CN103634289A - 通信屏蔽装置及通信屏蔽方法 - Google Patents
通信屏蔽装置及通信屏蔽方法 Download PDFInfo
- Publication number
- CN103634289A CN103634289A CN201310368170.0A CN201310368170A CN103634289A CN 103634289 A CN103634289 A CN 103634289A CN 201310368170 A CN201310368170 A CN 201310368170A CN 103634289 A CN103634289 A CN 103634289A
- Authority
- CN
- China
- Prior art keywords
- communication
- information
- unit
- message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供对于来自与网络连接的信息处理装置的通信,即使是通过代理服务器的通信,也可进行恰当的许可及屏蔽的通信屏蔽装置和通信屏蔽方法。其具有:对于屏蔽与网络连接的对象装置(2)的通信的传感器装置(1),将对象装置(2)发送的信息引导至传感器装置(1)的引导单元(21);从引导单元(21)引导的信息构成的传输层上层的规定协议消息中,获取识别信息的被通知方的识别信息的识别信息获取单元(23);至少根据识别信息获取单元(23)获取的识别信息,决定是否许可信息通信的许可决定单元(24);许可决定单元(24)决定许可时,不论通信屏蔽单元(22)的通信屏蔽,通过传输信息,许可对象装置(2)进行通信的通信许可单元(25)。
Description
技术领域
本发明涉及屏蔽与网络连接的信息处理装置的通信的通信屏蔽装置。
背景技术
以往的网络通信系统中,有提案提出一种通信控制装置,通过网络接收从客户端接收到的对于其他机器的访问请求,提取目标IP地址,将该IP地址作为自己的地址注册在临时注册IP地址表中,将接收到的数据帧的复制件重发至网络(参照专利文献1)。此外,有提案提出一种网络访问控制方法,接收到访问请求装置的请求后,代理请求装置向认证处理装置以自己的认证数据发出请求,认证处理装置接收该请求后,根据认证处理结果,将访问控制数据发布给访问控制装置(参照专利文献2)。
现有技术文献
专利文献
【专利文献1】日本专利特开2007-336401号公报
【专利文献2】国际公开第2007/138663号
发明内容
例如,企业内网中,出于通过通信量的平均化减轻网络负荷和提升安全性的目的,多会设置代理服务器。这一连接在网络上的信息处理装置,必须通过代理服务器与互联网上的Web服务器等进行通信。
此外例如,企业内网中,为了防止网络的不正当使用造成信息泄露和恶意软件等的感染,与网络连接的信息处理装置进行的通信中,仅许可目的在于下载安全补丁和安全软件的定义文件、网络的使用申请等的必要通信,屏蔽除此以外的通信。以往,进行此种通信许可及屏蔽的装置和系统中,采用的是根据在网络中流转的IP数据包的目标IP地址和目标端口号,屏蔽与被许可的服务器以外的通信的方式等。
但是,该方式中,对于通过了代理服务器的通信,存在无法进行恰当的许可及屏蔽的问题。这是因为,发送给代理服务器的IP数据包的目标IP地址及目标端口号,是代理服务器的IP地址及端口号,无法判断是否构成与IP数据包得到许可的服务器的通信。
本发明鉴于上述问题,课题是提供对于来自与网络连接的信息处理装置的通信,即使是通过了代理服务器的通信,也可进行恰当的许可及屏蔽的装置。
解决问题的手段
本发明中,为了解决上述课题,采用了以下的单元。即,本发明是一种通信屏蔽装置,屏蔽与网络连接的信息处理装置的通信,所述通信屏蔽装置的特征在于,包括:通过将所述通信屏蔽装置的物理地址作为其他装置的物理地址通知给所述信息处理装置,将所述信息处理装置发送的信息引导至所述通信屏蔽装置的引导单元;满足规定条件时,通过不传输由所述引导单元引导的信息,屏蔽所述信息处理装置的通信的通信屏蔽单元;从所述引导单元引导的信息构成的、比传输层上层的规定的协议的消息中,获取识别所述消息的被通知方的识别信息的识别信息获取单元;至少根据所述识别信息获取单元获取的所述识别信息,决定是否许可所述消息的通信的许可决定单元;和满足所述规定条件的情况下,当所述许可决定单元决定许可时,不考虑所述通信屏蔽单元的通信屏蔽,通过传输所述消息,许可所述信息处理装置进行通信的通信许可单元。
此外,本发明涉及的通信屏蔽装置,还可具备有引导信息传输单元,其在不满足所述规定条件时,将所述引导单元引导的信息传输至所述其他装置。
此外,本发明中,所述通信许可单元向所述其他装置传输所述消息。
此外,本发明涉及的通信屏蔽装置,还包括设定单元,其设定所述消息的通信被许可的被通知方或所述消息的通信不被许可的被通知方的所述识别信息的全部或一部分,所述许可决定单元根据所述识别信息获取单元获取的所述识别信息是否包含所述设定单元设定的所述识别信息的全部或一部分,来决定是否许可所述消息的通信。
此外,本发明涉及的通信屏蔽装置,还包括,逻辑地址回复单元,其在所述引导单元引导的信息构成与所述识别信息对应的逻辑地址的询问时,将不是所述识别信息所识别的被通知方的逻辑地址的规定逻辑地址回复给所述询问。
此外,本发明中,所述逻辑地址回复单元的所述回复中,附加有所述规定逻辑地址的有效期,所述规定逻辑地址的有效期,与将所述识别信息所识别的被通知方的逻辑地址回复给所述询问的服务器向该回复附加的该逻辑地址的有效期是不同的有效期。
此外,本发明中,所述规定逻辑地址的有效期,短于将所述识别信息识别的被通知方逻辑地址回复给所述询问的服务器向该回复附加的该逻辑地址的有效期。
此外,本发明涉及的通信屏蔽装置,还包括,代理服务器通信单元,其与代理所述规定协议的通信的代理服务器进行通信,所述通信许可单元,在所述引导单元引导的信息将所述规定逻辑地址作为目标逻辑地址的情况下,当所述消息中包含以所述识别信息为基准的相对信息时,将所述消息内的所述相对信息变更为不以所述识别信息为基准的绝对信息,通过使用所述代理服务器通信单元将变更后的消息传输给所述代理服务器,许可所述信息处理装置的通信。
此外,本发明也可是一种通信屏蔽方法,其屏蔽与网络连接的信息处理装置的通信,通过计算机执行如下步骤:通过将所述计算机的物理地址作为其他装置的物理地址通知给所述信息处理装置,将所述信息处理装置发送的信息引导至所述计算机的引导步骤,满足规定条件时,通过不传输经过所述引导步骤引导的信息,屏蔽所述信息处理装置的通信的通信屏蔽步骤,从所述引导步骤引导的信息构成的、比传输层上层的规定的协议的消息中,获取识别所述消息的被通知方的识别信息的识别信息获取步骤,至少根据所述识别信息获取步骤获取的所述识别信息,决定是否许可所述消息的通信的许可决定步骤,满足所述规定条件的情况下,当所述许可决定步骤中决定许可时,不考虑所述通信屏蔽步骤中的通信屏蔽,通过传输所述消息,许可所述信息处理装置进行通信的通信许可步骤。
此外,本发明可以是一种程序,使计算机发挥以下功能:通过将所述通信屏蔽装置的物理地址作为其他装置的物理地址通知给与网络连接的信息处理装置,将所述信息处理装置发送的信息引导至所述计算机的引导单元;满足规定条件时,通过不传输经过所述引导步骤引导的消息,屏蔽所述信息处理装置的通信的通信屏蔽单元;从所述引导单元引导的信息构成的传输层上层的规定协议消息中,获取识别所述消息的被通知方的识别信息的识别信息获取单元;至少根据所述识别信息获取单元获取的所述识别信息,决定是否许可所述信息通信的许可决定单元;满足所述规定条件的情况下,当所述许可决定单元决定许可时,不论所述通信屏蔽单元的通信屏蔽,通过传输所述信息,许可所述信息处理装置进行通信的通信许可单元。
此外,本发明也可以是将此种程序记录在计算机以外的其他装置、机械等可读取的存储介质。在这里,计算机等可读取的存储介质指的是,将数据和程序等信息通过电性、磁性、光学、机械或化学作用而存储、可以从计算机等读取的存储介质。
根据本发明,对于来自与网络连接的信息处理装置的通信,即使是通过了代理服务器的通信,也可进行恰当的许可及屏蔽。
附图说明
图1是显示含有本实施方式涉及的传感器装置的通信系统的构成的概略图。
图2是显示本实施方式涉及的传感器装置的功能构成的概略图。
图3是显示含有实施方式1涉及的传感器装置的通信系统的通信的实例的时序图。
图4是显示实施方式1涉及的传感器装置中来自对象装置的接收数据处理流程的流程图。
图5是显示实施方式1涉及的传感器装置中来自请求消息被传输放的接收数据处理流程的流程图。
图6是显示含有实施方式2涉及的传感器装置的通信系统的通信的实例的时序图。
图7是显示实施方式2涉及的传感器装置中来自对象装置的接收数据处理流程的流程图。
图8是显示实施方式2涉及的传感器装置中来自代理服务器的接收数据处理流程的流程图。
图9是面向Web服务器的HTTP请求消息的请求头的实例(一部分)。
图10是面向代理服务器的HTTP请求消息的请求头的实例(一部分)。
符号说明
1 传感器装置(通信屏蔽装置)
2 对象装置(信息处理装置)
3 网络段
4 路由器
5 代理服务器
6 互联网
7 Web服务器
8 DNS服务器
21 引导单元
22 通信屏蔽单元
23 识别信息获取单元
24 许可决定单元
25 通信许可单元
26 引导信息传输单元
27 设定单元
28 逻辑地址回复单元
29 代理服务器通信单元
具体实施方式
以下根据附图说明本发明的实施方式。本实施方式中,本发明涉及的通信屏蔽装置,作为传感器装置实施,屏蔽作为与网络连接的信息处理装置的对象装置的通信。此外,传感器装置,作为OSI基本参照模型中的传输层的上层规定协议,许可HTTP(Hyper TextTransfer Protocol:超文本传输协议)的信息的通信。另外,以下说明的实施方式,是显示本发明的一个实施例,本发明并不限定于以下说明的具体构成。实施本发明时,优选适当采用与实施方式相应的具体构成。
〈构成〉
图1是显示包含本实施方式涉及的传感器装置的通信系统的构成概略图。本实施方式涉及的通信系统,具备有:传感器装置1、具有Web浏览器等的信息处理装置即对象装置2、构成IP网络的网络段3、路由器4、可代理HTTP通信的代理服务器5、互联网6、Web服务器7及管理与Web服务器7的主机名对应的IP地址并进行名字解析的DNS服务器8。传感器装置1、对象装置2、路由器4及代理服务器5与网络段3连接。网络段3通过路由器4与互联网6连接。Web服务器7及DNS服务器8与互联网6连接。另外,本通信系统,作为互联网6的替代,也可由企业内部网、WAN(Wide Area Network:广域网)等构成。
由于路由器4许可从代理服务器5向互联网6的通信,因此代理服务器5可与Web服务器7及DNS服务器8通信。另一方面,由于路由器4不许可从对象装置2向互联网6的通信,因此对象装置2不通过代理服务器5的话,无法与Web服务器7进行HTTP消息的通信。此外,对象装置2无法与DNS服务器8通信。
传感器装置1是具有CPU11、RAM12、ROM13、NIC(Network Interface Card:网络接口卡)14、HDD(Hard Disk Drive:硬盘驱动器)等辅助存储器15的计算机。CPU11是中央处理器,通过处理RAM12等展开的命令及数据,控制RAM12、NIC14、辅助存储器15等。RAM12是主存储器,由CPU11控制,写入、读出各种命令和数据。辅助存储器15是非挥发性的辅助存储器,写入、读出RAM12上加载的OS(Operating System:操作系统)和通信控制程序等各种程序等的主要在计算机关机时也想要保持的信息。
此外,辅助存储器15存储的是,显示特别许可数据包传输的传输目的方的IP地址和端口号的组的列表即传输IP地址/端口列表、显示许可从对象装置2进行HTTP通信的Web服务器7的许可服务器列表、及IP地址、端口号、认证信息等的对于代理服务器5的访问信息。
对象装置2与传感器装置1相同,是具备有CPU、RAM、ROM、NIC、HDD等辅助存储器15等的计算机。对象装置2上装载有Web浏览器等的程序,可通过NIC进行HTTP消息的通信。
图2是显示本实施方式涉及的传感器装置1的功能构成概略的图。传感器装置1,通过记录在辅助存储器15中的程序被RAM12读出、通过CPU11被执行,从而作为具备有引导单元21、通信屏蔽单元22、识别信息获取单元23、许可决定单元24、通信许可单元25、引导信息传输单元26、设定单元27、逻辑地址回复单元28及代理服务器通信单元29的计算机发挥功能。另外,本实施方式中,计算机具备的各功能通过通用处理器之CPU11而被执行,但这些功能的一部分或全部也可通过1个或多个专用处理器执行。
本实施方式中,引导单元21从NIC14获取在网络段3流转的MAC数据帧(数据),以及其目标MAC地址不是传感器装置1的MAC地址的帧,根据发送方MAC地址,判定是否为通信屏蔽对象的对象装置2。在获取的数据是对象装置2发送的数据的情况下,当该数据构成ARP请求数据包时,引导单元21对于发送方的对象装置2,通过ARP应答数据包返回传感器装置1的物理地址即MAC地址。
在这里,作为ARP应答返回给ARP请求发送方的MAC地址,是伪装成传感器装置1的MAC地址的默认网关和网络段3内其他装置的MAC地址。因此,根据引导单元21,接收了ARP应答的对象装置2,将想要发送IP数据包的网络段3内其他装置的IP地址与作为该其他装置MAC地址的传感器装置1的MAC地址关联起来,注册到ARP表中。因此,引导单元21可以将对象装置2发送的IP数据包引导给传感器装置1。
通信屏蔽单元22从NIC14获取被引导单元21引导的IP数据包。通信屏蔽单元22,除了获取的IP数据包中的目标IP地址及目标端口号包含在辅助存储器15存储的传输IP地址/端口列表中的情况,原则上不进行该IP数据包的传输。因此,原则上,被引导的IP数据包不会传输给其他装置,对象装置2向其他装置的通信被屏蔽。
本实施方式中,通信屏蔽单元22屏蔽通信的规定条件,是目标IP地址未包含在传输IP地址/端口列表中。另外,屏蔽通信的规定条件,可以是与传感器装置1引导的数据包内的目标端口号无关的条件,也可以是与发送方MAC地址、IP数据包的发送方IP地址等其他要素相关的条件。
引导信息传输单元26从NIC14获取被引导单元21引导的IP数据包。当获取的IP数据包中的目标IP地址及目标端口号包含在辅助存储器15存储的传输IP地址/端口列表中时,即,不满足通信屏蔽单元22屏蔽通信的规定条件时,引导信息传输单元26向目标IP地址对应的具有未伪装的MAC地址的其他装置传输IP数据包。因此,对象装置2的通信不会被屏蔽,可进行部分通信。
识别信息获取单元23解析被引导单元21引导的IP数据包,当IP数据包含有HTTP的请求消息的情况下,从请求头内的Host获取作为识别请求消息的被通知方的识别信息的主机名。另外,主机名也可根据请求消息请求行的URI(Uniform esource dendtifier)而获取。
设定单元27通过通信许可单元25,不考虑通信屏蔽单元22的通信屏蔽,设定许可来自对象装置2的HTTP通信的Web服务器7。设定通过域名列表记述,作为许可服务器列表存储在辅助存储器15中。作为列表要素的域名也可记述为FQDN(Fully Qualified DomainName:完全合格域名)的域名及非FQDN域名的任意形式。例如,作为FQDN可记述为″www.pfu.co.jp″,作为非FQDN的域名可记述为″pfu.co.jp″。FQDN是将主机名全部记述,非FQDN的域名记述主机名的一部分。记述非FQDN的域名,表示设定为许可向属于该域名所示域的所有主机(Web服务器7)的HTTP通信。例如,记述″pfu.co.jp″表示设定为许可向″www.pfu.co.jp″、″web.pfu.co.jp″等多个Web服务器7的HTTP通信。
大规模的通信系统和主干系统等中,大多具备有用于冗余化和处理能力提升的多个服务器。根据设定单元27,即使有多个被许可的Web服务器7时,也可以通过域名统一记述设定许可通信的Web服务器7,因此,较之于分别记述每一台Web服务器7的情况,可以减轻系统管理员的操作负担。此外,即使在通信系统的网络构成变更、IP地址变更的情况下,根据设定单元27,由于通过域名记述设定,因此无需变更设定,可以减轻系统管理员的操作负担。另外,对于许可来自对象装置2的HTTP通信的Web服务器7的设定,也可记述、存储不被许可的服务器的列表。此外,许可服务器列表的要素也可使用正则表达式和通配符记述。
许可决定单元24,将识别信息获取单元23获取的主机名与许可服务器列表的各要素作为文字列进行比较。主机名包含许可服务器列表内的要素(主机名全部或表示部分主机名的非FQDN的域名的文字列)时(也包括与主机名的某要素一致的情况),许可决定单元24决定许可来自对象装置2的HTTP通信。许可服务器列表内的全部要素不含主机名的情况下,许可决定单元24决定不许可来自对象装置2的HTTP通信。另外,许可决定单元24也可在识别信息获取单元23获取的主机名之外,根据例如,请求消息中的方法名、显示资源的URI等是否满足规定条件而决定是否许可。
通信许可单元25,当许可决定单元24决定许可HTTP通信时,通过传输通信屏蔽单元22不传输的数据包构成的HTTP请求消息,许可对象装置2进行HTTP通信。通信许可单元25在传输请求消息时,确立传感器装置1与传输目的方之间的TCP(TransmissionControl Protocol:传输控制协议)连接。
通过代理服务器5的HTTP通信,即使提供实质资源(Web内容)的Web服务器7不同,由于使用的是代理服务器5的目标IP地址和目标端口号,因此在传输层以下的协议消息解析中,无法区分通信目标的Web服务器7。根据本实施方式的识别信息获取单元23、许可决定单元24及通信许可单元25,基于来自对象装置2的HTTP消息所含的通信目标主机名而许可通信,因此即使是通过了代理服务器5的通信,也可许可对部分Web服务器7的通信、屏蔽对其他Web服务器7的通信。
逻辑地址回复单元28,在被引导单元21引导的IP数据包构成主机名对应的逻辑地址的询问即DNS询问的情况下,当被询问的名字显示的是来自设定单元27所设定的被许可的对象装置2的HTTP通信的Web服务器7时,对于DNS询问,回复作为规定逻辑地址的传感器装置1的IP地址,而不是Web服务器7的IP地址。因此,即使在无法与DNS服务器进行通信的环境下,对象装置2也可进行Web服务器7的名字解析。特别是,未设定向代理服务器5通信的对象装置2,为了通信而想要进行Web服务器7的名字解析,可通过逻辑地址回复单元28,防止该名字解析失败。另外,逻辑地址回复单元28回复的规定逻辑地址也可以是传感器装置1的IP地址以外的IP地址。
逻辑地址回复单元28在回复DNS询问时,将小于DNS服务器8进行Web服务器7主机名名字解析时设定的TTL(Time To Live)值的值(例如,60秒)设定为回复消息的TTL值。接收了回复消息的对象装置2,将该TTL值作为与Web服务器7的主机名对应的逻辑地址即传感器装置1的IP地址的有效期。因此,在传感器装置1与未设置的别的网络连接、未受到传感器装置1的通信屏蔽作用的情况下,对象装置2可以从DNS服务器8立即获取正规的DNS信息。另外,逻辑地址回复单元28设定的TTL值,也可以是DNS服务器8进行Web服务器7主机名名字解析时设定的TTL值以上的值。
代理服务器通信单元29,使用辅助存储器15存储的向代理服务器5的访问信息,通过NIC14与代理服务器5通信。
《实施方式1》
对于实施方式1中的通信及处理,使用附图进行说明。
〈通信系统的通信流程〉
对于包含实施方式1涉及的传感器装置1的通信系统中的通信流程进行说明。实施方式1的通信系统中,来自对象装置2的通过了代理服务器5的通信中,许可对部分Web服务器7的通信、屏蔽对其他服务器的通信。
图3是显示包含实施方式1涉及的传感器装置1的通信系统的通信的实例的时序图。实施方式1中,对象装置2中设定有代理服务器5的访问信息。此外,传感器装置1中,Web服务器7的主机名被设定在许可服务器列表中。图3中,对象装置2与Web服务器7的HTTP通信,在传感器装置1中被许可,通过传感器装置1和代理服务器5实现。
与网络段3连接的对象装置2,为了与代理服务器5进行通信,广播发送对于代理服务器5的ARP请求(步骤S301)。接收了该ARP请求的传感器装置1的引导单元21,将传感器装置1的MAC地址作为ARP应答数据包返回给发送方的对象装置2(步骤S302)。接收了ARP应答数据包的对象装置2,将传感器装置1的MAC地址作为与代理服务器5的IP地址对应的MAC地址,注册在ARP表中。
对象装置2,将用于与Web服务器7通信的HTTP请求消息发送给代理服务器5(步骤S303)。此时的发送数据包,目标MAC地址是传感器装置1的MAC地址,目标IP地址是发送给代理服务器5的,请求头的Host是Web服务器7的主机名。接收了请求消息的传感器装置1的引导信息传输单元26,由于代理服务器5的IP地址没有包含在传输IP地址/端口列表中,因此不传输构成请求消息的IP数据包。
接着,传感器装置1的识别信息获取单元23从请求消息获取主机名,许可决定单元24根据该主机名而许可HTTP通信。传感器装置1的通信许可单元25,将接收自对象装置2的请求消息传输给代理服务器5(步骤S304)。另外,当Web服务器7的主机名未被设定在许可服务器列表中时,识别信息获取单元23不许可HTTP通信,因此HTTP通信被屏蔽。
步骤S305~S307中,代理服务器5与Web服务器7进行代理通信。接收了请求消息的代理服务器5,向Web服务器7代理发送请求消息(步骤S305)。接收了来自代理服务器5的请求消息的Web服务器7,会生成响应消息,发送给代理服务器5(步骤S306)。从Web服务器7接收了响应消息的代理服务器5,代理发送响应消息(步骤S307)。
接收了响应消息的传感器装置1,将响应消息传输给请求消息发送方的对象装置2(步骤S308)。
〈传感器装置的处理流程〉
以上的通信的实例,通过传感器装置1的接收数据的处理而实现。使用图4及图5的流程图,说明实施方式1涉及的传感器装置1的接收数据的处理流程。另外,流程图所示处理的具体内容及顺序是一个实例,处理内容及顺序优选适当采用与实施方式相适应的。
图4是显示实施方式1涉及的传感器装置1中来自对象装置2的接收数据处理流程的流程图。来自对象装置2的接收数据处理,是以传感器装置1接收了对象装置2发送的数据为契机开始的。
步骤S401及S402中,进行来自对象装置2的ARP请求的处理。首先,引导单元21判定来自对象装置2的接收数据是否为ARP请求(步骤S401)。步骤S401中,来自对象装置2的接收数据被判定为是ARP请求时,引导单元21将传感器装置1的MAC地址作为ARP应答数据包返回给发送方对象装置2(步骤S402)。步骤S401中,来自对象装置2的接收数据被判定为不是ARP请求时,进入步骤S403的处理。
步骤S403及S404中,对于来自对象装置2的接收数据的传输进行处理。首先,通信屏蔽单元22及引导信息传输单元26,判定来自对象装置2的接收数据是否发往被传输的IP地址、端口,即,判定接收数据内的目标IP地址及目标端口号是否包含在传输IP地址/端口列表中(步骤S403)。步骤S403中,来自对象装置2的接收数据被判定为发往被传输的IP地址、端口时,引导信息传输单元26向目标IP地址对应的具有未伪装的MAC地址的其他装置传输接收数据(步骤S404)。步骤S403中,来自对象装置2的接收数据被判定为不是发往被传输的IP地址、端口时,进入步骤S405的处理。
步骤S405~S407中,对HTTP请求消息的传输进行处理。首先,识别信息获取单元23解析接收数据,判定是否构成HTTP请求消息(步骤S405)。步骤S405中,当判定为构成HTTP请求消息时,识别信息获取单元23从接收数据获取请求消息的通信目标的主机名,另外,许可决定单元24根据识别信息获取单元23获取的主机名,判定请求消息是否发往许可通信的Web服务器7(步骤S406)。步骤S406中,判定为请求消息发往许可通信的Web服务器7时,许可决定单元24决定许可来自对象装置2的HTTP通信,通信许可单元25将请求消息传输给接收数据中的目标IP地址及端口号所示的装置(步骤S407)。
步骤S405中判定为没有构成HTTP请求消息或步骤S406中判断为请求消息不是发往许可通信的Web服务器7时,接收数据被销毁,不传输HTTP请求消息(步骤S408)。另外,接收数据构成HTTP请求消息时,步骤S408中,传感器装置1也可将用于向规定URL重定向的响应消息发送给对象装置2。通过该发送,传感器装置1可以向HTTP通信被屏蔽的对象装置2提供用于进行通信系统使用申请的网页等的规定信息。此外,接收数据构成HTTP请求消息时,步骤S408中,传感器装置1也可切断与请求消息关联的连接。
图5是显示实施方式1涉及的传感器装置1中来自请求消息传输目的方的接收数据处理流程的流程图。来自请求消息传输目的方的接收数据处理,是以传感器装置1从图4步骤S407中的通信许可单元25在传输请求消息时确立的TCP连接接收到数据为契机开始的。
步骤S501~S503中,对接收到的HTTP响应消息的传输进行处理。首先,传感器装置1判定接收数据是否是响应消息(步骤S501)。步骤S501中,接收数据被判定为是响应消息时,传感器装置1向请求消息的传输方之对象装置2传输响应消息(步骤S502)。步骤S501中判定为接收数据不是响应消息时,传感器装置1将接收数据销毁(步骤S503)。
根据实施方式1涉及的传感器装置1,来自与网络段3连接的对象装置2的HTTP通信中,即使是通过了代理服务器5的HTTP通信,也可根据其通信目标,许可对部分Web服务器7的通信、屏蔽对其他Web服务器7的通信。此外,根据实施方式1涉及的传感器装置1,决定是否许可HTTP消息的通信与是否是发往代理服务器5的通信无关,因此即使是对于不通过代理服务器5的HTTP通信,也可根据主机名的设定而进行许可及屏蔽。此外,对于已经设置有代理服务器5、对象装置2设定有代理服务器5的通信系统,无需变更网络构成和IP地址等的设定,仅设置传感器装置1即可进行包含通过代理服务器5的HTTP通信在内的来自对象装置2的HTTP通信的许可及屏蔽。
另外,实施方式1涉及的传感器装置1进行HTTP通信的许可及屏蔽,但也可进行例如SMTP(Simple Mail Transfer Protocol:简易邮件传输协议)等的通信的许可及屏蔽。
《实施方式2》
对于实施方式2中的通信及处理,使用附图进行说明。
〈通信系统的通信流程〉
对于包含实施方式2涉及的传感器装置1的通信系统中的通信流程进行说明。实施方式2的通信系统中,未设定代理服务器5的访问信息的对象装置2可以与被许可通信的Web服务器7进行HTTP通信。
图6是显示含有实施方式2涉及的传感器装置1的通信系统的通信的实例的时序图。图6中,未设定代理服务器5的访问信息的对象装置2与Web服务器7的HTTP通信,在传感器装置1中被许可,通过传感器装置1和代理服务器5而实现。另外,本通信的实例中,通过传感器装置1的设定单元27,Web服务器7的主机名事先被设定在许可服务器列表中。
步骤S601及S602中,与实施方式1相同,发送ARP请求及ARP应答,传感器装置1的MAC地址被注册在对象装置2的ARP表中。
对象装置2为了进行Web服务器7主机名的名字解析而发送DNS询问(步骤S603)。此时的发送数据包,由于目标MAC地址是传感器装置的MAC地址,因此传感器装置1接收DNS询问。
接收了DNS询问的传感器装置1的逻辑地址回复单元28,将传感器装置1的IP地址回复给对象装置2(步骤S604)。
对象装置2将用于与Web服务器7通信的HTTP请求消息发送给传感器装置1(步骤S605)。此时的目标IP地址是对于DNS询问而回复的传感器装置1的IP地址。
接收到请求消息的传感器装置1的识别信息获取单元23,从请求消息获取主机名,许可决定单元24根据主机名许可HTTP通信。传感器装置1的通信许可单元25,将接收自对象装置2的请求消息变更为面向代理服务器5的请求消息,传输给代理服务器5(步骤S606)。
步骤S607~S609中,与实施方式1相同,代理服务器5与Web服务器7进行代理通信。
与实施方式1相同,传感器装置1将响应消息传输给请求消息的发送方的对象装置2(步骤S610)。
〈传感器装置的处理流程〉
以上的通信的实例通过传感器装置1的接收数据的处理而实现。使用图7及图8的流程图,说明实施方式2涉及的传感器装置1的接收数据的处理流程。另外,流程图所示的处理的具体内容及顺序是一个实例,处理内容及顺序优选适当采用与实施方式相适应的。
图7是显示实施方式2涉及的传感器装置1中的来自对象装置2的接收数据处理流程的流程图。来自对象装置2的接收数据处理,是以传感器装置1接收到了对象装置2发送的数据为契机开始的。
步骤S701及S702中,与实施方式1的图4的步骤401及402相同,进行来自对象装置2的ARP请求的处理。
步骤S703~S705中,对象装置2进行对于DNS询问的处理。首先,逻辑地址回复单元28判定接收数据是否构成DNS询问(步骤S703)。步骤S703中,判断为接收数据构成DNS询问时,逻辑地址回复单元28判定被询问的名字是否显示HTTP通信被许可的Web服务器7(步骤S704)。步骤S704中,判定为被询问的名字显示HTTP通信被许可的Web服务器7时,逻辑地址回复单元28回复传感器装置1的IP地址(步骤S705)。步骤S703中,判定为接收数据不构成DNS询问时,进入步骤S706的处理。步骤S704中,判定为被询问的名字不显示HTTP通信被许可的Web服务器7时,进入步骤S707的处理。
步骤S706及S707中,与实施方式1的图4的步骤S403及S404相同,对于来自对象装置2的接收数据的传输进行处理。
步骤S708~S710中,与实施方式1的图4的步骤S405、S406及S408相同,接收数据被销毁。
步骤S711~S714中,请求消息被传输。首先,通信许可单元25判定接收数据的目标IP地址是否是传感器装置1的IP地址并且请求消息是否是面向代理服务器5的消息(步骤S711)。当请求消息中含有以主机名为基准的相对信息时,判定为不是面向代理服务器5的消息。此外,请求消息中不含以主机名为基准的相对信息时,判定为是面向代理服务器5的消息。
实施方式2中,请求消息中是否包含以主机名为基准的相对信息,是根据请求行的URI是否是相对形式的URI。图9是面向Web服务器7的HTTP请求消息的请求头的实例(一部分)。图10是面向代理服务器5的HTTP请求消息的请求头的实例(一部分)。图9及图10均是用于获取″http://www.pfu.co.jp″所示资源的请求头。图9的URI是″/″,是以主机名″www.pfu.co.jp″为基准的相对形式的URI。图10的URI是″http://www.pfu.co.jp″,是绝对形式的URI。
步骤S711中,判定为接收数据的目标IP地址是传感器装置1的IP地址并且请求消息不是面向代理服务器5的消息时,通信许可单元25通过将请求行的URI换写为上述的绝对形式,将请求消息变更为面向代理服务器5(步骤S712)。接着,通信许可单元25通过代理服务器通信单元29,将在步骤S712变更的请求消息传输给代理服务器5(步骤S713)。步骤S711中,判定为接收数据的目标IP地址是传感器装置1的IP地址并且请求消息是面向代理服务器5的消息时,与实施方式1的图4的步骤S407相同,通信许可单元25将请求消息传输给接收数据中的目标IP地址及端口号所示的装置(步骤S714)。步骤S714中,请求消息未变更为面向代理服务器5而被传输。
图8显示的是实施方式2涉及的传感器装置1中,来自代理服务器5的接收数据处理流程的流程图。来自代理服务器5的接收数据处理,是以传感器装置1从图7步骤S713中的通信许可单元25的请求消息传输时确立的TCP连接接收到数据为契机而开始。另外,从图7步骤S714中的通信许可单元25的请求消息传输时确立的TCP连接接收到数据时的处理,与使用图5进行了说明的实施方式1的处理相同,在此省略说明。
首先,传感器装置1判定接收数据是否是响应消息(步骤S801)。步骤S801中,接收数据被判定为响应消息时,将请求消息变更为面向对象装置2(步骤S802),将变更的响应消息传输给请求消息的传输方之对象装置2(步骤S803)。步骤S801中,接收数据被判定为不是响应消息时,接收数据被销毁(步骤S804)。
有的手机终端等无法进行对代理服务器5的通信设定。以往,此种无法进行对代理服务器5进行通信设定的信息处理装置和没有进行对代理服务器5的通信设定的信息处理装置,存在无法进行通过代理服务器5进行通信的问题。因此,特别是企业想要导入新的云服务时,产生了必须对用于云服务的所有信息处理装置进行对代理服务器5的通信设定操作的问题、以及未设定代理服务器5通信的手机终端等不能用于云服务的问题。
根据实施方式2涉及的传感器装置1,未设定代理服务器5或无法设定代理服务器5的对象装置2,可与通过了代理服务器5的Web服务器7进行通信。此外,根据实施方式2涉及的传感器装置1,在为了与Web服务器7进行通信而必须通过代理服务器5的网络环境中,未设定代理服务器5或无法设定代理服务器5的对象装置2进行的HTTP通信中,可根据其通信目标,许可对部分Web服务器7的通信,屏蔽对其他Web服务器7的通信。另外,即使是设定有代理服务器5的对象装置2与未设定代理服务器5或无法设定代理服务器5的对象装置2混杂着与网络段3连接的情况下,也可通过一个设定而统一管理HTTP通信的许可及屏蔽。
Claims (9)
1.一种通信屏蔽装置,其屏蔽与网络连接的信息处理装置的通信,所述通信屏蔽装置的特征在于,包括:
通过将所述通信屏蔽装置的物理地址作为其他装置的物理地址通知给所述信息处理装置,将所述信息处理装置发送的信息引导至所述通信屏蔽装置的引导单元;
满足规定条件时,通过不传输由所述引导单元引导的信息,屏蔽所述信息处理装置的通信的通信屏蔽单元;
从所述引导单元引导的信息构成的、比传输层上层的规定的协议的消息中,获取识别所述消息的被通知方的识别信息的识别信息获取单元;
至少根据所述识别信息获取单元获取的所述识别信息,决定是否许可所述消息的通信的许可决定单元;和
满足所述规定条件的情况下,当所述许可决定单元决定许可时,不考虑所述通信屏蔽单元的通信屏蔽,通过传输所述消息,许可所述信息处理装置进行通信的通信许可单元。
2.根据权利要求1所述的通信屏蔽装置,其特征在于,还包括引导信息传输单元,其在不满足所述规定条件时,将所述引导单元引导的信息传输至所述其他装置。
3.根据权利要求1或权利要求2所述的通信屏蔽装置,其特征在于,所述通信许可单元向所述其他装置传输所述消息。
4.根据权利要求1~3任意一项所述的通信屏蔽装置,其特征在于,还包括设定单元,其设定所述消息的通信被许可的被通知方或所述消息的通信不被许可的被通知方的所述识别信息的全部或一部分,
所述许可决定单元根据所述识别信息获取单元获取的所述识别信息是否包含所述设定单元设定的所述识别信息的全部或一部分,来决定是否许可所述消息的通信。
5.根据权利要求1~4任意一项所述的通信屏蔽装置,其特征在于,还包括,逻辑地址回复单元,其在所述引导单元引导的信息构成与所述识别信息对应的逻辑地址的询问时,将不是所述识别信息所识别的被通知方的逻辑地址的规定逻辑地址回复给所述询问。
6.根据权利要求5所述的通信屏蔽装置,其特征在于,所述逻辑地址回复单元的所述回复中,附加有所述规定逻辑地址的有效期,
所述规定逻辑地址的有效期,与将所述识别信息所识别的被通知方的逻辑地址回复给所述询问的服务器向该回复附加的该逻辑地址的有效期是不同的有效期。
7.根据权利要求6所述的通信屏蔽装置,其特征在于,所述规定逻辑地址的有效期,短于将所述识别信息识别的被通知方逻辑地址回复给所述询问的服务器向该回复附加的该逻辑地址的有效期。
8.根据权利要求5~7任意一项所述的通信屏蔽装置,其特征在于,还包括,代理服务器通信单元,其与代理所述规定协议的通信的代理服务器进行通信,
所述通信许可单元,在所述引导单元引导的信息将所述规定逻辑地址作为目标逻辑地址的情况下,当所述消息中包含以所述识别信息为基准的相对信息时,将所述消息内的所述相对信息变更为不以所述识别信息为基准的绝对信息,通过使用所述代理服务器通信单元将变更后的消息传输给所述代理服务器,许可所述信息处理装置的通信。
9.一种通信屏蔽方法,其屏蔽与网络连接的信息处理装置的通信,其特征在于,
通过计算机执行如下步骤:
通过将所述计算机的物理地址作为其他装置的物理地址通知给所述信息处理装置,将所述信息处理装置发送的信息引导至所述计算机的引导步骤,
满足规定条件时,通过不传输经过所述引导步骤引导的信息,屏蔽所述信息处理装置的通信的通信屏蔽步骤,
从所述引导步骤引导的信息构成的、比传输层上层的规定的协议的消息中,获取识别所述消息的被通知方的识别信息的识别信息获取步骤,
至少根据所述识别信息获取步骤获取的所述识别信息,决定是否许可所述消息的通信的许可决定步骤,
满足所述规定条件的情况下,当所述许可决定步骤中决定许可时,不考虑所述通信屏蔽步骤中的通信屏蔽,通过传输所述消息,许可所述信息处理装置进行通信的通信许可步骤。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012182654A JP5876788B2 (ja) | 2012-08-21 | 2012-08-21 | 通信遮断装置、通信遮断方法、及びプログラム |
JP2012-182654 | 2012-08-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103634289A true CN103634289A (zh) | 2014-03-12 |
CN103634289B CN103634289B (zh) | 2017-03-01 |
Family
ID=50149041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310368170.0A Expired - Fee Related CN103634289B (zh) | 2012-08-21 | 2013-08-21 | 通信屏蔽装置及通信屏蔽方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9832119B2 (zh) |
JP (1) | JP5876788B2 (zh) |
CN (1) | CN103634289B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107493178A (zh) * | 2016-06-12 | 2017-12-19 | 富士通株式会社 | 信息聚合方法、装置和系统 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10069787B2 (en) * | 2014-04-01 | 2018-09-04 | Cloudflare, Inc. | Domain name system CNAME record management |
US10110721B2 (en) * | 2016-12-30 | 2018-10-23 | GM Global Technology Operations LLC | Wireless-enabled consumer port apparatus for accommodating after-market devices flexibly in vehicles |
US11888814B2 (en) * | 2018-12-05 | 2024-01-30 | Juniper Networks, Inc. | Managing address spaces across network elements |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004145583A (ja) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリングシステム |
US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
US20090017789A1 (en) * | 2007-01-19 | 2009-01-15 | Taproot Systems, Inc. | Point of presence on a mobile network |
JP2009100226A (ja) * | 2007-10-16 | 2009-05-07 | Toshiba Corp | 通信誘導装置、通信制御サーバ装置及びプログラム |
CN101883180A (zh) * | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
US20120197911A1 (en) * | 2011-01-28 | 2012-08-02 | Cisco Technology, Inc. | Searching Sensor Data |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6026096A (en) * | 1995-07-12 | 2000-02-15 | Nortel Networks Corporation | Automatic speed sensing in a token ring local area network |
US7248563B2 (en) * | 2002-07-31 | 2007-07-24 | International Business Machines Corporation | Method, system, and computer program product for restricting access to a network using a network communications device |
US7346057B2 (en) * | 2002-07-31 | 2008-03-18 | Cisco Technology, Inc. | Method and apparatus for inter-layer binding inspection to prevent spoofing |
US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
US7440434B2 (en) * | 2004-02-11 | 2008-10-21 | Airtight Networks, Inc. | Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods |
JP2007013263A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
JP4832516B2 (ja) | 2006-05-26 | 2011-12-07 | 富士通株式会社 | ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 |
JP4921864B2 (ja) | 2006-06-16 | 2012-04-25 | 株式会社東芝 | 通信制御装置、認証システムおよび通信制御プログラム |
US9998423B1 (en) * | 2006-12-05 | 2018-06-12 | Oath Inc. | IP address management of multiple DHCP services |
US8606940B2 (en) * | 2008-02-06 | 2013-12-10 | Alcatel Lucent | DHCP address conflict detection/enforcement |
US8799309B2 (en) * | 2009-12-16 | 2014-08-05 | Verizon Patent And Licensing Inc. | Verifying network delivery of information to a device based on physical characteristics |
US8391240B2 (en) * | 2009-12-29 | 2013-03-05 | Symbol Technologies, Inc. | Updating an IGMP membership report when a wireless client device roams across IP subnets |
US9225793B2 (en) * | 2011-01-28 | 2015-12-29 | Cisco Technology, Inc. | Aggregating sensor data |
US20120197856A1 (en) * | 2011-01-28 | 2012-08-02 | Cisco Technology, Inc. | Hierarchical Network for Collecting, Aggregating, Indexing, and Searching Sensor Data |
US9275093B2 (en) * | 2011-01-28 | 2016-03-01 | Cisco Technology, Inc. | Indexing sensor data |
KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
-
2012
- 2012-08-21 JP JP2012182654A patent/JP5876788B2/ja active Active
-
2013
- 2013-07-12 US US13/940,297 patent/US9832119B2/en active Active
- 2013-08-21 CN CN201310368170.0A patent/CN103634289B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004145583A (ja) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリングシステム |
US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
US20090017789A1 (en) * | 2007-01-19 | 2009-01-15 | Taproot Systems, Inc. | Point of presence on a mobile network |
JP2009100226A (ja) * | 2007-10-16 | 2009-05-07 | Toshiba Corp | 通信誘導装置、通信制御サーバ装置及びプログラム |
CN101883180A (zh) * | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
US20120197911A1 (en) * | 2011-01-28 | 2012-08-02 | Cisco Technology, Inc. | Searching Sensor Data |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107493178A (zh) * | 2016-06-12 | 2017-12-19 | 富士通株式会社 | 信息聚合方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103634289B (zh) | 2017-03-01 |
US20140059214A1 (en) | 2014-02-27 |
JP5876788B2 (ja) | 2016-03-02 |
JP2014042121A (ja) | 2014-03-06 |
US9832119B2 (en) | 2017-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3125502A1 (en) | Method for providing access to a web server | |
JP4931553B2 (ja) | ネットワーク間接続装置 | |
JP6007458B2 (ja) | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム | |
US9407650B2 (en) | Unauthorised/malicious redirection | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
EP3605948B1 (en) | Distributing overlay network ingress information | |
CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
CN103095676A (zh) | 过滤系统以及过滤方法 | |
US20100281159A1 (en) | Manipulation of dhcp packets to enforce network health policies | |
CN106657035B (zh) | 一种网络报文传输方法及装置 | |
CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
CN103634289A (zh) | 通信屏蔽装置及通信屏蔽方法 | |
CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
EP3472991A1 (en) | Secure personal server system and method | |
CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
US10360379B2 (en) | Method and apparatus for detecting exploits | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
JP2013171371A (ja) | パケットフィルタリング方法及び装置 | |
JP2003163681A (ja) | パケット転送装置、パケット転送方法およびプログラム | |
US12015594B2 (en) | Policy integration for cloud-based explicit proxy | |
US11064544B2 (en) | Mobile communication system and pre-authentication filters | |
US20050273846A1 (en) | Controlled firewall penetration for management of discrete devices | |
CN116938492A (zh) | 一种网络安全防护方法、设备及存储介质 | |
EP2677715A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
JP6476530B2 (ja) | 情報処理装置、方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170301 Termination date: 20180821 |