可的设定。进入到步骤S23,网关装置2对连接支持装置1进行与防火墙控制信号相应的应答。进入到步骤S24,连接支持装置1向用户终端3发送包含随机数的网关装置连接信息。
从连接支持装置1接收包含随机数的网关装置连接信息时,进入到步骤S25,用户终端3向网关装置2直接发送包含随机数的HTTP消息。网关装置2对步骤S22中从连接支持装置1接收到的随机数和步骤S25中从用户终端3接收到的随机数进行比对,从而可认证合法的用户利用合法的用户终端3进行连接。利用随机数的远程访问系统不依赖于用户终端3的终端类别,所以可应用于没有附加用户终端个体ID的各种终端。
另外,在实际的通信中,与所述的利用用户终端个体ID的远程访问系统相同,利用通过SSL或IPsec加密的通信路径来进行发送,从而可维持保密性。本发明的远程访问系统可根据用途进行利用用户终端个体ID或随机数的两种连接支持。
在本发明的远程访问系统中,假定了远程访问服务提供商保有连接支持装置1、在经由互联网等网络而连接的家庭内网络或企业内网络等中配置网关装置2的情况。
在现状中,在多半情况下,分配给多个家庭的IPv4地址不是固定值,而是由ISP(Internet Service Provider,互联网服务提供商)动态分配。
图9是由连接支持装置进行的网关装置地址管理处理的一个例子的说明图。图9的远程访问系统构成为经由预定的网络连接了连接支持装置1、网关装置2a、2b和用户终端3。
网关装置2a、2b构成为包括IP地址取得功能23a、23b,在新分配了IP地址的情况下,对预先登记有连接支持装置识别符和连接支持装置IP地址的连接支持装置1发送变更后的IP地址(HGW IP地址)和HGW识别符。
连接支持装置1根据从网关装置2a、2b接收到的IP地址和HGW识别符,更新上述网关装置地址管理数据库。这样,即使在动态分配网关装置2a、2b的IP地址的情况下,连接支持装置1也可以进行网关装置2a、2b的地址解析。
接下来,以连接支持装置1的处理为中心,说明本发明的远程访问系统的处理。图10是表示没有终端类别判定时的连接支持装置的处理的一个例子的时序图。
在步骤S31中,用户终端3向连接支持装置1的用户请求受理功能11发送用户认证信息。用户请求受理功能11利用用户认证功能12来进行认证。在认证成功时,用户请求受理功能11进入到步骤S32,向用户连接目的地管理功能13请求连接目的地列表检索。
进入到步骤S33,用户连接目的地管理功能13利用用户连接目的地地址管理数据库来检索用户终端3的连接目的地列表,将该连接目的地列表作为应答而发送到用户请求受理功能11。并且,用户请求受理功能11进入到步骤S34,向用户终端3发送所接收到的连接目的地列表。
在从连接支持装置1接收到连接目的地列表时,用户终端3在显示画面上显示连接目的地列表。用户对用户终端3进行操作,从连接目的地列表中选择一个网关装置2。进入到步骤S35,用户终端3向连接支持装置1的用户请求受理功能11发送由用户选择的连接目的地。
进入到步骤S36,用户请求受理功能11对防火墙控制功能14通知连接目的地的网关装置2。防火墙控制功能14利用网关装置地址管理数据库来检索网关装置2的IP地址。
进入到步骤S37,防火墙控制功能14利用网关装置2的IP地址来向网关装置2进行控制请求。进入到步骤S38,在网关装置2向用户终端3赋予了连接许可时,对连接支持装置1的防火墙控制功能14进行与控制请求相应的应答。进入到步骤S39,用户-网关装置会话管理功能15向用户会话管理数据库中登记网关装置2和用户终端3之间的会话以进行管理。
进入到步骤S40,防火墙控制功能14对用户连接目的地管理功能13进行应答。用户连接目的地管理功能13利用用户连接目的地地址管理数据库来检索连接目的地的地址信息(网关装置2的连接地址),向用户请求受理功能11发送该地址信息。进入到步骤S42,用户请求受理功能11将连接目的地的地址信息作为网关装置连接信息而发送到用户终端3。
在接收到网关装置连接信息时,用户终端3可利用网关装置连接信息而连接到网关装置2。
图11是表示有终端类别判定时的连接支持装置的处理的一个例子的时序图。另外,图11的时序图除一部分之外与图10的时序图相同,所以适当省略其说明。
步骤S51~S55的处理与图10的步骤S31~S35的处理相同,所以省略其说明。进入到步骤S56,用户请求受理功能11对防火墙控制功能14通知连接目的地的网关装置2和用户终端3的终端类别。另外,用户请求受理功能11可提取出用户终端3的终端类别。
防火墙控制功能14具有图12那样的终端类别管理数据库。图12是终端类别管理数据库的一个例子的结构图。图12的终端类别管理数据库将终端类别、后述便携电话IP网关装置或用户终端3的IP地址关联起来进行管理。
防火墙控制功能14利用终端类别管理数据库,检索便携电话IP网关装置或用户终端3的IP地址。并且,防火墙控制功能14利用网关装置地址管理数据库,检索网关装置2的IP地址。
进入到步骤S57,防火墙控制功能14利用网关装置2的IP地址,对网关装置2进行与用户终端3的终端类别相应的控制请求。进入到步骤S58,网关装置2在向用户终端3赋予了连接许可之后,对连接支持装置1的防火墙控制功能14进行与控制请求相应的应答。进入到步骤S59,用户-网关装置会话管理功能15向用户会话管理数据库中登记网关装置2与便携电话IP网关装置或用户终端3之间的会话以进行管理。
步骤S60~S62的处理与图10的步骤S40~S42的处理相同,所以省略其说明。
图13是有终端类别判定且附加了用户终端个体ID时的连接支持装置的处理的一个例子的时序图。另外,图13的时序图除一部分以外与图11的时序图相同,所以适当省略其说明。
步骤S71~S75的处理与图11的步骤S51~55的处理相同,所以省略其说明。进入到步骤S76,用户请求受理功能11对防火墙控制功能14通知连接目的地的网关装置2、用户终端3的终端类别以及用户终端个体ID。另外,用户请求受理功能11可提取出用户终端3的终端类别和用户终端个体ID。
防火墙控制功能14利用图12所示那样的终端类别管理数据库,检索便携电话IP网关装置或用户终端3的IP地址。并且,防火墙控制功能14利用网关装置地址管理数据库,检索网关装置2的IP地址。
进入到步骤S77,防火墙控制功能14利用网关装置2的IP地址,对网关装置2进行与用户终端3的终端类别相应的控制请求。另外,在步骤S77中,对网关装置2通知用户终端个体ID。
步骤S78~S82的处理与图11的步骤S58~S62的处理相同,所以省略其说明。
图14是表示有终端类别判定且附加了随机数时的连接支持装置的处理的一个例子的时序图。另外,图14的时序图除一部分之外与图13的时序图相同,所以适当省略其说明。
步骤S85~S89的处理与图13的步骤S71~S75的处理相同,所以省略其说明。进入到步骤S90,用户请求受理功能11对防火墙控制功能14,通知连接目的地的网关装置2、用户终端3的终端类别和随机数。另外,用户请求受理功能11可提取出用户终端3的终端类别。并且,用户请求受理功能11可产生唯一的随机数。
防火墙控制功能14利用图12所示那样的终端类别管理数据库,检索便携电话IP网关装置或用户终端3的IP地址。并且,防火墙控制功能14利用网关装置地址管理数据库,检索网关装置2的IP地址。
进入到步骤S91,防火墙控制功能14利用网关装置2的IP地址,对网关装置2进行与用户终端3的终端类别相应的控制请求。另外,在步骤S91中,对网关装置2通知随机数。
步骤S92~S95的处理与图13的步骤S78~S81相同,所以省略其说明。进入到步骤S96,用户请求受理功能11将连接目的地的地址信息和随机数作为网关装置连接信息而发送到用户终端3。
图15是表示会话结束时的连接支持装置的处理的一个例子的时序图。例如,当存在来自用户终端3的注销请求时,网关装置2进入到步骤S97,向连接支持装置1的用户-网关装置会话管理功能15通知会话结束。
在被通知了会话结束时,用户-网关装置会话管理功能15进入到步骤S98,从用户会话管理数据库中删除网关装置2和用户终端3之间的会话。然后,进入到步骤S99,用户-网关装置会话管理功能15对用户连接目的地管理功能13进行应答。
以下,以通过连接支持装置1和网关装置2之间的协作来进行的防火墙控制为中心,说明本发明的远程访问系统的实施例。
实施例1
图16是示出本发明的远程访问系统的第1实施例的结构图。在实施例1的远程访问系统中,说明用户终端3具有IP地址的例子。
进入到步骤S100,用户终端3例如利用图17的用户认证消息,向连接支持装置1发送用于基本(Basic)认证的用户ID、口令和用户终端个体ID。另外,利用通过SSL加密的通信路径来进行发送,从而对用户ID、口令和用户终端个体ID进行加密后发送到连接支持装置1。
在认证成功时,连接支持装置1也可以参照图5(b)所示的用户连接目的地地址管理数据库,向用户终端3通知连接目的地列表。此时,用户可从连接目的地列表中选择一个网关装置2。
另外,在作为参照用户连接目的地地址管理数据库的结果,与用户ID相关联的网关装置2为1个的情况下,也可以不向用户终端3通知连接目的地列表。
进入到步骤S101,连接支持装置1例如利用图18的防火墙控制消息,向网关装置2发送防火墙控制信号。另外,SIPS(Session InitiationProtocol Security,安全会话启动协议)是可进行加密的通信协议的一个例子。
网关装置2开放由防火墙控制信号通知的端口号(防火墙控制端口号)。例如,网关装置2开放HTTPS 443号的端口。并且,网关装置2对IP过滤器25进行防火墙通过设定,以使用户终端3的IP地址通过。进而,网关装置2对ID过滤器26进行防火墙通过设定,以使由防火墙控制信号通知的用户终端个体ID通过。
进入到步骤S102,网关装置2例如向连接支持装置1发送图19所示那样的防火墙控制应答消息。另外,连接支持装置1也可以使用基于SIPS协议的一个例子的处理序列,向网关装置2回应针对SIPS应答消息的接收的确认应答(ACK)。
进入到步骤S103,连接支持装置1例如利用图20的应答消息,向用户终端3通知用户终端3连接到网关装置2用的连接信息(URL链路信息)。
在用户选择了URL链路信息的情况下,用户终端3进入到步骤S104,向从连接支持装置1通知的URL链路信息附加用户终端个体ID,向网关装置2发送包含用户终端个体ID的HTTPS消息。被发送到网关装置2的包含用户终端个体ID的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器25和ID过滤器26,被发送到Web应用24。
即,用户终端3可与网关装置2的Web应用24连接。另外,连接支持装置1还可以使用如图21所示那样的重定向消息,以代替图20所示的应答消息。在使用图21那样的重定向消息的情况下,用户终端3可以通过一次选择网关装置2而连接到网关装置2。
图22是示出本发明的远程访问系统的用户注销处理的说明图。在用户对Web应用24进行了注销时,网关装置2关闭所开放的端口。例如,网关装置2关闭HTTPS 443号端口。
并且,网关装置2解除对IP过滤器25和ID过滤器26进行的防火墙通过设定。然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。
实施例2
图23是示出本发明的远程访问系统的第2实施例的结构图。在实施例2的远程访问系统中,说明用户终端3具有IP地址的例子。
另外,图23的远程访问系统的处理除一部分以外与图16的远程访问系统的处理相同,所以适当省略其说明。进入到步骤S110,用户终端3利用用户认证消息,向连接支持装置1发送用于基础认证的用户ID和口令。另外,在实施例2中利用的用户认证消息是从图17的用户认证消息中除去用户终端个体ID而成的消息。
在认证成功后,连接支持装置1产生唯一的随机数。进入到步骤S111,连接支持装置1利用防火墙控制消息,向网关装置2发送防火墙控制信号。另外,在实施例2中利用的防火墙控制消息是将图18的防火墙控制消息的用户终端个体ID置换为随机数而成的消息。
网关装置2开放由防火墙控制信号通知的端口号。并且,网关装置2对IP过滤器25进行防火墙通过设定,以使用户终端3的IP地址通过。另外,网关装置2对随机数过滤器27进行防火墙通过设定,以使由防火墙控制信号通知的随机数通过。
进入到步骤S112,网关装置2例如向连接支持装置1发送图19那样的防火墙控制应答消息。进入到步骤S113,连接支持装置1利用应答消息,向用户终端3通知用户终端3连接到网关装置2用的连接信息(URL链路信息)。
另外,在实施例2中利用的应答消息是在图20的应答消息中包含的URL之后附加随机数而成的消息。进入到步骤S114,用户终端3向网关装置2发送包含从连接支持装置1通知的URL链路信息的HTTPS消息。
被发送到网关装置2的包含URL链路信息的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器25和随机数过滤器27,被发送到Web应用24。
即,用户终端3可与网关装置2的Web应用24连接。另外,连接支持装置1还可以使用重定向消息,以代替应答消息。在实施例2中利用的重定向消息是将图21的重定向消息的用户终端个体ID置换为随机数而成的消息。
在用户对Web应用24进行了注销时,网关装置2关闭所开放的端口。并且,网关装置2解除对IP过滤器25和随机数过滤器27进行的防火墙通过设定。然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。
实施例3
图24是示出本发明的远程访问系统的第3实施例的结构图。在实施例3的远程访问系统中,说明用户终端3是不具有IP地址的、例如便携电话等的例子。
进入到步骤S120,用户终端3例如利用图17的用户认证消息,向连接支持装置1发送用于基础认证的用户ID和口令、以及用户终端个体ID和终端收容运营商名。
连接支持装置1提取出在用户认证消息的用户代理值中包含的终端收容运营商名。连接支持装置1保持有将终端收容运营商名和便携电话IP网关装置4具有的IP地址关联起来的地址列表。
在认证成功时,连接支持装置1进入到步骤S121,利用图25的防火墙控制消息,向网关装置2发送防火墙控制信号.图25的防火墙控制消息包含地址列表和用户终端个体ID.
网关装置2开放由防火墙控制信号通知的端口号。并且,网关装置2对IP过滤器25进行防火墙通过设定,以使地址列表中包含的便携电话IP网关装置4具有的一个以上的IP地址通过。
另外,网关装置2对ID过滤器26进行防火墙通过设定,以使由防火墙控制信号通知的用户终端个体ID通过。
进入到步骤S122,网关装置2例如向连接支持装置1发送图19那样的防火墙控制应答消息。进入到步骤S123,连接支持装置1例如利用图20的应答消息,向用户终端3通知用户终端3连接到网关装置2用的URL链路信息。
在由用户选择了URL链路信息的情况下,用户终端3进入到步骤S124,向从连接支持装置1通知的URL链路信息附加用户终端个体ID,向网关装置2发送包含用户终端个体ID的HTTPS消息。另外,由于用户终端3不具有IP地址,所以使用便携电话IP网关装置4具有的IP地址中的一个来连接到网关装置2。
然后,被发送到网关装置2的包含用户终端个体ID的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器25和ID过滤器26而发送到Web应用24。
即,用户终端3可经由便携电话IP网关装置4与网关装置2的Web应用24连接。另外,连接支持装置1还可以使用图21的重定向消息,以代替图20的应答消息。
在用户对Web应用24进行了注销时,网关装置2关闭所开放的端口。并且,网关装置2解除对IP过滤器25和ID过滤器26进行的防火墙通过设定。然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。
另外,网关装置2在确认出用户终端3在通信中使用的IP地址时,对地址列表中包含的用户终端3未在通信中使用的IP地址解除防火墙通过设定。
实施例4
图26是示出本发明的远程访问系统的第4实施例的结构图。在实施例4的远程访问系统中,说明用户终端3是不具有IP地址的、例如便携电话等的例子。
另外,由于图24的远程访问系统的处理除一部分以外与图23的远程访问系统的处理相同,所以适当省略其说明。进入到步骤S130,用户终端3利用用户认证消息,向连接支持装置1发送用于基础认证的用户ID、口令和终端收容运营商名。
连接支持装置1提取出在用户认证消息的用户代理值中包含的终端收容运营商名。连接支持装置1保持有将终端收容运营商名和便携电话IP网关装置4具有的IP地址关联起来的地址列表。
在认证成功后,连接支持装置1产生唯一的随机数。连接支持装置1进入到步骤S131,利用防火墙控制消息,向网关装置2发送防火墙控制信号。另外,在实施例4中利用的防火墙控制消息是将图25的防火墙控制消息的用户终端个体ID置换为随机数而成的消息。
网关装置2开放由防火墙控制信号通知的端口号。并且,网关装置2对IP过滤器25进行防火墙通过设定,以使地址列表中包含的便携电话IP网关装置4具有的一个以上的IP地址通过。
另外,网关装置2对随机数过滤器27进行防火墙通过设定,以使由防火墙控制信号通知的随机数通过。
进入到步骤S132,网关装置2例如向连接支持装置1发送图19那样的防火墙控制应答消息。进入到步骤S133,连接支持装置1利用应答消息,向用户终端3通知用户终端3连接到网关装置2用的URL链路信息。
另外,在实施例4中利用的应答消息是在图20的应答消息中包含的URL之后附加随机数而成的消息。进入到步骤S134,用户终端3向网关装置2发送包含从连接支持装置1通知的URL链路信息的HTTPS消息。
然后,被发送到网关装置2的包含URL链路信息的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器25和随机数过滤器27而发送到Web应用24。
即,用户终端3可经由便携电话IP网关装置4与网关装置2的Web应用24连接。另外,连接支持装置1还可以使用重定向消息,以代替应答消息。在实施例4中利用的重定向消息是将图21的重定向消息的用户终端个体ID置换为随机数而成的消息。
在用户对Web应用24进行了注销时,网关装置2关闭所开放的端口。并且,网关装置2解除对IP过滤器25和随机数过滤器27进行的防火墙通过设定。然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。
另外,网关装置2在确认出用户终端3在通信中使用的IP地址时,对地址列表中包含的用户终端3未在通信中使用的IP地址解除防火墙通过设定。
实施例5
此处,将上述第3实施例的远程访问系统作为例子,说明对网关装置2和用户终端3之间的会话进行管理的处理。图27是表示会话开始时的连接支持装置的处理的一个例子的时序图。另外,图27的远程访问系统的处理除一部分以外与图24的处理相同,所以适当省略其说明。
步骤S140~S142的处理与图24的步骤S120~S122的处理相同。在步骤S142中,在从网关装置2接收到图19那样的防火墙控制应答消息后,将作为防火墙控制对象的用户的用户ID、网关装置2的HGW识别符、和表示用户终端3连接的端口的端口号作为新的会话而登记到用户会话管理数据库中。
在本实施例中,以防火墙控制应答消息的接收作为契机而开始会话,但也可以将从用户终端3向网关装置2的连接作为契机,通过从网关装置2对连接支持装置1进行通知而开始会话。以后的处理与图24相同。
图28是表示会话结束时的连接支持装置的处理的一个例子的时序图。例如,在存在来自用户终端3的注销请求时,网关装置2向连接支持装置1发送图29那样的会话结束通知消息。
连接支持装置1根据所接收到的会话结束通知消息中包含的用户ID、HGW识别符和端口号,从用户会话管理数据库中删除网关装置2和用户终端3之间的会话。
在从用户会话管理数据库中删除了网关装置2和用户终端3之间的会话后,连接支持装置1向网关装置2发送图30那样的会话结束应答消息。
另外,在如实施例5那样对会话进行管理时,需要避免网关装置2强行结束而连接支持装置1错误地继续管理会话的情况。
因此,连接支持装置1也可以定期地对网关装置2发送防火墙更新消息来确认会话的状态,该防火墙更新消息包含用户ID、用户终端个体ID和防火墙控制端口号等。
在有来自网关装置2的防火墙更新应答消息的情况下,可视为连接支持装置1保持会话。另一方面,在没有防火墙更新应答消息的情况下,视为连接支持装置1结束了会话,从用户会话管理数据库中删除网关装置2和用户终端3之间的会话。这样,连接支持装置1能够可靠地管理会话。
另外,可使用与防火墙控制消息和防火墙控制应答消息同等的消息来实现防火墙更新消息和防火墙更新应答消息。网关装置2在最初接收到该消息时,视为防火墙控制,在再次接收到时,视为防火墙更新。
通过这样的连接支持装置1的会话管理,在本实施例的远程访问系统中,还可以实现每个用户的与远程访问时间相应的计费等。
实施例6
图31是示出本发明的远程访问系统的第5实施例的结构图。在实施例5的远程访问系统中,说明进行与终端类别和终端收容运营商类别相应的防火墙控制的例子。
连接支持装置1具有用户代理管理数据库。连接支持装置1接收包含有用户认证信息的消息,在用户选择了连接目的地的网关装置时,检索在所接收到的消息中包含的用户代理值。
在本实施例中,在用户代理值为A运营商或B运营商的便携电话的情况下,连接支持装置1对网关装置2发送包含便携电话IP网关装置具有的IP地址的防火墙控制消息。另一方面,在用户代理值既不是A运营商的便携电话也不是B运营商的便携电话的情况下,连接支持装置1判断为用户终端3具有IP地址,对网关装置2发送包含用户终端3的IP地址的防火墙控制消息。
从而,在实施例5的远程访问系统中,可由一个连接支持装置1实现与终端类别和终端收容运营商类别相应的防火墙控制。
(本发明的远程访问系统的总体处理序列)
图32~图34是利用随机数的远程访问系统的总体处理序列。另外,在图32~34中,连接支持装置1的Web服务器部相当于图4的用户请求受理功能11、用户认证功能12、用户连接目的地管理功能13,FW控制部相当于防火墙控制功能14、用户-网关装置会话管理功能15。并且,在图32~图34中,网关装置2的FW设定部相当于防火墙设定功能21,Web服务器部相当于用户请求受理功能22。进而,在图32~图34中,设备5相当于进行上述远程访问的设备。
图32是表示连接支持装置中的直到随机数分配为止的处理的时序图。在步骤S200~S203中,进行用户终端3的认证。在步骤S204~S205中,向用户终端3发送连接目的地列表,向连接支持装置1通知由用户选择的连接目的地。在步骤S206中,分配唯一的随机数(例如,会话ID)。
图33是表示用户终端具有IP地址时的随机数分配后的处理的时序图。在步骤S207~S209中,从连接支持装置1向网关装置2发送防火墙控制消息。
在步骤S210~S212中,进行防火墙通过设定以许可来自用户终端3的连接.在步骤S213中,从网关装置2向连接支持装置1发送防火墙控制应答消息.在步骤S214中,从连接支持装置1向网关装置2发送针对于SIPS应答消息接收的ACK.
在步骤S215~S216中,从连接支持装置1向用户终端3发送URL链路信息。另外,在URL链路信息中,附加有随机数。在步骤S217~S219中,从用户终端3向网关装置2发送包含URL链路信息的HTTPS消息。
被发送到网关装置2的包含URL链路信息的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器和随机数过滤器而到达Web服务器部。
在步骤S220~S222中,进行对设备5的远程访问。在步骤S223~S227中,进行注销,所以网关装置2关闭所开放的端口,解除对IP过滤器和随机数过滤器进行的防火墙通过设定。
然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。并且,从连接支持装置1向网关装置2发送针对会话结束的ACK。
图34是表示用户终端为便携电话时的随机数分配后的处理的时序图。在步骤S307~S309中,从连接支持装置1向网关装置2发送防火墙控制消息。另外,GW前缀列表相当于上述地址列表。
在步骤S310~S312中,进行防火墙通过设定以许可来自用户终端3的连接。在步骤S313中,从网关装置2向连接支持装置1发送防火墙控制应答消息。在步骤S314中,从连接支持装置1向网关装置2发送针对于SIPS应答消息接收的ACK。
在步骤S315~S316中,从连接支持装置1向用户终端3发送URL链路信息。另外,在URL链路信息中,附加有随机数。在步骤S317~S319中,从用户终端3向网关装置2发送包含URL链路信息的HTTPS消息。
被发送到网关装置2的包含URL链路信息的HTTPS消息通过开放的端口、进行了防火墙通过设定的IP过滤器和随机数过滤器而到达Web服务器部。
在步骤S320~S324中,进行对设备5的远程访问。另外,在步骤S321、S322中,在确认出用户终端3在通信中使用的IP地址时,对包含在GW前缀列表中的未在通信中使用的IP地址解除防火墙通过设定。
在步骤S325~S329中,进行注销,所以网关装置2关闭所开放的端口,解除对IP过滤器和随机数过滤器进行的防火墙通过设定。
然后,网关装置2向连接支持装置1通知与用户终端3之间的会话结束。并且,从连接支持装置1向网关装置2发送针对会话结束的ACK。
(本发明的远程访问系统的效果)
在本发明的远程访问系统中,网关装置2无需长时开放用户终端3所连接的端口,所以可大幅降低遭到DoS攻击等的危险性、非法用户进行远程访问的可能性。
并且,由连接支持装置1管理用户终端3向网关装置2连接用的连接信息,所以即使增加了网关装置的数量,也不会使用户终端3侧的信息管理变得烦杂。并且,即使在用户终端3不具有IP地址的情况下,通过利用上述地址列表,也可以简单且安全地进行从用户终端对网关装置的远程访问。
这样,根据本发明的远程访问系统,用户可以使用各种用户终端来简单且安全地进行远程访问。
本发明不限于具体公开的实施例,在不脱离权利要求的范围的情况下,可进行多种变形和变更.
Claims (20)
1.一种连接支持装置,其特征在于,该连接支持装置具有:
控制单元,其对用户终端连接的网关装置进行控制,以许可来自认证成功的所述用户终端的连接;以及
通信单元,其向所述用户终端提供用于连接到所述网关装置的连接信息。
2.根据权利要求1所述的连接支持装置,其特征在于,在所述用户终端具有唯一的地址识别符的情况下,所述控制单元附加所述用户终端的终端个体识别符、所述地址识别符和应用识别符来进行针对所述网关装置的控制请求,
所述通信单元在从所述网关装置接收到应答时,向所述用户终端提供所述连接信息而许可对所述网关装置的连接。
3.根据权利要求1所述的连接支持装置,其特征在于,在所述用户终端具有唯一的地址识别符的情况下,所述控制单元附加随机数、所述用户终端的地址识别符和应用识别符来进行针对所述网关装置的控制请求,
所述通信单元在从所述网关装置接收到应答时,向所述用户终端提供附加了所述随机数的所述连接信息而许可对所述网关装置的连接。
4.根据权利要求1所述的连接支持装置,其特征在于,在所述用户终端不具有唯一的地址识别符的情况下,所述控制单元附加所述用户终端的终端个体识别符、所述用户终端经由的其他网关装置具有的地址识别符的地址列表和应用识别符来进行针对所述网关装置的控制请求,
所述通信单元在从所述网关装置接收到应答时,向所述用户终端提供所述连接信息而许可对所述网关装置的连接。
5.根据权利要求1所述的连接支持装置,其特征在于,在所述用户终端不具有唯一的地址识别符的情况下,所述控制单元附加随机数、所述用户终端经由的其他网关装置具有的地址识别符的地址列表和应用识别符来进行针对所述网关装置的控制请求,
所述通信单元在从所述网关装置接收到应答时,向所述用户终端提供附加了所述随机数的所述连接信息而许可对所述网关装置的连接。
6.根据权利要求1所述的连接支持装置,其特征在于,所述控制单元对所述用户终端连接的网关装置进行与所述用户终端的终端类别相应的控制。
7.根据权利要求3或4所述的连接支持装置,其特征在于,所述控制单元对所述用户终端连接的网关装置进行与所述用户终端的终端收容运营商类别相应的控制。
8.根据权利要求1所述的连接支持装置,其特征在于,在所述用户终端搭载有浏览器的情况下,所述通信单元向所述用户终端提供对所述网关装置的连接手段而许可对所述网关装置的连接。
9.根据权利要求1所述的连接支持装置,其特征在于,所述用户终端和所述网关装置经由加密的通信路径来进行消息的交换。
10.根据权利要求1所述的连接支持装置,其特征在于,该连接支持装置还具有会话管理单元,该会话管理单元利用操作所述用户终端的用户的用户识别符和所述网关装置的识别符,或者利用所述用户的用户识别符、所述网关装置的识别符和应用识别符,管理所述用户终端和所述网关装置之间的会话。
11.根据权利要求10所述的连接支持装置,其特征在于,在所述控制单元进行对所述网关装置的控制请求、并从所述网关装置接收到应答时,或者当所述用户终端与所述网关装置连接时,所述会话管理单元登记所述用户终端和所述网关装置之间的会话.
12.根据权利要求10或11所述的连接支持装置,其特征在于,当所述用户终端和所述网关装置结束通信时,或者当所述用户终端和所述网关装置的应用结束通信时,所述会话管理单元删除所述用户终端和所述网关装置之间的会话。
13.根据权利要求10或11所述的连接支持装置,其特征在于,所述会话管理单元在登记了所述用户终端和所述网关装置之间的会话之后,定期地向所述网关装置发送附加了所述用户识别符、网关装置的识别符和应用识别符的会话确认消息,确认与所述用户终端之间的会话状态。
14.根据权利要求1所述的连接支持装置,其特征在于,所述连接支持装置还具有连接目的地管理单元,当用于连接到所述网关装置的连接信息改变时,该连接目的地管理单元从所述网关装置接收所述网关装置的识别符和所述连接信息,管理所述连接信息。
15.一种网关装置,其特征在于,该网关装置具有:
设定单元,其从连接支持装置接收控制请求,根据该请求来进行用于许可对用户终端的连接的设定,以许可来自认证成功的所述用户终端的连接;以及
通信单元,其许可来自所述用户终端的连接。
16.根据权利要求15所述的网关装置,其特征在于,在所述用户终端具有唯一的地址识别符的情况下,所述设定单元根据来自所述连接支持装置的控制请求中包含的所述用户终端的终端个体识别符、所述地址识别符和应用识别符,来进行用于许可对所述用户终端的连接的设定,
所述通信单元许可来自这样的所述用户终端的连接,该用户终端发送附加有所述终端个体识别符、所述地址识别符和应用识别符的数据。
17.根据权利要求15所述的网关装置,其特征在于,在所述用户终端具有唯一的地址识别符的情况下,所述设定单元根据来自所述连接支持装置的控制请求中包含的随机数、所述用户终端的地址识别符和应用识别符,来进行用于许可对所述用户终端的连接的设定,
所述通信单元许可来自这样的所述用户终端的连接,该用户终端发送附加有所述随机数、所述地址识别符和应用识别符的数据。
18.根据权利要求15所述的网关装置,其特征在于,在所述用户终端不具有唯一的地址识别符的情况下,所述设定单元根据来自所述连接支持装置的控制请求中包含的所述用户终端的终端个体识别符、所述用户终端经由的其他网关装置具有的地址识别符的地址列表和应用识别符,来进行用于许可对所述用户终端的连接的设定,
所述通信单元许可来自这样的所述用户终端的连接,该用户终端发送附加有所述终端个体识别符、在所述地址列表中包含的地址识别符和应用识别符的数据。
19.根据权利要求15所述的网关装置,其特征在于,在所述用户终端不具有唯一的地址识别符的情况下,所述设定单元根据来自所述连接支持装置的控制请求中包含的随机数、所述用户终端经由的其他网关装置具有的地址识别符的地址列表和应用识别符,来进行用于许可对所述用户终端的连接的设定,
所述通信单元许可来自这样的所述用户终端的连接,该用户终端发送附加有所述随机数、在所述地址列表中包含的地址识别符和应用识别符的数据.
20.根据权利要求18或19所述的网关装置,其特征在于,在所述用户终端使用所述地址列表中的一个地址识别符来进行连接的情况下,所述设定单元不许可对所述一个地址以外的地址的连接。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2005/003060 WO2006090465A1 (ja) | 2005-02-24 | 2005-02-24 | 接続支援装置およびゲートウェイ装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101128805A CN101128805A (zh) | 2008-02-20 |
| CN101128805B true CN101128805B (zh) | 2010-05-12 |
Family
ID=36927116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580048712XA Expired - Fee Related CN101128805B (zh) | 2005-02-24 | 2005-02-24 | 连接支持装置及网关装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8537841B2 (zh) |
| JP (1) | JP4980882B2 (zh) |
| CN (1) | CN101128805B (zh) |
| WO (1) | WO2006090465A1 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8689317B2 (en) | 2005-12-19 | 2014-04-01 | Level 3 Communications, Llc | Providing SIP signaling data for third party surveillance |
| US20070233844A1 (en) | 2006-03-29 | 2007-10-04 | Murata Kikai Kabushiki Kaisha | Relay device and communication system |
| JP4222397B2 (ja) | 2006-09-12 | 2009-02-12 | 村田機械株式会社 | 中継サーバ |
| EP1912404B1 (en) | 2006-10-11 | 2011-06-01 | Murata Machinery, Ltd. | File transfer server |
| EP1926285B1 (en) | 2006-10-11 | 2011-07-13 | Murata Machinery, Ltd. | Relay server |
| JP4902857B2 (ja) * | 2006-12-18 | 2012-03-21 | 三菱電機株式会社 | 通信システム、通信端末、通信方法及び通信プログラム |
| EP2098037A4 (en) * | 2006-12-29 | 2010-07-14 | Ericsson Telefon Ab L M | ACCESS MANAGEMENT FOR DEVICES IN COMMUNICATION NETWORKS |
| US8606941B2 (en) | 2007-05-02 | 2013-12-10 | Murata Machinery, Ltd. | Relay server and relay communication system |
| EP1990975B1 (en) | 2007-05-09 | 2013-02-20 | Murata Machinery, Ltd. | Relay server and relay communication system |
| JP4591875B2 (ja) | 2007-12-25 | 2010-12-01 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| JP4645915B2 (ja) | 2007-12-27 | 2011-03-09 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| US20090319674A1 (en) * | 2008-06-24 | 2009-12-24 | Microsoft Corporation | Techniques to manage communications between relay servers |
| JP5054634B2 (ja) * | 2008-08-19 | 2012-10-24 | 京セラドキュメントソリューションズ株式会社 | 電子機器および制御プログラム |
| TWI455547B (zh) | 2008-09-01 | 2014-10-01 | Murata Machinery Ltd | Relay server and relay communication system |
| WO2010026727A1 (ja) | 2008-09-05 | 2010-03-11 | 村田機械株式会社 | 中継サーバ、中継通信システム、および通信装置 |
| US8289969B2 (en) * | 2009-01-26 | 2012-10-16 | Hewlett-Packard Development Company, L.P. | Network edge switch configuration based on connection profile |
| KR101257724B1 (ko) | 2009-03-13 | 2013-04-23 | 무라다기카이가부시끼가이샤 | 제 1 중계 서버 및 제 2 중계 서버 |
| JP4998526B2 (ja) * | 2009-09-04 | 2012-08-15 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| JP2011055453A (ja) * | 2009-09-04 | 2011-03-17 | Murata Machinery Ltd | 中継サーバ及び中継通信システム |
| JP5640426B2 (ja) * | 2010-03-29 | 2014-12-17 | カシオ計算機株式会社 | 情報システムおよびプログラム |
| KR101132163B1 (ko) * | 2010-10-14 | 2012-05-08 | 주식회사 마스터소프트 | 원격 전원 관리 시스템 및 방법 |
| WO2013076871A1 (ja) * | 2011-11-25 | 2013-05-30 | 株式会社日立製作所 | データ転送方法、データ転送プログラム、および、サービス管理サーバ |
| JP6073120B2 (ja) * | 2012-11-30 | 2017-02-01 | 株式会社日本デジタル研究所 | 接続認証システムおよび接続認証方法 |
| JP6180251B2 (ja) * | 2013-09-19 | 2017-08-16 | アイホン株式会社 | ナースコールシステム |
| CN104683319A (zh) * | 2013-12-03 | 2015-06-03 | 中国移动通信集团广东有限公司 | 一种清除防火墙会话的方法、装置及网络设备 |
| JP2016021621A (ja) * | 2014-07-14 | 2016-02-04 | 富士通株式会社 | 通信システム及び通信方法 |
| JP6492667B2 (ja) * | 2015-01-07 | 2019-04-03 | 東京電力ホールディングス株式会社 | 機器制御システム |
| JP6272274B2 (ja) * | 2015-06-23 | 2018-01-31 | Necプラットフォームズ株式会社 | ネットワーク装置、認証システムおよび認証方法 |
| CN106027634B (zh) * | 2016-05-16 | 2019-06-04 | 白杨 | 消息端口交换服务系统 |
| US11689414B2 (en) | 2017-11-10 | 2023-06-27 | International Business Machines Corporation | Accessing gateway management console |
| US10652107B2 (en) * | 2017-11-10 | 2020-05-12 | International Business Machines Corporation | Accessing gateway management console |
| US10700926B2 (en) * | 2017-11-10 | 2020-06-30 | International Business Machines Corporation | Accessing gateway management console |
| JP6833072B2 (ja) * | 2018-01-19 | 2021-02-24 | 三菱電機株式会社 | 中継装置、終了判定方法、及び終了判定プログラム |
| US11764948B1 (en) * | 2018-04-30 | 2023-09-19 | Amazon Technologies, Inc. | Cryptographic service interface |
| US11190493B2 (en) * | 2019-12-16 | 2021-11-30 | Vmware, Inc. | Concealing internal applications that are accessed over a network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001344205A (ja) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | サービス提供システムおよびサービス提供方法ならびに記録媒体 |
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| WO2005008954A1 (ja) * | 2003-06-19 | 2005-01-27 | Nippon Telegraph And Telephone Corporation | セッション制御サーバ及び通信システム |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3564262B2 (ja) * | 1997-06-24 | 2004-09-08 | 富士通株式会社 | 情報管理システム及び装置 |
| US7120692B2 (en) * | 1999-12-02 | 2006-10-10 | Senvid, Inc. | Access and control system for network-enabled devices |
| US7373507B2 (en) * | 2000-08-10 | 2008-05-13 | Plethora Technology, Inc. | System and method for establishing secure communication |
| JP2002073561A (ja) * | 2000-09-01 | 2002-03-12 | Toyota Motor Corp | 通信網を介してアクセスするユーザの認証方法及び認証システム、並びに、これらを利用した情報処理システム |
| JP2002108729A (ja) | 2000-09-29 | 2002-04-12 | Toshiba Corp | ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 |
| JP2002135867A (ja) | 2000-10-20 | 2002-05-10 | Canon Inc | 遠隔操作システム |
| US7305550B2 (en) * | 2000-12-29 | 2007-12-04 | Intel Corporation | System and method for providing authentication and verification services in an enhanced media gateway |
| JP2002288134A (ja) | 2001-03-23 | 2002-10-04 | Ntt Communications Kk | アクセス制御システム、方法及び記録媒体 |
| US7228438B2 (en) * | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
| US7231521B2 (en) * | 2001-07-05 | 2007-06-12 | Lucent Technologies Inc. | Scheme for authentication and dynamic key exchange |
| US7656877B1 (en) * | 2001-08-21 | 2010-02-02 | Cisco Technology, Inc. | Apparatus and methods for sniffing data in a cable head end |
| JP2003091503A (ja) | 2001-09-14 | 2003-03-28 | Toshiba Corp | ポートアクセスを利用した認証方法及び同方法を適用するサーバ機器 |
| US6971017B2 (en) * | 2002-04-16 | 2005-11-29 | Xerox Corporation | Ad hoc secure access to documents and services |
| US6804777B2 (en) * | 2002-05-15 | 2004-10-12 | Threatguard, Inc. | System and method for application-level virtual private network |
| JP2004078280A (ja) | 2002-08-09 | 2004-03-11 | Fujitsu Ltd | リモートアクセス仲介システム及び方法 |
| US7454785B2 (en) * | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| JP3852017B2 (ja) * | 2003-02-05 | 2006-11-29 | 日本電信電話株式会社 | ファイアウォール装置 |
| JP2004266562A (ja) | 2003-02-28 | 2004-09-24 | Nippon Telegraph & Telephone West Corp | リモート端末用利用者管理ノード、リモート制御方法およびシステム |
| US7103772B2 (en) * | 2003-05-02 | 2006-09-05 | Giritech A/S | Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers |
| US8019989B2 (en) * | 2003-06-06 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Public-key infrastructure in network management |
| JP4042641B2 (ja) | 2003-07-07 | 2008-02-06 | 株式会社日立製作所 | ネットワーク対応機器へのアクセス方法およびそのシステム |
| US7509487B2 (en) * | 2003-09-29 | 2009-03-24 | Gemalto Inc. | Secure networking using a resource-constrained device |
| US20050240758A1 (en) * | 2004-03-31 | 2005-10-27 | Lord Christopher J | Controlling devices on an internal network from an external network |
| US8296825B2 (en) * | 2004-05-31 | 2012-10-23 | Telecom Italia S.P.A. | Method and system for a secure connection in communication networks |
| JP3870955B2 (ja) * | 2004-06-21 | 2007-01-24 | 株式会社日立製作所 | 階層型中継処理を行うセッション制御装置 |
| KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
| JP4139382B2 (ja) * | 2004-12-28 | 2008-08-27 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 製品/サービスに係る所有権限を認証する装置、製品/サービスに係る所有権限を認証する方法、及び製品/サービスに係る所有権限を認証するプログラム |
| JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
-
2005
- 2005-02-24 CN CN200580048712XA patent/CN101128805B/zh not_active Expired - Fee Related
- 2005-02-24 JP JP2007504599A patent/JP4980882B2/ja not_active Expired - Fee Related
- 2005-02-24 WO PCT/JP2005/003060 patent/WO2006090465A1/ja not_active Application Discontinuation
-
2007
- 2007-08-09 US US11/836,245 patent/US8537841B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001344205A (ja) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | サービス提供システムおよびサービス提供方法ならびに記録媒体 |
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| WO2005008954A1 (ja) * | 2003-06-19 | 2005-01-27 | Nippon Telegraph And Telephone Corporation | セッション制御サーバ及び通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101128805A (zh) | 2008-02-20 |
| JPWO2006090465A1 (ja) | 2008-07-24 |
| US8537841B2 (en) | 2013-09-17 |
| JP4980882B2 (ja) | 2012-07-18 |
| US20070274329A1 (en) | 2007-11-29 |
| WO2006090465A1 (ja) | 2006-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101128805B (zh) | 连接支持装置及网关装置 | |
| EP1658700B1 (en) | Personal remote firewall | |
| KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
| CN101322108B (zh) | 代理终端、服务器装置、代理终端的通信路径设定方法以及服务器装置的通信路径设定方法 | |
| CN100456739C (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
| JP4648148B2 (ja) | 接続支援装置 | |
| CN1615632B (zh) | 用于支持对有线和无线客户端的服务器端认证的方法、装置和系统 | |
| US20050277434A1 (en) | Access controller | |
| WO2014065634A1 (en) | Method and apparatus for accelerating web service with proxy server | |
| CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| CN100463452C (zh) | 一种vpn数据转发方法及用于数据转发的vpn设备 | |
| CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| AU2008203138A1 (en) | Method and device for anonymous encrypted mobile data and speech communication | |
| CA2394493A1 (en) | Secure gateway having user identification and password authentication | |
| CA2527550A1 (en) | Method for securely associating data with https sessions | |
| US20030050918A1 (en) | Provision of secure access for telecommunications system | |
| JP2005286783A (ja) | 無線lan接続方法および無線lanクライアントソフトウェア | |
| CN101090400A (zh) | 移动用户信息的安全传递方法及系统 | |
| Cisco | Kerberized Telnet | |
| Cisco | Encrypted Kerberized Telnet | |
| Cisco | Encrypted Kerberized Telnet | |
| Cisco | Encrypted Kerberized Telnet | |
| Cisco | Encrypted Kerberized Telnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20180224 |