CN1759381A - 因特网保密通信装置和通信方法 - Google Patents
因特网保密通信装置和通信方法 Download PDFInfo
- Publication number
- CN1759381A CN1759381A CN200480006358.XA CN200480006358A CN1759381A CN 1759381 A CN1759381 A CN 1759381A CN 200480006358 A CN200480006358 A CN 200480006358A CN 1759381 A CN1759381 A CN 1759381A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- computing machine
- message
- fire wall
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供一种不用再构筑网络保密装置,就能够通过防火墙的装置和通信方法。在由防火墙保护应用服务程序的环境中,当使用因特网时,当与消息地址确认计算机内部的第1任意消息和防火墙隧道计算机内部的第2任意消息对应的客户和应用服务之间的各个消息实例有效时,许可从客户到应用服务程序的接入。通过保密协议使防火墙隧道计算机和消息地址确认计算机直接与因特网连接起来。
Description
技术领域
本发明涉及在由防火墙那样的保密装置一般地保护应用服务计算机免受通常的因特网接入的因特网使用中,客户计算机和应用服务计算机之间的因特网保密通信装置和通信方法。
背景技术
象防火墙和NAT(Network Address Translator:网络地址译码器)那样的网络保密装置,只要作为不断扩大的计算机系统组的到因特网的接口而被使用的情况下,其复杂程度就会不断增加。这些保密装置显而易见的重要难题,由于是不能通过保密装置到达处于NAT和防火墙的“背后”的装置,所以其它正当的用户,在(常常,通过远距离手续呼叫或“RPC”通信的)服务器和客户之间的广大范围的接入不能够通过因特网。
对于需要远距离接入(例如,没有限制地解决即时消息、IP电话和保密摄像机的故障等)的应用,这种连接性的难题就成为问题。在这一点上,对于这种类型的应用的应用服务器,常常对于远距离管理,安装Hyper TextTransfer Protocol(HTTP:超级文本传输协议)的接口。遗憾的是,这种应用服务器从中央的计算机维护组远离地安装了重要的企业应用程序,它们的用因特网的维护的接口,由于对应的防火墙,不能被维护部门利用。当需要使用管理接口时(而且不凑巧地,也当在由NAT/防火墙阻断以外使用远距离管理接口时),企业职员正因为如此,常常需要将重要的调整手续物理地运送到起作用的计算机所在的场所。当然在这一点上,网络保密作为安装在系统中的调整基准需要继续下去。但是,该继续保密的成本和经费成为重要的问题。
当需要(并且在防火墙的背后的)2个区域之间的连接性时,为了能够在2个区域上的应用程序之间交换消息,系统管理者需要在该防火墙中空出某个通道。遗憾的是,因为侵害保密的特征,所以对大多数客户来说,这是一个不能容认的解决办法。
通过防火墙和NAT的连接性,尽管从成本和保密的观点出发强烈需求,为了在这种通信中也能够继续保密,需要按照这些特定的协议的要求接入这些保密装置仍然是唯一的方法。需要的是,从因特网通过防火墙的到保密接入应用服务器的通道,用这种便利性,受到低成本的防火墙保护的LAN需要时与横穿因特网,识别到进行许可防火墙的周围的,保密的范围广大的双向通信的这些应用服务器连接。又,为了使横穿因特网的范围广大的双向通信的性能成为可能,而强烈希望不需要再构成防火墙。
已有的网络系统和方法,如图4所示,由搭载了用于在按照HTTP协议的请求上添加数据进行发送的HTTP客户功能411的通信对象设备410和作为操作或监视它的管理装置的个人计算机420构成,个人计算机420与因特网401连接,将通信对象设备410设置在企业的防火墙430的内侧。一般地以从内侧向着外侧通过HTTP请求的信息包和与该HTTP请求对应的HTTP应答的信息包的方式设定防火墙430。如上所述,通信对象设备410具有HTTP客户功能411,作为HTTP请求在GET或POST方法中添加想要发送的数据,发送给个人计算机420。对于HTTP请求,当个人计算机420回答给该HTTP请求时,因为如上所述地HTTP应答能够通过防火墙430,所以通信对象设备410能够接收来自个人计算机420的应答。例如,请参照日本特开2001-154953号专利公报(第4-5页、第3图)。
但是,在已有的网络系统和方法中,存在着需要安装想要通过防火墙和NAT的应用程序作为完全按照HTTP协议的应用程序,必须废弃已经在企业内作为资产保有的膨大的应用软件资产那样的问题。
发明内容
本发明正是解决已有问题而进行的发明,其目的在于提供一种不变更作为资产存在的膨大的应用程序,使通过防火墙和NAT成为可能的因特网保密通信装置和方法。
本发明的第1方案,提供一种因特网保密通信方法,其特征在于,以如下方式构成,对于对消息地址确认计算机的第1任意消息、和针对将去往因特网的接口与去往上述消息地址确认计算机的去往上述因特网的接口提供给应用服务计算机的防火墙隧道计算机的第2任意消息,使客户计算机和上述应用服务计算机之间的各计算机消息实例有效;通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
本发明的第2方案,其特征在于,上述第1任意消息由与上述客户计算机的识别符关联的上述防火墙隧道计算机的识别符构成。
本发明的第3方案,其特征在于,上述第1任意消息进一步由与上述防火墙隧道计算机的上述识别符和上述客户计算机的上述识别符关联的上述应用服务计算机的识别符构成。
本发明的第4方案,其特征在于,上述识别符由上述客户计算机的逻辑识别符构成。
本发明的第5方案,其特征在于,上述识别符由上述应用服务计算机的应用程序的逻辑识别符构成。
本发明的第6方案,其特征在于,上述第2任意消息由上述应用服务计算机的识别符构成。
本发明的第7方案,其特征在于,上述第2任意消息进一步由上述客户计算机的识别符构成。
本发明的第8方案,其特征在于,上述第1任意消息由上述防火墙隧道计算机在上述消息地址确认计算机内定义。
本发明的第9方案,其特征在于,具有通过上述应用服务计算机使上述客户计算机的密码有效的方式。
本发明的第10方案,其特征在于,具有通过上述消息地址确认计算机使上述防火墙隧道计算机的密码有效的方式。
本发明的第11方案,其特征在于,上述消息地址确认计算机具有第1所有者所具有的部件,上述应用服务计算机和上述防火墙隧道计算机具有第2所有者所具有的部件,并且具有以上述第1所有者和第2所有者一致同意上述第1所有者不编辑上述第1任意消息的方式构成的部件。
本发明的第12方案,其特征在于,上述防火墙隧道计算机具有以能够通过到外部的HTTP协议通信的方式通过由防火墙设定的防火墙通道与因特网连接的接口;上述防火墙,以基本上恒久地阻断任何去往内部的通信的方式被设定,以许可通过上述防火墙的双向消息的方式而不需要再设定上述防火墙的通道,使去往内部的通信与去往外部的通信不是相互的。
通过这种构成,能够使应用程序的逻辑识别符和客户计算机的识别符对应地对每个地址识别接入到应用服务计算机的各个客户计算机,用密码进行管理。又,因为用HTTP协议通信桥接从客户计算机到应用服务计算机的接入,所以不会损害防火墙的保密设定,能够安全地进行通信。
本发明的第13方案,提供一种因特网保密通信方法,其特征在于,包括:防火墙隧道计算机,其与应用服务计算机进行去往因特网的数据通信;消息地址确认计算机,其进行从上述因特网到上述防火墙隧道计算机的数据通信,进行从上述因特网到客户计算机的数据通信;验证部件,其对于上述消息地址确认计算机内的第1任意数据库和上述防火墙隧道计算机内的第2任意数据库,对上述客户计算机和上述应用服务计算机之间的上述通信的各计算机消息的实例进行验证;通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
本发明的第14方案,其特征在于,上述第1任意消息的数据库由具有与对上述客户计算机的识别符关联的、对上述防火墙隧道计算机的识别符的数据记录构成,上述数据记录的地址由上述防火墙隧道计算机定义在上述第1任意数据库的消息中。
本发明的第15方案,其特征在于,上述数据记录进一步由对上述应用服务计算机的识别符构成。
本发明的第16方案,其特征在于,上述第2任意消息的数据库由具有对上述应用服务计算机的识别符的数据记录构成。
本发明的第17方案,其特征在于,上述第2任意消息的数据库进一步具有对上述客户计算机的识别符。
通过该构成,因为用将客户计算机的识别符、防火墙隧道计算机的识别符、和应用服务计算机的识别符作为数据记录持有的数据库进行管理,具有验证各消息的实例的部件,所以能够验证消息的有效性。
本发明的第18方案,提供一种因特网保密通信装置,其特征在于,包括:防火墙隧道计算机,其与应用服务计算机和与因特网进行数据通信,被编程为使客户计算机和上述应用服务计算机之间的上述数据通信的各计算机消息的实例成为有效,进行从上述因特网到上述防火墙隧道计算机的数据通信;消息地址确认计算机,其进行从上述因特网到上述客户计算机的数据通信,被编程为使上述客户计算机和上述应用服务计算机之间的上述数据通信的各计算机消息的实例成为有效,通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
本发明的第19方案,其特征在于,上述消息地址确认计算机备有任意数据库,其具有与对上述客户计算机的识别符关联的、对上述防火墙隧道计算机的识别符。
本发明的第20方案,其特征在于,上述消息地址确认计算机和上述防火墙隧道计算机被编程为使上述客户计算机变更上述消息地址确认计算机中的上述任意数据库成为可能。
通过该构成,能够实现对本发明进行编程的因特网保密通信装置。
本发明的第21方案,提供一种因特网保密通信装置,其特征在于,具有使对消息地址确认计算机内的第1任意消息和防火墙隧道计算机内的第2任意消息的、客户计算机和应用服务计算机之间的各计算机消息的实例成为有效的部件;上述防火墙隧道计算机具有与上述因特网的接口;上述消息地址确认计算机具有与上述因特网的接口;通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
本发明的第22方案,其特征在于,进一步具有由上述防火墙隧道计算机定义上述第1任意消息的部件。
通过该构成,客户计算机和应用服务计算机经由防火墙隧道计算机和消息地址确认计算机可以接入因特网。
本发明的第23方案,其特征在于,上述防火墙隧道计算机实施桥接计算机的程序;上述应用服务计算机中的应用服务程序,以由上述消息地址确认计算机生成HTTP消息配送机制的方式,控制上述桥接计算机的程序。
本发明的第24方案,其特征在于,上述防火墙隧道计算机实施桥接计算机的程序;上述桥接计算机的程序,基于上述消息地址确认计算机的HTTP连接的开始和上述应用服务计算机的HTTP连接的开始,生成桥接计算机的软件的实例;上述消息地址确认计算机认证上述桥接计算机的软件的实例。
本发明的第25方案,其特征在于,上述防火墙隧道计算机实施桥接计算机的程序;上述桥接计算机的程序,基于上述消息地址确认计算机的HTTP连接的开始和上述应用服务计算机的HTTP连接的开始,生成桥接计算机的软件的实例;上述桥接计算机的程序定义对各个上述HTTP连接定义的、由发送消息缓冲器和接收消息缓冲器构成的一对消息缓冲器;上述一对消息缓冲器在上述消息地址确认计算机内实施的桥接服务的程序和在上述应用服务计算机内实施的桥接服务服务器的程序之间双向传送消息。
通过这种构成,应用服务计算机的应用程序以用HTTP协议连接防火墙隧道计算机和消息地址确认计算机的方式进行控制,防火墙隧道计算机和应用服务计算机的应用程序根据HTTP协议进行桥接连接,桥接计算机的程序定义发送接收消息缓冲器,能够用消息缓冲器在消息地址确认计算机和防火墙隧道计算机之间双向传送。
本发明的第26方案,其特征在于,上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;上述传送层开始去往上述消息地址确认计算机的第1HTTP连接和去往上述应用服务计算机的第2HTTP连接;上述消息处理层定义对各个上述HTTP连接定义的、由发送消息缓冲器和接收消息缓冲器构成的一对消息缓冲器;上述传送层检索从上述消息地址确认计算机经过上述第1连接的通信的第1消息;上述消息处理层实施许可写入到上述第1消息的规则;上述消息处理层使上述第1消息从上述第1连接的接收消息缓冲器移动到上述第2连接的发送消息缓冲器;上述传送层,经过上述第2连接,将上述第1消息发送给上述应用服务计算机;上述传送层检索从上述应用服务计算机经过上述第2连接的通信的第2消息;上述消息处理层实施许可写入到上述第2消息的规则;上述消息处理层使上述第2消息从上述第2连接的接收消息缓冲器移动到上述第1连接的发送消息缓冲器;上述传送层,经过上述第1连接,将上述第1消息发送给上述消息地址确认计算机。
本发明的第27方案,其特征在于,上述通信中的消息,对于不同的应用程序,组成各个不同的协议。
本发明的第28方案,其特征在于,上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;上述传送层多路发送到上述消息地址确认计算机的多个消息和到上述应用服务计算机的多个消息。
本发明的第29方案,其特征在于,上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;上述传送层多路接收来自上述消息地址确认计算机内的桥接服务程序的多个消息和来自上述应用服务计算机的多个消息。
根据该构成,防火墙隧道计算机能够在消息地址确认计算机和应用服务计算机之间,生成对每个协议不同的消息,开始1个HTTP连接,通过对不同的协议消息进行1个HTTP连接,进行多路复用通信。
本发明的第30方案,其特征在于,上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;上述传送层生成与上述消息地址确认计算机的足够多的多个HTR连接和与上述应用服务计算机的足够多的多个HTTP连接;全部消息的等待时间在预先定义的等待时间值的范围内持续;全部消息的通过量在预先定义的通过量值的范围内持续。
通过该构成,对于消息地址确认计算机和应用服务计算机之间的HTTP连接,能够保证消息的等待时间和通过量。
本发明的第31方案,其特征在于,多个防火墙隧道计算机与上述消息地址确认计算机进行通信;各个防火墙隧道计算机实施使上述消息成为可能的桥接计算机程序。
本发明的第32方案,其特征在于,多个防火墙隧道计算机与上述消息地址确认计算机进行通信;各个防火墙隧道计算机实施使上述消息成为可能的桥接计算机程序;上述消息地址确认计算机实施与上述多个防火墙隧道计算机内的桥接计算机程序进行通信的桥接服务程序。
通过该构成,能够用程序实现防火墙隧道计算机和消息地址确认计算机的功能。
本发明的第33方案,其特征在于,使各计算机消息的实例成为有效的部件进一步由各个上述防火墙隧道计算机内的桥接计算机程序和上述消息地址确认计算机内的桥接服务程序构成;上述桥接服务程序对各个上述桥接计算机程序定义发送消息缓冲器;上述桥接服务程序对该各个上述发送消息缓冲器内的与各上述桥接计算机程序进行通信的各消息实例进行缓冲。
本发明的第34方案,其特征在于,上述桥接服务程序对从1个桥接计算机程序发送的多个消息进行缓冲。
通过该构成,桥接服务程序能够对多个消息实施缓冲,进行多路复用处理。
本发明的第35方案,其特征在于,使各计算机消息的实例成为有效的部件进一步由各个上述防火墙隧道计算机内的桥接计算机程序和上述消息地址确认计算机内的桥接服务程序构成;上述桥接服务程序可以接受由各桥接计算机程序发送的多个消息;上述桥接服务程序对各上述桥接计算机程序定义发送消息缓冲器;上述桥接服务程序对该各个上述发送消息缓冲器内的与各上述桥接计算机程序进行通信的各消息实例进行缓冲;上述桥接服务程序将各消息传送给同一数量的应用程序消息队列。
通过该构成,桥接计算机程序和桥接服务程序能够相互交换消息地进行通信,将消息队列保持在每个应用程序中进行处理。
附图说明
图1是表示本发明的实施方式中通过使用因特网连接消息实例的计算机网络、消息地址确认计算机、防火墙隧道计算机的概略构成的框图。
图2是表示本发明的实施方式中对于按照图1的网络登场的消息管理的软件桥接结构的框图。
图3是表示本发明的实施方式中第1信息处理平台(IPP)和第2信息处理平台(IPP)之间的相互消息的详细情况的框图。
图4是表示已有的网络系统和方法的概略构成的框图。
具体实施方式
下面,采用附图说明本发明实施方式的因特网保密通信装置和方法。
作为发明的概略,(作为与因特网连接的正当用户,被消息地址确认计算机识别的桥接计算机运行的)防火墙隧道计算机取得在客户计算机和应用服务计算机之间进行由防火墙保护的通常的保密通信的因特网和(或者,比喻地说通过隧道)接口。消息地址确认计算机,作为正当的因特网连接用户,只有被客户计算机和防火墙隧道计算机识别,才与因特网连接。希望客户计算机、防火墙隧道计算机和消息地址确认计算机属于对组内的职员高度信赖的企业内的功能组。作为这种组的例子,可以举出任命作为某个企业内的操作管理维护服务(OA&M)组的计算机组。
任意的消息数据,与其作为消息地址确认计算机内的数据库,不如作为防火墙隧道计算机内的数据库而被确立。此后,从客户计算机到应用服务计算机进行通信的计算机消息的各个实例,经过对消息地址确认计算机的数据库(第1任意数据库)的确认过程(第1任意消息确认),通过对应用服务计算机的防火墙隧道计算机的数据库(第2任意数据库)的确认过程(第2任意消息确认),从而到达应用服务计算机。从应用服务计算机到客户计算机进行通信的计算机消息的各个实例,经过对应用服务计算机的数据库的确认过程,通过对消息地址确认计算机的数据库的确认过程和对客户计算机的防火墙隧道计算机的数据库的确认过程,到达客户计算机。
OA&M中心的消息地址确认计算机的数据库基本上是在防火墙隧道计算机的系统管理者(第1所有者)的管理下。这种系统管理者也从它们的防火墙隧道计算机登录OA&M中心,(在消息地址确认计算机内的数据库中,)生成桥接在OA&M中心内的消息地址确认计算机、应用服务计算机、防火墙隧道计算机和在系统管理者(第2所有者)的LAN内的防火墙隧道计算机之间的任意消息。这提供从OA&M中心内的消息地址确认计算机到应用服务计算机的接入路径。在确立了连接性后,OA&M客户计算机从由系统管理者制作的,OA&M中心内的消息地址确认计算机,经过防火墙隧道计算机,用与应用服务计算机连接的“隧道”接入到应用服务计算机。又,系统管理者许可在防火墙隧道计算机内,存在来自OA&M中心内的消息地址确认计算机的任意消息。客户计算机和应用服务计算机之间的各个消息实例接受来自使可以连接因特网的桥接功能有效的计算机(OA&M中心内的防火墙隧道计算机和消息地址确认计算机)的任意消息的确认。
图1是表示通过使用因特网104连接消息实例的计算机网络100、消息地址确认计算机108和防火墙隧道计算机112的概略构成框图。客户计算机116和应用服务计算机120交换来自因特网104的消息。受到保护的防火墙124保护(LAN1和LAN2相互连接的)局域网128免受来自因特网104的通常的接入。客户计算机132经过(作为1个安装,LAN136是企业内部网络136)LAN136,与消息地址确认计算机108和因特网104连接。防火墙148保护第2客户计算机132、消息地址确认计算机108和LAN136免受去向因特网104的通常的接入。应用服务计算机120实施应用程序160和应用程序158。应用服务计算机120还实施桥接服务服务器152。桥接服务服务器152,对经过防火墙隧道计算机112(和消息地址确认计算机108),从客户(例如,客户计算机116)接收的消息实例作出应答,向消息实例指示到防火墙隧道计算机112的路径。
消息地址确认计算机108,因为只识别莫如作为因特网104的正当的用户特定的客户(例如客户116)和它的防火墙隧道计算机(例如防火墙隧道计算机112),所以经过HTTPS(HTTP保密协议)与因特网104连接。这些HTTP保密协议的到因特网104的“隧道”接入象征性地图示在防火墙124的隧道连接140和防火墙148的隧道连接144上。关联地,防火墙124的隧道连接140和防火墙148的隧道连接144物理上旁路通过与它们对应的防火墙,如本说明书中记述的那样,根据每个消息的地址的任意的正当方法论,在数据上支持保密。代替HTTP保密协议,在另外的安装中,对于网络的所有者的特定的要求,以密码的方法提供适当的保密。在1个安装中,为了进行HTTP协议连接,空出可以个别地设定通道的防火墙的1个通道,消息地址确认计算机108和/或防火墙隧道计算机112向设定成HTTP协议的通道提供单一的连接。
防火墙隧道计算机112的系统管理者114在满足必要的认证和私有,登录到消息地址确认计算机108后,在消息地址确认计算机108和应用服务计算机120之间生成“隧道”。系统管理者基本上控制到消息地址确认计算机108的全部连接,行动自由地,终结物理的或数据的连接。因为连接不要求空出防火墙124的这种通道,所以保护企业网络128不受外部的攻击。当在应用服务计算机120和消息地址确认计算机108之间一旦地确立隧道时,消息地址确认计算机108的客户(客户计算机116和客户计算机132等的OS&M客户)经过消息地址确认计算机108和(得到防火墙隧道计算机112的许可的)防火墙隧道140,接入到应用服务计算机120。
系统整体的设计是以在HTTP上运行的队列机制为基础。队列范例是提供称为createQueue( ),removeQueue( ),sendSynch( ),sendAsynch( )消息的简单的原始消息。为了将消息实例退回给客户,使用“由超时引起的拔出”和“恢复最大数的消息”。为了将寻址的消息恢复到应用程序队列,使用(SessionInBox,MaxNumberOfMsgs,TimeOut)的优先属性形式中的原始的getMessage指令。将包含在将1个或(最大限度的)多个消息中的返送消息发送给适当的队列(和在这些队列中等待要求处理的应用程序)。
各消息包含运送消息体和消息头的封筒。由防火墙隧道计算机112实施的桥接软件在一个安装中作为独立程序运行。在另外的安装中,桥接软件作为浏览器内的署名的小应用程序(applet)运行。在1个安装中,小应用程序版本的桥接软件,在WEB浏览器(Internet Explorer)内实施,与微软JVM或SUN Java的插件一起发挥作用。
消息地址确认计算机108的数据库的任意结构,最小,由各个数据记录将防火墙隧道计算机112和客户计算机116(或者,客户计算机132)作为任意成对的地址进行区别的1组数据记录构成。在又一个安装中,防火墙隧道计算机112和客户计算机116(或者,客户计算机132)的地址的任意识别符根据应用服务计算机120的任意地址扩展成3个对齐。进一步在另外的安装中,应用服务计算机120的任意地址进一步在特定的应用程序160或158中扩展成任意的识别符。
防火墙隧道计算机112的数据库的任意结构,最小,由将各个数据记录作为应用服务计算机120的任意地址进行区别的1组数据记录构成。在另外的安装中,应用服务计算机120的任意识别符根据客户计算机116(或者132)的地址的任意识别符进行扩展。在又一安装中,应用服务计算机120的任意地址根据特定的应用程序160或158的任意识别符进一步进行扩展。
应用服务计算机120上的桥接服务服务器152选择地实施要求密码保护、任意的地址识别符确认、或特有的应用程序(158、160)那样的工作。
图2是表示对于按照图1的网络登场的消息管理的软件桥接结构200的图。隧道(140、144)两侧的桥接服务204、208重视在通过到因特网104的适当的“隧道”进行发送前的,经过整列或没有经过整列的信息处理平台(IPP:Information Processing Platfom)的消息。除了经过整列或没有经过整列的以外,桥接服务204、208提供发送同步消息和非同步消息的能力和接收消息的能力。桥接软件214包含消息地址确认的软件。通过在HTTP(S)中用SSL(Secure Socket Layer:保密插口层)或TLS(TransportLayer Security:传送层保密)保护桥接服务204和桥接软件214之间与桥接服务208和桥接软件214之间的HTTP(S)通信。
进一步详细说明。用Java sublet技术能够很好地安装桥接服务204、208。桥接服务204、208,(对在防火墙隧道计算机112中实施的实例),许可登录桥接软件214,在桥接软件214中生成远距离队列,而且发送接收消息。各登录生成适当的服务对话,队列与对配送消息的该对话合作。桥接服务204、208和桥接软件214包含对区域间的传送消息的桥接队列和IPP队列间的变换。为了将消息发送给另外的桥接服务(例如区域B的桥接服务器208),在桥接服务(例如区域A的桥接服务器204)内排队该消息。
在1个安装中,桥接软件214持有2层。第1层是提供交换各个桥接服务(204和/或208)和消息的HTTP连接的传送层。第2层是将消息实例配送给各个桥接服务204或208的消息处理层。在1个安装中,传送层提供下列那样的接口。
-Send(非同步发送)
-SendAndWait(同步发送)
-Receive(消息队列的接收)
-ReceiveAndReply(用于回调函数的消息接收)
这些接口指令调用,对于经过消息处理层、和/或桥接服务204和/或208能够接入的应用程序之间的相互作用,提供灵活性。
(例如在防火墙隧道计算机112中实施的)桥接软件214开始到桥接服务204(例如,在消息地址确认计算机108内运行的桥接服务109)和桥接服务208(例如,在应用服务计算机120内运行的桥接服务服务器152)的HTTP连接。连接的初始化阶段包含由消息地址确认计算机108进行的桥接软件连接的实例的认证。以由用户(例如系统管理者)或者由应用程序,生成直接连接消息地址确认计算机108和应用服务器之间的隧道的方式,实施桥接软件214。桥接软件214对到桥接服务204的HTTP连接(第1HTTP连接)和/或到桥接服务208的HTTP连接(第2HTTP连接),定义发送消息缓冲器和接收消息缓冲器的一对缓冲器。桥接软件214的传送层从桥接服务204和/或208引出消息。又,桥接软件214的传送层将消息发送给桥接服务204和/或208。又,桥接软件214的传送层,需要时在与桥接服务204和/或208的单一的相互作用中进行多个消息的发送接收。桥接软件214的传送层,为了一面保持消息的顺序,一面减少消息的等待时间,增加消息的通过量,生成与桥接服务204和/或208的多个连接。消息处理层,对于与桥接服务204和/或208的各个连接,生成发送消息缓冲器和接收消息缓冲器。桥接软件214的消息处理层使消息从与桥接服务204关联的发送消息移动到与桥接服务208关联的接收消息。又,桥接软件214的消息处理层使消息从与桥接服务208关联的发送消息移动到与桥接服务204关联的接收消息。在对消息的发送,实施适当的许可检查后,进行各个消息的移动。消息的交换通常是按照对各个不同的应用程序不同的协议构成的。
桥接服务204和/或208,对于由桥接软件214许可的各个连接,生成发送消息缓冲器。桥接服务204和/或208对与发送消息缓冲器关联地附加的特定桥接软件的实例建立联结的消息进行缓冲。桥接软件214的传送层从关联的发送缓冲器引出消息。桥接服务204和/或208需要时同时处理由桥接软件程序引出的要求的消息。桥接服务204和/或208,根据桥接软件程序,传送发送给适当的本地的或远距离的应用程序队列(请参照图3的相互消息的详细情况300)的消息。
在1个安装中,在应用服务器正在运行的(在本例中,应用服务计算机和防火墙隧道计算机也许是与CPU共有可能的光盘,逻辑上分离的有效地构成的计算机)的主计算机上实施桥接服务软件(服务器软件204和/或208),但是,莫如,将防火墙隧道软件设置在接入到服务器120那样的分离的应用服务器的1个主计算机上。
系统管理者114,经过因特网104,接入到OA&M中心的消息地址确认计算机108上的桥接软件214。在更好的安装中,根据用户名和密码认证OA&M中心的消息地址确认计算机108。
这里论及的连网方法的优点分成多个方面。因为能够将应用服务器放置在NAT/防火墙的后面,实现到应用服务器的连接性,所以也不需要来自网络管理者的任何设定。空出从NAT/防火墙的内侧到因特网的全部连接,“空穴”不是特别通过NAT/防火墙“空出空穴”的空穴。因此,消息传送与NAT的特征(例如对称或双向的特征)无关。系统管理者114总是能够阻止桥接。由SSL或TLS保护消息的传送。而且,客户也能够处于企业内部网络136或因特网104中的某一个中。桥接服务服务器152只要能接入到应用服务器(例如服务器120),也能够在顾客网络的任何地方行走。例如,既能够在处于与应用服务器相同地方的系统管理者的设备上行走,也能够在不能够从因特网104接入的另外的设备上行走,也能够在能够从因特网104接入的另外的设备上行走。(当用系统管理者的设备实施桥接服务时,对提供消息地址确认计算机108和应用服务器之间的桥接排它地开始桥接服务。当桥接服务服务器在不可能从因特网104接入的设备上运行时,系统管理者114以从因特网104对防火墙隧道计算机能够接入到桥接服务服务器的方式,设定对应的防火墙。这种特征是在系统管理者114中,通过使用浏览器,也可以从因特网104上的任何地方确立隧道。)
革新的另外的优点在于:能够在不需要再构成在因特网和应用服务计算机的网络之间安装了了受到保护的通信协议的防火墙/NAT装置的计算机系统基础结构内,许可向外的路径。关于这一点,防火墙隧道计算机112,以可以继续进行从防火墙124到外部的HTTP协议通信的方式,设定防火墙的通道连接,当与因特网104连接时,因为许可应用程序之间双向的多协议的消息发送(例如,顾客计算机和应用服务之间的消息发送),所以不需要再设定对到内部的通信的特定的防火墙通道。
在1个安装中,桥接软件通过WEB浏览器内的图形用户接口,处在系统管理者114的控制下。在另外的安装中,经过这里论及的HTTP/HTTPS的桥接软件,具有以进行受因特网保护的接入方式设定的所要的应用程序的计算机的接入处在应用程序的控制下。在无论哪个情形中,都不需要再设定应用服务计算机运行的网络上的防火墙/NAT装置。
在1个安装中,应用服务计算机120不与LAN128连接,正因为如此除了与防火墙隧道计算机112的点到点经过外,不接入到因特网104。又在另外的安装中,应用服务计算机120不与LAN128连接,在HTTP/HTTP(S)上,用双向的消息传送,直接接入到因特网104,实施提供被这里论及的HTTP/HTTP(S)上的黯然保护的双向的消息传送的桥接软件。
在1个安装中,到此为止论及的方法,使多个企业,通过使用因特网,从接入到应用服务计算机的客户计算机,加入到可以进行网络通信的服务中成为可能,在该因特网中,应用服务计算机,由防火墙那样的保密设备,保护不发生一般的因特网接入,消息地址确认计算机能够用作可以保护隧道的服务。在这个例子中,消息地址确认计算机的所有者同意应用服务计算机和对应的防火墙隧道计算机的所有者。在同意中,例如,具有不变更应用程序的加入者的任意的消息识别符那样的条件,因此,能够保护应用程序的所有者的保密权利。
在图3中,第1信息处理平台(IPP)312和第2信息处理平台(IPP)302之间的相互消息的详细情况300表示支持进一步扩展使防火墙隧道成为可能的网络链接的应用程序之间的多协议通信的消息指向中间件。在这一点上,信息处理平台312和302都与应用服务计算机120类似,交换对计算机网络100讨论过的方法或者按照地形进行通信中的消息。在IPP312中的多路复用装置304中使个别消息多路复用,在IPP302中,经过解码配送给应用程序队列308。各个应用程序(例如,在相互消息的详细情况300中表示的,APP_11、APP_1N、APP_21、APP_2N),为了从实施应用程序的IPP的解码装置接收消息,分别持有自己的应用程序队列(在本例中,特别与IPP302中的APP_11关联地附加的队列308)。应用程序310,在多路复用装置304内,定义优先使消息多路复用的特定的消息格式(协议)。这种专用的接收队列,在应用服务计算机的网络100中,同步或非同步地配送消息,向应用程序开发者提供广大范围中具有灵活性的通信中间件。专用队列又在相同的信息处理平台(的“线程”)中运行的应用程序之间,和/或不同的信息处理平台(的“过程”)中运行的应用程序之间,提供灵活的消息交换的基础。
如果根据这种发明的实施方式,则在应用服务计算机和防火墙隧道计算机之间、防火墙隧道计算机和消息地址确认计算机之间、消息地址确认计算机和客户计算机之间进行桥接,形成在防火墙中形成隧道用HTTP(S)协议进行连接,消息地址确认计算机根据消息的地址对只有确认是因特网的正当用户,可以通过指示到防火墙隧道计算机的路径,确保保密,对防火墙不进行特别的设定,而向应用程序提供通信的接入路径。又,因为通过设置消息的队列,对每个应用程序设置队列,用信息处理平台进行多路复用通信,所以能够高效率地进行通信。又,因为桥接应用程序的协议通信,所以在应用程序中不需要特别的结构。
本发明的说明本来只不过是典型的情况。所以,我们认为不偏离本发明要旨的变化都在本发明的范围内。要注意这样的变化是仍属于本发明的精神和范围。
Claims (35)
1、一种因特网保密通信方法,其特征在于,
以如下方式构成:对于针对消息地址确认计算机的第1任意消息、和针对向应用服务计算机提供通向因特网的接口以及为去往上述消息地址确认计算机的通向上述因特网的接口的防火墙隧道计算机的第2任意消息,使客户计算机和上述应用服务计算机之间的各计算机消息实例有效;
通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
2、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述第1任意消息由与上述客户计算机的识别符关联的上述防火墙隧道计算机的识别符构成。
3、根据权利要求2所述的因特网保密通信方法,其特征在于,
上述第1任意消息进一步由与上述防火墙隧道计算机的上述识别符和上述客户计算机的上述识别符关联的上述应用服务计算机的识别符构成。
4、根据权利要求3所述的因特网保密通信方法,其特征在于,
上述识别符由上述应用服务计算机的逻辑识别符构成。
5、根据权利要求3所述的因特网保密通信方法,其特征在于,
上述识别符由上述应用服务计算机的应用程序的逻辑识别符构成。
6、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述第2任意消息由上述应用服务计算机的识别符构成。
7、根据权利要求6所述的因特网保密通信方法,其特征在于,
上述第2任意消息进一步由上述客户计算机的识别符构成。
8、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述第1任意消息由上述防火墙隧道计算机在上述消息地址确认计算机内定义。
9、根据权利要求1所述的因特网保密通信方法,其特征在于,
具有通过上述应用服务计算机使上述客户计算机的密码有效的方式。
10、根据权利要求1所述的因特网保密通信方法,其特征在于,
具有通过上述消息地址确认计算机使上述防火墙隧道计算机的密码有效的方式。
11、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述消息地址确认计算机具有第1所有者所具有的部件,上述应用服务计算机和上述防火墙隧道计算机具有第2所有者所具有的部件,
并且具有以上述第1所有者和第2所有者一致同意上述第1所有者不编辑上述第1任意消息的方式构成的部件。
12、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机具有以能够让去往外部的HTTP协议通信通过的方式经过由防火墙设定的防火墙的端口与因特网连接的接口;
上述防火墙,以基本上恒久地阻断任何去往内部的通信的方式被设定,以许可通过上述防火墙的双向消息的方式而不需要再设定上述防火墙的端口,使去往内部的通信与去往外部的通信不是相互的。
13、一种因特网保密通信方法,其特征在于,
由以下机构构成:防火墙隧道计算机,其与应用服务计算机进行去往因特网的数据通信;消息地址确认计算机,其进行从上述因特网到上述防火墙隧道计算机的数据通信,进行从上述因特网到客户计算机的数据通信;验证部件,其对于上述消息地址确认计算机内的第1任意数据库和上述防火墙隧道计算机内的第2任意数据库,对上述客户计算机和上述应用服务计算机之间的上述通信的各计算机消息的实例进行验证;
通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
14、根据权利要求13所述的因特网保密通信方法,其特征在于,
上述第1任意消息的数据库由具有与对上述客户计算机的识别符关联的、对上述防火墙隧道计算机的识别符的数据记录构成,
上述数据记录的地址由上述防火墙隧道计算机在上述第1任意数据库的消息中定义。
15、根据权利要求14所述的因特网保密通信方法,其特征在于,
上述数据记录进一步由对上述应用服务计算机的识别符构成。
16、根据权利要求13所述的因特网保密通信方法,其特征在于,
上述第2任意消息的数据库由具有对上述应用服务计算机的识别符的数据记录构成。
17、根据权利要求16所述的因特网保密通信方法,其特征在于,
上述第2任意消息的数据库进一步具有对上述客户计算机的识别符。
18、一种因特网保密通信装置,其特征在于,包括:
防火墙隧道计算机,其与应用服务计算机和与因特网进行数据通信,被编程为使客户计算机和上述应用服务计算机之间的上述数据通信的各计算机消息的实例成为有效,进行从上述因特网到上述防火墙隧道计算机的数据通信;
消息地址确认计算机,其进行从上述因特网到上述客户计算机的数据通信,被编程为使上述客户计算机和上述应用服务计算机之间的上述数据通信的各计算机消息的实例成为有效,通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
19、根据权利要求18所述的因特网保密通信装置,其特征在于,
上述消息地址确认计算机备有任意数据库,其具有与对上述客户计算机的识别符关联的、对上述防火墙隧道计算机的识别符。
20、根据权利要求19所述的因特网保密通信装置,其特征在于,
上述消息地址确认计算机和上述防火墙隧道计算机被编程为使上述防火墙隧道计算机变更上述消息地址确认计算机中的上述任意数据库成为可能。
21、一种因特网保密通信装置,其特征在于,
具有使对消息地址确认计算机内的第1任意消息和防火墙隧道计算机内的第2任意消息的、客户计算机和应用服务计算机之间的各计算机消息的实例成为有效的部件;
上述防火墙隧道计算机具有与上述因特网的接口;
上述消息地址确认计算机具有与上述因特网的接口;
通过使用上述因特网,从上述客户计算机接入到上述应用服务计算机。
22、根据权利要求21所述的因特网保密通信装置,其特征在于,
具有由上述防火墙隧道计算机定义上述第1任意消息的部件。
23、根据权利要求1所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施桥接计算机的程序;
上述应用服务计算机中的应用服务程序,以由上述消息地址确认计算机生成HTTP消息配送机制的方式,控制上述桥接计算机的程序。
24、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施桥接计算机的程序;
上述桥接计算机的程序,基于上述消息地址确认计算机的HTTP连接的开始和上述应用服务计算机的HTTP连接的开始,生成桥接计算机的软件的实例;
上述消息地址确认计算机认证上述桥接计算机的软件的实例。
25、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施桥接计算机的程序;
上述桥接计算机的程序,基于上述消息地址确认计算机的HTTP连接的开始和上述应用服务计算机的HTTP连接的开始,生成桥接计算机的软件的实例;
上述桥接计算机的程序定义对各个上述HTTP连接定义的、由发送消息缓冲器和接收消息缓冲器构成的一对消息缓冲器;
上述一对消息缓冲器在上述消息地址确认计算机内实施的桥接服务的程序和在上述应用服务计算机内实施的桥接服务服务器的程序之间双向传送消息。
26、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;
上述传送层开始去往上述消息地址确认计算机的第1HTTP连接和去往上述应用服务计算机的第2HTTP连接;
上述消息处理层定义对各个上述HTTP连接定义的、由发送消息缓冲器和接收消息缓冲器构成的一对消息缓冲器;
上述传送层检索从上述消息地址确认计算机经过上述第1连接的通信的第1消息;
上述消息处理层实施许可写入到上述第1消息的规则;
上述消息处理层使上述第1消息从上述第1连接的接收消息缓冲器移动到上述第2连接的发送消息缓冲器;
上述传送层,经过上述第2连接,将上述第1消息发送给上述应用服务计算机;
上述传送层检索从上述应用服务计算机经过上述第2连接的通信的第2消息;
上述消息处理层实施许可写入到上述第2消息的规则;
上述消息处理层使上述第2消息从上述第2连接的接收消息缓冲器移动到上述第1连接的发送消息缓冲器;
上述传送层,经过上述第1连接,将上述第1消息发送给上述消息地址确认计算机。
27、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述通信中的消息,对于不同的应用程序,组成各个不同的协议。
28、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;
上述传送层多路发送去往上述消息地址确认计算机的多个消息和去往上述应用服务计算机的多个消息。
29、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;
上述传送层多路接收来自上述消息地址确认计算机内的桥接服务程序的多个消息和来自上述应用服务计算机的多个消息。
30、根据权利要求12所述的因特网保密通信方法,其特征在于,
上述防火墙隧道计算机实施持有传送层和消息处理层的桥接计算机的程序;
上述传送层生成与上述消息地址确认计算机的足够多的多个HTTP连接和与上述应用服务计算机的足够多的多个HTTP连接;
全部消息的等待时间在预先定义的等待时间值的范围内持续;
全部消息的通过量在预先定义的通过量值的范围内持续。
31、根据权利要求12所述的因特网保密通信方法,其特征在于,
多个防火墙隧道计算机与上述消息地址确认计算机进行通信;
各个防火墙隧道计算机实施使上述消息成为可能的桥接计算机程序。
32、根据权利要求1所述的因特网保密通信方法,其特征在于,
多个防火墙隧道计算机与上述消息地址确认计算机进行通信;
各个防火墙隧道计算机实施使上述消息成为可能的桥接计算机程序;
上述消息地址确认计算机实施与上述多个防火墙隧道计算机内的桥接计算机程序进行通信的桥接服务程序。
33、根据权利要求21所述的因特网保密通信装置,其特征在于,
使各计算机消息的实例成为有效的部件进一步由各个上述防火墙隧道计算机内的桥接计算机程序和上述消息地址确认计算机内的桥接服务程序构成;
上述桥接服务程序对各个上述桥接计算机程序定义发送消息缓冲器;
上述桥接服务程序对该各个上述发送消息缓冲器内的与各上述桥接计算机程序进行通信的各消息实例进行缓冲。
34、根据权利要求33所述的因特网保密通信装置,其特征在于,
上述桥接服务程序对从1个桥接计算机程序发送的多个消息进行缓冲。
35、根据权利要求21所述的因特网保密通信装置,其特征在于,
使各计算机消息的实例成为有效的部件进一步由各个上述防火墙隧道计算机内的桥接计算机程序和上述消息地址确认计算机内的桥接服务程序构成;
上述桥接服务程序可以接受由各桥接计算机程序发送的多个消息;
上述桥接服务程序对各上述桥接计算机程序定义发送消息缓冲器;
上述桥接服务程序对该各个上述发送消息缓冲器内的与各上述桥接计算机程序进行通信的各消息实例进行缓冲;
上述桥接服务程序将各消息传送给同一数量的应用程序消息队列。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/454,336 | 2003-06-04 | ||
| US10/454,336 US20040249958A1 (en) | 2003-06-04 | 2003-06-04 | Method and apparatus for secure internet communications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1759381A true CN1759381A (zh) | 2006-04-12 |
Family
ID=33489717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480006358.XA Pending CN1759381A (zh) | 2003-06-04 | 2004-06-04 | 因特网保密通信装置和通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20040249958A1 (zh) |
| JP (1) | JPWO2004111864A1 (zh) |
| CN (1) | CN1759381A (zh) |
| WO (1) | WO2004111864A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571751A (zh) * | 2010-12-24 | 2012-07-11 | 佳能It解决方案股份有限公司 | 中继处理装置及其控制方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7814208B2 (en) * | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
| US7363378B2 (en) * | 2003-07-01 | 2008-04-22 | Microsoft Corporation | Transport system for instant messaging |
| NO318887B1 (no) * | 2003-09-05 | 2005-05-18 | Paradial As | Sanntidsproxyer |
| US7360243B2 (en) | 2003-10-02 | 2008-04-15 | Adria Comm Llc | Standard based firewall adapter for communication systems and method |
| US7478424B2 (en) * | 2004-11-30 | 2009-01-13 | Cymtec Systems, Inc. | Propagation protection within a network |
| US7565395B2 (en) * | 2005-02-01 | 2009-07-21 | Microsoft Corporation | Mechanism for preserving session state when using an access-limited buffer |
| US7853956B2 (en) * | 2005-04-29 | 2010-12-14 | International Business Machines Corporation | Message system and method |
| US7983254B2 (en) * | 2005-07-20 | 2011-07-19 | Verizon Business Global Llc | Method and system for securing real-time media streams in support of interdomain traversal |
| US7706373B2 (en) * | 2006-11-01 | 2010-04-27 | Nuvoiz, Inc. | Session initiation and maintenance while roaming |
| KR101323852B1 (ko) * | 2007-07-12 | 2013-10-31 | 삼성전자주식회사 | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 |
| US9390172B2 (en) * | 2009-12-03 | 2016-07-12 | Microsoft Technology Licensing, Llc | Communication channel between web application and process outside browser |
| CN102375865B (zh) * | 2010-08-24 | 2016-08-03 | 腾讯科技(深圳)有限公司 | 一种消息客户端的消息更新方法及消息客户端 |
| CN104793506B (zh) * | 2015-04-13 | 2019-02-26 | 卢军 | 面向物联网智能家庭设备控制的可移植控制方法及系统 |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3688830B2 (ja) * | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
| JP3253542B2 (ja) * | 1996-11-22 | 2002-02-04 | 株式会社日立製作所 | ネットワーク通信システム |
| JP3736173B2 (ja) * | 1998-05-19 | 2006-01-18 | 株式会社日立製作所 | ネットワーク管理システム |
| US6233688B1 (en) * | 1998-06-30 | 2001-05-15 | Sun Microsystems, Inc. | Remote access firewall traversal URL |
| US7200684B1 (en) * | 2000-04-13 | 2007-04-03 | International Business Machines Corporation | Network data packet classification and demultiplexing |
| JP3777302B2 (ja) * | 2000-12-21 | 2006-05-24 | 富士通株式会社 | 通信振り分け制御装置、および通信振り分けプログラムを記憶した記憶媒体 |
| GB2373418A (en) * | 2001-03-16 | 2002-09-18 | Kleinwort Benson Ltd | Method and system to provide and manage secure access to internal computer systems from an external client |
| US20030046587A1 (en) * | 2001-09-05 | 2003-03-06 | Satyam Bheemarasetti | Secure remote access using enterprise peer networks |
| US20030217149A1 (en) * | 2002-05-20 | 2003-11-20 | International Business Machines Corporation | Method and apparatus for tunneling TCP/IP over HTTP and HTTPS |
-
2003
- 2003-06-04 US US10/454,336 patent/US20040249958A1/en not_active Abandoned
-
2004
- 2004-06-04 JP JP2005506926A patent/JPWO2004111864A1/ja active Pending
- 2004-06-04 WO PCT/JP2004/008183 patent/WO2004111864A1/ja active Application Filing
- 2004-06-04 CN CN200480006358.XA patent/CN1759381A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571751A (zh) * | 2010-12-24 | 2012-07-11 | 佳能It解决方案股份有限公司 | 中继处理装置及其控制方法 |
| CN102571751B (zh) * | 2010-12-24 | 2014-12-31 | 佳能It解决方案株式会社 | 中继处理装置及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004111864A1 (ja) | 2004-12-23 |
| US20040249958A1 (en) | 2004-12-09 |
| JPWO2004111864A1 (ja) | 2006-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1759381A (zh) | 因特网保密通信装置和通信方法 | |
| CN101076796B (zh) | 为漫游用户建立虚拟专用网络 | |
| CN1302634C (zh) | 网络连接系统 | |
| CN100338930C (zh) | 用于在可区分的网络之间安全交换数据的方法和转换接口 | |
| KR101650831B1 (ko) | Ip 패킷 처리 방법 및 장치, 및 네트워크 시스템 | |
| CN1645813A (zh) | 利用继承的安全属性来管理安全网络中的代理请求的系统和方法 | |
| CN101753354A (zh) | 实现网络摄像机自动配置的方法和监控系统 | |
| CN1949765A (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN1756148A (zh) | 用于网络访问的移动认证 | |
| CN1589436A (zh) | 网络化设备的访问和控制系统 | |
| CN1864389A (zh) | 用于共享网络上内容的方法和设备 | |
| CN1608362A (zh) | 认证方法 | |
| JP2017513107A (ja) | セッション共有によるセッションの自動ログインおよびログアウト | |
| CN101964800A (zh) | 一种在ssl vpn中对数字证书用户认证的方法 | |
| CN102722576A (zh) | 一种云计算环境下数据库加密保护系统和加密保护方法 | |
| CN101075991A (zh) | 实现多议题讨论组及接收消息的方法、客户端与服务器 | |
| CN1949705A (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
| CN1870551A (zh) | 一种分布式群组通信管理系统以及创建群组的方法 | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN1157664C (zh) | 具有mime数据类型过滤技术的ssl代理方法 | |
| CN1889427A (zh) | 一种安全的星形局域网计算机系统 | |
| CN1933418A (zh) | 一种应用简单网络管理协议的网络管理系统和方法 | |
| CN101030882A (zh) | 一种访问客户网络管理平台的方法 | |
| CN1901478A (zh) | 一种基于snmp的网络管理方法 | |
| CN101052034A (zh) | 传输网络事件日志协议报文的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |