CN1981496A - 连接方法、通信系统、装置和程序 - Google Patents
连接方法、通信系统、装置和程序 Download PDFInfo
- Publication number
- CN1981496A CN1981496A CNA2005800222006A CN200580022200A CN1981496A CN 1981496 A CN1981496 A CN 1981496A CN A2005800222006 A CNA2005800222006 A CN A2005800222006A CN 200580022200 A CN200580022200 A CN 200580022200A CN 1981496 A CN1981496 A CN 1981496A
- Authority
- CN
- China
- Prior art keywords
- gateway apparatus
- information processing
- processing terminal
- compartment wall
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供不需要防火墙的设定和中继服务器的设置等,可以从防火墙的外侧对内侧通信的VPN连接方法和通信系统。在经由防火墙(Firewall)(3)连接到外部网络(1)的内部网络(2),可以进行从外部网络(防火墙外)(1)朝向内部网络(防火墙内)(2)的邮件服务器(21)的电子邮件的通信,和不经由防火墙(3)的电话、无线等的通信,另外,在从防火墙外朝向防火墙内利用VPN连接进行有困难时,利用可以简单实施逆向访问的防火墙(3)的特性,利用邮件服务器、电话线路或无线线路等,在内部网络(2),经由接收来自外部网络(1)的要求VPN连接的电子邮件或来自电话线路等的控制信息等,从内部网络(2)对该电子邮件等的发送源进行VPN连接的回呼,其结果是可以从外部网络(2)通过防火墙(3)。
Description
技术领域
本发明涉及防火墙的通过技术,尤其涉及通过从外部网络访问于企业网络等的特定内部网络来用于进行的VPN(virtual private network)连接等的连接的连接方法、通信系统、装置和程序。
背景技术
已知的VPN连接,在企业网络等的内部网络和互联网等的开放的外部网络之间,设置了管理数据且在来自外部的攻击或非法访问中保护内部网络且在互联网与企业网络之间进行中继的防火墙、专用的路由器或桥接器(用于中继公司外和公司外间的连接,以及公司内和公司内间的连接的VPN网关:VPN-GW),并且通过利用与内部网络对应的笔记本个人计算机等的个人计算机(携出式(take out)PC),可从外部网络上访问内部网络,从而使互联网等的开放的外部网络作为如私用的专用网络般地利用(非专利文献1、2)。
图37表示所涉及的现有技术的例子。其网络构成是具备:防火墙兼VPN网关(Firewall&VPN-GW)30,具有认证装置(认证模块)被设在A公司的企业网络(A公司企业网络)2和互联网1之间;和A公司企业网络上的业务服务器23;另外,成为从互联网侧导入有专用的VPN软件(VPN软件)的PC,A公司的员工使用从公司携出的PC(携出式PC)102而与A公司企业网络2进行访问。
在公司外侧的携出式PC102中安装有应用程序(业务客户端应用程序),用于实现与公司内侧的业务服务器23等连接的指定业务等的处理功能,在公司内侧的业务服务器23安装有应用程序(业务服务器应用程序),对应到携出式PC102的上述业务客户端应用程序(两者的应用程序合称为业务应用程序)。另外,防火墙&VPN-GW30安装有认证模块,和具有携出式PC与业务服务器等的中继功能的应用程序(中继应用程序)。
本现有技术的VPN连接的步骤叙述如下。
对A公司员工,与携出式PC102相关联而从高阶管理者赋予对A公司企业网络访问用的规定的ID和密码,在防火墙&VPN-GW30预先进行来自该PC102的允许访问用的上述ID和密码有关的认证设定等的缺省设定处理(a)。
当A公司员工在自宅等,从A公司企业网络利用携出式PC102,使用该ID和密码对A公司企业网络2进行访问操作时,该携出式PC102进行VPN连接到防火墙&VPN-GW30,例如,根据WWW浏览器和WWW服务器间的加密和认证功能有关的协议(SSL:Secure Sokets Layer),进行加密后的VPN连接(SSL连接)(b)。
另一方面,在防火墙&VPN-GW30利用该认证模块对该访问进行认证的处理(c),在确认密码等为正确时,允许对A公司企业网络2的连接,经由VPN连接而进行数据包的地址/帧变换作业,因而使携出式PC102和业务服务器23的该业务应用程序彼此之间的双向通信成为可能。
图38是表示现有技术的另一例子的图。该网络构造具备:防火墙(Firewall)30,被设定在A公司企业网络2和互联网1之间;和与该防火墙30连接的VPN网关(VPN-GW)210和与该VPN-GW210连接的业务服务器23;还具备中继服务器(虚拟HUB、SIP服务器等)101,在互联网侧内置VPN-GW,用进行携出式PC102和互联网2的VPN连接。
在公司外侧的携出式PC102中安装有:业务客户端应用程序,用于与公司内侧的业务服务器23等连接,由此实现规定业务等的处理功能;中继应用程序,用于对该业务客户端应用程序进行VPN连接的中继;应用程序(设定应用程序),用进行与VPN-GW210的VPN连接的设定。另外,在公司内侧的业务服务器23安装有应用程序(业务服务器应用程序),对应到携出式PC102的该业务客户端应用程序。另外,在VPN-GW210安装有:设定应用程序,用进行与携出式PC102的VPN连接的设定;和中继应用程序,用进行对业务服务器23的该业务服务器应用程序的VPN连接的中继。另外,在虚拟集线器(HUB)101安装有认证模块和中继应用程序。
本现有技术的VPN连接的步骤如下所述。
预先进行从VPN-GW210对中继服务器101的VPN连接(a)。当从携出式PC102利用设定应用程序和中继应用程序,对中继服务器101进行VPN连接的访问操作时,中继服务器101对该访问进行认证(c),在正确的情况下中继来自VPN-GW210的VPN连接和来自携出式PC102的VPN连接(b),使两者进行连接,从而建立携出式PC102和VPN-GW210之间的VPN连接。使用这些被中继的2个VPN连接,通过中继应用程序,可以进行携出式PC102与业务服务器23等之间的业务应用程序间的通信。
图39表示现有技术的其他另一例子。其网络构造与图38相同,具备:防火墙(Firewall)30,被设在A公司企业网络2和互联网1之间;和在A公司企业网络上的与防火墙30连接的与UPnP对应的VPN网关(VPN-GW)220和业务服务器23;还具备目录服务器等的中继服务器103,用进行内置有互联网侧的VPN-GW的携出式PC102与A公司企业网络2的VPN-GW220之间的VPN连接。
在公司内侧的业务服务器23安装有业务服务器应用程序,在VPN-GW220安装有:设定应用程序,用进行VPN连接的设定;和UPnP应用程序,取得对被连接的机器接受泛用型随插即用(UPnP)通告所需要的设定信息,以对防火墙30进行开孔设定等;和中继应用程序,对业务服务器23的该业务服务器应用程序进行VPN连接的中继。在目录服务器103安装有认证模块,更在公司外侧的携出式PC102安装有:设定应用程序,以用进行VPN连接的设定;业务客户端应用程序,以对应到该业务服务器23等;和中继应用程序,用于对业务应用程序的彼此连接和VPN连接进行中继。
本现有技术的VPN连接的步骤如下所述。
防火墙30被预先设定成对连接在企业网络内的VPN-GW220等的UPnP对应机器,以IP广播来发送防火墙本身的地址信息或访问的操作步骤等的信息,由此进行UPnP通告。
VPN-GW220在连接到A公司企业网络时,接受来自防火墙30的UPnP通告(a),从所接收的信息取得用以设定防火墙30的防火墙30本身的设定用地址,同时预先从VPN-GW220向中继服务器103扩展连接(b)。
当从携出式PC102利用VPN软件使连接延伸到中继服务器103时(c),中继服务器103进行携出式PC102的认证,在正确的情况下,中继来自VPN-GW220的连接和来自携出式PC102的连接,使两者进行连接(d)。
其次,介由从携出式PC102经由中继服务器103对VPN-GW220中继的该连接间的连接,而进行VPN连接的请求(VPN连接请求)(e)时,VPN-GW220使用以UPnP通告获得的设定用地址,对防火墙30进行开孔设定(f),同时在设定完成时,经由被中继的该连接间的连接而通知对携出式PC102侧开孔设定的完成。当携出式PC102接收到开孔设定完成的通知时,对VPN-GW220,根据该开孔设定的结果进行可以从外部通过防火墙30的新的VPN连接(g),经由该VPN连接(g),可以进行业务应用程序彼此间的通信。
非专利文献1:「SSL-VPN Appliance Multi-application Portable SAFEB ORDER AP100」(平成16年6月8日检索)<URL:http://ccsd.biglobe.ne.jp/security/lineup/SAFEB ORDER/#top>
非专利文献2:「SoftEther.com-SoftEther Webpage安全简单·高性能的VPN SoftEther Virtual Ethernet System」[平成16年6月8日检索]、Internet<URL:http://www.softether.com/jp/>。
在图37所示的现有技术中,因为防火墙的管理是在企业网络管理部门的高阶管理者(防火墙管理者)的严格管理下,所以A公司员工假如没有防火墙管理者的许可时,不能进行防火墙的设定以从公司外进行访问。亦即,该设定需要获得防火墙管理者的承认,需要严格烦杂的承认手续。另外,在该设定时亦需要高度的技术,使作业变为困难且费事。
另一方面,图38所示的现有技术不需要进行严格的承认手续等所须的防火墙的设定,可以简单地进行与公司外的VPN连接(VPN构建)。但是,在该现有技术中,必需在公司外设置中继服务器,在该中继服务器的设置时,需要全局(global)IP地址的取得和服务器设置场所的确保等。
另外,在1个全局IP地址的取得时,必须获得来自规定机关的正式承认,必须有包含申请人确认等的申请手续,因此需要更困难烦杂的手续。另外,在中继服务器的利用时,大多的情况由于携出式PC等的VPN应用,需要很大的数据收发,使中继服务器的数据传送等的负担变成极大,另外,在利用业者现有的中继服务器的情况下,有由于数据传送量而产生极大费用的问题。
相对于此,在图39所示的现有技术中,利用防火墙的开孔设定,使用VPN连接不需要经由中继服务器即可实现本来的资料传送,所以可以减轻设置在公司外的中继服务器等的数据传送量等的负担,故为近年来普及的通信系统。但是,不仅需要将UPnP通告的程序导入到防火墙等的UPnP对应,而且更需要中继服务器的点为其问题。
发明内容
本发明的目的用于解决上述问题,提供不需要防火墙的设定和中继服务器的设置等,就可以进行来自防火墙外侧的连接请求由此与内侧通信的连接方法、通信系统、装置和程序。
本发明的连接方法,用于进行外部网络上的信息处理终端、与经由防火墙连接于所述外部网络的内部网络上的网关装置之间的连接,所述连接方法包括:通过从所述外部网络上的信息处理终端可对所述内部网络进行访问的机构来请求连接的步骤;和对于所述连接请求,所述网关装置对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼(CALL-BACK)进行连接请求的步骤。
另外,一种连接方法,用于进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置(例如图1的20)之间的连接(例如VPN连接),所述连接方法包括:从外部网络的信息处理终端,对邮件服务器发送请求连接的控制邮件的步骤;和对于所述控制邮件,内部网络的网关装置经由所述防火墙对所述控制邮件的发送源进行连接的回呼的步骤。
另外,装置对所述邮件服务器定期地查询控制邮件的接收的步骤;取得所接收的控制邮件并进行认证的步骤;和在认证为正确的情况下,根据控制邮件对信息处理终端进行连接的步骤。
另外,包括:从外部网络的信息处理终端经由电话线路,对内部网络的所述网关装置(例如图1的20)发送请求连接(例如VPN连接)的控制信息的步骤;和对于控制信息的发送,内部网络的网关装置经由所述防火墙对所述控制信息的发送源进行连接(例如VPN连接)的回呼的步骤。或者包括:从外部网络的信息处理终端经由无线线路,对内部网络的所述网关装置发送请求连接的控制信息的步骤;和对于所述控制信息的发送,内部网络的网关装置经由所述防火墙对所述控制信息的发送源进行连接的回呼的步骤。
另外,包括:内部网络的网关装置对所述控制信息进行认证的步骤;和在认证为正确的情况下,根据控制信息对信息处理终端进行连接的步骤。
另外,所述网关装置的特征在于,所述网关装置在所述内部网络上存在多个,或者在所述内部网络上对于向所述内部网络的访问得到允许者的每一个存在所述网关装置,或者在所述内部网络上对于向所述内部网络的访问得到允许的多者存在一台所述网关装置。
另外,所述防火墙的特征在于在所述内部网络上存在多个。
另外,该控制邮件的特征在于通知利用UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
另外,该控制邮件的特征在于通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
本发明的通信系统,进行外部网络上的信息处理终端、与经由防火墙连接于所述外部网络的内部网络上的网关装置之间的连接,所述通信系统,通过从所述外部网络上的信息处理终端可对所述内部网络访问的机构请求连接,对于所述连接请求,所述网关装置对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼进行连接请求,由此进行所述信息处理终端和所述网关装置之间的连接。
另外,一种通信系统,进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,所述信息处理终端对邮件服务器发送请求连接的控制邮件,所述网关装置从所述邮件服务器取得控制邮件,并根据所述控制邮件经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端与所述网关装置之间的连接。
另外,一种通信系统,其特征在于,所述网关装置在所述内部网络上存在多个,或者在所述内部网络上对于向所述内部网络的访问得到允许者的每一个存在所述网关装置,或者在所述内部网络上对于向所述内部网络的访问得到允许的多者存在一台所述网关装置。
另外,一种通信系统,其特征在于,所述防火墙在所述内部网络上存在多个。
另外,一种通信系统,其特征在于,该控制邮件通知通过UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
另外,一种通信系统,其特征在于,该控制邮件通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
另外,本发明的网关装置和信息处理终端具有以下的机构(功能)。
亦即,所述网关装置具有:接受来自外部网络上的信息处理终端的请求连接的访问的功能;和在经由该防火墙对所述访问进行了所述连接请求的信息处理终端,利用回呼进行连接请求,由此进行与该信息处理终端的连接的功能;另外,对于该访问机构,该网关装置具有:定期地对所述邮件服务器查询自己成为收件人的电子邮件的接收的功能;或所述网关装置是与该邮件服务器兼用的装置,具有:在邮件服务器的电子邮件的每次接收时判别该电子邮件是否为控制邮件的功能、取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能、和对于控制邮件的认证功能。是否为控制邮件是依照预定的任意字符串是否包含在邮件的本文或目录而判断。
另外,该信息处理终端,通过从所述外部网络的终端可对所述内部网络访问的机构请求连接,对于所述连接请求使所述网关装置经由所述防火墙进行连接的回呼,由此进行与所述网关装置的连接。另外,所述信息处理终端,经由电话线路向所述网关装置发送请求连接的控制信息,所述网关装置根据所述控制信息经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端与所述网关装置之间的连接,或者,所述信息处理终端,经由无线线路对所述网关装置发送请求连接的控制信息,所述网关装置根据该控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端和所述网关装置之间的连接。所述网关装置根据通过发送者号码通知所取得的所述信息处理终端的电话号码,或通过所述控制信息进行认证。
本发明的控制程序,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:接受从所述信息处理终端请求连接的访问的功能;和对于所述连接请求,对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼进行连接请求的功能。
另外,该程序使所述网关装置的控制部实现:从邮件服务器取得从所述信息处理终端发送的请求连接的控制邮件的功能;和根据该控制邮件,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
另外,该程序包括可实现下列功能的程序:对所述邮件服务器定期地查询自己成为收件人的电子邮件的接收的功能;取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能;和对于控制邮件的认证功能。
另外,该程序包括可实现下列功能的程序:作为与所述邮件服务器的兼用功能的、邮件服务器的电子邮件的每次接收时,判别所述电子邮件是否为控制邮件的功能;和对于控制邮件的认证功能。
另外,该程序是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:接收从所述信息处理终端经由电话线路发送的请求连接的控制信息的功能;和根据所述控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
另外,该程序包括可实现下列功能的程序:根据通过来自所述信息处理终端的发送者号码通知所取得的电话号码进行认证的功能。
另外,该程序系是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:接收从所述信息处理终端经由无线线路发送的请求连接的控制信息的功能;和根据该控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
另外,该程序包括可实现下列功能的程序:通过所述控制信息进行认证的功能;和在认证为正确的情况下,对所述信息处理终端进行连接的功能。
另外,该程序是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:通过可对所述内部网络访问的机构来请求连接的功能;和对于所述连接请求,使所述网关装置通过回呼对经由所述防火墙进行了所述连接请求的信息处理终端,进行连接请求的功能。
另外,该程序使所述信息处理终端的控制部实现:将请求连接的控制邮件发送到邮件服务器的功能;和使所述网关装置根据所述邮件服务器的控制邮件,经由所述防火墙进行连接的回呼的功能。
另外,该程序是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:经由电话线路发送请求连接的控制信息的功能;和使所述网关装置根据所述控制信息,经由所述防火墙进行连接的回呼的功能。
另外,该程序是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:经由无线线路发送请求连接的控制信息的功能;和使所述网关装置根据所述控制信息,经由所述防火墙进行连接的回呼的功能。
另外,所述控制邮件的特征在于通知通过UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
另外,所述控制邮件的特征在于通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
在内部网络上设置在与外部网络的连接点的防火墙中,可以利用电子邮件进行从防火墙外(外部网络)朝向防火墙内(内部网络)的邮件服务器的访问,或不经防火墙的电话、无线等的访问。另外,基于从防火墙外朝向防火墙内的连接的访问成为极困难,但是防火墙具有可以简单地实施利用逆向连接的访问的特性。因此,利用邮件服务器、电话线路或无线线路等的访问机构,在内部网络接受来自外部网络的请求连接的控制用电子邮件或控制信息等的访问,进行从内部网络连接到该电子邮件等的发送源的回呼,其结果是可以从外部网络通过(例如VPN连接)防火墙。
(发明的效果)
依照本发明,要从防火墙内朝向防火墙外连接时,不需要防火墙本身的设定操作,使信息处理终端(携出式PC)和网关装置经由防火墙直接连接,所以不需要防火墙的设定和中继服务器的设置等,可以解决防火墙管理者的承认、全局IP地址的取得、和由于数据传送量所产生的费用等的所有问题。
通过将控制用的电子邮件的连接请求发送到防火墙内,其结果是可以实现从防火墙外连接到防火墙内。尤其在利用电子邮件连接时,因为不使用电话线路,所以不需要额外的通信费为其显著的优点。
另外,利用电话线路或无线线路来取代电子邮件,将连接请求的控制信息发送到防火墙内,结果可以实现从防火墙外连接到防火墙内。
另外,本发明的网关装置可以在企业网络内,对例如每一个公司员工或每多名公司员工(例如,每2~50或2~100名的公司员工1台)设置,对来自防火墙外的访问进行认证,该认证用的ID、密码的设定在该网关装置对每公司员工等可以改写,一方面可确保安全性,一方面以比较简易的形式,利用携出式PC从公司外进行连接,故可实现高便利性的通信系统。
附图说明
图1是表示本发明的第1实施方式的网络构造的图。
图2是表示第1实施方式的动作的步骤的图。
图3是表示第1实施方式的网关装置的动作流程图。
图4是表示作为具体化的第2实施方式的VPN连接的例子的图。
图5是表示作为具体化的第3实施方式的IP电话用的VPN连接的例子的图。
图6是表示本发明的第4实施方式的网络构造的图。
图7是表示被安装在第4实施方式的软件等与协议上的通信处理的图。
图8是表示第4实施方式的动作的的步骤的图。
图9是表示第4实施方式的网关装置的动作流程图。
图10是表示本发明的第5实施方式的网络构造的图。
图11是表示被安装在第5实施方式的各个装置的软件等和协议上的通信处理的图。
图12是表示第5实施方式的动作的步骤的图。
图13是表示第5实施方式的网关装置的动作流程图。
图14是表示本发明的第6实施方式的网络构造的图。
图15是表示被安装在第6实施方式的各个装置的软件等和协议上的通信处理的图。
图16是表示第6实施方式的动作的步骤的图。
图17是表示第6实施方式的网关装置的动作流程图。
图18是表示本发明的第7实施方式的网络构造的图。
图19是表示被安装在第7实施方式的各个装置的软件等和协议上的通信处理的图。
图20是表示第7实施方式的动作的步骤的图。
图21是表示第7实施方式的网关装置的动作流程图。
图22是表示本发明的第8实施方式的网络构造的图。
图23是表示被安装在第8实施方式的各个装置的软件等和协议上的通信处理的图。
图24是表示第8实施方式的动作的步骤的图。
图25是表示第8实施方式的网关装置的动作流程图。
图26是表示本发明的第9实施方式的网络构造的图。
图27是表示第9实施方式的动作的步骤的图。
图28是表示第9实施方式的网关装置的动作流程图。
图29是表示本发明的第10实施方式的网络构造的图。
图30是表示第10实施方式的动作的步骤的图。
图31是表示第10实施方式的网关装置的动作流程图。
图32是表示本发明的第11实施方式的网络构造的图。
图33是表示第11实施方式的动作的步骤的图。
图34是表示第11实施方式的网关装置的动作流程图。
图35是表示本发明的第12实施方式的携出式PC的构成图。
图36是表示本发明的第12实施方式的网关装置的构成图。
图37是表示现有技术的例子的图。
图38是表示现有技术的另一例子的图。
图39是表示现有技术的其他另一例子的图。
图40表示本发明的第13实施方式的网络构造的图。
图41是表示被安装在第13实施方式的软件等和协议上的通信处理的图的一部分。
图42是表示被安装在第13实施方式的软件等和协议上的通信处理的图的一部分。
图43是表示被安装在第13实施方式的软件等和协议上的通信处理的图的一部分。
图44是表示第13实施方式的动作的步骤的图。
图45是表示本发明的第14实施方式的网络构造的图。
图46是表示被安装在第14实施方式的软件等和协议上的通信处理的图的一部分。
图47是表示被安装在第14实施方式的软件等和协议上的通信处理的图的一部分。
图48是表示被安装在第14实施方式的软件等和协议上的通信处理的图的一部分。
图49表示第14实施方式的动作的步骤的图。
图50是表示本发明的第15实施方式的网络构造的图。
图51是表示被安装在第15实施方式的软件等和协议上的通信处理的图的一部分。
图52是表示被安装在第15实施方式的软件等和协议上的通信处理的图的一部分。
【符号说明】
1 互联网
2 企业网络
3 防火墙
4 防火墙
5 部门企业网络
6 防火墙
7 家庭内LAN
10 信息处理终端
11 公司外SMTP
12 携出式PC(信息处理终端的一种形态)
13 公司外POP服务器
20 网关装置
21 公司内POP服务器
22 网关装置(IP电话用)
23 业务服务器
24 公司内POP服务器兼网关装置
25 网关装置(对应到电话线路)
26 网关装置(对应到无线线路)
27 集线器
28 集线器
30 防火墙&VPN-GW(具有网关功能的防火墙)
51 集线器
71 集线器
101 中继服务器(虚拟HUB)
102 携出式PC(信息处理终端的一种形态)
103 中继服务器(目录服务器、SIP服务器)
210 VPN网关(VPN-GW)
220 VPN网关(对应到UPnP)
1001 输入部(携出式PC)
1002 存储部(携出式PC)
1003 访问机构(携出式PC)
1004 接口部(携出式PC)
1005 记录介质(携出式PC)
1006 控制部(CPU)(携出式PC)
2001 输入部(网关装置)
2002 存储部(网关装置)
2003 访问机构(网关装置)
2004 接口部(网关装置)
2005 记录介质(网关装置)
2006 控制部(CPU)(网关装置)
A1 业务客户端应用程序(携出式PC)
A2 中继服务器应用程序(携出式PC)
A3 控制邮件发送应用程序(携出式PC)
A4 SSL(携出式PC)
A5 TCP(携出式PC)
A6 IP路由(携出式PC)
A7 IP堆栈(Private IP)(携出式PC)
A8 虚拟驱动程序(携出式PC)
A9 虚拟NIC(携出式PC)
A10 SSL(携出式PC)
A11 TCP(携出式PC)
A12 IP堆栈(Global IP)(携出式PC)
A13 驱动程序(携出式PC)
A14 NIC(携出式PC)
A15 SSL(携出式PC)
A16 TCP(携出式PC)
A21 送受话器(携出式PC)
A22 IP电话服务器应用程序(携出式PC)
A23 UPnP客户端应用程序(防火墙)
A24 TCP(防火墙)
B1 控制邮件接收应用程序(网关装置)
B2 中继客户端应用程序(网关装置)
B3 SSL(网关装置)
B4 TCP(网关装置)
B5 IP路由(网关装置)
B6 IP堆栈(Private IP)(网关装置)
B7 桥接器(网关装置)
B8 驱动程序(网关装置)
B9 NIC(网关装置)
B10 SSL(网关装置)
B11 TCP(网关装置)
B12 虚拟驱动程序(网关装置)
B13 虚拟NIC(网关装置)
B14 认证模块(网关装置)
B15 驱动程序(网关装置)
B16 NIC(网关装置)
B21 送受话器(网关装置)
B22 IP电话客户端应用程序
C1 业务服务器应用程序
C2 SSL(业务服务器)
C3 TCP(业务服务器)
C4 IP路由(业务服务器)
C5 IP堆栈(Private IP)(业务服务器)
C6 驱动程序(业务服务器)
C7 NIC(业务服务器)
D1 SMTP服务器应用程序(SMTP服务器)
D2 SSL(SMTP服务器)
D3 TCP(SMTP服务器)
D4 IP路由(SMTP服务器)
D5 IP堆栈(Global IP)(SMTP服务器)
D6 驱动程序(SMTP服务器)
D7 NIC(SMTP服务器)
E1 POP服务器应用程序(POP服务器)
E2 SSL(POP服务器)
E3 TCP(POP服务器)
E4 IP路由(POP服务器)
E5 IP堆栈(Global IP)(POP服务器)
E6 驱动程序(POP服务器)
E7 NIC(POP服务器)
F1 IP路由(防火墙)
F2 IP堆栈(Global IP)(防火墙)
F3 驱动程序(防火墙)
F4 NIC(防火墙)
F5 IP堆栈(Private IP)(防火墙)
F6 驱动程序(防火墙)
F7 NIC(防火墙)
F8 UPnP服务器应用程序(防火墙)
F9 TCP(防火墙)
P1 连接(A3→D1)
P2 连接(D1→F1)
P3 连接(B1→E1)
P4 VPN连接(B2→A2)
P5 连接(A1→A2)
P6 连接(B2→C1)
P7 连接(B1→B14)
P8 连接(A23→F8)
具体实施方式
下面以VPN连接为例来说明本发明的连接方法、通信系统、装置及程序。
(第1实施方式)
(构造的说明)
图1表示本发明的第1实施方式的网络构成。包括互联网1、企业网络(A公司企业网络)2、和被设置在互联网1和A公司企业网络2之间的防火墙(Firewall)3,在A公司企业网络2具备网关装置20,其安装有对象应用程序,并且经由集线器(HUB)与该防火墙3而连接,依照连接请求进行对互联网侧的连接;在互联网侧具备信息处理终端10,可由A公司员工(被允许对A公司企业网络进行访问者)从A公司携出,安装有请求与网关装置20的连接的设定应用程序(亦称为连接请求应用程序)和接受来自网关装置20的连接而进行处理的对象应用程序等的专用软件,并且具有用于进行对网关装置20的连接请求的访问机构。另外,本发明的防火墙3亦可由代理(Proxy)服务器所构成。此在以下的实施方式亦同。
在此处的信息处理终端10是笔记型PC等的可携式终端,当在互联网1内使用的情况下,可以设置在图1所示的信息处理终端10的位置而使用,当在A公司企业网络2内使用的情况下,可取代网关装置20而设置在图1所示的该网关装置20的位置上使用。在A公司企业网络2内使用的情况下,使用于经由集线器(HUB)等与上述防火墙3或互联网内的业务服务器等的通信,另外,在互联网上(企业网络外)使用时,经由上述HUB等将上述网关装置20设置在A公司企业网络2内,经由上述防火墙3等设定上述网关装置20和上述信息处理终端10的连接,可以用来进行两者间的通信。
在本实施方式中,被安装在公司外侧的信息处理终端10的连接请求应用程序,是利用可从互联网上对防火墙内访问的机构(访问机构)进行连接请求的软件,例如可使用经由防火墙访问的电子邮件的发送用的应用程序,或不经由防火墙而可访问的电话线路、无线线路等的发送用的应用程序等。另一方面,安装于网关装置20的对象应用程序对于来自公司外侧的信息处理终端10的连接请求的访问,可建立经由防火墙的连接。另外,对象应用程序方面,除了互联网和企业网络的帧(frame)的变换处理软件的VPN用封装化(中继客户端应用程序、中继服务器应用程序等)的外,VPN用地址变换、Web代理、IP电话、视频流(video streaming)、文件服务器、文件传送协议(FTP)、文件交换等的各种应用程序亦可适用。
利用信息处理终端10的连接请求应用程序,在网关装置20上进行连接请求(a)的访问,对于该访问,网关装置20利用对象应用程序建立与信息处理终端10之间的连接(b)。
以下,在本发明的各种应用程序中,客户端(client)是指请求连接侧的应用程序,服务器(server)是指接受连接侧的应用程序。
(动作说明)
图2表示本实施方式的动作的步骤。本实施方式的动作将说明如下。
(1)A公司员工利用信息处理终端10的连接请求应用程序,经由电子邮件或电话线路等的访问机构,对网关装置20(在访问机构为电子邮件的时,为对A公司员工本身的邮件地址)进行连接请求。在此处的连接请求附加有表示连接请求的访问的识别用信息,信息处理终端10的IP地址等,从被设置在A公司企业网络侧的网关装置对信息处理终端10连接的必要信息(a)。
(2)网关装置20在接受连接请求的访问时,根据连接用的应用程序的连接请求所含的信息,而建立连接到连接请求源的IP地址等(b)。在此种情况,因为建立从A公司企业网络2内朝向互联网1的连接,所以不需特别设定防火墙3而可以通过。
(3)在连接建立后到该连接被断开为止,在信息处理终端10和A公司企业网络内的网关装置20之间,可以进行对象应用程序彼此间的双向通信。
图3表示第1实施方式的网关装置的动作流程图。网关装置20等待接受来自其它机器的访问(步骤S1,S2),当接受访问时(步骤S2,是),判断该访问的识别信息(步骤S3,S4)。在为连接请求的访问的情况(步骤S4,是),网关装置20根据该连接请求所含的信息,以进行连接到连接请求源的信息处理终端10的IP地址(S5)。在该连接后到该连接被断开为止,信息处理终端10在与网关装置20或A公司企业网络内的连接机器之间,可进行对象应用程序彼此间的通信。在步骤S4当没有连接请求的情况下(否),成为等待接受状态(步骤S1,S8)。
依照上述方式的本发明,并不变更防火墙3或其网关的设定,并且不在公司外网络设置中继服务器,对于来自公司外网络的互联网1的请求,可完成从A公司企业网络2对互联网1的连接,所以不会有防火墙管理者的承认手续或中继服务器的设置利用所伴随的难题。
(第2实施方式)
图4是表示比第1实施方式更具体化的实施方式,具有作为对象应用程序的中继连接功能(中继应用程序)的VPN连接的例子的图。虽然本实施方式的构造与图1所示的实施方式相同,但是在A公司企业网络2具备网关装置20,所述网关装置20经由HUB连接到防火墙3,并且安装有:设定应用程序,以根据来自互联网侧的连接请求,进行对互联网侧的连接;和具有与A公司企业网络2内的机器的中继连接功能的中继应用程序等的对象应用程序,信息处理终端10经由该网关装置20形成与企业网络2内的机器的一、例如业务服务器23、的连接,可进行两者的业务应用程序彼此间的通信。
信息处理终端10除了连接请求应用程序和业务应用程序外,亦具有该业务应用程序及网关装置侧的中继用的应用程序(称为中继服务器应用程序),网关装置20具有信息处理终端10侧与业务服务器21的中继用应用程序(称为中继客户端应用程序)。
本实施方式的动作如下所述。利用信息处理终端10的连接请求应用程序进行对网关装置20的连接请求(a)的访问,对于该访问,网关装置20利用中继客户端应用程序对信息处理终端10进行VPN连接(b)。其次,网关装置20利用中继客户端应用程序,使业务服务器23到信息处理终端10的数据包、和从信息处理终端10到业务服务器23的数据包,通过VPN连接(b)之中而中继,因而可在信息处理终端10的业务客户端应用程序和业务服务器23的业务服务器应用程序之间进行业务应用程序彼此间的双向通信。
(第3实施方式)
图5是表示比第1实施方式更具体化的实施方式,表示在使用有作为对象应用程序的IP电话应用程序的情况下,作为信息处理终端10与网关装置22间的连接例的IP电话用的VPN连接例的图。网关装置22在图4所示的网关装置20中连接送受话器或电话机。本实施方式的构造与图1所示的实施方式相同,但是信息处理终端10和网关装置22分别具有IP电话用的对象应用程序,和形成与IP电话用的送受话机或电话机(称为送受话器)连接,经由信息处理终端10和网关装置22连接时,可使利用IP电话进行通话成为可能。信息处理终端10具有连接请求应用程序和IP电话用的对象应用程序,网关装置22具有连接受理应用程序(控制邮件接收应用程序等)和与信息处理终端10侧的IP电话用的对象应用程序。
本实施方式的动作如下所述。利用信息处理终端10的连接请求应用程序,经由电子邮件或电话线路、无线线路等,对网关装置22进行连接请求(a)的访问,对于该访问,网关装置22利用IP电话应用程序进行与信息处理终端10的连接(b)。当建立信息处理终端10和网关装置22之间的连接时,可以进行两者的送受话机间的通信。
(第4实施方式)
(构造的说明)
图6表示本发明的第4实施方式的网络构造。包括互联网1、企业网络(A公司企业网络)2、和被设置在互联网1和A公司企业网络2之间的防火墙(Firewall)3,在A公司企业网络2具备:与互联网侧的VPN连接用的网关装置20,分别经由集线器(HUB)与该防火墙3连接;和业务服务器23,经由集线器(HUB)与所述网关装置20连接,在互联网侧具备:电子邮件发送用的SMTP服务器(公司外SMTP服务器)11;电子邮件接收用的POP服务器(公司外POP服务器)13;和个人计算机等的信息处理终端(称为携出式PC)12,可以由A公司员工从A公司携出。携出式PC12是第1~第3实施方式的信息处理终端10的一种形态。
在此处的网关装置20可以设置在企业网络内的任何位置,代表性者可以在公司员工的办公室或部门的服务器机器中,每一个公司员工或每数个公司员工(例如,每2~50名或2~100名的公司员工)设置1台。另外,携出式PC12在A公司企业网络内使用时,经由集线器(HUB)连接到所述防火墙3和所述业务服务器23而使用,当在互联网上(企业网络外)使用时,使该网关装置20经由HUB而和A公司企业网络2的该防火墙3和该业务服务器23等连接,经由在网关装置20和携出式PC12之间设定VPN连接,可进行该业务服务器23与携出式PC12之间的通信。
图7是表示安装在本实施方式的各个装置的软件等,和协议上的通信处理的图。
在本实施方式的携出式PC12、网关装置20、SMTP服务器11、POP服务器13、业务服务器23、和防火墙3分别具有:规定的OS、实现各种功能的应用程序、及进行该各个OS间的通信的硬件的网络适配卡(NIC:network interface card)、软件的驱动程序,携出式PC12和网关装置20还具有软件的虚拟驱动程序和虚拟NIC。
图7表示以携出式PC12和网关装置20建立VPN连接,以在携出式PC12和业务服务器23之间进行公司内业务的通信处理等的例子,携出式PC12安装有该公司内业务的应用程序(称为业务客户端应用程序)A1、业务服务器23安装有对应的应用程序(称为业务服务器应用程序)C1。另外,携出式PC12和网关装置22安装有可以从互联网上对防火墙内访问的电子邮件的收发软件,包括:实现各电子邮件的发送功能的应用程序(称为控制邮件发送应用程序)A3和用以实现电子邮件的接收功能(称为控制邮件接收应用程序)B1、对业务客户端应用程序A1实现中继功能的应用程序(称为中继服务器应用程序)A2、及对业务服务器应用程序C1实现中继功能的应用程序(称为中继客户端应用程序)B2。
业务客户端应用程序A1是进行与业务服务器应用程序C1的双向通信的应用程序。业务客户端应用程序A1的代表性者,可使用WEB浏览器软件,此时的业务服务器应用程序C1可以使用WEB服务器应用程序。业务客户端应用程序A1除了WEB浏览器软件外,亦可使用TELNET客户端软件、FTP客户端软件、会计客户端软件、文件共享客户端软件、数据库客户端软件等的各种的应用程序。在此种情况,业务服务器应用程序C1,亦对应于业务客户端应用程序A1,而可使用TELNET服务器软件、FTP服务器软件、会计服务器软件、文件共享服务器软件、数据库服务器软件等。
中继服务器应用程序A2进行以下所举例的动作。
(1)将从虚拟NICA9到达的帧作为数据来承载在基于中继服务器应用程序A2和中继客户端应用程序B2之间的VPN连接P4所成的通信中,而传送到SSLA10。
(2)将从SSLA10承载在基于VPN连接P4的通信中而到达的数据,作为帧而传送到虚拟NICA9。
(3)利用控制邮件发送应用程序A3,而接受VPN连接P4的通信的连接等待的命令,在连接P4的连接完成后,通知控制邮件发送应用程序A3。
(4)利用控制邮件发送应用程序A3,接受以VPN连接P4的通信的断开命令,对中继客户端应用程序B2发送断开信号。
控制邮件发送应用程序A3进行以下所举例的动作。
(1)当接受到使用者的连接命令时,作成和发送连接请求用的控制邮件,交给SSLA15。该邮件经由连接P4的通信,被传送到SMTP服务器应用程序D1。同时,对中继服务器应用程序A2发出连接等待命令,以等待利用VPN连接P4的通信连接。
(2)当接受到来自使用者的断开命令时,对中继服务器应用程序A2通知断开命令。
SMTP服务器应用程序D1所具有的功能是依照SMTP协议(送信邮件转移协议:Send Mail Transfer Protocol),将到达的电子邮件,传送到适当的SMTP服务器或POP服务器。在图7中是从SMTP服务器D1,直接对POP服务器E1传送邮件,但是亦存在在D1和E1之间设置其它的SMTP服务器,经由数次的传送而到达POP服务器E1的情形。在图7中,来自控制邮件发送应用程序A3的连接P1而到达的邮件,参照收件人的邮件地址,使用连接P2传送到POP服务器E1。
POP服务器应用程序E1进行以下所举例的动作。
(1)保管从SMTP服务器D1经由连接P2而到达的电子邮件。
(2)在请求经由来自控制邮件接收应用程序B1的连接P3所保管的电子邮件(保管电子邮件)的列表的情况下,利用连接P3传送所保管的电子邮件列表。
(3)藉来自控制邮件接收应用程序B1的连接P3,当获得指定电子邮件的一部分的接收要求时,利用连接P3传送被指定的电子邮件(指定电子邮件)。
(4)藉来自控制邮件接收应用程序B1的连接P3,当获得将指定电子邮件的一部分删除的请求时,删除被指定的电子邮件。
(5)藉来自控制邮件接收应用程序B1的连接P3,当获得所保管全部电子邮件(全部的保管电子邮件)的一起接收请求的情况下,利用连接P3传送全部的保管电子邮件。
(6)藉来自控制邮件接收应用程序B1的连接P3,当获得全部的保管电子邮件的一起删除请求的情况下,删除全部的保管电子邮件。
控制邮件接收应用程序B1进行以下所举例的动作。
(1)对POP服务器应用程序E1,定期地经由连接P3而请求保管电子邮件的列表。在列表中包括控制邮件的时,经由连接P3对POP服务器应用程序E1,利用指定的电子邮件的一部分接收要求,在进行控制邮件的接收要求的同时,利用指定电子邮件的一部分删除请求而删除该控制邮件。
(2)在控制邮件中未包括连接请求的情况下,对中继客户端应用程序B2发出命令,在邮件中所含的收件人(在图7中为中继服务器应用程序A2)设定VPN连接P4的通信。
中继客户端应用程序B2进行以下所举例的动作。
(1)利用控制邮件接收应用程序B1接受连接命令,对连接命令中所含的目标方(在图7中为A2)设定VPN连接P4的通信。
(2)将从虚拟NICB13到达的帧作为数据作为数据,承载在基于中继服务器应用程序A2和中继客户端应用程序B2之间VPN连接P4的通信中,而传送到SSLB10。
(3)将从SSLB10承载在基于VPN连接P4的通信中而到达的数据作为帧,而传送到虚拟NICB13。
(4)利用中继服务器应用程序A2,经由VPN连接P4的通信接收到断开信号时,结束VPN连接P4的通信,并通知控制邮件接收应用程序B1。
业务服务器应用程序C1是与业务客户端应用程序A1进行双向通信的应用程序。业务服务器应用程序C1,其代表性者可使用WEB服务器应用程序。业务服务器应用程序C1,对应于业务客户端应用程序A1,亦可使用TELNET服务器软件、FTP服务器软件、会计服务器软件、文件共享服务器软件、数据库服务器软件等的各种的应用程序。
另外,在本实施方式中,电子邮件的发送侧和接收侧的邮件服务器的SMTP服务器11和POP服务器13均可以被设置作为公司外服务器,分别安装有SMTP服务器应用程序和POP服务器应用程序,以作为用实现电子邮件的中继和接收的功能的应用程序。另外,公司外服务器13除了公司外POP服务器的外,亦可利用邮件新闻服务器、DNS服务器、SIP服务器、布告板(www)服务器、FTP服务器等,而不拘限于只利用防火墙3从公司内访问。
其次,包含于OS的软件方面,携出式PC12具备:SSLA4、SSLA10、SSLA15、TCPA5、TCPA11、TCPA16、IP路由A6、IP堆栈(Private IP)A7、IP堆栈(Global IP)A12的各个模块。
网关装置20,在包含于OS的软件方面,具备SSLB3、SSLB10、TCPB4、TCPB11、IP路由B5、IP堆栈(Private IP)B6、桥接器B7的各个模块。
SMTP服务器11,在包含于OS的软件方面,具备SSLD2,TCPD3、IP路由D4、IP堆栈(Global IP)D5的各个模块。
POP服务器13,在包含于OS的软件方面,具备SSLE2、TCPE3、IP路由E4、IP堆栈(Global IP)E5的各个模块。
业务服务器23,在包含于OS的软件方面,具备SSLC2、TCPC3、IP路由C4、IP堆栈(Private IP)C5的各个模块,防火墙3具备IP路由F1、IP堆栈(Global IP)F2、IP堆栈(Private IP)F5的各个模块。
另外,OS以外的软件方面,携出式PC12具备:虚拟驱动程序A8、虚拟NICA9、驱动程序A13,网关装置20具备:虚拟驱动程序B12、虚拟NICB13、驱动程序B8,另外,SMTP服务器11具备驱动程序D6,POP服务器13具备驱动程序E6,业务服务器23具备驱动程序C6,防火墙3具备驱动程序F3和驱动程序F6。
另外,硬件方面,携出式PC12具备NICA14,网关装置20具备NICB9,SMTP服务器11具备NICD7,POP服务器13具备NICE7,业务服务器23具备NICC7,防火墙3具备NICF4和NICF7。
下面说明图7所示的各个模块的功能的概要。在以下的说明中,在各个模块的功能所述的应用程序包含上述的业务客户端应用程序、中继服务器应用程序、控制邮件发送应用程序、SMTP服务器应用程序、POP服务器应用程序、控制邮件接收应用程序、中继客户端应用程序、业务服务器应用程序等。
(SSL)
SSL具有:接受来自应用程序的数据并进行加密以将数据发送到TCP,接受来自TCP的数据并进行解密以将数据发送到应用程序的发送功能;和用于交换加密所使用的证书或私密密钥·公开密钥等的信息的交换功能。具有:是否使用SSL由应用程序的设定来决定,在不使用SSL的情况下,来自应用程序的数据不予加密,而直接发送到TCP,另外,不对来自TCP的数据进行解密,而直接发送到应用程序的功能。
(TCP)
TCP具有利用以下的(1)~(4)的处理将数据整理成为一定形式的帧进行数据包化或从数据包复原成为数据的功能。
(1)从SSL,或在未使用SSL的情况下从应用程序接受数据,附加用于检测数据包的欠缺或顺序逆转的TCP报头后,发送到IP路由(IProuting)。在此,在大数据的情况下进行分割(亦称为碎片(fragment))处理。
(2)接受来自IP路由的数据包,参照TCP报头检测顺序逆转或数据包的欠缺,在没有发生顺序逆转或欠缺的情况下,从该数据包取下报头发送到SSL,或是在未使用SSL时发送到应用程序。这时,令告知数据包到达的ACK数据包,回信给数据包的发送源。
(3)在(2)中,假如发生有数据包的欠缺时,发送重发请求数据包。另外,在发生有顺序逆转或分段时,等待后到的数据包,使数据复原。
(4)接受ACK数据包,调整(1)中的数据包的发送速度。
(IP路由)
IP路由模块所具有的功能是接受来自TCP的数据包,参照目标方IP地址和目标方端口号,将该数据包传送到IP堆栈(Private IP)、IP堆栈(Global IP)、或TCP。另外具有的功能是接受来自IP堆栈(Private IP)的数据包,参照目标方地址和目标方端口号,将该数据包传送到IP堆栈(Global IP)或TCP。另外具有的功能是接受来自IP堆栈(Global IP)的数据包,参照目标方IP地址和目标方端口号,将该数据包传送到IP堆栈(Private IP)或TCP。
(桥接器)
桥接器模块所具有的功能是接受来自IP堆栈的帧,参照目标方MAC地址,将该帧传送到驱动程序或虚拟驱动程序。另外具有的功能是接受来自驱动程序的帧,参照目标方MAC地址,将该帧传送到虚拟驱动程序或IP堆栈。另外具有的功能是接受来自虚拟驱动程序的帧,参照目标方MAC地址,将该帧传送到驱动程序或IP堆栈。
另外具有的功能是在帧接收时,参照发送源MAC地址,进行MAC地址的学习,记录具有哪一个MAC地址的终端连接到哪一个NIC侧的信息。还具有的功能是在帧接收时,即使参照目标方MAC地址亦不学习该MAC地址的情况,将该帧广播在被插入有帧的IP堆栈,或驱动程序以外的驱动程序或IP堆栈。
(驱动程序)
驱动程序是用进行NIC和OS的中介的软件,所具有的功能是接受来自NIC的数据包,将其发送到OS,还具有的功能是接受来自OS的数据包,将其发送到NIC。
(NIC)
NIC(网络适配卡)是插入在计算机用以连接以太网络(注册商标)等的网络用缆线的硬件。所具有的功能是将接受自缆线的数据发送到驱动程序,和将接受自发送的数据发送到缆线。
(虚拟驱动程序)
虚拟驱动程序是用进行虚拟NIC和OS的中介的软件,所具有的功能是接受来自虚拟NIC的帧,将其发送到OS,和接受来自OS的帧将其发送到虚拟NIC。
(虚拟NIC)
虚拟NIC是用于中介虚拟驱动程序和中继服务器应用程序或中继客户端应用程序(以下合称为中继应用程序)的软件。虚拟NIC所具有的功能是接受来自虚拟驱动程序的帧,将其交给中继应用程序。还具有的功能是接受来自中继应用程序的帧,将其发送到虚拟驱动程序。本来,NIC系以硬件构成,但是虚拟NIC系由软件构成。虚拟NIC被OS认为如同硬件。
由以上的各个模块的功能可以明白,各个装置具有作为从应用程序输出的下行处理功能,从应用程序输出的数据以SSL进行加密,将数据发送到TCP,在TCP将数据进行核对,附加TCP报头,发送到IP路由,IP路由参照目标方地址和目标方端口号,将接受自TCP的数据包传送到IP堆栈(Private IP)或IP堆栈(Global IP)。另外,还具有通信处理功能,将被存储在IP堆栈(Private IP)或IP堆栈(Global IP)的数据,经由驱动程序从NIC传送到以太网络等的缆线。
另外,各个装置的还具有的处理功能是将来自以太网络等的缆线的利用NIC接收到的帧,经由驱动程序,存储在OS的IP堆栈(Private IP)或IP堆栈(Global IP)。IP路由参照接受自IP堆栈(Private IP)或IP堆栈(Global IP)的数据包中的IP报头,传送适当的TCP。TCP具有通信处理功能参照接受自IP路由的数据包的TCP报头,检查数据包,从正常的数据包取下报头,将其发送到SSL,SSL对接受到的数据进行解密,将其发送到应用程序。
但是,在图7所示的各个装置中,未记载的模块或不经由该模块的通信中不进行该模块的功能的通信处理。例如防火墙3未存在应用程序本身、SSL和TCP,只使用IP堆栈(Private IP)和IP堆栈(Global IP)间的IP路由F1的功能。
另外,网关装置20具备桥接器B7,在IP堆栈(Private IP)B6和驱动程序B8(虚拟驱动程序B12)之间具有MAC地址的学习功能,用于记录具有哪一个MAC地址的终端连接哪一个NIC侧,用于桥接虚拟驱动程序B12、NICB9、和IP堆栈B6的合计3个的连接。
另外,以IP堆栈来看时,SMTP服务器11和POP服务器13分别只具备IP堆栈(Global IP),业务服务器23只具备IP堆栈(Private IP)。
在上述方式的本实施方式中,对象应用程序一种形态的中继服务器应用程序A2和中继客户端应用程序B2之间的VPN连接P4的通信,被设定成为无论在公司外或公司内,基本上利用SSL协议进行加密(经由SSL)。亦即,因为VPN连接P4经由所谓互联网的公司外设备,所以为了防止机密信息的外流出而进行加密。一般是在公司外区间(防火墙外侧)进行加密(SSL),但是在本发明中并不需加密。
另外,在业务客户端应用程序A1和中继服务器应用程序A2之间、在中继客户端应用程序B2和业务服务器应用程序C1之间,因为具有公司内区间(防火墙内侧),所以可以进行加密,亦可以不进行加密。该加密设定依照使用的程度而决定。因为连接P5是携出式PC内部的通信,所以公司内的机密信息流出的可能性很低,所以不一定需要加密。另外,因为连接P6是企业网络内的通信,所以公司内的机密信息流出的可能性很低,所以不一定需要加密。
(动作的说明)
图8表示本实施方式的动作的程序。下面将参照图7和图8来说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,而将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处,控制邮件包括VPN连接请求的识别用信息(例如,可以在报头包含VPN连接请求的识别用信息),可以识别与通常电子邮件的不同,和附加有携出式PC12的IP地址等从A公司企业网络侧对携出式PC12进行VPN连接用的必要的信息。该邮件首先利用连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接受该控制邮件,参照报头信息,经由连接P2而将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到发送自公司外SMTP服务器的电子邮件(控制邮件)时,利用POP服务器应用程序E1,按照邮件地址来记忆且储存该电子邮件(控制邮件)。
(3)另一方面,网关装置20利用控制邮件接收应用程序B1,经由防火墙3而定期地对公司外内POP服务器13进行访问,利用连接P3查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的时,取入该电子邮件并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1对公司外POP服务器13命令删除该控制邮件,根据所取得的控制邮件内的ID和密码等,经由连接P7利用认证模块B14进行认证。当认证为正确的情况下,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式命令中继客户端应用程序B2。中继客户端应用程序B2,依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,经由连接P4而中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置20内的中继客户端应用程序B2中继连接P6和VPN连接P4,业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信,经由VPN连接P4。
其结果,携出式PC12在VPN连接P4被断开之前,可进行与A公司企业网络内的业务服务器23之间的业务应用程序彼此的通信。
图9是第4实施方式的网关装置的动作流程图。网关装置20对公司外POP服务器13查询自己成为收件人(A公司员工)电子邮件是否到达(步骤S1),当自己成为收件人电子邮件有到达的情况下(步骤S2,是),取入该电子邮件的主题(subject)一览表等的列表或邮件全体,判别是否为控制邮件(步骤S3,S4)。在自己成为收件人电子邮件为控制邮件的情况下(步骤S4,是),网关装置20从公司内POP服务器21中删除该控制邮件(步骤S5),根据该控制邮件,对VPN连接的请求源的IP地址进行VPN连接(S6)。在VPN连接后,于该连接被断开(步骤S7)之前,携出式PC12与A公司企业网络内的连接机器之间,可以进行业务应用程序间的通信。在步骤S2,当未存在自己成为收件人(A公司员工)邮件的情况下(否),或在步骤S4并非控制邮件的情况下(否),均在一定时间后(步骤S8),重复进行步骤S1的再度查询的动作。
依照上述的方式,并不变更防火墙3或其VPN-GW的设定,亦不在公司外网络设置中继服务器,在作为公司外网络的互联网1和公司内网络的A公司企业网络2之间可以进行VPN连接,所以不会有防火墙管理者的承认手续或中继服务器的设置利用等所伴随的难题,可利用通信费上有利的电子邮件,简单地进行VPN构建。另外,公司外POP服务器13或公司外SMTP服务器11可以直接利用通常的电子邮件的交换所使用者。POP服务器13可以直接利用通常的电子邮件的交换所使用者。但是只限于在设定有防火墙3的情况,允许从企业网络2对公司外POP服务器13进行访问。
(第5实施方式)
下面将说明本发明的具体实施方式上,利用电子邮件作为访问机构,在信息处理终端和具有认证功能的网关装置之间,进行VPN连接的例子。
(构造的说明)
图10表示本发明的第5实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙3,在A公司企业网络2具备:网关装置20,分别经由集线器(HUB)与该防火墙3连接,具有与互联网侧的VPN连接用的认证功能;和业务服务器23,经由集线器(HUB)形成与该网关装置20连接。在互联网侧具备公司外SMTP服务器11、公司外POP服务器13、和A公司员工的携出式PC12。
此处,网关装置20可设置在企业网络内的任何位置,代表性者为在公司员工的办公室中,对每一个公司员工或每数个公司员工(例如,每2~50或2~100名的公司员工)设置1台。在各个网关装置20可设定能够认证各个使用者(A公司员工)的认证功能,为了从携出式PC12访问,可以作成由使用者设定认证用的ID和密码等。另外,携出式PCI2在A公司企业网络内使用时,经由集线器(HUB)而连接该防火墙3和该业务服务器23,当在互联网1上(企业网络2的外)使用时,使该网关装置20经由HUB连接A公司企业网络2的该防火墙3和该业务服务器23等,以进行携出式PC12和该网关装置20的VPN连接,使用该VPN连接中继携出式PC12和业务服务器23之间的通信,可构成该携出式PC12和业务服务器23的通信。
图11表示安装在本实施方式的各个装置的软件等和协议上的通信处理。
在本实施方式的携出式PC12、网关装置20、SMTP服务器11、POP服务器13、业务服务器23和防火墙3,分别具备:规定的OS、实现各种功能的应用程序、进行该各个的OS间的通信用的硬件NIC、软件的驱动程序、虚拟驱动程序和虚拟NIC,此点与图4实施方式(图7)相同。但是,在本实施方式的情况,在网关装置20具备认证模块B14,对来自携出式PC12的电子邮件进行访问,由此实现该认证功能。
图11表示在携出式PC12和网关装置20的认证后,建立VPN连接,并且在携出式PC12与业务服务器之间进行公式内业务的通信处理等的例子,在携出式PC12安装有该公司内业务的业务客户端应用程序A1、业务服务器23安装有对应的业务服务器应用程序C1。另外,携出式PC12和网关装置20分别安装有:可以从互联网上对防火墙3内访问而实现电子邮件的发送功能的控制邮件发送应用程序A3和用以实现电子邮件的控制邮件接收应用程序B1;和分别对业务客户端应用程序A1实现中继功能的中继服务器应用程序A2和对业务服务器应用程序C1实现中继功能的中继客户端应用程序B2。
另外,在中继服务器应用程序程序A2亦可以使用与第4实施方式(图7)同样的互联网和企业网络的帧的变换处理软件的VPN用封装化等的应用程序。另外,本实施方式亦设置电子邮件的发送侧和接收侧的邮件服务器的SMTP服务器11和POP服务器13以作为公司外服务器,分别安装SMTP服务器应用程序D1和POP服务器应用程序E1,以作为实现电子邮件的传送和接收的功能的应用程序。
图11所示的各个模块和其功能的概要与第4实施方式相同,但是在本实施方式中,其与第4实施方式的不同部分是具有认证功能,在网关装置20内的控制邮件接收应用程序B1,当控制邮件的取得时,抽出被存储在该控制邮件的ID和密码,利用在认证模块B14由使用者预先设定的ID和密码等进行认证动作。
(动作的说明)
图12表示本实施方式的动作的步骤。下面参照图11和图12用于说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处,控制邮件包括VPN连接请求的识别用信息(例如,可以在报头包含VPN连接请求的识别用信息),可以识别与通常电子邮件的不同,和附加有携出式PC12的IP地址、ID和密码等,A公司企业网络侧的认证和从A公司企业网络侧对携出式PC12进行VPN连接所必要的信息。该邮件首先利用连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接收该控制邮件,参照报头信息经由连接P2而将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到从公司外SMTP服务器发送来的电子邮件(控制邮件)时,利用POP服务器应用程序E1,按照邮件地址来记忆和储存该电子邮件(控制邮件)。
(3)另一方面,网关装置20利用控制邮件接收应用程序B1经由防火墙3利用连接P3而定期地对公司外POP服务器13进行访问,以查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的情况下,取入该电子邮件并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1对公司外POP服务器13命令删除该控制邮件,根据所取得的控制邮件内的ID和密码等,经由连接P7利用认证模块B14进行认证。当认证为正确的情况下,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式命令中继客户端应用程序B2。中继客户端应用程序B2,依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,经由VPN连接P4而中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置20内的中继客户端应用程序B2中继连接P6和VPN连接P4,经由VPN连接P4而中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。
其结果是携出式PC12,在VPN连接P4被断开之前,可以进行与A公司企业网络内的业务服务器23之间的业务应用程序彼此的通信。
图13是第5实施方式的网关装置20的动作流程图。网关装置20对公司外POP服务器13查询自己成为收件人(A公司员工)电子邮件是否到达(步骤S1),当自己成为收件人电子邮件有到达的情况下(步骤S2,是),取入该电子邮件的主题(subject)一览表等的列表或邮件全体,判别是否为控制邮件(步骤S3,S4)。在自己成为收件人电子邮件为控制邮件的情况下(步骤S4,是),网关装置20从公司内POP服务器13中删除该控制邮件(步骤S5),根据所取得的控制邮件,利用认证模块B14进行认证(步骤S6)。在认证为正确的情况下(步骤S6,是),根据该控制邮件,进行VPN连接到该VPN连接的请求源的IP地址(S7)。在VPN连接后,于断开该连接(步骤S8)之前,携出式PC12可以进行与A公司企业网络内的连接机器之间的业务应用程序间的彼此通信。在步骤S2,当未存在自己成为收件人(A公司员工为收件人)邮件的情况下(否),或在步骤S4不是控制邮件的情况下(否),均在一定时间后(步骤S9),重复进行步骤S1的再度查询的动作。
依照上述的方式,并不变更防火墙3或其VPN-GW的设定,亦不在公司外网络设置中继服务器,可在公司外网络的互联网1和公司内网络的A公司企业网络2之间进行VPN连接,所以不会有防火墙管理者的承认手续或中继服务器的设置、利用等所伴随的难题,可以利用通信费上有利的电子邮件,而简单地进行VPN构建,特别是利用本实施方式的认证可以确保安全性。另外,公司外POP服务器13或公司外SMTP服务器11可以直接利用通常的电子邮件的交换所使用者。POP服务器13的账户亦可以直接利用通常的电子邮件的交换所使用者。但是只限于在设定有防火墙3的情况,允许从企业网络2对公司外POP服务器13进行访问。
(第6实施方式)
下面将说明本发明的具体实施方式利用电子邮件作为访问机构,在信息处理终端和网关装置之间进行IP电话的VPN连接的例子。
(构造的说明)
图14表示本发明的第6实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙3,在A公司企业网络2具备网关装置22,经由集线器(HUB)分别与该防火墙3连接,具有与互联网侧的IP电话用的送受话器,在互联网侧具备电子邮件发送用的公司外SMTP服务器11、电子邮件用的公司外POP服务器13、和具有A公司员工的送受话器的携出式PC12。
此处,具有IP电话用的送受话器的网关装置22可设置在企业网络内的任何位置,代表性者为在公司员工的办公室中,每一个公司员工或每数个公司员工(例如,每2~50或2~100名的公司员工)设置1台。另外,具有IP电话用的送受话器的携出式PC12在A公司企业网络内使用时,经由集线器(HUB)与该防火墙3连接使用,当在互联网上(企业网络2的外)使用时,使该网关装置22经由HUB形成与A公司企业网络2的该防火墙3连接,可以用于构成在携出式PC12和该网关装置22之间使用有VPN连接的IP电话。
图15表示安装在本实施方式的各个装置的软件等和协议上的通信处理。
在本实施方式的携出式PC12、网关装置22、SMTP服务器11、POP服务器13、和防火墙3,分别具备:指定的OS、实现各种功能的应用程序、进行该各个的OS间的通信用的硬件NIC、和软件的驱动程序。
图15表示在携出式PC12和网关装置22之间建立IP电话用的VPN连接,在携出式PC12和网关装置22之间进行IP电话的通信等的例子,携出式PC12利用送受话器A21的送话器部分获得声音输入,并且送受话器A21的受话器部分安装有进行声音输出的IP电话服务器应用程序A22,网关装置22通过送受话器B21的送话器部分而获得声音输入,并且在送受话器B21的送受话器部分安装有用以进行声音输出的IP电话客户端应用程序B22。该IP电话客户端应用程序B22和该IP电话服务器应用程序A22藉VPN连接加以连接,以进行双向的声音数据的通信。另外,携出式PC12和网关装置22安装有:作为可从互联网上对防火墙内访问的电子邮件的收发软件、用以分别实现电子邮件的发送功能的控制邮件发送应用程序A3和实现电子邮件的接收功能的控制邮件接收应用程序B1。
另外,在本实施方式中电子邮件的发送侧和接收侧的作为邮件服务器的SMTP服务器11和POP服务器13均可被设置作为公司外服务器,分别安装SMTP服务器应用程序D1、POP服务器应用程序E1,以实现电子邮件的发送和接收的功能。
在本实施方式中,虽然OS内和OS以外的软件可以采用与上述实施方式同样的构造,但是携出式PC12的IP堆栈可以只使用IP堆栈(GlobalIP),网关装置22不需要中继处理,因此不需要使用桥接器。另外,在本实施方式中,所说明的构造是设定成根据对象应用程序的IP电话服务器应用程序A22和IP电话客户端应用程序B22,在利用IP电话用的VPN连接的通信,使公司外和公司内的任一方均利用SSL协议进行加密,但是不一定要利用SSL进行加密。
(动作的说明)
图16表示本实施方式的动作的步骤。下面将参照图15和图16来说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处的控制邮件包括IP电话用的VPN连接请求的识别用信息(例如,在报头亦可以包含第4实施方式的企业网络中继用的VPN连接请求的识别用信息),以识别与通常电子邮件的不同,并附加有携出式PC12的IP地址等从A公司企业网络侧对携出式PC12的进行IP电话用的VPN连接的必要的信息。该邮件首先利用连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接受该控制邮件,参照报头信息经由连接P2将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到发送自公司外SMTP服务器11的电子邮件(控制邮件)时,利用POP服务器应用程序E1按照邮件地址来记忆并储存该电子邮件(控制邮件)。
(3)另一方面,网关装置22利用控制邮件接收应用程序B1,经由防火墙3而定期地利用连接P3对公司外内POP服务器13进行访问,以查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的情况下,取入该电子邮件并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置22内的控制邮件接收应用程序B1命令从公司外POP服务器13中删除该控制邮件,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式来命令IP电话客户端应用程序B22。IP电话客户端应用程序B22依照来自控制邮件接收应用程序B1的命令,根据所取得的控制邮件,对IP电话用的VPN连接的请求源(携出式PC12)的IP地址,设定与IP电话服务器应用程序A22的IP电话用的VPN连接P4。
(5)当建立IP电话用的VPN连接P4时,携出式PC12内的IP电话服务器应用程序A22利用送受话器A21进行通话处理(P5),和网关装置22的IP电话客户端应用程序B22利用送受话器B21进行通话处理(P6),在IP电话用的VPN连接被断开之前,可以进行送受话器A21、B21间的通话。
图17是第6实施方式的网关装置的动作流程图。网关装置22对公司外POP服务器13查询自己成为收件人(A公司员工为收件人)的电子邮件是否到达(步骤S1),当自己成为收件人电子邮件有到达的情况下(步骤S2,是),取入该电子邮件的主题(subject)一览表等的列表或邮件全体并判别是否为控制邮件(步骤S3,S4)。在自己成为收件人电子邮件为控制邮件的情况下(步骤S4,是),网关装置22从公司内POP服务器21中删除该控制邮件(步骤S5),根据该控制邮件,对IP电话用的VPN连接的请求源的IP地址进行IP电话用的VPN连接(S6)。在IP电话用的VPN连接后,于该连接被断开(步骤S7)之前,在网关装置22的送受话器B22和携出式PC12侧的送受话器A21之间,可进行IP电话的通话。在步骤S2,当未存在自己成为收件人(A公司员工为收件人)邮件的情况下(否),或在步骤S4不是控制邮件的情况下(否),均在一定时间后(步骤S8),重复进行步骤S1的再度查询的动作。
依照上述的方式,并不变更防火墙3或其VPN-GW的设定,亦不在公司外网络设置中继服务器,可在公司外网络的互联网1和公司内网络的A公司企业网络2之间进行IP电话用的VPN连接,所以不会有防火墙管理者的承认手续或中继服务器的设置、利用等所伴随的难题,可以利用通信费上有利的电子邮件,简单地进行IP电话用的VPN连接。另外,公司外POP服务器13或公司外SMTP服务器11可以直接利用通常的电子邮件的交换所使用者。POP服务器13的账户亦可以直接利用通常的电子邮件的交换所使用者。但是只限于在设定有防火墙3的情况,允许从企业网络2对公司外POP服务器13进行访问。
另外,在IP电话用的VPN连接的实施方式中,与第5实施方式(图10)同样地,在网关装置22设置认证模块,在来自可携式PC12的控制邮件中加入IP地址等,附加ID和密码等的A公司企业网络侧的认证所必要的信息,以认证模块进行认证,利用此种构成可作成可确保安全性的实施方式。
(第7实施方式)
以上所说明的具体实施方式是在公司外设置POP服务器的例子,但是亦可以在公司内设置POP服务器。以下,将POP服务器设置在公司内的实施方式,以作为网关装置具有认证功能的例子说明。(在将POP服务器设置在公司内的情况,网关装置的认证功能并非必要,亦可进行无认证功能的动作)。
本发明的具体实施方式,是以:将POP服务器设置在公司内的网络构造,利用电子邮件作为访问机构,在信息处理终端和具有认证功能的网关装置之间进行VPN连接的例子说明。
(构造的说明)
图18表示本发明的第7实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙3,在A公司企业网络2具备:公司内POP服务器21,分别经由集线器(HUB)与该防火墙3连接;网关装置20,具有与互联网侧的VPN连接用的认证功能;和业务服务器23,形成与该网关装置20连接;在互联网1侧具备公司外SMTP服务器11和A公司员工的携出式PC12。
在此处,网关装置20可设置在企业网络内的任何位置,代表性者为在公司员工的办公室中,每一个公司员工或每数个公司员工(例如,每2~50或2~100名的公司员工)设置1台。在各个网关装置20可设定能够认证各个使用者(A公司员工)的认证功能,为了从携出式PC12访问,可以由使用者设定认证用的ID和密码等。另外,携出式PC12在A公司企业网络内使用时,经由集线器(HUB)来连接该防火墙3和该业务服务器23,当在互联网1上(企业网络2的外)使用时,使该网关装置20经由HUB连接到A公司企业网络2的该防火墙3和该业务服务器23等,以进行携出式PC12和该网关装置20的VPN连接,利用该VPN连接来中继携出式PC12和业务服务器23之间的通信,以构成该携出式PC12和业务服务器23的通信。
图19表示安装在本实施方式的各个装置的软件等和协议上的通信处理。
本实施方式的携出式PC12、网关装置20、SMTP服务器11、POP服务器21、业务服务器23和防火墙3,分别具备:指定的OS、实现各种功能的应用程序、进行该各个的OS间的通信用的硬件的NIC、软件的驱动程序、虚拟驱动程序和虚拟NIC,在网关装置20具备认证模块B14,对来自携出式PC12的电子邮件进行访问,由此实现该认证功能。
图19表示在携出式PC12和网关装置20的认证后,建立VPN连接,在携出式PC12和业务服务器23之间进行公司内业务的通信处理等的例子,携出式PC12安装该公司内业务的业务客户端应用程序A1、业务服务器23安装对应的业务服务器应用程序C1。另外,携出式PC12和网关装置22分别安装有:可以从互联网上对防火墙内3内访问而实现电子邮件的发送功能的控制邮件发送应用程序A3和实现该电子邮件的接收功能的控制邮件接收应用程序B1;和分别对业务客户端应用程序A1实现中继功能的中继服务器应用程序A2和对业务服务器应用程序C1实现中继功能的中继客户端应用程序B2。
业务客户端应用程序A1是进行与业务服务器应用程序C1的双向通信的应用程序。业务客户端应用程序A1代表性者可以使用WEB浏览器软件,此种情况的业务服务器应用程序C1可以使用WEB服务器应用程序。业务客户端应用程序A1除了WEB浏览器软件外,亦可以使用TELNET客户端软件、FTP客户端软件、会计客户端软件、文件共享客户端软件、数据库客户端软件等的各种的应用程序。在此种情况,业务服务器应用程序C1对应于业务客户端应用程序A1,亦可使用TELNET服务器软件、FTP服务器软件、会计服务器软件、文件共享服务器软件、数据库服务器软件等。
中继服务器应用程序A2进行以下所举例的动作。
(1)将从虚拟NICA9到达的帧作为数据,承载在基于中继服务器应用程序A2和中继客户端应用程序B2之间的VPN连接P4的通信中,而传送到SSLA10。
(2)将从SSLA10承载在基于VPN连接P4的通信而到达的数据作为帧而传送到虚拟NICA9。
(3)利用控制邮件发送应用程序A3,接受VPN连接P4的通信的连接等待的命令,在连接完成后通知控制邮件发送应用程序A3。
(4)利用控制邮件发送应用程序A3,接受VPN连接P4的通信的断开命令,对中继客户端应用程序B2发送断开信号。
控制邮件发送应用程序A3进行以下所举例的动作。
(1)当接受到使用者的连接命令时,作成和发送连接请求用的控制邮件,交给SSLA15。该邮件经由连接P1的通信,被传送到SMTP服务器应用程序D1。同时,对中继服务器应用程序A2发出连接等待命令,以等待VPN连接P4的通信的连接。
(2)当接受到来自使用者的断开命令时,对中继服务器应用程序A2通知断开命令。
SMTP服务器应用程序D1所具有的功能是依照SMTP协议,将到达的电子邮件传送到适当的SMTP服务器或POP服务器。在该图中是从SMTP服务器D1直接对POP服务器E1传送邮件,但是亦有在D1和E1之间设置其它的SMTP服务器,经由数次的传送到达POP服务器E1的情形。在该图中,来自控制邮件发送应用程序A3利用连接P1到达的邮件,参照收件人的邮件地址,使用连接P2而传送到POP服务器E1。
POP服务器应用程序E1进行以下所举例的动作。
(1)保管从SMTP服务器D1经由连接P2到达的电子邮件。
(2)在请求来自控制邮件接收应用程序B1的经由连接P3的保管电子邮件的列表的情况下,利用连接P3传送保管电子邮件的列表。
(3)通过来自控制邮件接收应用程序B1的连接P3,当获得指定电子邮件的一部分的接收要求的情况下,利用连接P3传送被指定的电子邮件。
(4)通过来自控制邮件接收应用程序B1的连接P3,当获得指定电子邮件的一部分的删除请求的情况下,删除被指定的电子邮件。
(5)通过来自控制邮件接收应用程序B1的连接P3,当获得被保管的全部电子邮件的一起接收要求的情况下,利用连接P3传送全部的保管电子邮件。
(6)通过来自控制邮件接收应用程序B1的连接P3,当获得全部的保管电子邮件的一起删除请求的情况下,删除全部的保管电子邮件。
控制邮件接收应用程序B1进行以下所举例的动作。
(1)对POP服务器应用程序E1,定期地经由连接P3请求保管电子邮件的列表。当在列表包括控制邮件的情况下,经由连接P3对POP服务器应用程序E1,利用指定的电子邮件的一部分接收要求,在进行控制邮件的接收要求的同时,利用指定电子邮件的一部分删除请求,删除该控制邮件。
(2)根据被包含在电子邮件的ID和密码等的认证用的信息,经由连接P7利用认证模块B14进行认证,在认证为正确的情况下,根据控制邮件中的连接请求,对中继客户端应用程序B2命令在邮件中所含的收件人(在图中为中继服务器应用程序A2)设定VPN连接P4的通信。
中继客户端应用程序B2进行以下所举例的动作。
(1)利用控制邮件接收应用程序B1接受连接命令,对连接命令中所含的目标方(在图中为A2)设定VPN连接P4的通信。
(2)将从虚拟NICB13到达的帧作为数据,通过在中继服务器应用程序A2和中继客户端应用程序B2之间的VPN连接P4的通信,而传送到SSLB10。
(3)将从SSLB10承载在基于VPN连接P4的通信而到达的数据作为帧,而传送到虚拟NICB13。
(4)利用中继服务器应用程序A2的VPN连接P4的通信而接收到断开信号时,结束VPN连接P4的通信,并通知控制邮件接收应用程序B1。
业务服务器应用程序C1是进行与业务客户端应用程序A1的双向通信的应用程序。业务服务器应用程序C1代表性者可以使用WEB服务器应用程序。业务服务器应用程序C1,对应于业务客户端应用程序A1,亦可以使用TELNET服务器软件、FTP服务器软件、会计服务器软件、文件共享服务器软件、数据库服务器软件等的各种的应用程序。
另外,在本实施方式的SMTP服务器11和POP服务器21,分别作为用以实现电子邮件的发送和接收功能的应用程序,用于安装-SMTP服务器应用程序D1、POP服务器应用程序E1。另外,公司内服务器21除了POP服务器的外,可以利用邮件新闻服务器、DNS服务器、SIP服务器、留言板(www)服务器、FTP服务器等,不只限于经由防火墙3从公司外访问者。在此种情况,对应的公司外服务器11可以替换成为邮件新闻服务器、DNS服务器、SIP服务器等,或是利用携出式PC12直接访问公司内服务器21。
如图19所示,本实施方式的OS内和OS外的软件本身与其它的实施方式相同。另外,网关装置20内的控制邮件接收应用程序B1在取得控制邮件时,抽出被存储在该控制邮件的ID和密码,在认证模块B14所具有的功能是依照使用者等所预先设定的ID和密码等进行认证动作,此点与第5实施方式相同。
(动作的说明)
图20表示本实施方式的动作的步骤。下面将参照图19和图20来说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器21的A公司员工本身的邮件地址。在此处,控制邮件包括VPN连接请求的识别用信息(例如,在报头亦可以包含VPN连接请求的识别用信息),以识别与通常电子邮件的不同,并附加有携出式PC12的IP地址、ID和密码等从A公司企业网络侧的认证和从A公司企业网络侧对携出式PC12的进行VPN连接所必要的信息。该邮件首先利用连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接受该控制邮件,参照报头信息经由连接P2将该控制邮件传送到公司内POP服务器21,当公司内POP服务器21接收到发送自公司外SMTP服务器的电子邮件(控制邮件)时,利用POP服务器应用程序E1按照邮件地址来记忆并储存该电子邮件(控制邮件)。
(3)另一方面,网关装置20利用控制邮件接收应用程序B1,经由防火墙3而定期地利用连接P3对公司外内POP服务器21进行访问,以查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的情况下,取入该电子邮件并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1命令从公司内POP服务器21中删除该控制邮件,根据所取得的控制邮件内的ID和密码等,经由连接P7利用认证模块B14进行认证。在认证为正确的情况下,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式来命令中继客户端应用程序B2。中继客户端应用程序B2依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2、中继连接P5和VPN连接4,由VPN连接P4来中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置20内的中继客户端应用程序B2用于中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。
其结果,携出式PC12在VPN连接P4被断开之前,与A公司企业网络内的业务服务器23之间,可以进行业务应用程序彼此的通信。
图21是第7实施方式的网关装置20的动作流程图。网关装置20对公司内POP服务器21查询自己成为收件人(A公司员工为收件人)的电子邮件是否到达(步骤S1),当自己成为收件人电子邮件有到达的情况下(步骤S2,是),取入该电子邮件的主题(subject)一览表等的列表或邮件全体,并判别是否为控制邮件(步骤S3,S4)。在自己成为收件人电子邮件为控制邮件的情况下(步骤S4,是),网关装置20从公司内POP服务器21中删除该控制邮件(步骤S5),根据所取得的控制邮件,利用认证模块B14进行认证(步骤S6)。在认证为正确的情况下(步骤S6,是),根据该控制邮件对VPN连接的请求源的IP地址进行VPN连接(步骤S7)。在该VPN连接的后,于该连接被断开之前(步骤S8),携出式PC12在与A公司企业网络内的业务服务器之间,可进行业务应用程序彼此间的通信。在步骤S2,当未存在自己成为收件人(A公司员工为收件人)邮件的情况下(否),或在步骤S4不是控制邮件的情况下(否),和在步骤S6的认证为否定的情况下(否),均在一定时间后(步骤S9),重复进行步骤S1的再度查询的动作。
依照上述的方式,并不变更防火墙3或其VPN-GW的设定,亦不在公司外网络设置中继服务器,就可在公司外网络的互联网1和公司内网络的A公司企业网络2之间进行VPN连接,所以不会有防火墙管理者的承认手续或中继服务器的设置、利用等所伴随的难题,可以利用通信费上有利的电子邮件,简单地进行VPN构建。另外,公司内POP服务器21或公司外SMTP服务器11可以直接利用通常的电子邮件的交换所使用者。POP服务器21的账户亦可以直接利用通常的电子邮件的交换所使用者。本实施方式,是在公司内设置POP服务器21,允许SMTP服务器11对公司内POP服务器21进行邮件传送用的连接的方式来设定防火墙。
(第8实施方式)
本发明的具体实施方式,为POP服务器被设置在公司内的网络构造,利用电子邮件作为访问机构,在具有认证功能的网关装置之间,进行IP电话用的VPN连接作为例子而说明。
(构造的说明)
图22表示本发明的第8实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙3,在A公司企业网络2具备:电子邮件接收用的公司内POP服务器21,分别经由集线器(HUB)与该防火墙3连接;和网关装置22,具有与互联网侧的IP电话用的送受话器;在互联网侧具备:电子邮件发送用的公司外SMTP服务器11;和携出式PC12,具有A公司员工的送受话器。
在此处,具有IP电话用的送受话器的网关装置22可设置在企业网络内的任何位置,代表性者为在公司员工的办公室对每一个公司员工或每数个公司员工(例如,每2~50或2~100名的公司员工)设置1台。另外,具有IP电话用的送受话器的携出式PC12在A公司企业网络内使用时,经由集线器(HUB)与该防火墙3连接,当在互联网上(企业网络2的外)使用时,经由HUB使该网关装置22与A公司企业网络2的该防火墙3连接,可以在携出式PC12与该网关装置22之间,构成使用IP电话用的VPN连接的IP电话。
图23表示安装在本实施方式的各个装置的软件等和协议上的通信处理。
本实施方式的携出式PC12、网关装置22、SMTP服务器11、POP服务器21、和防火墙3,分别具备:规定的OS、实现各种功能的应用程序、进行各个的OS间的通信的硬件NIC、软件的驱动程序、虚拟驱动程序和虚拟NIC。
图23表示在携出式PC12和具有认证功能的网关装置22之间建立IP电话用的VPN连接,在携出式PC12和网关装置22之间进行IP电话用的通信等例子,携出式PC12安装有IP电话服务器应用程序A22,利用送受话器A21的送话器部分而获得声音输入,或将声音输出到送受话器A21的受话器部分,和网关装置22安装有IP电话客户端应用程序B22,利用送受话器B21的送话器部分而获得声音输入,或将声音输出到送受话器B21的受话器部分。
该IP电话客户端应用程序B22和该IP电话服务器应用程序A22,利用VPN连接进行连接,来进行双向的声音数据的通信。另外,携出式PC12和网关装置22安装有作为可从互联网上对防火墙内访问的电子邮件的收发的软件,包括用于实现电子邮件的发送功能的控制邮件发送应用程序A3、和用于实现电子邮件的接收功能的控制邮件接收应用程序B1,。
在本实施方式中,电子邮件的发送侧和接收侧的邮件服务器的SMTP服务器11被设置成为公司外服务器,POP服务器21被设置成为公司内服务器,分别安装有实现电子邮件的发送和接收的功能的SMTP服务器应用程序D1和POP服务器应用程序E1。
在本实施方式中OS和OS以外的软件可以采用与以上的实施方式同样的构造,携出式PC12的IP堆栈可以只使用IP堆栈(Global IP),因为网关装置22不需要中继处理,所以不需要使用桥接器。另外,虽然在本实施方式中,是根据对象应用程序的IP电话服务器应用程序A22和IP电话客户端应用程序B22,在IP电话用的VPN连接的通信中,在公司外和公司内均利用SSL协议进行加密的构造而说明,但是亦可以为不需利用SSL加密的构造。
(动作的说明)
图24表示本实施方式的动作的步骤。下面将参照图23和图24用于说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11和防火墙3,将控制邮件发送到被设定在POP服务器21的A公司员工本身的邮件地址。在此处,控制邮件包括IP电话用的VPN连接请求的识别用信息(例如,在报头亦可以包含如第4实施方式的企业网络中继用的VPN连接请求的识别用信息),以识别与通常的电子邮件的不同,并附加有携出式PC12的IP地址等从A公司企业网络侧对携出式PC12的进行IP电话用的VPN连接所必要的信息。该邮件首先利用连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接受该控制邮件,将该控制邮件传送到公司内POP服务器21,当公司内POP服务器21接受到发送自公司外SMTP服务器的电子邮件(控制邮件)时,利用POP服务器应用程序E1,按照邮件地址来记忆和储存该电子邮件(控制邮件)。
(3)另一方面,网关装置22利用控制邮件接收应用程序B1,经由防火墙3而定期地利用连接P3对公司外内POP服务器21进行访问,以查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的情况下,取入该电子邮件,并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置22内的控制邮件接收应用程序B1命令从公司外POP服务器21中删除该控制邮件,根据所取得的控制邮件内的ID和密码等,经由连接P7利用认证模块B14而进行认证。在认证为正确的情况下,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式来命令IP电话客户端应用程序B22。IP电话客户端应用程序B22依照来自控制邮件接收应用程序B1的命令,对IP电话用的VPN连接请求源(携出式PC12)的IP地址,设定与IP电话服务器应用程序A22的VPN连接P4。
(5)当建立IP电话用的VPN连接P4时,携出式PC12内的IP电话服务器应用程序A22利用送受话器A21进行通话处理(P5),并且网关装置22的IP电话客户端应用程序B22利用送受话器B21进行通话处理(P6),在IP电话用的VPN连接被断开之前,可进行送受话器A21、B21间的通话。
图25是第8实施方式的网关装置的动作流程图。网关装置22对公司内POP服务器21查询自己成为收件人(A公司员工为收件人)的电子邮件是否到达(步骤S1),当自己成为收件人电子邮件有到达的情况下(步骤S2,是),取入该电子邮件的主题(subject)一览表等的列表或邮件全体,并判别是否为控制邮件(步骤S3,S4)。在自己成为收件人电子邮件为控制邮件的情况下(步骤S4,是),网关装置22从公司内POP服务器21中删除该控制邮件(步骤S5),根据该电子邮件,利用认证模块进行认证(步骤S6)。在认证为正确的情况下根据该控制邮件,对IP电话用的VPN连接的请求源的IP地址进行IP电话用的VPN连接(S6)。在IP电话用的VPN连接后,于该连接被断开(步骤S7)之前,在网关装置22的送受话器B22和携出式PC12侧的送受话器A21之间,可进行IP电话的通话。在步骤S2,当未存在自己成为收件人(A公司员工)邮件的情况下(否),在步骤S4不是控制邮件的情况下(否),和在步骤S6的认证为否定的情况下(否),均在一定时间后(步骤S8),重复进行步骤S1的再度查询的动作。
依照上述的方式,并不变更防火墙3或其VPN-GW的设定,亦不需在公司外网络设置中继服务器,就可在公司外网络的互联网1和公司内网络的A公司企业网络2之间进行IP电话用的VPN连接,所以不会有防火墙管理者的承认手续或中继服务器的设置、利用等所伴随的难题,可以利用通信费上有利的电子邮件,简单地进行IP电话用的VPN连接。另外,公司内POP服务器21或公司外SMTP服务器11可以直接利用通常的电子邮件的交换所使用者。POP服务器21的账户亦可以直接利用通常的电子邮件的交换所使用者。但是只限于在设定有防火墙3的情况,允许从企业网络2对公司内POP服务器21进行访问。
(第9实施方式)
在上述的实施方式中,虽然所说明的例子是公司内POP服务器和网关装置作成独立的装置,但是亦可以使这些成为兼用构造。下面以具有认证功能的VPN连接为例,来说明该兼用构造的网关装置(兼作公司内POP服务器的网关装置)的实施方式。
(构造的说明)
图26表示本发明的第9实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间防火墙3,在A公司企业网络2具备作为和公司内POP服务器兼用装置的网关装置的公司内POP服务器兼网关装置(具有公司内POP服务器兼认证装置的网关装置)24和业务服务器23,在互联网侧具有公司外SMTP服务器11和A公司员工从A公司携出的信息处理终端。
此处,公司内POP服务器兼网关装置24具有第7实施方式中所说明的POP服务器21的功能,和第7实施方式中所说明的网关装置20的功能的全部功能。亦即,具有作为邮件服务器的邮件接收功能,对所接收的电子邮件识别其发送目标方地址的功能,已接收的电子邮件的存储功能,而且具有作为网关装置的已接收的电子邮件是否为控制邮件的识别功能,认证功能和对被要求的连接对象的VPN连接功能的各种功能,以及具有电子邮件的接收时以大致实时的方式实行基于各种功能的处理的功能。另外,携出式PC12在A公司企业网络内使用时,经由HUB形成与该公司内POP服务器兼网关装置24和业务服务器23连接,当在互联网上使用时,借着在与A公司企业网络内的该公司内POP服务器兼网关装置24之间设定VPN连接,在该VPN连接上中继携出式PC12和业务服务器23之间的通信时,可构成在携出式PC12和该业务服务器23等之间进行连接。
图27表示第9实施方式的动作的步骤。在本实施方式中,携出式PC12和公司内POP服务器兼网关装置24在认证后建立VPN连接,在携出式PC12安装有该公司内业务的业务客户端应用程序A1,用以进行作为携出式PC12和业务服务器23之间的公司内业务的通信处理等的应用程序,在业务服务器23安装有对应的业务服务器应用程序C1。另外,在携出式PC12和公司内POP服务器兼网关装置24分别安装有:控制邮件发送应用程序A3,可以从互联网上对防火墙内访问,以实现电子邮件的发送功能;网关装置内POP服务器应用程序F3,用于实现该电子邮件的接收功能;控制邮件接收应用程序F1;中继服务器应用程序A2,用于对业务客户端应用程序A1实现中继功能;和中继客户端应用程序F2,用于对业务服务器应用程序C1实现中继功能。
(动作的说明)
下面参照图27用于说明本实施方式的动作。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序A3,经由公司外SMTP服务器11,将VPN连接请求用的控制邮件发送到被设定在POP服务器兼网关装置24的A公司员工本身的邮件地址。在此处的控制邮件包括VPN连接请求的识别用信息(例如,在报头亦可以包含VPN连接请求的识别用信息),以识别与通常的电子邮件的不同,并附加有携出式PC12的IP地址、ID和密码等从A公司企业网络侧的认证和从A公司企业网络侧对携出式PC12的进行VPN连接所必要的信息。该邮件首先利用连接P1从控制邮件发送应用程序A3被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1经由连接P1而接受该控制邮件,参照报头信息经由连接P2将该控制邮件传送到公司外POP服务器兼网关装置24。
(3)POP服务器兼网关装置24在接收到管辖的A公司员工的邮件收件地址的电子邮件时,利用POP服务器应用程序F3记忆并储存该电子邮件,并经由连接P3而传送到控制邮件接收应用程序F1。
(4)控制邮件接收应用程序F1在每次来信时识别电子邮件的信息,并判别是否为电子邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头地进行判别),在是控制邮件的情况下,命令POP应用程序F3删除该邮件,根据该控制邮件的认证用的信息,经由连接P7利用认证模块进行认证。
(5)控制邮件接收应用程序F1在接受到经由连接P7来自认证模块B14的该控制邮件的认证为正确的通知时,中继客户端应用程序F2根据该控制邮件在VPN连接的请求源(携出式PC12)的IP地址,建立与中继服务器应用程序A2的VPN连接P4。
(6)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,经由VPN连接P4而中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,POP服务器兼网关装置24内的中继客户端应用程序F2中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。
其结果,携出式PC12在VPN连接P4被断开之前,与A公司企业网络内的业务服务器23之间,可进行业务应用程序间的通信。
图28是第9实施方式的公司内POP服务器兼网关装置的动作流程图。POP服务器兼网关装置24利用电子邮件接收功能、和对接收到的电子邮件大致同时地处理识别、认证以及要求对连接目标方的VPN连接的各种功能的功能,来在接收到作为POP服务器管辖公司员工(例如A公司员工)的邮件地址的电子邮件时(步骤S1),在作为控制邮件接收功能的该电子邮件的来信时,识别其报头等的信息(步骤S2),并判别是否为控制邮件(步骤S3),在该电子邮件为控制邮件的情况下(步骤S3,是),删除该电子邮件,根据控制邮件利用认证模块进行认证,在认证结果为正确的情况下(步骤S4,是),在该控制邮件所指定的IP地址建立VPN连接(步骤S5),直至完成VPN连接(步骤S6),携出式PC12与公司内POP服务器兼网关装置24及业务服务器23等之间可进行通信。在电子邮件的识别和认证的步骤S3、S4,在分别为控制邮件以外,或认证为否定的情况下,回到电子邮件的接收等待的步骤S1。
依照本实施方式时,使公司内POP服务器功能和网关装置功能成为一体,而构成公司内POP服务器兼网关装置24,因此不需要第7、8实施方式(图18、图20、图22、图24)所示的从网关装置(20、22)定期查询公司内POP服务器21的处理。另外,在本实施方式中成为需要设定邮件服务器(和DNS)。
依照上述的方式,并不变更防火墙3或防火墙内的路由器(VPN-GW)的设定,且不需在公司外网络设置中继服务器,就可进行来自公司外网络的VPN连接,不会有防火墙管理者的承认手续或中继服务器的设置利用等所伴随的问题,可以利用通信费上有利的电子邮件简单地进行VPN构建。另外,经由使POP服务器和网关装置形成一体,可以不需要查询的处理,在控制邮件的到达后可以进行VPN连接,因而可以缩短至连接完成所需的时间。
在第7~9实施方式(图18、图22、图26)中所说明的实施方式是将POP服务器设置在企业网络内,而且在网关装置具有认证功能,但是亦可以作为其它的实施方式,以同样的POP服务器的设置构造,来构成使用未具有认证功能的网关装置的实施方式。
(第10实施方式)
下面所说明的例子是可利用电话线路和无线线路取代电子邮件,以作为从防火墙对防火墙内的访问机构,以下的实施方式是在网关装置具有认证功能的例子。
(构造的说明)
图29表示本发明的第10实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙(Firewall)3,在A公司企业网络2具备认证装置的网关装置25和业务服务器23,在互联网侧具备携出式PC12作为A公司员工从A公司携出的信息处理终端,安装有利用电话通信请求VPN连接的设置应用程序和VPN封装化等的对象应用程序等构成的专用VPN软件,还具备可从携出式PC12侧对网关装置25连接的电话线路。
此处的携出式PC12是笔记型PC等的可以携出的终端,当在互联网内使用的情况下,设置在图29所示的携出式PC12的位置而使用,当在A公司企业网络2内使用的情况下,代替网关装置25而可以设置在图29所示的该网关装置25的位置而使用。在A公司企业网络2内的使用时,使用在经由集线器(HUB)等与该防火墙3或企业网络内的业务服务器23等的通信,另外,在互联网上(企业网络以外)使用时,经由HUB等将该网关装置25设置在A公司企业网络2内,经由该防火墙3等设定该网关装置25和该携出式PC12的连接,可以用进行携出式PC12和业务服务器23间的通信。
另外,在携出式PC12具备对该电话线路的调制解调器(modem),具有伴随发送者号码通知而发送,和利用多频信号(按压音)等而发送本身的IP地址或密码等的电话通信功能,并具有对该网关装置25要求VPN连接的回呼的功能。
(动作的说明)
图30表示第10实施方式的动作的步骤。携出式PC12安装有该公司内业务的业务客户端应用程序A1,业务服务器23安装有对应的业务服务器应用程序C1。另外,携出式PC12和网关装置25分别安装有控制邮件发送应用程序A3,用于实现可从互联网上对防火墙内访问的控制信息的发送功能,和控制邮件接收应用程序B1,用于实现控制信息的接收功能,另外,分别安装有中继服务器应用程序A2,用于对业务客户端应用程序A1实现中继功能,和中继客户端应用程序B2,用于对业务服务器应用程序C1实现中继功能。
本实施方式的动作如下所述。
(1)A公司员工携出式PC12利用控制邮件发送应用程序A3,使用调制解调器将以网关装置25为目标方的控制信息,发送到电话线路的连接P1。在此处的携出式PC12随着发送者号码通知进行VPN连接请求的发送(发送者号码通知不是必需者),利用按压音等发送来自网关装置25的连接对象IP地址(携出式PC12的IP地址)或密码等。控制信息亦可以附加能够用于识别与在报头等含有VPN连接请求的识别用信息的通常信息的不同信息,和携出式PC12的IP地址、ID和密码等在A公司企业网络侧的认证和VPN连接所必要的信息。
(2)网关装置25在利用控制邮件接收应用程序B1,从电话线路接收到控制信息时,利用报头等的信息识别是否为控制信息,在为自己成为收件人的控制信息的情况下,对于利用发送者号码通知所取得的发送者的电话号码和利用按压音等所取得的密码等,以认证模块经由连接P2而进行认证。在接收到的发送者的电话号码等为预先登记者的情况下,网关装置25利用中继客户端应用程序B2,在所取得的连接对象IP地址进行VPN连接P4。
(3)当建立VPN连接P4时,携出式PC12的中继服务器应用程序A2中继连接P5和VPN连接P4,经由VPN连接P4而中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置25内的中继客户端应用程序B1中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。
其结果,携出式PC12在VPN连接P4被断开之前,可进行与A公司企业网络内的业务服务器23之间的业务应用程序间的通信。
图31是第10实施方式的网关装置的动作流程图。当网关装置25接受到电话的来信时(步骤S1),取得由发送者号码通知所取得的发送者的电话号码和利用按压音等取得的密码(步骤S2),与预先登记的信息对照,以进行认证(步骤S3),假如认证结果为正确时,在利用于自电话的按压音等指定的IP地址,建立VPN连接(步骤S5),在完成VPN连接时,可以进行与网关装置25、业务服务器23等的通信(步骤S5)。当在认证的步骤S3的认证结果为否定的情况下,就回到新来信的等待步骤S1。
依照本实施方式时,不需要防火墙3或防火墙内的路由器的设定等,从企业网络外要求,可以简单地实现连结企业网络外和企业网络内的VPN连接。当与第4~9(图6~图28)实施方式比较时,不需要电子邮件的收发和控制邮件的识别等,可达成极简易的VPN连接(VPN构造)。另外,利用发送者号码通知可以防止非法使用。
本实施方式经由电话线路的VPN连接请求的另一例子,是使用携带电话或一般电话以取代使用调制解调器。另外,连接请求的信号可以利用FAX文书上的条形码、或载波信号、电视影像信号、声音信号、莫尔斯码(Morse code)等。
(第11实施方式)
图32表示本发明的第11实施方式的网络构造。包括互联网1、A公司企业网络2、和被设置在互联网1和A公司企业网络2之间的防火墙3,A公司企业网络2具备认证装置的网关装置26和业务服务器23,在互联网侧具备:携出式PC12,作为A公司员工从A公司携出的信息处理终端,安装有利用无线通信要求VPN连接的设定应用程序,VPN用封装化等的对象应用程序等构成的专用VPN软件;和无线线路,可以从携出式PC12侧对网关装置26连接。
此处的携出式PC12是笔记型PC等的可携式终端,当在互联网内使用的情况下,可以设在图1所示的携出式PC12的位置而使用,同时在A公司企业网络2内使用的情况下,代替网关装置26而可设置在图1所示的该网关装置26的位置而使用。当在A公司企业网络2内使用时,使用于经由集线器(HUB)等与该防火墙3或企业网络内的业务服务器23等的通信,另外,当在互联网上(企业网络以外)使用时,经由该HUB等将该网关装置26设置在A公司企业网络2内,经由该防火墙3设定该网关装置26和该携出式PC12的连接,可用进行携出式PC12和业务服务器23间的通信。
另外,在携出式PC12具有对该无线线路的收发机,具有无线发送功能,利用无线信号发送本身的IP地址或密码等,和具有对该网关装置26要求VPN连接的回呼的要求功能。
图33表示第11实施方式的动作的步骤。携出式PC12安装有该公司内业务的业务客户端应用程序A1,业务服务器23安装有对应的业务服务器应用程序C1。另外,携出式PC12和网关装置26分别安装有:控制邮件发送应用程序A3,用于实现可以从互联网上对防火墙内访问的控制信息的发送功能;控制邮件接收应用程序B1,用于实现控制信息的接收功能;中继服务器应用程序A2,用于实现业务客户端应用程序A1的中继功能;和中继客户端应用程序B2,用于实现对业务服务器应用程序C1的中继功能。
本实施方式的动作如下所述。
(1)A公司员工携出式PC12利用控制邮件发送应用程序A3,使用无线发送机经由无线线路的连接P1,而进行以网关装置26为目标方的控制信息的发送,对网关装置26发送连接对象IP地址或密码等。在此处,控制信息在报头等包括VPN连接请求的识别用信息来与通常信息进行区分,同时也可附加携出式PC12的IP地址、ID和密码等,A公司企业网络侧的认证和VPN连接所必要的信息。
(2)当网关装置22利用控制邮件接收应用程序B1接收到无线信号时,利用无线信号的报头等的信息,识别是否为控制信息,在自己成为收件人的控制信息的情况下,依照所取得的密码等经由连接P2,利用认证模块而进行认证。在接收到的发送者的电话号码等为预先登记者的情况下,网关装置26利用中继客户端应用程序B2,对所取得的连接对象IP地址进行VPN连接P4。
(3)当建立VPN连接P4时,携出式PC12的中继服务器应用程序A2中继连接P5和VPN连接P4,经由VPN连接P4来中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置26内的中继客户端应用程序B2中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。
其结果,携出式PC12在VPN连接P4被断开之前,可进行与A公司企业网络内的业务服务器23之间的业务应用程序彼此的通信。
图34是第11实施方式的网关装置的动作流程图。网关装置在接收到无线机的连接请求的控制信号时(步骤S1),从控制信息取得密码(步骤S2),与预先登记的信息对照,以进行认证(步骤S3),假如认证结果为正确时,在从控制信息指定的IP地址建立VPN连接(步骤S5),在完成VPN连接时,可进行与网关装置26、业务服务器23等的通信(步骤S5)。在认证步骤S3,当认证结果为否定的情况下,回到等待接收新无线信号的步骤S1。
依照本实施方式时,不需要防火墙3或防火墙内的路由器的设定等,与公司外之间可以简单地实现VPN连接。当与第4~9(图6~图28)实施方式比较时,不需要电子邮件的收发和控制邮件的识别等,另外,当与第10实施方式(图29)比较时,因为不需要电话线路的使用、设定等,故可达成极简易的VPN连接(VPN构造)。
携出式PC和网关装置具备无线机等,当依照利用无线线路所传达的信息进行VPN连接请求和对该要求的回呼时,无线线路可以利用CB、TV、无线电、业余(amateur)无线等,另外,用以进行连接请求所传达的信息形式,除了与第10实施方式同样的按压,FAX文书上的条形码的外,亦可利用载波信号、电视图像信号、声音信号、莫尔斯码等。
下面将说明构成本发明的通信系统的实施方式的携出式PC和网关装置的实施方式。
(第12实施方式)
图35表示本发明的携出式PC的构造。本实施方式的携出式PC包括:输入部1001,由使用者按键输入等;存储部1002,用于存储各种数据外,亦存储与携出式PC、企业网络内的网关装置和各种机器通信用的应用程序和进行各种处理用的控制程序,和存储对象应用程序,该对向应用程序包括用于进行对网关装置的VPN连接或IP电话用的VPN连接等的连接请求的设定应用程序、利用与网关装置的连接进行规定的业务处理的业务应用程序以及对业务应用程序等进行中继处理的应用程序;记录介质1005,记录有被存储在存储部1002的该程序;电子邮件、电话调制解调器或无线机器等的访问机构1003;与网络缆线连接用的NIC等的接口部1004;和控制部(CPU)1006,具备中央处理装置(CPU)用于实现与网关装置之间的规定的功能。
设定应用程序和对象应用程序等的程序最初被存储在记录介质1005中,利用控制部1006从记录介质1005读入,用于控制该控制部1006的动作。另外,该程序亦可以从网络下载。控制部1006依照该程序实行以下的处理。
当使用者进行从输入部1001对网关装置(20、22、24、25、26)的VPN连接或IP电话用的VPN连接等的连接请求操作时,控制部1006利用设定应用程序(控制邮件发送应用程序等),以连接目标方的网关装置作为连接请求目标方的地址(在携出式PC的携出时,在代替网关装置的设置的情况下,为A公司员工本身的地址),在报头等包含连接请求的识别用信息,用于产生控制信息其中附加有携出式PC本身的位置,视需要的ID和密码等,A公司企业网络侧的认证和连接用的信息,经由上述的互联网、电话线路或无线线路等,发送到网关装置。
另外,携出式PC的接口部1004接受到经由防火墙来到网关装置(20、22、24、25、26)的VPN连接或IP电话用的VPN连接等的连接的回呼时,控制部1006利用对象应用程序(中继应用程序),经由进行指定的业务处理的中继或IP电话的通话处理,用于建立连接。
携出式PC的控制程序,是在和通过防火墙3而连接到外部网络的内部网络的网关装置之间进行连接用的控制程序,在该携出式PC的控制部1006中,例如,可实现:通过该内部网络进行访问的机构来请求连接的功能、和在该网关装置中对于该连接请求,经由该防火墙而对进行该连接请求的携出式PC回呼,由此进行连接请求的功能。并且,程序更可实现:将请求连接的控制邮件发送到邮件服务器的功能、和在该网关装置,根据该邮件服务器的控制邮件,经由该防火墙3进行连接的回呼的功能。并且,程序更可实现:在该携出式PC的控制部1006,经由电话线路或无线线路,发送请求连接的控制信息的功能、和在该网关装置中,根据该控制信息经由该防火墙3进行连接的回呼的功能。
图36表示本发明的网关装置的构造。本实施方式的网关装置的构成包括:由使用者按键输入等的输入部2001;存储部2002,用于存储各种数据外,亦存储与互联网上的携出式PC通信用的应用程序和进行各种处理用的控制程序,和存储对象应用程序,包含进行与携出式PC连接等的中继处理的应用程序;记录介质2005,记录有被存储在存储部2002的该程序;电子邮件、电话调制解调器或无线机器等的访问机构2003;与网络缆线连接用的NIC等的接口部2004;和控制部2006,具备中央处理装置(CPU),用于实现与携出式PC之间指定的功能。认证模块(认证程序)系依照需要从记录介质2005调用,被设在存储部202内。
最初被储存在记录介质2005中,利用控制部2006从记录介质2005读入,由此控制该控制部2006的动作。另外,该程序亦可以从网络下载。控制部2006依照该程序实行以下的处理。
使用者将携出式PC携出到公司外(互联网上)的情况下,因应于安全性的需要作成可实现认证的功能,从网关装置或携出式PC的输入部2001、1001,在有来自互联网上的连接请求时,设定使用者的ID和密码等的认证信息。
访问机构2003在接受到来自携出式PC的VPN连接或IP电话用的VPN连接的连接请求的控制信息时,设定应用程序从来自控制信息的连接请求的控制信息中,检测连接源的IP地址等,依照需要检测连接请求源的ID和密码等,以利用该ID和密码进行认证,在认证为正确的情况下,利用对象应用程序(中继应用程序等),经由接口部2004,进行对连接的请求源的IP地址的连接控制。
当建立连接时,网关装置利用对象应用程序(中继应用程序)来建立与业务服务器等的业务应用程序的连接,而作成可进行与业务服务器等之间的业务应用程序彼此的通信。
网关装置的控制程序,为在与外部网络的携出式PC之间进行连接时,经由防火墙连接到该外部网络的内部网络的网关装置的控制程序,在该网关装置的控制部2006,可实现:例如,接受来自携出式PC的连接请求的访问的功能;和对该连接请求,经由该防火墙进行该连接请求的信息处理终端,利用回呼进行连接请求的功能。另外,程序更可实现:从邮件服务器取得来自该携出式PC所发送请求连接的控制邮件的功能;和根据该控制邮件,经由该防火墙3对该携出式PC进行连接的回呼。另外,程序更可实现:定期地对该邮件服务器查询自己成为收件人的电子邮件的接收的功能;取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能;和对于控制邮件的认证功能。另外,程序包括可实现下列功能的程序:在具有与该邮件服务器的兼用功能的邮件服务器的电子邮件的每次接收时,判别该电子邮件是否为控制邮件的功能;和对于控制邮件的认证功能。
另外,控制程序为在和外部网络的携出式PC之间进行连接时,经由防火墙连接到该外部网络的内部网络的网关装置的控制程序,其包括可实现下列功能的程序:在该网关装置的控制部中,接受来自携出式PC经由电话线路所发送请求连接的控制信息的功能;和根据该控制信息,经由该防火墙对该携出式PC进行连接的回呼。程序可实现:根据利用于自该携出式PC的发送者号码通知所取得的电话号码,以进行认证的功能。
另外,控制程序系为在与外部网络的携出式PC之间进行连接时,经由防火墙连接到该外部网络的内部网络的网关装置的控制程序,可实现:有该网关装置的控制部中,接受来自携出式PC经由无线线路所发送请求连接的控制信息的功能;和根据该控制信息,经由该防火墙对该携出式PC进行连接的回呼的功能。程序包括可实现下列功能的程序:利用该控制信息进行认证的功能;和在认证为正确的情况下,对该携出式PC进行连接的功能。
(第13实施方式)
其次将说明作为本发明的具体实施方式的例子,在存在多个防火墙的情况下,访问机构利用电子邮件,在信息处理终端和网关装置之间进行VPN连接。
本实施方式与第4实施方式的不同部分是部门企业网络5经由防火墙4连接到A公司企业网络2,另外,网关装置20和业务服务器23分别被设置在部门企业网络5内。
(构造的说明)
图40表示本发明的第13实施方式的网络构造。本实施方式的网络包括互联网1、A公司企业网络2、被设置在互联网1和A公司企业网络2之间的防火墙3、部门企业网络5、和被设置在A公司企业网络2和部门企业网络5之间的防火墙4。
在部门企业网络5具备:与互联网侧VPN连接用的网关装置20,分别经由集线器(HUB)51与该防火墙4连接;和业务服务器23,经由集线器(HUB)51与该网关装置20连接。
在互联网1具备公司外SMTP服务器11、公司外POP服务器13、和A公司员工的携出式PC12,分别经由ISP14连接。
在A公司企业网络2中,防火墙3和防火墙4系经由HUB27连接。
防火墙4用于限制从A公司企业网络2(防火墙外)对部门企业网络5(防火墙内)的通信,以进行保护部门企业网络5内的机器或通信的秘密等的动作。实质上,从部门企业网络5内部的机器(网关装置20或业务服务器23等)朝向A公司企业网络2侧的通信,虽然除了特别情况外会被允许,但是从A公司企业网络2侧朝向部门企业网络5侧的通信,除了对来自部门企业网络5侧通信的响应(回信)的通信的外,进行拒绝动作。
另外,防火墙3是从A公司企业网络2(防火墙内)朝向互联网(防火墙外)的通信,虽然除了特别情况外被允许,但是从互联网1朝向A公司企业网络2的通信,除了对来自A公司企业网络2侧的通信的响应(回信)通信外,进行拒绝的动作。
因此,当考虑到防火墙3和防火墙4双方的动作时,从部门企业网络5朝向互联网1的通信,虽然除了特别情况外被允许,但是从互联网1朝向部门企业网络5的通信,除了对来自部门企业网络5侧的通信的响应(回信)通信的外,一概被拒绝。
部门企业网络5是被A公司的某一部门所管理的网络,经由防火墙4连接到A公司企业网络2。部门企业网络5需要具有比A公司企业网络2更高的隐密性,所以互联网1利用防火墙3和防火墙4双方进行双重的防护对策。
HUB51是部门企业网络5的集线器,其作用是依照MAC地址决定帧的收件人,分别对网关装置20、业务服务器23、防火墙4作连接的动作。
HUB27是A公司企业网络2内的集线器,其作用是依照MAC地址决定帧的收件人,分别对防火墙3、部门企业网络5作连接的动作。
ISP14是互联网1内的互联网服务提供者,依照IP地址决定数据包的目的地,分别连接携出式PC12、公司外SMTP服务器11、公司外POP服务器13。
图41、图42、图43是表示被安装在本实施方式的各装置的软件等和协议上的通信处理的图。在本实施方式的携出式PC12、网关装置20、SMTP服务器11、POP服务器13、业务服务器23和防火墙3中分别具备:规定的OS、用以实现各种功能的应用程序、用以进行该各OS间的通信的硬件的NIC、软件的驱动程序、虚拟驱动程序和虚拟NIC,此点与第4实施方式(图7)相同。
但是,在本实施方式的情况,在防火墙3和网关装置20之间具备防火墙4,此点与第4实施方式的图7不同。防火墙4的各个模块和功能的概要与防火墙3相同。其它的图41、图42和图43所示的各个模块及其功能的概要亦与第4实施方式相同。
另外,图41的A和图42的A结合、图41的B和图42的B结合。同样地,图42的C和图43的C结合图42的D和图43的D。
(动作的说明)
图44表示本实施方式的动作的步骤。参照图41本实施方式的动作如下所述。
(1)A公司员工利用携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处,控制邮件包括VPN连接请求的识别用信息(例如,亦可以在报头包括VPN连接请求的识别用信息),可以用于识别与通常的电子邮件的不同,和附加有携出式PC12的IP地址等从A公司企业网络侧对携出式PC12进行VPN连接所须要的信息。该邮件首先经由连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1,通过连接P1以接收该控制邮件,参照报头信息通过连接P2将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到发送自公司外SMTP服务器的电子邮件(控制邮件)时,利用POP服务器应用程序E1按照邮件地址来记忆和储存该电子邮件(控制邮件)。
(3)另一方面,网关装置20利用控制邮件接收应用程序B1,经由防火墙4和防火墙3,定期地对公司外内POP服务器13进行访问,利用连接P3而查询自己成为收件人电子邮件是否到达,在自己成为收件人电子邮件有到达的情况下,利用连接P3取入该电子邮件,并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)当自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1利用连接P3,命令公司外POP服务器13删除该控制邮件,根据所取得的控制邮件内的ID和密码等,通过连接P7利用认证模块B14以进行认证。在认证为正确的情况下,命令中继客户端应用程序B2对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。中继客户端应用程序B2依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,由此经由连接P4来中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。
另外,网关装置20内的中继客户端应用程序B2中继连接P6和VPN连接P4,由此经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。其结果,携出式PC12在VPN连接P4被断开之前,可以进行与A公司企业网络内的业务服务器23之间的业务应用程序间的通信。
依照上述的方式,并不变更防火墙3、防火墙4或其VPN-GW的设定,亦不需在公司外网络设置中继服务器,就可在公司外网络的互联网1和公司内网络的A公司企业网络2内的部门企业网络5之间进行VPN连接。
因此,在多个防火墙的内侧存在部门企业网络5,所以不会有路径上的各个防火墙管理者的承认手续或中继服务器的设置、利用等所伴随的难题,可以利用通信费上有利的电子邮件,简单地进行VPN构建。
(第14实施方式)
下面将说明作为本发明的具体实施方式的例子,携出式PC被设置在经由互联网和防火墙连接的家庭内LAN内,在防火墙受理泛用型随插即用(UPnP)的设定的情况下,访问机构利用电子邮件,在信息处理终端和网关装置之间进行VPN连接。
本实施方式的与第4实施方式的不同部分是在互联网1经由防火墙6连接有家庭内LAN7、携出式PC12与HUB71一起被设置在家庭内LAN7内。
(构造的说明)
图45表示本发明的第14实施方式的网络构造。本实施方式的网络构造包括互联网1、A公司企业网络2、被设置在互联网1和A公司企业网络2之间的防火墙3、和被设置在互联网1和家庭内LAN7之间的防火墙6。
在家庭内LAN7具备经由集线器(HUB)71与该防火墙6连接的携出式PC12。
在互联网1具备公司外SMTP服务器11和公司外POP服务器13,分别经由ISP14连接。
在A公司企业网络2中,防火墙3和网关装置20,以及业务服务器23经由HUB27连接。
防火墙6用于限制从互联网1(防火墙外)对家庭内LAN7(防火墙内)的通信,由此进行保护家庭内LAN7内的机器或通信的秘密等的动作。实质上,从家庭内LAN7内部的机器(携出式PC12)朝向互联网1侧的通信,除了特别情况外允许,但是从互联网1侧朝向家庭内LAN7侧的通信,除了对来自家庭内LAN7侧的通信的响应(回信)通信外,进行拒绝动作。
另外,防火墙6因为可以从家庭内LAN7内部的机器(携出式PC12)进行允许/不允许连接的设定等的远程操作,所以具有泛用型随插即用(UPnP)的功能。
家庭内LAN7是A公司员工的自宅或出差目的地的旅馆等的网络,经由具有UPnP功能的防火墙6连接到互联网1。
HUB71是家庭内LAN7内的集线器,其作用是依照MAC地址决定帧的收件人,分别连接携出式PC12、防火墙6。
图46、图47、图48表示被安装在本实施方式的各个装置的软件等,和协议上的通信处理。在本实施方式的网关装置20、SMTP服务器11、POP服务器13、业务服务器23和防火墙上,分别具备:规定的OS、用以实现各种功能的应用程序、用以进行该各个OS间的通信的硬件的NIC、软件的驱动程序、虚拟驱动程序和虚拟NIC,此点与第4实施方式(图7)相同。
但是,在本实施方式的情况,在携出式PC12和SMTP服务器11之间具备防火墙6,另外在携出式PC12内具备TCPA24,以用于辅助UPnP客户端应用程序A23和UPnP客户端应用程序A23的通信,此点与第4实施方式的图7不同。
另外,图46的E和图47的E结合,图46的F和图47的F结合,图46的G和图47的G结合。同样地,图47的H和图48的H结合,图47的I和图48的I结合。
防火墙6的各个模块和功能的概要基本上与防火墙3相同,但是防火墙6的与防火墙4的不同部分是具有TCPF9用于辅助UPnP服务器应用程序F8和UPnP服务器应用程序F8的通信。
连接P8是UPnP客户端应用程序A23和UPnP服务器应用程序F8之间的连接。连接P8利用TCP要求从UPnP客户端应用程序A23侧对UPnP服务器应用程序F8侧连接,一旦连接完成,在被断开之前可以进行双向的通信。
其它的图46、图47和图48所示的各个模块及其功能的概要与第4实施方式相同。
(动作的说明)
图49表示本实施方式的动作的步骤。参照图49,下面说明本实施方式的动作。
(1)当A公司员工对携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3而指示VPN连接的开始时,控制邮件发送应用程序A3对UPnP客户端应用程序A23进行防火墙6的互联网1侧的IP地址(全局IP地址)的通知要求,和对防火墙6的服务登记请求(防火墙6的设定请求例外地允许从互联网1侧对家庭内LAN7侧的VPN连接P4)。UPnP客户端应用程序A23利用连接P8连接到防火墙6内的UPnP服务器应用程序F8,进行互联网1侧的IP地址(全局IP地址)的通知要求,和对防火墙6的服务登记请求(防火墙的设定请求例外地允许从互联网1侧对家庭内LAN7侧的VPN连接P4)。另外,将利用IP地址(全局IP地址)的通知请求所取得的防火墙6的互联网1侧的IP地址,通知给控制邮件发送应用程序(电子邮件发送软件)A3。控制邮件发送应用程序(电子邮件发送软件)A3,经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处的控制邮件包括VPN连接请求的识别用信息(例如,亦可以在报头包括VPN连接请求的识别用信息),可以用于识别与通常的电子邮件的不同,和可以附加从UPnP客户端应用程序A23通知的防火墙6的互联网1侧的IP地址(全局IP地址)等用于进行从A公司企业网络侧对携出式PC12的VPN连接所必须的信息。该邮件首先经由连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1,经由连接P1接收该控制邮件,参照报头信息,经由连接P2将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到发自公司外SMTP服务器的电子邮件(控制邮件)时,利用POP服务器应用程序E1按照邮件地址来记忆和储存该电子邮件(控制邮件)。
(3)另外一方面,网关装置20利用控制邮件接收应用程序B1,经由防火墙4和防火墙3定期地对公司内外POP服务器13进行访问,利用连接P3查询自己成为收件人电子邮件是否到达,在自己成为收件人邮件有到达的情况下,利用连接P3以取入该电子邮件,并判别是否为控制邮件(在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1利用连接P3对公司外POP服务器13命令删除该控制邮件,根据所取得的控制邮件内的ID和密码等,通过连接P7利用认证模块B14进行认证。在认证为正确的情况下,对VPN连接的请求源(携出式PCI2)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式来命令中继客户端应用程序B2。中继客户端应用程序B2依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,经由连接P4来中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置20内的中继客户端应用程序B2中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。其结果,携出式PC12在VPN连接P4被断开之前,可以进行与A公司企业网络内的业务服务器23之间的业务应用程序间的通信。
(6)当A公司员工携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,指示断开VPN连接时,控制邮件发送应用程序A3在对中继服务器应用程序A2指示断开VPN连接P4的后,对UPnP客户端应用程序A23,进行来自防火墙6的服务解除请求(防火墙6对于从互联网1侧到家庭内LAN7侧,例外地许可VPN连接P4的设定的删除请求)。UPnP客户端应用程序A23利用连接P8,连接到防火墙6内的UPnP服务器应用程序F8,进行对防火墙6的服务解除请求(防火墙6对于从互联网1侧到家庭内LAN7侧,例外地允许VPN连接P4的设定的删除请求)。
依照上述的方式,并不需要以手动变更防火墙3,或防火墙6的设定,和不需要在公司外网络设置中继服务器,即可在公司外网络的家庭内LAN7和A公司企业网络2之间进行VPN连接。
(第15实施方式)
下面将说明作为本发明的具体实施方式的例子,在A公司企业网络2内追加HUB28,该HUB28与追加安装在网关装置20内的NIC连接,另外业务服务器23连接在HUB28,在此种情况下,利用电子邮件作为访问机构,在信息处理终端和网关装置之间进行VPN连接。
本实施方式的与第4实施方式的不同部分是(1)携出式PC12内的控制邮件发送应用程序A2在VPN连接的要求时,在控制邮件内附加VLAN加入信息,(2)网关装置20内的中继客户端应用程序B2,利用连接P4将接收到的帧传送到连接P6时,根据控制邮件内的VLAN加入信息而附加VLAN标签,(3)网关装置20内中继客户端应用程序B2,利用连接P6而从具有VLAN标签的帧中删除VLAN标签,并传送到连接P6。
(构造的说明)
图50表示本发明的第15实施方式的网络构造。图50与第4实施方式的图6不同部分是在A公司企业网络2内追加HUB28,该HUB28连接到被追加安装在网关装置20内的NIC,并且业务服务器23连接到HUB28。
HUB28是A公司企业网络2内的集线器,其作用是依照MAC地址决定帧的目标方,分别连接网关装置20、业务服务器23。
图51和图52表示被安装在本发明的第15实施方式的各个装置的软件等及协议上的通信处理。其与第4实施方式的图7的不同部分是网关装置20内,分别追加驱动程序B15和NICB16。
另外,图51的J和图52的J结合,图51的K和图52的K结合。
驱动程序B15系与驱动程序B8同样的驱动程序。
NICB16是与NICB9同样的NIC。
桥接器B7具有MAC地址的学习功能,用于记录每一个VLAN的具有哪一个MAC地址的终端,连接到哪一个NIC侧,利用MAC地址和VLAN标签的双方,决定从驱动程序B8、驱动程序B12、驱动程序B15、IP堆栈B6到达的帧的目标方,由此传送到驱动程序B8、驱动程序B12、驱动程序B15、IP堆栈B6的任一个。依照需要复制输入的帧,进行播报(广播)发送。
(动作的说明)
本实施方式的动作的程序,与第4实施方式的图8相同。但是,在控制邮件内包括VLAN信息等的细部不同,所以将使用图8说明本实施方式的动作。
在网关装置内的桥接器B7中,事先将驱动程序8、驱动程序12、IP堆栈B6登记在无标签的内定VLAN(VLAN1),驱动程序B12和驱动程序B15被登记在具有VLAN标签的VLAN2。
(1)A公司员工当对携出式PC12的控制邮件发送应用程序(电子邮件发送软件)A3,指示开始对VLAN2进行VPN连接时,控制邮件发送应用程序(电子邮件发送软件)A3就经由公司外SMTP服务器11,将控制邮件发送到被设定在POP服务器13的A公司员工本身的邮件地址。在此处,控制邮件可以包括VPN连接请求的识别用信息(例如,亦可以在报头包括VPN连接请求的识别用信息),以识别与通常电子邮件的不同,同时对从A公司企业网络侧携出的携出式PC12附加有携出式PC12的IP地址、希望连接目标方的VLAN(在此处成为VLAN2)等进行VPN连接所须要的信息。该邮件首先经由连接P1被传送到SMTP服务器应用程序D1。
(2)公司外SMTP服务器11利用SMTP服务器应用程序D1,通过连接P1而接收该控制邮件,参照报头信息,通过连接P2将该控制邮件传送到公司外POP服务器13,当公司外POP服务器13接收到从公司外SMTP服务器发送的电子邮件(控制邮件)时,利用POP服务器应用程序E1按照邮件地址来记忆和储存该电子邮件(控制邮件)。
(3)另一方面,网关装置20利用控制邮件接收应用程序B1,经由防火墙3而定期地对公司外内POP服务器13进行访问,经由连接P3而查询自己成为收件人电子邮件是否到达,在自己成为收件人邮件服务器有到达的情况下,取入该电子邮件,并判别是否为控制邮件(当在报头包括VPN连接请求的识别用信息的情况下,只检查报头)。
(4)在自己成为收件人电子邮件为控制邮件的情况下,网关装置20内的控制邮件接收应用程序B1命令公司外POP服务器13删除该控制邮件,根据所取得的控制邮件内的ID和密码等,经由连接P7利用认证模块B14以进行认证。在认证为正确的情况下,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4,以此方式来命令中继客户端应用程序B2。中继客户端应用程序B2依照来自控制邮件接收应用程序B1的命令,对VPN连接的请求源(携出式PC12)的IP地址,设定与中继服务器应用程序A2的VPN连接P4。
(5)当建立VPN连接P4时,携出式PC12内的中继服务器应用程序A2中继连接P5和VPN连接P4,经由连接P4来中继业务客户端应用程序A1和业务服务器应用程序C1之间的通信。另外,网关装置20内的中继客户端应用程序B2中继连接P6和VPN连接P4,经由VPN连接P4来中继业务服务器23的业务服务器应用程序C1和业务客户端应用程序A1之间的通信。此时,网关装置20内的中继客户端应用程序B2,将经由连接P4接收到的帧,传送到虚拟NICB13时,根据控制邮件内的VLAN加入信息而附加VLAN2的VLAN标签,相反地,在利用虚拟NICB13接收到VLAN2的附加有VLAN标签的帧时,删除VLAN标签,并传送到连接P6。
依照上述的方式,在控制邮件内附加VLAN信息,可以用于选择VPN连接对象的VLAN。
(其它的实施方式)
在第4~9实施方式(第6~28图)所示的实施方式中,关于控制邮件的格式,邮件服务器所接收到的控制邮件的处理和根据控制邮件的VPN连接或IP连接等的控制结果,可对发送源等的通知等的有关构造进行追加或各种变更。
例如,经由对控制邮件输入连接对象VLAN信息或认证信息,以作为来自携出式PC的连接对象的信息,而作成可进行多个VLAN对应的VPN连接等的方式时,可以实现利用电子邮件的认证VLAN。另外,将全局IP地址和希望连接VLAN等的信息插入控制邮件中,可由此控制连接到多个VLAN的哪一个。
另外,例如利用对携出式PC的使用者的连接请求的操作,携出式PC在控制邮件中写入连接请求标题,在电子邮件的主题(subject)中写入控制文字,在位于电子邮件的报头的扩伸区域的假扩伸标签(X-VPN)中写入控制文字,由此对网关装置进行VPN连接请求。
另外,亦可在使用写入有控制文字的控制邮件的格式时,从邮件服务器只取得被储存在邮件服务器的电子邮件中写入有该控制文字的电子邮件,从邮件服务器中将其删除。
在网关装置亦可根据控制邮件的接收,进行对该控制邮件所指定的IP地址的VPN连接或IP连接等的控制,同时辨识VPN连接或IP连接等的是否建立,及通信状态(status),将该通信状态通知与该控制邮件的发送源有关例如携带电话机的i模式等、其它的邮件地址等。
在第10实施方式(图29)中,在进行从携出式PC利用电话线路、固定电话或PHS等的携带电话对网关装置请求VPN连接或IP连接等时的控制用的信息形式方面,虽然显示发送者号码通知和按压音的利用例,但是亦可通过预先登记在携出式PC和网关装置侧之间传达的信息形式,由此利用任意的信息形式进行VPN连接或IP连接等的认证和IP地址的取得等。例如,利用经由携出式PC和网关装置间的电话线路等的传真功能,可由FAX文档将条形码等利用在有关控制用的信息的传达,另外,经由控制用的图像数据或声音数据等的收发、亦可同样地利用于信息的传达和VPN连接或IP连接等的控制。以上的事项明显地在利用无线线路的VPN连接或IP连接等的通信系统亦同样地可适用。
另外,在以上的各个实施方式中,亦可在控制邮件等的VPN连接或IP连接等的要求中附加序号的信息,网关装置将该序号在VPN连接或IP连接等的时发送到连接请求源的携出式PC,携出式PC经由检测与发送到的VPN连接或IP连接等的要求的序号为一致时,可确认该VPN连接或IP连接等为正常的连接。
虽然以上已经说明本发明的实施方式的VPN连接和IP电话用的VPN连接,但是本发明并不只限于这些的连接,亦可适用在TCP连接的建立,和其它的各种连接的连接方法、通信系统、装置和程序。
Claims (52)
1、一种连接方法,用于进行外部网络上的信息处理终端、与经由防火墙连接于所述外部网络的内部网络上的网关装置之间的连接,所述连接方法包括:
通过从所述外部网络上的信息处理终端可对所述内部网络进行访问的机构来请求连接的步骤;和
对于所述连接请求,所述网关装置对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼进行连接请求的步骤。
2、一种连接方法,用于进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,所述连接方法包括:
从外部网络的信息处理终端,对邮件服务器发送请求连接的控制邮件的步骤;和
对于所述控制邮件,内部网络的网关装置经由所述防火墙对所述控制邮件的发送源进行连接的回呼的步骤。
3、根据权利要求2所述的连接方法,其特征在于,包括:
所述网关装置对所述邮件服务器定期地查询控制邮件的接收的步骤;
取得所接收的控制邮件并进行认证的步骤;和
在认证为正确的情况下,根据控制邮件对所述信息处理终端进行连接的步骤。
4、一种连接方法,用于进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,所述连接方法包括:
从外部网络的信息处理终端经由电话线路,对内部网络的所述网关装置发送请求连接的控制信息的步骤;和
对于控制信息的发送,内部网络的网关装置经由所述防火墙对所述控制信息的发送源进行连接的回呼的步骤。
5、一种连接方法,用于进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,所述连接方法包括:
从外部网络的信息处理终端经由无线线路,对内部网络的所述网关装置发送请求连接的控制信息的步骤;和
对于所述控制信息的发送,内部网络的网关装置经由所述防火墙对所述控制信息的发送源进行连接的回呼的步骤。
6、根据权利要求4或者5所述的连接方法,其特征在于,包括:
内部网络的网关装置对所述控制信息进行认证的步骤;和
在认证为正确的情况下,根据控制信息对信息处理终端进行连接的步骤。
7、一种通信系统,进行外部网络上的信息处理终端、与经由防火墙连接于所述外部网络的内部网络上的网关装置之间的连接,
所述通信系统,通过从所述外部网络上的信息处理终端可对所述内部网络访问的机构请求连接,对于所述连接请求,所述网关装置对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼进行连接请求,由此进行所述信息处理终端和所述网关装置之间的连接。
8、一种通信系统,进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,
所述信息处理终端对邮件服务器发送请求连接的控制邮件,所述网关装置从所述邮件服务器取得控制邮件,并根据所述控制邮件经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端与所述网关装置之间的连接。
9、根据权利要求8所述的通信系统,其特征在于,具有:
所述网关装置对所述邮件服务器定期地查询自己成为收件人的电子邮件的接收的功能;
取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能;和
对于控制邮件的认证功能。
10、根据权利要求8所述的通信系统,其特征在于,
所述网关装置是与所述邮件服务器兼用的装置,具有:在邮件服务器的电子邮件的每次接收时,判别所述电子邮件是否为控制邮件的功能;和对于控制邮件的认证功能。
11、一种通信系统,进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,
所述信息处理终端经由电话线路,对所述网关装置发送请求连接的控制信息,所述网关装置根据所述控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端与所述网关装置之间的连接。
12、根据权利要求11所述的通信系统,其特征在于,
所述网关装置根据通过发送者号码通知所取得的电话号码进行认证。
13、一种通信系统,进行外部网络的信息处理终端、与通过防火墙连接于该外部网络的内部网络的网关装置之间的连接,
所述信息处理终端经由无线线路对所述网关装置发送请求连接的控制信息,所述网关装置根据所述控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行所述信息处理终端与所述网关装置之间的连接。
14、根据权利要求13所述的通信系统,其特征在于,
所述网关装置通过所述控制信息进行认证,在认证为正确的情况下,进行对所述信息处理终端的连接。
15、一种网关装置,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置,
所述网关装置,
接受来自所述外部网络上的信息处理终端的请求连接的访问,
对于所述访问,通过回呼对经由所述防火墙进行了所述连接请求的信息处理终端进行连接请求,由此进行与所述信息处理终端的连接。
16、一种网关装置,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置,
所述网关装置,从邮件服务器取得从所述信息处理终端发送的请求连接的控制邮件,并根据该控制邮件经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行与所述信息处理终端的连接。
17、根据权利要求16所述的网关装置,其特征在于,具有:
对所述邮件服务器定期地查询自己成为收件人的电子邮件的接收的功能;
取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能;和
对于控制邮件的认证功能
18、根据权利要求16所述的网关装置,其特征在于,具有:
作为与所述邮件服务器兼用的装置,在邮件服务器的电子邮件的每次接收时,判别该电子邮件是否为控制邮件的功能;和
对于控制邮件的认证功能。
19、一种网关装置,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置,
所述网关装置,根据从所述信息处理终端经由电话线路发送的请求连接的控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行与所述信息处理终端的连接。
20、根据权利要求19所述的网关装置,其特征在于,
根据通过来自所述信息处理终端的发送者号码通知所取得的电话号码进行认证。
21、一种网关装置,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置,
所述网关装置,根据从所述信息处理终端经由无线线路发送的请求连接的控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼,由此进行与所述信息处理终端的连接。
22、根据权利要求21所述的网关装置,其特征在于,
通过所述控制信息进行认证,在认证为正确的情况下,对所述信息处理终端进行连接。
23、一种终端,是用于与通过防火墙连接于外部网络的内部网络的网关装置之间进行连接的、所述外部网络的终端,
所述终端,通过从所述外部网络的终端可对所述内部网络访问的机构请求连接,对于所述连接请求使所述网关装置经由所述防火墙进行连接的回呼,由此进行与所述网关装置的连接。
24、一种终端,是用于与通过防火墙连接于外部网络的内部网络的网关装置之间进行连接的、所述外部网络的终端,
所述终端,将请求连接的控制邮件发送到邮件服务器,使所述网关装置根据所述邮件服务器的控制邮件,经由所述防火墙进行连接的回呼,由此进行与所述网关装置的连接。
25、一种终端,是用于与通过防火墙连接于外部网络的内部网络的网关装置之间进行连接的、所述外部网络的终端,
所述终端,经由电话线路发送请求连接的控制信息,使所述网关装置根据所述控制信息经由所述防火墙进行连接的回呼,由此进行与所述网关装置的连接。
26、一种终端,是用于与通过防火墙连接于外部网络的内部网络的网关装置之间进行连接的、所述外部网络的终端,
所述终端,经由无线线路发送请求连接的控制信息,使所述网关装置根据所述控制信息经由所述防火墙进行连接的回呼,由此进行与所述网关装置的连接。
27、一种控制程序,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:
接受从所述信息处理终端请求连接的访问的功能;和
对于所述连接请求,对经由所述防火墙进行了所述连接请求的信息处理终端,通过回呼进行连接请求的功能。
28、一种控制程序,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:
从邮件服务器取得从所述信息处理终端发送的请求连接的控制邮件的功能;和
根据该控制邮件,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
29、根据权利要求28所述的控制程序,其特征在于,包括用于实现下述功能的程序:
对所述邮件服务器定期地查询自己成为收件人的电子邮件的接收的功能;
取得自己成为收件人的电子邮件,并判别是否为控制邮件的功能;和
对于控制邮件的认证功能。
30、根据权利要求28所述的控制程序,其特征在于,包括用于实现下述功能的程序:
作为与所述邮件服务器的兼用功能的、邮件服务器的电子邮件的每次接收时,判别所述电子邮件是否为控制邮件的功能;和
对于控制邮件的认证功能。
31、一种控制程序,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:
接收从所述信息处理终端经由电话线路发送的请求连接的控制信息的功能;和
根据所述控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
32、根据权利要求31所述的控制程序,其特征在于,
包括实现下述功能的程序:根据通过来自所述信息处理终端的发送者号码通知所取得的电话号码进行认证的功能。
33、一种控制程序,是在进行与外部网络的信息处理终端之间的连接时,通过防火墙与所述外部网络连接的内部网络的网关装置的控制程序,使所述网关装置的控制部实现:
接收从所述信息处理终端经由无线线路发送的请求连接的控制信息的功能;和
根据该控制信息,经由所述防火墙对所述信息处理终端进行连接的回呼的功能。
34、根据权利要求33所述的控制程序,其特征在于,
包括实现下述功能的程序:
通过所述控制信息进行认证的功能;和
在认证为正确的情况下,对所述信息处理终端进行连接的功能。
35、一种控制程序,是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:
通过可对所述内部网络访问的机构来请求连接的功能;和
对于所述连接请求,使所述网关装置通过回呼对经由所述防火墙进行了所述连接请求的信息处理终端,进行连接请求的功能。
36、一种控制程序,是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:
将请求连接的控制邮件发送到邮件服务器的功能;和
使所述网关装置根据所述邮件服务器的控制邮件,经由所述防火墙进行连接的回呼的功能。
37、一种控制程序,是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:
经由电话线路发送请求连接的控制信息的功能;和
使所述网关装置根据所述控制信息,经由所述防火墙进行连接的回呼的功能。
38、一种控制程序,是用于进行与通过防火墙连接于外部网络的内部网络的网关装置之间的连接的所述外部网络的信息处理终端的控制程序,使所述信息处理终端的控制部实现:
经由无线线路发送请求连接的控制信息的功能;和
使所述网关装置根据所述控制信息,经由所述防火墙进行连接的回呼的功能。
39、根据权利要求1至6中任一项所述的连接方法,其特征在于,
所述网关装置在所述内部网络上存在多个。
40、根据权利要求1至6中任一项所述的连接方法,其特征在于,
在所述内部网络上对于向所述内部网络的访问得到允许者的每一个存在所述网关装置。
41、根据权利要求1至6中任一项所述的连接方法,其特征在于,
在所述内部网络上对于向所述内部网络的访问得到允许的多者存在一台所述网关装置。
42、根据权利要求7至14中任一项所述的连接方法,其特征在于,
在所述内部网络上存在多个所述网关装置。
43、根据权利要求7至14中任一项所述的连接方法,其特征在于,
在所述内部网络上对于向所述内部网络的访问得到允许者的每一个存在所述网关装置。
44、根据权利要求7至14中任一项所述的连接方法,其特征在于,
在所述内部网络上对于向所述内部网络的访问得到允许的多者存在一台所述网关装置。
45、根据权利要求1至6中任一项所述的连接方法,其特征在于,
所述防火墙在所述内部网络上存在多个。
46、根据权利要求7至14中任一项所述的连接方法,其特征在于,
所述防火墙在所述内部网络上存在多个。
47、根据权利要求2至3中任一项所述的连接方法,其特征在于,
所述控制邮件通知通过UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
48、根据权利要求8至10中任一项所述的连接方法,其特征在于,
所述控制邮件通知通过UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
49、根据权利要求28至30、36中任一项所述的控制程序,其特征在于,
所述控制邮件通知通过UPnP所取得的IP地址,所述信息处理终端对防火墙进行服务登记。
50、根据权利要求2至3中任一项的连接方法,其特征在于,
所述控制邮件通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
51、根据权利要求8至10中任一项所述的通信系统,其特征在于,
所述控制邮件通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
52、根据权利要求28至30、36中任一项所述的控制程序,其特征在于,
所述控制邮件通知希望连接目标方的VLAN信息,所述网关装置插入删除所述控制邮件中所记载的VLAN标签。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004220902 | 2004-07-28 | ||
JP220902/2004 | 2004-07-28 | ||
JP211799/2005 | 2005-07-21 | ||
JP2005211799 | 2005-07-21 | ||
PCT/JP2005/013617 WO2006011464A1 (ja) | 2004-07-28 | 2005-07-26 | 接続方法、通信システム、装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1981496A true CN1981496A (zh) | 2007-06-13 |
CN1981496B CN1981496B (zh) | 2016-09-14 |
Family
ID=35786213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200580022200.6A Expired - Fee Related CN1981496B (zh) | 2004-07-28 | 2005-07-26 | 连接方法、通信系统、装置和程序 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9088547B2 (zh) |
JP (1) | JP4352275B2 (zh) |
CN (1) | CN1981496B (zh) |
TW (1) | TW200620913A (zh) |
WO (1) | WO2006011464A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102396206A (zh) * | 2009-04-17 | 2012-03-28 | 斯灵媒体公司 | 用于在经由网络进行通信的装置之间建立连接的系统和方法 |
CN102685094A (zh) * | 2011-12-16 | 2012-09-19 | 河南科技大学 | 反转代理系统及方法 |
US9015225B2 (en) | 2009-11-16 | 2015-04-21 | Echostar Technologies L.L.C. | Systems and methods for delivering messages over a network |
US9113185B2 (en) | 2010-06-23 | 2015-08-18 | Sling Media Inc. | Systems and methods for authorizing access to network services using information obtained from subscriber equipment |
US9178923B2 (en) | 2009-12-23 | 2015-11-03 | Echostar Technologies L.L.C. | Systems and methods for remotely controlling a media server via a network |
US9275054B2 (en) | 2009-12-28 | 2016-03-01 | Sling Media, Inc. | Systems and methods for searching media content |
CN106453464A (zh) * | 2015-08-07 | 2017-02-22 | 广达电脑股份有限公司 | 数据分享系统以及其方法 |
CN111371664A (zh) * | 2018-12-25 | 2020-07-03 | 中国移动通信有限公司研究院 | 一种虚拟专用网络接入方法及设备 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7594259B1 (en) * | 2004-09-15 | 2009-09-22 | Nortel Networks Limited | Method and system for enabling firewall traversal |
GB2418326B (en) * | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
US9294477B1 (en) * | 2006-05-04 | 2016-03-22 | Sprint Communications Company L.P. | Media access control address security |
US8977691B2 (en) * | 2006-06-28 | 2015-03-10 | Teradata Us, Inc. | Implementation of an extranet server from within an intranet |
US20090095985A1 (en) * | 2007-10-10 | 2009-04-16 | Samsung Electronics Co., Ltd. | Multi-layer electrode, cross point memory array and method of manufacturing the same |
JP5212913B2 (ja) * | 2009-03-02 | 2013-06-19 | 日本電気株式会社 | Vpn接続システム、及びvpn接続方法 |
US20100313262A1 (en) * | 2009-06-03 | 2010-12-09 | Aruba Networks, Inc. | Provisioning remote access points |
JP5625394B2 (ja) * | 2010-03-03 | 2014-11-19 | 株式会社明電舎 | ネットワークセキュリティシステムおよび方法 |
JP5673027B2 (ja) * | 2010-11-26 | 2015-02-18 | 富士通株式会社 | スイッチおよびスイッチ制御方法 |
US10277630B2 (en) * | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
US8990342B2 (en) * | 2011-08-04 | 2015-03-24 | Wyse Technology L.L.C. | System and method for client-server communication facilitating utilization of network-based procedure call |
CN102932792B (zh) * | 2012-11-14 | 2016-06-15 | 邦讯技术股份有限公司 | 一种实现无线网络云的方法及控制器 |
EP2851833B1 (en) | 2013-09-20 | 2017-07-12 | Open Text S.A. | Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations |
US10171501B2 (en) | 2013-09-20 | 2019-01-01 | Open Text Sa Ulc | System and method for remote wipe |
US10824756B2 (en) | 2013-09-20 | 2020-11-03 | Open Text Sa Ulc | Hosted application gateway architecture with multi-level security policy and rule promulgations |
US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
CN105630786A (zh) * | 2014-10-27 | 2016-06-01 | 航天信息股份有限公司 | 一种车购税电子档案上传、存储、查询的系统与方法 |
CN105630799A (zh) * | 2014-10-29 | 2016-06-01 | 航天信息股份有限公司 | 一种用于车购税自助办税终端的身份信息存储及校验的系统及方法 |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
US11593075B2 (en) * | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
US10608928B2 (en) | 2016-08-05 | 2020-03-31 | Huawei Technologies Co., Ltd. | Service-based traffic forwarding in virtual networks |
CN109246060B (zh) * | 2017-07-10 | 2022-07-05 | 中兴通讯股份有限公司 | 一种建立链接的方法、终端及系统 |
JP6577546B2 (ja) * | 2017-09-25 | 2019-09-18 | 株式会社東芝 | リモートアクセス制御システム |
JP7099080B2 (ja) * | 2018-06-26 | 2022-07-12 | コニカミノルタ株式会社 | 画像形成装置および画像形成システム |
US11178208B2 (en) | 2019-01-24 | 2021-11-16 | KLDiscovery Ontrack, LLC | Automatic initialization process for standalone e-discovery machine |
US11991150B2 (en) * | 2020-09-25 | 2024-05-21 | Electronics And Telecommunications Research Institute | Apparatus and method for providing remote work environment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002055895A (ja) * | 2000-08-14 | 2002-02-20 | Tokyo Electric Power Co Inc:The | コンピュータネットワークの通信システム |
US20030037177A1 (en) * | 2001-06-11 | 2003-02-20 | Microsoft Corporation | Multiple device management method and system |
CN1474564A (zh) * | 2002-08-05 | 2004-02-11 | ��Ϊ��������˾ | 一种虚拟局域网之间的通信方法 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10126437A (ja) | 1996-10-17 | 1998-05-15 | Nippon Telegr & Teleph Corp <Ntt> | 分散オブジェクト通信方法 |
JP2000134207A (ja) | 1998-10-21 | 2000-05-12 | Mitsubishi Electric Corp | バーチャルローカルエリアネットワーク構成情報管理方式 |
US7222228B1 (en) * | 2000-06-14 | 2007-05-22 | Netwolves Corporation | System and method for secure management or remote systems |
JP4065479B2 (ja) | 2000-10-20 | 2008-03-26 | キヤノン株式会社 | 遠隔操作装置及び方法、並びに記憶媒体 |
JP2002358274A (ja) | 2001-05-31 | 2002-12-13 | Dainippon Printing Co Ltd | イントラネットシステム |
JP2003008661A (ja) | 2001-06-19 | 2003-01-10 | Fuji Xerox Co Ltd | ネットワーク接続中継制御方法および装置 |
JP3726726B2 (ja) * | 2001-08-20 | 2005-12-14 | コニカミノルタビジネステクノロジーズ株式会社 | 画像処理装置および管理ユニット |
JP3759488B2 (ja) | 2002-10-25 | 2006-03-22 | 東日本電信電話株式会社 | 音声通信方法およびゲート装置 |
US9106526B2 (en) * | 2003-03-21 | 2015-08-11 | Hewlett-Packard Development Company, L.P. | Traversing firewalls |
JP3934086B2 (ja) | 2003-06-03 | 2007-06-20 | 東日本電信電話株式会社 | ダウンロードシステム及び方法、クライアントシステム、ファイル管理システム、ならびに、コンピュータプログラム |
JP2005080003A (ja) | 2003-09-01 | 2005-03-24 | Sony Corp | アクセス制御方法、通信システム、サーバ及び通信端末 |
-
2005
- 2005-07-26 CN CN200580022200.6A patent/CN1981496B/zh not_active Expired - Fee Related
- 2005-07-26 JP JP2006529327A patent/JP4352275B2/ja not_active Expired - Fee Related
- 2005-07-26 WO PCT/JP2005/013617 patent/WO2006011464A1/ja active Application Filing
- 2005-07-26 US US11/572,496 patent/US9088547B2/en not_active Expired - Fee Related
- 2005-07-27 TW TW094125406A patent/TW200620913A/zh unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002055895A (ja) * | 2000-08-14 | 2002-02-20 | Tokyo Electric Power Co Inc:The | コンピュータネットワークの通信システム |
US20030037177A1 (en) * | 2001-06-11 | 2003-02-20 | Microsoft Corporation | Multiple device management method and system |
CN1474564A (zh) * | 2002-08-05 | 2004-02-11 | ��Ϊ��������˾ | 一种虚拟局域网之间的通信方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102396206A (zh) * | 2009-04-17 | 2012-03-28 | 斯灵媒体公司 | 用于在经由网络进行通信的装置之间建立连接的系统和方法 |
CN107612900A (zh) * | 2009-04-17 | 2018-01-19 | 斯灵媒体公司 | 用于在经由网络进行通信的装置之间建立连接的系统和方法 |
US9225785B2 (en) | 2009-04-17 | 2015-12-29 | Sling Media, Inc. | Systems and methods for establishing connections between devices communicating over a network |
US10021073B2 (en) | 2009-11-16 | 2018-07-10 | Sling Media L.L.C. | Systems and methods for delivering messages over a network |
US9015225B2 (en) | 2009-11-16 | 2015-04-21 | Echostar Technologies L.L.C. | Systems and methods for delivering messages over a network |
US9178923B2 (en) | 2009-12-23 | 2015-11-03 | Echostar Technologies L.L.C. | Systems and methods for remotely controlling a media server via a network |
US9275054B2 (en) | 2009-12-28 | 2016-03-01 | Sling Media, Inc. | Systems and methods for searching media content |
US10097899B2 (en) | 2009-12-28 | 2018-10-09 | Sling Media L.L.C. | Systems and methods for searching media content |
US9113185B2 (en) | 2010-06-23 | 2015-08-18 | Sling Media Inc. | Systems and methods for authorizing access to network services using information obtained from subscriber equipment |
CN102685094A (zh) * | 2011-12-16 | 2012-09-19 | 河南科技大学 | 反转代理系统及方法 |
CN106453464A (zh) * | 2015-08-07 | 2017-02-22 | 广达电脑股份有限公司 | 数据分享系统以及其方法 |
CN111371664A (zh) * | 2018-12-25 | 2020-07-03 | 中国移动通信有限公司研究院 | 一种虚拟专用网络接入方法及设备 |
CN111371664B (zh) * | 2018-12-25 | 2022-02-11 | 中国移动通信有限公司研究院 | 一种虚拟专用网络接入方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
US20080098472A1 (en) | 2008-04-24 |
WO2006011464A1 (ja) | 2006-02-02 |
CN1981496B (zh) | 2016-09-14 |
JP4352275B2 (ja) | 2009-10-28 |
JPWO2006011464A1 (ja) | 2008-05-01 |
US9088547B2 (en) | 2015-07-21 |
TW200620913A (en) | 2006-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1981496A (zh) | 连接方法、通信系统、装置和程序 | |
US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
CN1685689B (zh) | 控制家庭终端的装置、通信方法和通信系统 | |
US8726026B2 (en) | End-to-end encryption method and system for emails | |
JP4260116B2 (ja) | 安全な仮想プライベート・ネットワーク | |
CN100456729C (zh) | 个人远程防火墙 | |
CN101322108B (zh) | 代理终端、服务器装置、代理终端的通信路径设定方法以及服务器装置的通信路径设定方法 | |
CN100525304C (zh) | 网络系统、内部服务器、终端设备、存储介质和分组中继方法 | |
JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
JPH10135945A (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
US20240214352A1 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
CN100454860C (zh) | 连接控制系统、连接控制装置及连接管理装置 | |
JP2006244318A (ja) | 電子メール中継装置 | |
JPH1141280A (ja) | 通信システム、vpn中継装置、記録媒体 | |
US20070226490A1 (en) | Communication System | |
JP3935823B2 (ja) | Httpセッション・トンネリング・システム、その方法、及びそのプログラム | |
JP7173271B2 (ja) | ネットワーク通信システム | |
JP3566115B2 (ja) | メール転送装置および方法、ならびにメール転送制御プログラムを記憶した媒体 | |
JP3705148B2 (ja) | 電子メール転送方法、メールサーバ及び電子メール転送プログラム | |
JP2000115228A (ja) | 電子メール用メールサーバ及びメールクライアント | |
WO2018173099A1 (ja) | ゲートウェイ及び中継方法 | |
JP2007158494A (ja) | ネットワーク中継装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 Termination date: 20190726 |