JP2000207320A - リモ―トアクセス方法 - Google Patents

リモ―トアクセス方法

Info

Publication number
JP2000207320A
JP2000207320A JP11181341A JP18134199A JP2000207320A JP 2000207320 A JP2000207320 A JP 2000207320A JP 11181341 A JP11181341 A JP 11181341A JP 18134199 A JP18134199 A JP 18134199A JP 2000207320 A JP2000207320 A JP 2000207320A
Authority
JP
Japan
Prior art keywords
raft
remote access
firewall
url
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11181341A
Other languages
English (en)
Inventor
Gabriel Montenegro
ガブリエル・モンテネグロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2000207320A publication Critical patent/JP2000207320A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 クライアント・アプリケーションがファイア
ウォールの向こう側のプライベートリソースとトランザ
クションすることを可能にする。 【解決手段】 ユニフォーム・リソース・ロケータの形
(RAFT URL)のリモートアクセス及びファイア
ウォール・トラバーサルのための汎用ネーミング方式で
ある。このRAFT URLは、リモートアクセス/フ
ァイアウォール・トラバーサル方法との適合性ないしは
互換性の如何に関わらず、如何なるクライアントにでも
提供することができ、これによってそのクライアントは
動作環境コードモジュールを始動する。動作環境コード
モジュールは、リモートアクセス/ファイアウォール・
トラバーサル方法を実行し、動作環境とのインタラクシ
ョンによってデータ移送機構を獲得する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は広義にはコンピュー
タネットワークの技術分野に関するものである。より詳
しくは、本発明はコンピュータ・インタネットワークの
プロトコル及び規約に関する。
【0002】
【従来の技術】企業の「イントラネット」ネットワーク
あるいは共用プライベートネットワーク内から、そのネ
ットワーク内のコンピュータ、デバイス及びデータリソ
ースへのローカルエリア・アクセスのための方法及びプ
ロトコルは、それらのネットワークのアドミニストレー
タの管理下にあって十分に規制され、ある程度一貫性が
ある。ユーザがネットワークの外部からそれらのデバイ
ス、コンピュータ及びリソースにアクセスしようとする
場合、そのようなアクセスは「リモートアクセス」と呼
ばれる。従来、リモートアクセスのための最も一般的な
物理トポロジーはモデムバンクへの直接ダイアル方式で
あり、モデムバンクは企業サイトにあるか、あるいはI
SP(インターネット・サービス・プロバイダ(Int
ernetService Provider)によっ
て提供される場合もある。しかしながら、このトポロジ
ーは、特に長距離電話あるいは国際長距離電話を介して
リモートアクセスが試みられる場合、重い運営管理上の
負担や金銭的コストが課されることになる。その結果、
最近の傾向としては、インターネット接続を介してリモ
ートアクセスを達成することが行われている。インター
ネット・リモートアクセスでは、まず任意の利用可能な
方法を用いてIP(インターネット・プロトコル)接続
を確立することができ、そのためにイントラネットはダ
イアルイン・モデムバンクのような直接的物理アクセス
ポイントを維持する必要がない。ユーザが「インターネ
ット上に」あると(IP接続を確立すると)、そのユー
ザの「クライアント」側では様々なプロトコル及びサー
ビス(イントラネットの接続性によって限定される)を
用いてそのイントラネットにリモートアクセスすること
ができる。リモートアクセスするめには、クライアント
は、中間ステップ、大方の場合は、ファイアウォールを
トラバースするステップを通過しなければならない。フ
ァイアウォールのトラバーサルは、ゲートウェイ固有の
ソフトウェア、SSL(Secure Sockets Layer)機構等
を用いることによって達成することができる。
【0003】特定のクライアントのソフトウェアは特定
のファイアウォール・トラバーサル・メソッドのサポー
トとアウェアネスがなければならず、従って一般的なク
ライアントのソフトウェアを用いてイントラネットに入
り込むことはできない。例えば、ネットスケープTM(N
etscapeTM)のようなクライアント・アプリケー
ションは、プライベートイントラネットのファイアウォ
ール機構を「サポートする」ようエントリパラメータを
表現する手段が欠けているので、ファイアウォールをト
ラバースすることができない場合がある。このように、
ユーザは、個々にイントラネットを理解してそのイント
ラネットと通信するソフトウェアを使うことに限定され
てしまうことが多い。このことが、そのプライベートイ
ントラネットにアクセスする時、多くの利用可能な全プ
ログラムの中の限定された一組のクライアント・アプリ
ケーションしか使用できないように、クライアントソフ
トウェアの選択の幅を大きく制限することになる。
【0004】これらの方式は、通常、ファイアウォール
アクセス機構を、そのベースにあるネットワークサポー
トの中に置くことによって透過にするのではなく、アプ
リケーションと結び付けている。そこで、アプリケーシ
ョンをファイアウォール・トラバーサル機構から分離す
るために、汎用ネーミング機構が必要である。さらに、
ファイアウォールは、認証後にトラバーサルコンフィギ
ュレーションをクライアント側にダウンロードするため
の標準的なフォーマットを持っていない。
【0005】
【発明が解決しようとする課題】従って、クライアント
・アプリケーションをリモートアクセス及びファイアウ
ォール・トラバーサル・プロシージャにとって透過にす
るための一般的な体系が必要である。この体系は、任意
の形態のリモートアクセス/ファイアウォール・トラバ
ーサル及びセキュリティ方法/プロトコルがクライアン
ト・アプリケーションとは独立に認識され、行われるよ
うなものにするべきである。
【0006】
【課題を解決するための手段】本発明は、ユニフォーム
・リソース・ロケータ(RAFT URL)の形のリモ
ートアクセス及びファイアウォール・トラバーサルのた
めの汎用ネーミング体系を提供するものである。RAF
T URLは、リモートアクセス/ファイアウォール・
トラバーサル・メソッドとの適合性ないしは互換性の如
何に関わらず、任意のクライアント・アプリケーション
に使用することができ、これによってクライアント・ア
プリケーションは別の実行可能モジュールを始動する。
その実行可能モジュールは、リモートアクセス/ファイ
アウォール・トラバーサル方法を実行すると共に、動作
環境とのインタラクションによってデータ移送機構を得
る。これらの機構によって、クライアント・アプリケー
ションはファイアウォールの向こう側のプライベートリ
ソースとトランザクションすることができる。リモート
アクセス/ファイアウォール・トラバーサル・プロシー
ジャは、クライアント・アプリケーションにとって透過
になり、その結果、ファイアウォールの向こう側のリソ
ースとデータセッションを行うためのより広い範囲のク
ライアント・アプリケーションを選択することが可能で
ある。
【0007】
【発明の実施の形態】本発明の方法及び装置の目的、特
徴及び長所については、添付図面を参照して行う実施形
態の詳細な説明から明らかとなろう。
【0008】以下、添付図面を参照して、本発明の実施
形態について詳細に説明する。これらの実施形態は本発
明の形態を例示的に説明するためのものであり、発明の
範囲を限定する意味に解釈されるべきものではない。こ
れらの実施形態は主としてブロック図またはフローチャ
ートを参照して説明する。フローチャートに関しは、フ
ローチャートの中の各ブロックは方法ステップ及び各方
法ステップを遂行するための装置要素の両方を表す。実
施時には、各対応する装置要素はハードウェア、ソフト
ウェア、ファームウェアあるいはこれらの組合せの形で
構成することが可能である。
【0009】図1は、プライベートイントラネットへの
リモートアクセスのトポロジーを図解したブロック図で
ある。
【0010】インターネットベースのリモートアクセス
には、リモートアクセス・クライアント110とホスト
160及びホスト170のようなホストとの間に介在す
る多くの異なるエンティティーが関与し得る。リモート
アクセス・クライアント110は、例えばコンピュータ
システムあるいはネットワークに接続することが可能な
PDA(個人用携帯型情報端末)あるいはその他の情報
機器で構成される。また、リモートアクセス・クライア
ント110は、FTP(ファイル転送プロトコル)、P
OP(ポストオフィス・プロトコル)、HTTP(ハイ
パーテキスト転送プロトコル)等のようなサービスのア
クセスを可能にするよう構成されたソフトウェアを実行
することもできる。1つまたは2つ以上のホスト160
及び170とのリモートアクセスセッションを開始する
ために「インターネットに乗る」一つの方法は、リモー
トアクセス・クライアント110へのTCP/IP(伝
送制御プロトコル/インターネット・プロトコル)接続
を提供する内部ルータ及びスイッチを有するISP(イ
ンターネット・サービスプロバイダ)にダイアルアップ
接続することである。このように「インターネット接
続」が確立されたならば、リモートアクセス・クライア
ント110は、当技術分野で周知のものであれば、「イ
ンターネット」130に接続された全てのコンピュータ
にアクセスすることができる。上に説明したインターネ
ット・アクセスのISPダイアルアップ法は、インター
ネットへの数多くの接続方法の中のほんの一例でしかな
い。
【0011】インターネット130に乗ったならば、リ
モートアクセス・クライアント110は、HTTPサー
ビス(すなわち、ウェブサイト)のようなインターネッ
ト130に接続されたどのようなコンピュータあるいは
ネットワークによって提供されるサービスにも自由にア
クセスすることができる。しかしながら、以下の説明
は、インターネットによってプライベートネットワーク
あるいはイントラネット150中へのリモートアクセス
を確立するためにインターネットを使用する場合に限定
して行う。イントラネット150中へのリモートアクセ
スが確立されたならば、リモートアクセス・クライアン
ト110は、イントラネット150内部用として提供さ
れているサービスにアクセスすることができる。より公
共的なネットワーク上の通常のウェブサーバあるいはF
TPサーバとイントラネット150との違いは、ゲート
ウェイあるいはファイアウォール140によって得るこ
とができるセキュリティとアイソレーションにある。フ
ァイアウォール140の1つの機能は、インターネット
130に接続されたユーザ/コンピュータによるイント
ラネット中への無許可アクセスを防ぐことである。
【0012】ファイアウォール140を通してのイント
ラネット150へのアクセスを制御し、設定するため
に、SKIP(Simple Key Management for Internet P
rotocol ;インターネット・プロトコルのための簡単な
キーマネジメント)を用いたIPセキュリティ方式、あ
るいはISAKMP(Internet Security Associationa
nd Key Management Protocol ;インターネット・セキ
ュリティ結合・キーマネジメント・プロトコル)、SS
L(Secure Sockets Layer;セキュア・ソケット・レイ
ヤ)等のような様々なファイアウォール保護あるいはセ
キュリティ方式が開発されてきた。これらの方式の多く
は互いに対立があり、これまで標準化は首尾よく達成さ
れてはいない。標準化の障害の1つの理由は、リモート
アクセスの性質−すなわち、リモートアクセスは特定
の、往々にして閉鎖的なユーザの集合向けになされると
いうことである。例えば、ある会社Xは、一部の特定の
基幹的従業員だけがX社のイントラネットにリモートア
クセスすることができることを望むかもしれない。その
ような場合、会社Xは、実行することが容易な何らかの
リモートアクセス・セキュリティの方法、あるいは扱わ
れる情報のタイプにとって最も良いと判断された何らか
の方法を選択することになろう。リモートアクセス・セ
キュリティ法の選択は、それを実施する会社に特化され
るので、標準化は困難である。インターネットのような
より公共的なネットワークでは、ネットワークの多くの
ノードが他のノードとの互換性を望むので、標準化を達
成することは容易である。
【0013】標準化がなされていないと、ソフトウェア
を用いてイントラネットによって提供されるサービスに
アクセスする時、リモートアクセス・クライアントの1
10によるリモートアクセス・セキュリティ方法の選択
が制限される。
【0014】本発明によれば、種々の実施形態におい
て、より広範なクライアントソフトウェアを用いてイン
トラネット150にアクセスすることが可能である。本
発明では、クライアントソフトウェアによって使用され
ると、クライアント110にリモートアクセスをネゴシ
エートさせるネーミング体系が得られる。このネーミン
グ規約は、従来のどのセキュリティ方法でも十分に識別
することができるように一般化される。一実施形態で
は、クライアントソフトウェアはRAFT URL(リ
モートアクセス・ファイアウォール・トラバーサル・ユ
ニフォーム・リソース・ロケータ)を構文解析して、下
層にあるリモートアクセス・クライアント110のオペ
レーティングシステムがRAFT URLに基づきアク
セスをネゴシエートする能力を拡張するコードを実行す
る。本発明は、一部の実施形態において、ファイアウォ
ール・トラバーサルのプロセスを透過にする。この透過
性によって、リモートアクセス・セキュリティ及びトラ
バーサル方法によって限定されない、あるいはこれと無
関係なアプリケーションソフトウェアの使用が可能にな
る。
【0015】現在では、リモートアクセスのためのファ
イアウォール・トラバーサルのプロシージャとその後フ
ァイアウォールを越えてイントラネットによって提供さ
れるサービスにアクセスするために使用されるクライア
ント・アプリケーションソフトウェアとの間には、その
トラバーサル方法がアプリケーション層トラバーサル機
構を用いる場合、透過性はない。図2は、リモートアク
セス・セキュリティ方法に依存したこの従来技術のアプ
リケーションのモデルを図解したものである。クライア
ント・アプリケーション210は、トポロジー的にファ
イアウォール250及びイントラネットの外部のどこか
にあるシステム上で実行される。
【0016】httpstunnelingのようなト
ラバーサル方法では、クライアント・アプリケーション
210はリモートアクセス・セキュリティ及びトラバー
サル方法を個々に認識し、行うことができるアプリケー
ションでなければならない。この方法の詳細は、ゲート
ウェイ250によって定義済みであって、変更すること
はできない。従って、ウェブブラウザのようなアプリケ
ーションは、リモートアクセス方法のためのビルトイン
・サポートを持っていない場合、リモートアクセスを確
立することは不可能であろう。リモートアクセスを達成
しかつ/またはファイアウォールをトラバースするプロ
セスは、従って、アプリケーション層トラバーサル機構
におけるクライアント・アプリケーションの範囲内のこ
とである。
【0017】本発明のRAFT URL機構によれば、
クライアントソフトウェア修正を暗黙に定義する非常に
有用なアプリケーションまたはセッション層トラバーサ
ル機構が得られる。RAFT URLは、それらの修正
がどのようなものであるかを示すための汎用言語を用意
している。RAFT URLは、クライアント・アプリ
ケーションの固有の部分ではなく、クライアント・アプ
リケーションのサービスになる無矛盾の関数の集合とし
て、それらの機構の標準化された使用を助長する。
【0018】ファイアウォール一般に関しては、RAF
T URLは、ファイアウォール技術を統合する上で役
に立つ汎用言語を用意している。現在、一部のファイア
ウォールはセッション層あるいはアプリケーション層機
構(アプリケーション層ゲートウェイあるいはALG)
に基づいているのに対し、他のファイアウォールははる
かに透過な(アプリケーションにとって)形でより下
層、すなわちIPSECファイアウォール、ネットワー
ク層トンネリング・ファイアウォールで動作する。RA
FTは、これらのファイアウォール技術を同様の仕方で
扱うことを可能にすると共に、単一の機構内でのそれら
を統合及びトラッキングを可能にする。
【0019】図3は、本発明の一実施形態の論理図であ
る。
【0020】図2の従来技術モデルと異なり、クライア
ント・アプリケーション310は、直接リモートアクセ
スを確保するという必須条件がない。むしろ、クライア
ント・アプリケーション310は、ソケットファクトリ
320(アプリケーションプログラム・インタフェー
ス)を用いてソケットのようなシステムリソースにアク
セスする。ソケットファクトリ320は、ゲートウェイ
/ファイアウォール350に対するセキュリティ及びア
クセスをネゴシエートする。ソケットファクトリは、ネ
ーミング規定(RAFT URL)を理解し、次にリモ
ートアクセスを確立するためのステップを開始するよう
構成され、これらのステップにはRAFTURLによっ
て定義されるセキュリティ・プロトコルのネゴシエーシ
ョンが含まれる。RAFT URLは、ユーザによっ
て、あるいは優先設定によってクライアント・アプリケ
ーション310に入力される。ソケットファクトリは、
RAFT URL(図5参照)を認識し、ソケットファ
クトリ330自体をゲートウェイ/ファイアウォール3
50と通信するように構成設定する。
【0021】このソケットファクトリ320は、クライ
アント・アプリケーション315あるいは312のよう
な他の任意のクライアント・アプリケーションにでも利
用可能なようにすることができる。クライアント・アプ
リケーション310と同様に、クライアント・アプリケ
ーション312は、必ずしもファイアウォール・セキュ
リティ方法との適合性がある必要はない。クライアント
・アプリケーション312または315がソケットファ
クトリを介してソケットを得る場合、これらのアプリケ
ーションはゲートウェイ/ファイアウォール350へ情
報を送り、あるいはこれから情報を受け取るためのソケ
ットで得られるのと同じ振る舞いを引き継ぐ。ソケット
ファクトリがファイアウォールを越えてアクセスするこ
とに成功したならば、ソケットファクトリ330から得
られたソケットがクライアント・アプリケーション31
0にプレゼンテーション層データ移送機構を与える。
【0022】クライアント・アプリケーション310
(または312あるいは315)は、ファイアウォール
・トラバーサルのソケットからの振る舞いを引き継ぐこ
とを除いて、非認識状態にある。クライアント・アプリ
ケーション310がソケット機構を介してゲートウェイ
/ファイアウォール350とトランザクションする権利
を得ると、他のアプリケーション312及び315も同
様にソケットを用いてファイアウォール350を越えて
通信することができる。ファイアウォールをトラバース
する機能はクライアント・アプリケーション310から
分離されて、ソケットファクトリ320が受け持つこと
になる。この過程において、ファイアウォール及びその
セキュリティ方法のトラバーサルはクライアント・アプ
リケーション310、312及び315に対して透過に
される。図2の従来技術と異なり、これによってクライ
アント・アプリケーションのファイアウォールに対する
従属性をより弱くすることができる。
【0023】図4aは、本発明の一実施形態に基づくR
AFT URLを図解したものである。
【0024】RAFT URLは、種々のファイアウォ
ール・トラバーサル及びリモートアクセス・セキュリテ
ィ方法に対して汎用性を有するネーミング体系である。
特定のファイアウォールがどのような方法を指定すると
しても、RAFT URLは、そのネゴシエーションを
処理するためにベースにある実装系(Javaにおける
ソケットファクトリ)の識別子を入れることができる構
造を有する。
【0025】図4aには、RAFT URL410を入
力として受け入れるか優先的に記憶することができるソ
ケットファクトリを構成するために用いられるようなシ
ステムアプリケーション400が示されている。普通の
URLと異なり、RAFTURLはデータオブジェクト
あるいはデータクリエータを指示しない。その代わり
に、RAFT URLは、暗黙にあるいは明示的にセキ
ュリティ方法を指定することを含めて、ファイアウォー
ルアクセスをネゴシエートするための手段を指定する。
一実施形態においては、RAFT URL410は次の
構成要素を有する。 ・“raft”‐後に続く識別情報がリモートアクセス
を設定するためのハンドルであることを示す。データ転
送プロトコルあるいはサービスを識別指示する普通のU
RLの“http:”あるいは“ftp:”と異なり、
「RAFT:」の指定はリモートアクセス機構を始動あ
るいはコールする役割を果たすことができる。 ・“raft‐type”(raftタイプ)‐特定の
ファイアウォール・トラバーサルあるいはリモートアク
セス方法に与えられる特定の名称を指定する。例えば、
SKIP(Simple Key-Management for Internet Proto
col)によるトンネリングまたはSSLを用いたファイ
アウォールを通してのトンネリングによるレイヤ3の使
用。 ・“traversal point”(トラバーサル
ポイント)‐クライアントシステムがこれによってアク
セスをネゴシエートしなければならないファイアウォー
ル、ゲートウェイ、あるいはリモートアクセスサーバの
IPアドレス、ドメイン名、あるいはその他の位置情報
を示す。トラバーサルポイントは許可されたユーザには
既知であり、あるいは認証を通して他の何らかの手段で
得ることができる。 ・“other info”(他の情報)‐パスワー
ド、ユーザ名、さらには二次セキュリティ機構のような
セキュリティ方式固有の初期化ストリングを示す。この
パラメータは任意使用で、そのフォーマットは全面的に
セキュリティ方式及びファイアウォールの基本方針によ
って定義される。 ・“generic‐URL”(汎用−URL)‐“h
ttp:”または“ftp:”の正規URLのバラエテ
ィの使用を可能にする。
【0026】図4bは、本発明のもう一つの実施形態に
基づくRAFT URLを図解したものである。
【0027】図4aと同様に、“raft:”及び“r
aft‐type”の指示が両方とも与えられる。最後
は、トラバーサルポイントではなく、汎用‐URLのパ
ラメータで終わる。このようなRAFT URLに関す
る実施形態は、“http”URLがファイアウォール
のエントリポイントを指定するhttpsあるいはセキ
ュアhttpプロトコル(secure http protocol)で使
用することができる。
【0028】特定方式の実装例 具体的なリモートアクセス及びファイアウォール・トラ
バーサル方式のためのRAFT URLの望ましい実装
例について以下順次説明する。種々の実施形態で与えら
れるこのRAFT URLの概念によれば、任意の形態
の方式を指定することができる。
【0029】1.SSLトンネリング SSLトンネリングのためのRAFT URLは、“r
aft:sslt:https://x”という形式を
取り、この場合、xはホストポートまたはサーバアドレ
ス、ディレクトリパス及びサーチ/cgi(共通ゲート
ウェイ・インタフェース)あるいはファイル名パラメー
タを指定することができる。
【0030】2.モバイルIPファイアウォール・トラ
バーサル モバイルIP(インターネット・プロトコル)によるフ
ァイアウォール・トラバーサルのためのRAFT UR
Lは任意使用の終端ストリング“type=y”を持つ
raft:mip://traversalpoin
t”という形式を取り、yは“SKIP”(Simple Key
Management for Internet Protocol)セキュリティ・
プロトコルまたはIPセキュリティ・プロトコルのどち
らかを指示する。
【0031】3.TSPを用いたリモートアクセス TSP(Tunneling Set‐up Protocol)を用いたリモー
トアクセスのためのRAFT URLは、“raft:
tsp://x”の形を取り、この場合xはトラバーサ
ルポイント及び任意使用の終端パラメータ“;typ
e”を含む。yは、上記2のモバイルIPアクセスの場
合に定義されたような“ipsec”あるいは“ski
p”であってもよい。
【0032】例えば、次のRAFT URLについて考
える: ”raft:sslt:https://fi
rewall.foo.com/access.htm
l”。このRAFT URLは、“firewall.
foo.com”と命名/アドレス指定されたファイア
ウォールを通してのリモートアクセスが、ページ“ac
cess.html”を処理することによりセキュアh
ttpを用いて行われること示し、ページ“acces
s.html”は、ユーザがファイアウォールを越えて
さらにエントリするためにユーザ名やパスワードのよう
なログイン情報を入力する対話型ログインページであっ
てもよい。
【0033】RAFT URLはその融通性の故に有用
であり、どのような形のリモートアクセスでも指示、指
定することが可能である。本発明のもう一つの特徴は、
クライアントデータ・アプリケーションにとって透過な
形でのRAFT URLの処理にある。
【0034】図5は、本発明の一実施形態に基づくRA
FT URL処理のフローチャートである。
【0035】リモートアクセスのためのファイアウォー
ル・トラバーサルとクライアント・アプリケーションと
の間に透過性を作り出すための最初のステップは、適切
なRAFT URLを得ることである(ステップ51
0)。使用する特定のRAFTURLを見つけること
は、本発明の必須の要件ではない。RAFT URLを
得るには、次のようないくつかの方法によることができ
る:(1)システムアドミニストレータから個人的に取
得する、(2)認証されたユーザが、ファイアウォール
から該当するRAFT URLを検索して取り出すこと
ができる特別なウェブページにアクセスする、(3)L
DAP(Lightweight Directory Access Protocol)の
ようなディレクトリサービスに問い合わせる、あるいは
(4)クライアント・アプリケーションまたはクライア
ントシステムに事前設定する。その適切なRAFT U
RLでは、クライアントシステムがそのデータ移送機構
(IPスタック、ソケット等)を介してプライベート・
イントラネットリソースを獲得することを可能にするパ
ラメータが指定される。
【0036】RAFT URLが得られたと仮定して、
そのRAFT URLは、次に何らかのインタフェース
を介してクライアント・アプリケーションに提供される
(ステップ520)。このインタフェースは、例えばブ
ラウザのURLデータエントリ・ダイアログであり、あ
るいはユーザがメニューから選択することも可能であ
る。RAFT URLは、クライアント・アプリケーシ
ョンのプリファレンス・マネージャあるいはそのクライ
アント・アプリケーションを処理するためのオペレーテ
ィングシステム・レジストリにセットアップすることに
より、既にクライアント・アプリケーションに提供され
ているものであってもよい。このように提供済みの場合
は、RAFT URLはファイアウォール・トラバーサ
ル・プロシージャを遂行するのに必要なメソッドを実行
するソケットファクトリに送られる(Javaの場合)
(ステップ530)。
【0037】実行することができるメソッド、関数、ク
ラス及び/またはコードによって固有の「raftタイ
プ」(ファイアウォール・トラバーサル及び/またはリ
モートアクセス・セキュリティのタイプ、上記参照)が
ソケットファクトリに提供されていない場合は、それら
の必要メソッド、関数、クラス、コード等を得なければ
ならない。そのような場合、第1のファイアウォール・
トラバーサル・プロシージャは、まずそのraftタイ
プに必要なメソッド、クラス等を取得する。これらのメ
ソッド、クラス等はファイアウォール自体から得られ、
その後API(アプリケーションプログラム・インタフ
ェース)あるいはJavaアプレットのようなモバイル
コードとしてクライアントシステムにロードすることが
可能である。「raftタイプ」の処理を行うために必
要なメソッド、クラス等が利用可能であるか、あるいは
利用可能にできる場合は、リモートアクセス方法が実行
される(ステップ550)。RAFT URLの「ra
ftタイプ」パラメータによって指定されるリモートア
クセス及び/またはファイアウォール・トラバーサル方
法は、既知である必要はなく、あるいは最終的にファイ
アウォール越えのリソースとのデータトランザクション
を処理するクライアント・アプリケーションとの適合性
がある必要もない。この必要条件及び制限は、ソケット
ファクトリについては取り除かれる。
【0038】トラバーサルまたはリモートアクセスが首
尾よく行われた場合(ステップ560で確認される)
は、イントラネットに入り込んだクライアント・アプリ
ケーションにデータ移送リソースが提供される(ステッ
プ570)。データ移送リソースは、例えば、ソケッ
ト、TCP/IPスタック、あるいはクライアントシス
テムとファイアウォールの向こう側のイントラネットに
存在するサーバのようなリソースとの間のデータ移送を
容易にする他のプレゼンテーション/トランスポート層
の機構である。アクセスはファイアウォールによって統
制され、監視される。API/アプレットと上記で得ら
れたデータ移送リソースとの間のインタラクションは、
プラットホーム及びオペレーティングシステムに依存
し、システム毎に異なる。
【0039】例えば、Javaベースのモバイル・ネッ
トワーク・コンピュータシステムを考えてみる。このよ
うなコンピュータシステムは、通常ソケットファクトリ
を用いてネットワークデータ移送リソース(ソケットと
呼ばれる)を生成する。これらのソケットは、アプリケ
ーションがインターネットのようなネットワークを介し
てデータトランザクションを行うことを可能にする。現
在は、ファイアウォール・トラバーサル及びリモートア
クセス・セキュリティは、このトランスポート層以上の
層でアプリケーション層に対して処理を行う。結果とし
て、ファイアウォールの向こう側のイントラネット中の
データについてトランザクションを行う場合、適合性が
必要なため、クライアント・アプリケーションの選択は
制限される。SSLは安全確実なアクセスを一般化しよ
うと試みるものであるが、アプリケーションレベル上で
これを行うため、クライアント・アプリケーションもS
SLコンパチブルでなければならない。さらに、SSL
が安全確実なアクセス方法としてファイアウォールによ
り提供されない場合、SSLは、全てのファイアウォー
ル・トラバーサル及びリモートアクセス・セキュリティ
状況に対して十分な一般的解決策ではあり得ない。Ja
vaベースのモバイル・コンピュータシステムでは、本
発明は、その一実施形態において、RAFT URL
(RAFTURL)のパラメータに従ってソケットファ
クトリを設定するよう動作することになろう。標準的な
ネットワークリソースのJavaアプリケーション(j
ava.netとして知られている)を使用するクライ
アント・アプリケーションも、RAFT URLに従っ
てリモートアクセスを行うために必要なメソッド、関
数、クラス等を入れなければならないという制約条件か
ら解放することができる。むしろ、あるシステムアプレ
ットは、RAFT URLを構文解析して、メソッド、
関数、クラスを付加する(これらがまだない場合)こと
によってソケットファクトリを設定し、その後ソケット
ファクトリがファイアウォール・トラバーサル及びリモ
ートアクセスを処理することを可能にするものになるこ
とが考えられる。クライアント・アプリケーションによ
って直接そのリモートアクセス・セキュリティ方式を制
御したい場合は、オペレーティングシステムに設けられ
たソケットファクトリの利用を設定するために必要な振
る舞い(メソッド、関数、クラス等)を直接加えること
が可能である。リモートアクセスあるいはファイアウォ
ール・トラバーサルの実際のネゴシエーションは、ファ
イアウォール・トラバーサルが首尾よく終了した後のデ
ータ移送リソースを利用するアプリケーション層にとっ
て透過になる。
【0040】上記の例はJavaベースのモバイル・コ
ンピューティング・プラットホームに関連したものであ
る。しかしながら、本発明は、その様々なの実施形態に
おいて、如何なるプラットホームや動作環境にも限定さ
れるものではない。アプリケーションあるいは他のネッ
トワークデータ移送リソースには、RAFT URLを
受け入れて、構文解析し、次いで識別されたリモートア
クセス・プロシージャを実行するための手段を具備する
ことができる。リモートアクセス振る舞いがオペレーテ
ィングシステムにとって利用できない場合は、アプリケ
ーションによって自動的に得られようにしてもよい。
【0041】図6は、本発明の一実施形態を図解したブ
ロック図である。
【0042】RAFT URL機構は、リモートノード
610をゲートウェイ/ファイアウォール中にトラバー
スさせる場合が考えられる。リモートノード610は、
ファイアウォールの向こう側にあるプライベートネット
ワークまたはその他のネットワークへリモートアクセス
したいコンピュータシステムまたは情報機器を例示して
いる。リモートノード610はインターネットのような
ネットワーク600を介してゲートウェイ/ファイアウ
ォールに接続することができる。
【0043】リモートノード610は、例えば、相互に
直接またバス615を介して接続されたメモリ614及
びプロセッサ612を含む様々なデバイスで構成されて
いる。また、バス615はネットワーク・インタフェー
スカード616をメモリ614及びプロセッサ612の
両方に接続することができる。ネットワーク・インタフ
ェースカード616は、リモートノード610をネット
ワーク600に接続して、リモートノード610が、ネ
ットワーク600との間で、従って、ゲートウェイ/フ
ァイアウォールのようなネットワーク600に接続する
ことができる他のノードとの間でデータトランザクショ
ンを行うことができる。ファイアウォール及びそのセキ
ュリティアクセス方式を識別指示するRAFT URL
が、ネットワーク600を介しての転送を含む様々な形
でリモートノード610に与えられる。適切なRAFT
URLがリモートノード610に与えられると、その
RAFT URLは、メモリ614中に記憶され、プロ
セッサ612によって実行される何らかのアプリケーシ
ョンによって生成されるソケットファクトリへ転送され
る。プロセッサ612は(与えられる命令によって)R
AFT URLを構文解析して、ゲートウェイ/ファイ
アウォール620のトラバーサルのためにリモートノー
ド610上で適切なクライアントイベントを開始させる
ように構成設定される。リモートノード610にリモー
トアクセスが許可されたならば、リモートノード610
はファイアウォール620の向こう側のリソースと自由
にデータトランザクションを行うことができる。このデ
ータトランザクションは、データパケットをRAFT
URLの指定によって要求されるセキュリティ関連のヘ
ッダあるいはカプセル化により修飾することができるネ
ットワーク・インタフェース616で処理される。
【0044】本願で説明した実施形態は、本発明の原理
を例示説明するためのものであり、発明の範囲を限定し
てする意味に解釈されるべきではない。むしろ、本発明
の原理は、広範なシステムに適用することによって本願
に記載した長所並びにその他の利点を達成することが可
能であり、あるいは他の目的を達成することも可能であ
る。
【図面の簡単な説明】
【図1】 プライベートイントラネットへのリモートア
クセスのトポロジーを図解したブロック図である。
【図2】 従来のリモートアクセス方式を図解したブロ
ック図である。
【図3】 本発明の一実施形態の論理図である。
【図4】 本発明のそれぞれ異なる実施形態に基づくR
AFT URLを図解した説明図である。
【図5】 本発明の一実施形態に基づくRAFT UR
L処理を図解したフローチャートである。
【図6】 本発明の一実施形態を図解したブロック図で
ある。
【符号の説明】
310 クライアントアプリケーション、320 AP
I、330 ソケットファクトリ 350 ゲートウエ
/ファイアウォール、400 システムアプリケーショ
ン、410、412 RAFT URL。
───────────────────────────────────────────────────── フロントページの続き (71)出願人 591064003 901 SAN ANTONIO ROAD PALO ALTO,CA 94303,U. S.A.

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 リモートアクセス方法において:クライ
    アントに対する、ファイアウォールを通すリモートアク
    セスのモードを指示するリモートアクセス・ファイアウ
    ォール・トラバーサル(RAFT)ユニフォーム・リソ
    ース・ロケータ(URL)を認識するステップと;クラ
    イアントをRAFT URLによって識別されるパラメ
    ータに基づいてファイアウォールにより保護されたプラ
    イベートリソースへのアクセスをネゴシエートするよう
    に構成するステップと;を具備した方法。
  2. 【請求項2】 RAFT URLを認識する上記ステッ
    プが:RAFTサービスを識別するステップと;特定の
    リモートアクセス方法を示すRAFTタイプを識別する
    ステップと;を含むことを特徴とする請求項1記載の方
    法。
  3. 【請求項3】 RAFT URLを認識する上記ステッ
    プが:汎用ユニフォーム・リソース・ロケータを識別す
    るステップ;をさらに含むことを特徴とする請求項2記
    載の方法。
  4. 【請求項4】 RAFT URLを認識する上記ステッ
    プが:トラバーサルポイントを識別するステップ;をさ
    らに含むことを特徴とする請求項2記載の方法。
  5. 【請求項5】 RAFT URLを認識する上記ステッ
    プが:方式固有の初期化ストリングを識別するステッ
    プ;をさらに含むことを特徴とする請求項4記載の方
    法。
  6. 【請求項6】 上記構成するステップが:上記RAFT
    URLに基づいてソケットファクトリからソケットを
    構築するステップと;ソケットの振る舞いをソケットフ
    ァクトリから上記クライアント上にあって適切な方法で
    上記ファイアウォールをトラバースすることができるア
    プリケーションへ転送するステップと;を含むことを特
    徴とする請求項1記載の方法。
  7. 【請求項7】 raftタイプが上記ソケットファクト
    リによって規定されていない場合に、上記RAFT U
    RL中で指定されたraftタイプに関するメソッド及
    びクラスを得るステップ;をさらに具備したことを特徴
    とする請求項6記載の方法。
  8. 【請求項8】 上記特定のリモートアクセス方法を実行
    して、実行が成功した場合に、上記プライベートリソー
    スに及ぶデータ移送リソースを上記クライアントに提供
    するステップ;をさらに具備したことを特徴とする請求
    項2記載の方法。
  9. 【請求項9】 コンピュータ可読媒体であって:リモー
    トアクセス・ファイアウォール・トラバーサル・ユニフ
    ォーム・リソース・ロケータを含み、プロセッサによっ
    て実行されると、そのプロセッサにリモートアクセス・
    ファイアウォール・トラバーサルを行わせる命令を記録
    したことを特徴とするコンピュータ可読媒体。
JP11181341A 1998-06-30 1999-06-28 リモ―トアクセス方法 Pending JP2000207320A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/109,260 US6233688B1 (en) 1998-06-30 1998-06-30 Remote access firewall traversal URL
US09/109260 1998-06-30

Publications (1)

Publication Number Publication Date
JP2000207320A true JP2000207320A (ja) 2000-07-28

Family

ID=22326704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11181341A Pending JP2000207320A (ja) 1998-06-30 1999-06-28 リモ―トアクセス方法

Country Status (3)

Country Link
US (1) US6233688B1 (ja)
EP (1) EP0969368A3 (ja)
JP (1) JP2000207320A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004111864A1 (ja) * 2003-06-04 2004-12-23 Matsushita Electric Industrial Co., Ltd. インターネットセキュア通信装置及び通信方法

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US7778260B2 (en) * 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7093122B1 (en) * 1999-01-22 2006-08-15 Sun Microsystems, Inc. Techniques for permitting access across a context barrier in a small footprint device using shared object interfaces
US6633984B2 (en) * 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US6553422B1 (en) * 1999-04-26 2003-04-22 Hewlett-Packard Development Co., L.P. Reverse HTTP connections for device management outside a firewall
US7185361B1 (en) * 2000-01-31 2007-02-27 Secure Computing Corporation System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server
US20070214262A1 (en) * 2000-02-25 2007-09-13 Anywheremobile, Inc. Personal server technology with firewall detection and penetration
US20020078198A1 (en) * 2000-02-25 2002-06-20 Buchbinder John E. Personal server technology with firewall detection and penetration
DE10049618A1 (de) * 2000-10-05 2002-04-18 Deutsche Telekom Mobil Verfahren zur Kopplung von Online- und Internetdiensten
US7631349B2 (en) * 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
SE0100545D0 (sv) * 2001-02-19 2001-02-19 Ericsson Telefon Ab L M Method and device for data communication
US6978383B2 (en) * 2001-07-18 2005-12-20 Crystal Voice Communications Null-packet transmission from inside a firewall to open a communication window for an outside transmitter
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7849495B1 (en) * 2002-08-22 2010-12-07 Cisco Technology, Inc. Method and apparatus for passing security configuration information between a client and a security policy server
US7305546B1 (en) 2002-08-29 2007-12-04 Sprint Communications Company L.P. Splicing of TCP/UDP sessions in a firewalled network environment
US7406709B2 (en) * 2002-09-09 2008-07-29 Audiocodes, Inc. Apparatus and method for allowing peer-to-peer network traffic across enterprise firewalls
DE10260926B4 (de) * 2002-12-20 2005-12-01 Hewlett-Packard Development Co., L.P., Houston Kommunikationsverfahren
US7559082B2 (en) * 2003-06-25 2009-07-07 Microsoft Corporation Method of assisting an application to traverse a firewall
US7558842B2 (en) * 2003-10-17 2009-07-07 E2Open, Inc. Large file transfer in a design collaboration environment
US7457849B2 (en) * 2004-06-08 2008-11-25 Printronix, Inc. Controlled firewall penetration for management of discrete devices
US8504665B1 (en) * 2004-06-30 2013-08-06 Kaseya International Limited Management of a device connected to a remote computer using the remote computer to effect management actions
US8161162B1 (en) * 2004-06-30 2012-04-17 Kaseya International Limited Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7752658B2 (en) * 2006-06-30 2010-07-06 Microsoft Corporation Multi-session connection across a trust boundary
US20080309665A1 (en) * 2007-06-13 2008-12-18 3D Systems, Inc., A California Corporation Distributed rapid prototyping
US9019535B1 (en) 2009-06-09 2015-04-28 Breezyprint Corporation Secure mobile printing from a third-party device
US20100309510A1 (en) * 2009-06-09 2010-12-09 Accipiter Innovations, Llc Systems, methods and devices for printing from a mobile device
US9531678B1 (en) 2013-10-15 2016-12-27 Progress Software Corporation On-premises data access and firewall tunneling
US20180054471A1 (en) * 2015-05-15 2018-02-22 Hewlett-Packard Development Company, L.P. Hardware Bus Redirection
US10616182B1 (en) 2017-11-30 2020-04-07 Progress Software Corporation Data access and firewall tunneling using a custom socket factory

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0693836A1 (en) * 1994-06-10 1996-01-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols.
US5621200A (en) * 1994-06-22 1997-04-15 Panda Eng., Inc. Electronic verification machine for validating a medium having conductive material printed thereon
US5822539A (en) * 1995-12-08 1998-10-13 Sun Microsystems, Inc. System for adding requested document cross references to a document by annotation proxy configured to merge and a directory generator and annotation server
US6073176A (en) * 1996-07-29 2000-06-06 Cisco Technology, Inc. Dynamic bidding protocol for conducting multilink sessions through different physical termination points
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5944823A (en) * 1996-10-21 1999-08-31 International Business Machines Corporations Outside access to computer resources through a firewall
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5999979A (en) * 1997-01-30 1999-12-07 Microsoft Corporation Method and apparatus for determining a most advantageous protocol for use in a computer network
US6449272B1 (en) * 1998-05-08 2002-09-10 Lucent Technologies Inc. Multi-hop point-to-point protocol
JP3995338B2 (ja) * 1998-05-27 2007-10-24 富士通株式会社 ネットワーク接続制御方法及びシステム
US6088796A (en) * 1998-08-06 2000-07-11 Cianfrocca; Francis Secure middleware and server control system for querying through a network firewall

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004111864A1 (ja) * 2003-06-04 2004-12-23 Matsushita Electric Industrial Co., Ltd. インターネットセキュア通信装置及び通信方法

Also Published As

Publication number Publication date
EP0969368A2 (en) 2000-01-05
EP0969368A3 (en) 2000-11-15
US6233688B1 (en) 2001-05-15

Similar Documents

Publication Publication Date Title
JP2000207320A (ja) リモ―トアクセス方法
US8738731B2 (en) Method and system for providing secure access to private networks
US7146403B2 (en) Dual authentication of a requestor using a mail server and an authentication server
EP1442580B1 (en) Method and system for providing secure access to resources on private networks
US7886061B1 (en) Virtual folders for tracking HTTP sessions
US7716350B2 (en) Methods and devices for sharing content on a network
US7958245B2 (en) Method and system for providing secure access to private networks with client redirection
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuring Network Access Security
Cisco Configuration Information for an Administrator
Cisco Network Access Security Commands
Cisco Network Access Security Commands
Cisco Network Access Security Commands
Cisco Configuring the VPN Client
Cisco CiscoSecure Profile and NAS Configuration Examples
Cisco Configuring Security for the Cisco AccessPath Integrated Access System
Cisco Configuring Security for the Cisco AccessPath Integrated Access System
Cisco Configuring Security for the Cisco AccessPath Integrated Access System
Cisco Configuring Security for the Cisco AccessPath Integrated Access System