JP2004064490A - Data communication system - Google Patents

Data communication system Download PDF

Info

Publication number
JP2004064490A
JP2004064490A JP2002221055A JP2002221055A JP2004064490A JP 2004064490 A JP2004064490 A JP 2004064490A JP 2002221055 A JP2002221055 A JP 2002221055A JP 2002221055 A JP2002221055 A JP 2002221055A JP 2004064490 A JP2004064490 A JP 2004064490A
Authority
JP
Japan
Prior art keywords
packet
transmission
relay server
protocol conversion
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002221055A
Other languages
Japanese (ja)
Inventor
Mitsutoshi Ikeda
池田 充利
Takashi Hayashida
林田 孝
Tomonori Kaizuka
貝塚 智憲
Motoaki Shimoyama
下山 元章
Hiroko Sato
佐藤 寛子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002221055A priority Critical patent/JP2004064490A/en
Publication of JP2004064490A publication Critical patent/JP2004064490A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable data communication without being conscious of being connected to the Internet via a firewall, in a data communication system for performing the data communication among communication devices via the Internet. <P>SOLUTION: The data communication system for performing the data communication among the communication devices including computers 6A, 6B, 7A, 7B and intracorporate LANs 4, 5, etc., connected, respectively, to the Internet 1 via firewalls 2, 3, comprises protocol conversion devices 8, 9 for converting data from the communication devices of transmitting origins into packets in formats capable of passing through the firewalls 2, 3 to transmit them, and for recovering the packets received via the firewalls 2, 3 to data for communication devices of transmitting destinations between the communication devices and the firewalls 2, 3, and a relay server 10 for relaying/transmitting transmitting packets between the conversion devices 8, 9 to the Internet 1. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータ等を含む通信装置をインターネットにファイアウォールを介して接続し、インターネットを介して通信装置間でデータ通信を行うデータ通信システムに関する。
【0002】
【従来の技術】
複数のコンピュータを接続したLAN(Local Area Network;ローカル・エリア・ネットワーク)間を専用線で接続した企業内等のデータ通信システムが知られている。この場合、分散配置された1:1のLAN間の接続の場合は、1本の専用線で済むことになるが、M:N構成の場合は、相互間を接続する為にM×N本の専用線が必要となる。従って、データ通信システムの規模が大きくなるに伴って飛躍的に専用線の本数が増加し、コストアップとなる問題がある。
【0003】
そこで、最近のインターネットの普及により、LAN間をインターネットを介して接続して、相互間でデータ通信を行うシステムが実用化されている。その場合、LANとインターネットとの間にファイアウォールを接続して、LANのセキュリティを確保する構成が一般的である。
【0004】
例えば、図9に示すように、インターネット101に対して、ファイアウォール102,103を介して、それぞれ企業内LAN104,105を接続し、企業内LAN104,105は複数のコンピュータ106A,106B,107A,107を接続した構成が知られている。このファイアウォール102,103により、企業内LANに対する不正なアクセスを阻止することができる。
【0005】
【発明が解決しようとする課題】
図9に示す従来例に於いては、インターネット101を介して遠隔地の企業内LAN102,103間を接続して、多数の専用線を用いることなく、データ通信を行うことができる。しかし、企業内LAN102,103とインターネット101との間にファイアウォール102,103を設けて、企業内LAN102,103のセキュリティの向上を図ることにより、ファイアウォール102,103は、特定ポートによる接続のみを許容するものであるから、任意のアプリケーションによる接続を阻止することになる。
【0006】
例えば、企業内LAN102のコンピュータ106A,106B間及び企業内LAN103のコンピュータ107A,107B間は、それぞれ同一のLANに接続されているから、任意のアプリケーションによるデータ通信が可能であるが、ファイアウォール102,103を介して接続されたコンピュータ間では、任意のアプリケーションによるデータ通信は不可能となる。そこで、ファイアウォール102,103の特定ポートのオープンや認証機能等の設定変更又はアプリケーションの改造等が必要であった。従って、通信相手先IPやアプリケーションが増える毎に、ファイアウォール102,103の設定変更作業やアプリケーションの改造作業が発生する問題があり、又ポートのオープンによるセキュリティの問題が生じる。
【0007】
又イントラネット用のアプリケーションは、そのままインターネット用として適用することができないものであるから、イントラネット用のアプリケーションと、インターネット用のアプリケーションとの二重開発を行わなければならない問題がある。
【0008】
又ファイアウォールを介してクライアントとサーバとの間で通信を行う場合に、ファイアウォール等を中継サーバとし、この中継サーバに中継プログラムを実装し、テーブルを参照してクライアントからの通信可能な中継プログラムを選択することが提案されている(例えば、特開平10−126440号公報参照)。しかし、分散配置された企業内LAN等に於いては、ファイアウォール毎に、ネットワーク管理者が異なる場合が一般的である。従って、一元管理ができないことから、運用管理上実現が困難である。
【0009】
又アプリケーション自体にファイアウォールを透過させる中継プログラムを実装することが提案されている(例えば、特開2000−115157号公報参照)。しかし、このような構成に於いては、アプリケーションを改造しなければならない問題がある。
【0010】
又VPN(Virtual Private Network;私設仮想網)サービスを適用してデータ通信を行うこともできるが、この場合のデータ通信手段は標準化されていないので、マルチベンダー相互間接続が困難である。
【0011】
又ファイアウォールがHTTP(Hypertext Trasfer Protocol)によるデータ転送を拒否する場合に、クライアントからのHTTP要求を、中継サーバによりSMTP(Simple Mail Tranfer Protocol)に変換してネットワークに送出し、ネットワークを介してサーバ側の中継サーバによりSMTPからHTTPに変換してサーバに転送し、サーバからのHTTP応答を中継サーバによりSMTPに変換してネットワークに送出し、ネットワークを介してクライアント側の中継サーバによりSMTPからHTTPに変換して転送することが提案されている(例えば、特開2001−197125号公報参照)。
【0012】
このようなシステムを送信元イントラネットと送信先イントラネットとの間のデータ通信に適用した場合、データ送信元のコンピュータは、送信先イントラネットのSMTPサーバ→ファイアウォール→インターネット→ファイアウォール→SMTPサーバの経路で、応答を受信して送達確認を行うことにより、次のデータを送信することになる。その場合、送信先イントラネットが高速回線によって構築されているとは限らず、伝送遅延が大きいと、リアルタイムでデータ通信を行うことが困難となる問題がある。
【0013】
本発明は、前述の従来の問題点を解決するもので、インターネットやファイアウォールを介して接続されていることを意識せずに、TCP(Trasmission Control Protocol)接続によりデータ通信を可能とすることを目的とする。
【0014】
【課題を解決するための手段】
本発明のデータ通信システムは、図1を参照して説明すると、ファイアウォール2,3を介してインターネット1にそれぞれ接続したコンピュータ6A,6B,7A,7Bや企業内LAN4,5等を含む通信装置間でデータ通信を行うデータ通信システムであって、コンピュータ6A,6B,7A,7B等の通信装置とファイアウォール2,3との間に、送信元の通信装置からのデータを、ファイアウォール2,3を透過可能の形式のパケットに変換して送出し、ファイアウォール2,3を介して受信したパケットを送信先の通信装置へのデータに復元するプロトコル変換装置8,9を設け、送信元の通信装置を接続したプロトコル変換装置と送信先の通信装置を接続したプロトコル変換装置との間を、ファイアウォール2,3とインターネット1とを介して中継接続する中継サーバ10を設けた構成とする。
【0015】
又プロトコル変換装置8,9は、送信先の通信装置のアドレスと中継サーバのアドレスとを対応させたルーティングテーブルと、送信元の通信装置からのデータを、ファイアウォールを透過可能の形式のパケットにラッピングするプロトコル変換部と、このプロトコル変換部により変換したパケットを一時格納する送信バッファと、中継サーバとの間の接続要求及び送信バッファから読出したパケットを中継サーバに送出する送信部と、中継サーバから中継送出されたパケットを受信する受信部と、この受信部により受信したパケットを送信先の通信装置に送出するデータに変換するプロトコル変換部とを備えている。
【0016】
又中継サーバ10は、インターネット1を介してプロトコル変換装置8,9との間のコネクションを形成して、送信元側のプロトコル変換装置により変換したパケットを受信する処理部と、この処理部により受信したパケットを一時格納する送信バッファと、この送信バッファからパケットを読出して送信先側のプロトコル変換装置へ送信する処理部とを含む構成を有するものである。又プロトコル変換装置及び中継サーバは、相互間で伝送するパケットに通番を付加して送信し、このパケットを受信して、通番を抽出し、この通番を付加した応答を送信する構成を備えている。又中継サーバ10は、プロトコル変換装置を登録する登録手段と、この登録手段に登録されたプロトコル変換装置間のみ、ファイアウォールを透過可能の形式のパケットの中継送出を行う構成を備えることができる。
【0017】
【発明の実施の形態】
図1は本発明の実施の形態の説明図であり、1はインターネット、2,3はファイアウォール、4,5は企業内LAN、6A,6B,7A,7Bは通信装置としてのコンピュータ、8,9はプロトコル変換装置、10は中継サーバを示す。それぞれ複数のコンピュータ6A,6B,7A,7Bと企業内LAN4,5との間にプロトコル変換装置8,9を接続し、企業内LAN4,5とインターネット1との間にファイアウォール2,3を接続し、インターネット1に中継サーバ10を接続した場合のデータ通信システムを示す。
【0018】
なお、中継サーバ10,ファイアウォール2,3,プロトコル変換装置8,9,コンピュータ6A,6B,7A,7Bを更に多数設けた構成とすることも可能であり、又通信装置として、コンピュータ6A,6B,7A,7Bを用いた場合を示すが、インターネット1を介してデータ通信できる構成であれば、コンピュータ以外の構成を適用することができる。
【0019】
又プロトコル変換装置8,9は、通信装置としてのコンピュータ6A,6B,7A,7Bからのデータを、ファイアウォール2,3を透過可能の形式に変換するものであり、このファイアウォール2,3を透過可能の形式のパケットして、httpパケットを用いる場合について示す。又コンピュータ6A,6B,7A,7BはIPパケットを用いて送受信する場合を示し、従って、プロトコル変換装置8,9は、IPパケットからhttpパケットに変換してファイアウォール2,3側に送出し、ファイアウォール2,3を介して受信したhttpパケットをIPパケットに変換して、コンピュータ6A,6B,7A,7Bに送出する構成を有するものである。
【0020】
又中継サーバ10は、インターネット1に接続し、企業内LAN4,5間でインターネット1を介してデータ通信を行う場合に、プロトコル変換装置8,9との間でコネクションを形成し、ファイアウォール2,3を透過可能の形式のhttpパケットを中継送出する構成を有するものである。即ち、プロトコル変換装置8,9と中継サーバ10との間にhttpコネクションを形成して、httpパケットの中継伝送を行うことにより、コンピュータ6A,6B側とコンピュータ7A,7B側との間で、TCP/IP(Trasmission Control Protocol/Internet Protocol)コネクションを形成して、データ通信を行うことができる。
【0021】
従って、アプリケーションの改造や、ファイアウォール2,3の設定変更を必要としないものとなる。又中継サーバを介してプロトコル変換装置8,9間のデータ通信を行い、それぞれにルーティング機能を持たせることにより、専用線接続を必要とすることなく、M:N間のデータ通信が可能となる。
【0022】
図2はプロトコル変換装置8,9と中継サーバ10との間で送受信するパケットのフォーマットを示し、(a)は送信要求パケット、(b)は送信受付完了通知パケット、(c)は受信要求通知パケットを示す。各パケットは、ファイアウォール2,3を透過可能の形式としてのhttpパケットとしたもので、httpヘッダと、送信,完了通知,受信を示す送受信区分の識別子と、パケット通番とを含むものである。
【0023】
又図2の(a)に示す送信要求パケットは、送信元コンピュータからのIPパケットを、プロトコル変換装置8,9に於いてプロトコル変換、即ち、httpラッピングを行ったフォーマットを示し、前述のように、httpヘッダと、送受信区分の識別子と、パケット通番との次に、プロトコル変換装置8,9を一意に識別できる発行元装置IDを付加し、次に、送信先装置ID、IPパケット長、暗号化されたIPパケットを組として、任意数組を順次付加して、httpパケットを構成する。なお、IPデータをセキュリティ向上の為に暗号化した場合を示し、プロトコル変換装置8,9に於いて暗号化,復号化することができるものであるが、平文データとして送受信することも可能である。
【0024】
又図2の(b)の送信受付完了通知パケットは、プロトコル変換装置8,9からの図2の(a)に示す送信要求パケットに対する応答として、送信要求パケットのパケット通番を送達確認の為に挿入して応答するhttpパケットである。又図2の(c)の受信要求通知パケットは、プロトコル変換装置8,9が中継サーバ10へコネクション要求時に送信するhttpパケットであり、最新の受信パケットのパケット通番と自プロトコル変換装置の装置IDとを付加する。
【0025】
図3は本発明の実施の形態の各部の説明図であり、図1と同一符号は同一部分を示し、コンピュータ6,7間をプロトコル変換装置8,9とファイアウォール2,3とインターネットに接続した中継サーバ10とを介してデータ通信を行う場合の各部を構成を示す。又ファイアウォール2,3と、プロトコル変換装置8,9と、コンピュータ6,7とを含めて企業内ネットワークとし、又中継サーバ10と、プロトコル変換装置8,9との間にhttpコネクションを形成し、送信先コンピュータと送信元コンピュータとの間でTCP/IPコネクションを形成して、ファイアウォール2,3とインターネットとを介してデータ通信を行うものである。
【0026】
コンピュータ6,7とファイアウォール2,3との間に接続したプロトコル変換装置8,9は、IP受信部11,21と、IP送信部17,27と、プロトコル変換部12,22,16,26と、httpパケットを送信するhttp送信部13,23と、httpパケットを受信するhttp受信部15,25と、ルーティングテーブル14,24と、MAC(Media Access Control)テーブル18,28とを含む構成を有するものである。
【0027】
又中継サーバ10は、http処理部31,32,34,36と、送信バッファを含む送受信処理部33,36とを有し、図1に示すように、インターネット1に接続されている。なお、http送信部13,23は、中継サーバ10に対して送信する送信部、http受信部15,25は、中継サーバ10からの受信部である。又中継サーバ10のhttp処理部31,34は、プロトコル変換装置からのパケットを受信する処理部、http処理部32,35は、プロトコル変換装置へ送信する処理部である。
【0028】
プロトコル変換装置8,9のIP受信部11,21は、コンピュータ6,7からのIPパケットを受信すると、プロトコル変換部12,22に転送する。プロトコル変換部12,22は、ルーティングテーブル14,24を参照して、中継サーバ10のIPアドレスを求め、IPパケットをhttpにラッピングし、http送信部13,23からファイアウォール2を介してインターネットに接続した中継サーバ10にhttpパケットを送信する。
【0029】
中継サーバ10は、http処理部31,34により受信したhttpパケットを送受信処理部33,36を介してhttp処理部32,35に転送し、httpパケットをファイアウォール2,3を介してプロトコル変換装置8,9に送信する。プロトコル変換装置8,9のhttp受信部15,25は、中継サーバ10からのhttpパケットを受信すると、プロトコル変換部16,26に転送し、プロトコル変換部16,26は、アンラッピングによりhttpパケットからIPパケットを取り出し、MACテーブル18,28を参照して、IP送信部17,27からコンピュータ6,7へIPパケットを送信する。
【0030】
図4は本発明の実施の形態のプロトコル変換装置の説明図であり、図3に於けるコンピュータ6に接続したプロトコル変換装置8を示すもので、コンピュータ7に接続したプロトコル変換装置9も同一の構成を有するものである。なお、中継サーバ10との間のファイアウォール2は図示を省略している。
【0031】
プロトコル変換装置8は、プロトコル変換して中継サーバ10側へ送信する送信部としての機能と、中継サーバ10側から受信してプロトコル変換する受信部として機能とを有し、図4に於いては、上側が送信部、下側が受信部を構成している。又図4に於いて、11はIP受信部、12はプロトコル変換部、13はhttp送信部、14はルーティングテーブル、15はhttp受信部、16はプロトコル変換部、17はIP送信部、18はMACテーブル、41は送信通番テーブル、42は送信バッファ、43は受信通番テーブルを示す。
【0032】
IP受信部11は、コンピュータ6からのIPパケットを受信すると、プロトコル変換部12に転送する。このプロトコル変換部12は、IPパケットをhttpラッピングする機能を有し、ルーティングテーブル14と送信通番テーブル41とを参照して、IPパケットの送信先コンピュータに対応する中継サーバ及び送信先装置IDを決定し、パケット通番を付加して、図2の(a)に示す送信要求パケットを形成し、送信バッファ42に転送し、且つhttp送信部13に、送信バッファ42に格納したことを示すバッファ更新通知を行う。
【0033】
ルーティングテーブル14は、例えば、図5の(A)に示すように、送信先IPアドレスに対応したプロトコル変換装置の装置IDと、中継サーバIPアドレスとを含むものである。従って、IPパケットの送信先のIPアドレスを基に、送信要求パケットに付加する送信先装置IDと、httpパケットを送信する中継サーバとを決定することができる。即ち、インターネットに接続された複数の中継サーバについて、送信先のIPアドレスに対応した中継サーバを指定することができる。又送信通番テーブル41は、送信要求パケットのパケット通番を管理するテーブルであり、送信する中継サーバ毎に一意となるパケット通番を送信要求パケットに付加するものである。
【0034】
又送信バッファ42は、送信先中継サーバ毎にバッファリングする構成を有し、又同一中継サーバ向けの未送信要求パケットが存在する場合、プロトコル変換部12は、その送信要求パケットにIPパケットを追加する。その場合、図2の(a)に示すように、複数組のIPパケットを含む送信要求パケットとして、送信バッファ42に格納されることになる。そして、http送信部13にバッファ更新通知を行い、http送信部13は、中継サーバ10にhttp接続要求を行い、httpコネクション確立後、送信バッファ42から送信要求パケットを読出して中継サーバ10に送信する。
【0035】
中継サーバ10は、送信要求パケットを受信すると、送信要求パケットのパケット通番を抽出し、このパケット通番を付加して、図2の(b)に示す送信受付完了通知パケットを受付応答として送出する。この送信受付完了通知パケットをhttp送信部13が受信確認すると、その送信受付完了通知パケットに付加されてた送信要求時のパケット通番を識別し、このパケット通番を含むそれ以前のパケット通番のhttpパケットは送達確認ができたものであるから、送信バッファ42から送信完了として削除する。又この送達確認が得られる前に送信バッファ42にプロトコル変換部12の処理により格納したパケットは、送達確認が得られ後、httpコネクションを形成し、一括して送信先中継サーバに送出する制御を行うこともできる。
【0036】
又http受信部15は、予め定義している接続可能の中継サーバ10に対してhttp接続要求を行い、httpコネクション確立後、図2の(c)に示す受信要求通知パケットを中継サーバ10に送信し、中継サーバ10から、図2の(a)に示すフォーマットの送信要求パケットを応答として受信すると、プロトコル変換部16に転送し、受信通番テーブル43により、送信要求パケットのパケット通番を保持し、次回の受信要求時に、最新の受信したパケット通番を受信要求通知パケットに格納して送信する。中継サーバ10は、この受信要求通知パケットに付加された最新に受信したパケット通番を抽出して送達確認を行うことができる。
【0037】
又プロトコル変換部16は、http受信部15から転送された送信要求パケットについて、httpアンラッピングによりIPパケットに復元し、MACテーブル18を参照して、送信先IPアドレスに対するMACアドレスを付与して、IP送信部17に転送し、IP送信部17からコンピュータ6に送信する。MACテーブル18は、例えば、図5の(B)に示すように、送信先IPアドレスに対応する送信先MACアドレスを格納している。
【0038】
図6は本発明の実施の形態の中継サーバの説明図であり、図3に於けるプロトコル変換装置8,9間の中継サーバ10のhttp処理部31,32と、送受信処理部33とに対応する要部を示し、送受信判断部51,54と、通番管理テーブル52と、送信バッファ53とにより、送受信処理部33を構成している。
【0039】
http処理部31は、プロトコル変換装置8からのhttp接続要求により、httpコネクションを確立し、httpポートによってプロトコル変換装置8からの送信要求パケットを受信すると、送受信判断部51に転送する。又送受信判断部51から依頼された送信受付完了通知パケットをプロトコル変換装置8へ送信し、又http切断を通知する機能を有する。http処理部32も同様に、プロトコル変換装置9からのhttp接続要求によりhttpコネクションを確立し、httpポートによってプロトコル変換装置9からの送信要求通知パケットを受信すると、送受信判断部54に転送し、又送受信判断部54からの送信要求パケットをプロトコル変換装置9に送信し、又http切断を通知する機能を有するものである。
【0040】
又送受信判断部51は、http処理部31から転送されたパケットの内容を解析し、送信要求か受信要求かを判断し、送信要求パケットの場合、送信先プロトコル変換装置毎の送信バッファ53に格納する。この場合、複数組のIPパケットを含む場合に、IPパケット毎に分解し、送信先装置ID毎に送信バッファ53に格納することができる。又通番管理テーブル52により、送信先プロトコル変換装置毎に、送信要求パケットに付加されたパケット通番を管理し、送信受付完了通知を送出する場合に、このパケット通番を用いるものである。
【0041】
送信要求パケットを受信して送信バッファに格納すると、送信受付完了通知パケットを送信するようにhttp処理部に通知し、図2の(b)に示す送信要求時パケット通番を付加した送信受付完了通知パケットをプロトコル変換装置8に送信する。従って、プロトコル変換装置8は、この送信受付完了通知パケットを受信して、パケット通番によって送達確認を行い、このパケット通番の送信要求パケットが送信バッファ42に残っていると、送信完了パケットであるから、これを削除し、又送信バッファ42に未送信のデータが残存していると、http送信部13から送信することになる。
【0042】
又送受信判断部54は、http処理部32から転送されたパケットの内容を解析し、受信要求通知パケットの場合、送信バッファ53の送信先プロトコル変換装置対応の領域にパケットが存在しているか否かを判断し、存在していない場合は、その領域を監視し、パケットが格納されていると、それを読出して送信要求パケットを組立て、http処理部32に転送し、このhttp処理部32からプロトコル変換装置9に対して送信要求パケットを送信する。
【0043】
この送信要求パケットに対して、プロトコル変換装置9からの受信要求通知パケットを受信すると、それに付加されている最新に受信したパケット通番と同一のパケット通番のパケットは送信完了と判断して、送信バッファ53から削除し、未送信のパケットが残っている場合は、送信バッファ53から読出して、http処理部32からプロトコル変換装置9に送信し、総ての送信が終了すると、http切断とする。この送信バッファ53に於いても、送信先のプロトコル変換装置からの送達確認が得られる前に、送信元のプロトコル変換装置からの送信要求パケットを格納した時は、送達確認が得られた後、httpコネクションを形成して、一括して送信先のプロトコル変換装置に送信することができる。
【0044】
図7はコンピュータ6からプロトコル変換装置8を介して中継サーバ10に送信する場合のシーケンスを示し、図3,図4,図6を参照して説明する。送信元のコンピュータ6から送信先のコンピュータ7に対してIPパケットを送信すると、プロトコル変換装置8に於いては、IP受信部11により受信してプロトコル変換部12に転送する。プロトコル変換部12は、ルーティングテーブル14を参照して中継サーバのIPアドレスを求め、httpラッピングによりIPパケットをhttpパケットに変換し、又パケット通番を付与して送信バッファ42に格納し、http送信部13に対してバッファ更新通知を送出する。
【0045】
http送信部13は、中継サーバ10に対してhttp接続要求を送出してhttpコネクションを確立し、送信要求パケットを送信バッファ42から読出して送信する。中継サーバ10のhttp処理部31は、送信要求パケットを送受信判断部51に転送し、送受信判断部51は、送信要求パケットを送信バッファ53に格納し、パケット通番を付加した送信受付完了パケットをhttp送信部31に転送し、http送信部31からプロトコル変換装置8に送信し、http切断を行う。プロトコル変換装置8のhttp送信部13は、送信受付完了パケットに付加された通番を基に送信完了したパケットを送信バッファ42から削除する。
【0046】
図8は中継サーバ10からプロトコル変換装置9を介して送信先のコンピュータ7に送信する場合のシーケンスを示し、プロトコル変換装置9のhttp受信部25からhttp接続要求を送出して中継サーバ10との間のhttpコネクションを確立し、受信要求通知パケットを送信する。
【0047】
中継サーバ10のhttp処理部32は、受信要求通知パケットを送受信判断部54に転送する。この送受信判断部54は、送信バッファ53から未送信パケットを抽出し、送信要求パケットとしてhttp処理部32に転送する。http処理部32は、この送信要求パケットをプロトコル変換装置9に送信してhttp切断を行う。
【0048】
プロトコル変換装置9のhttp受信部25に於いて送信要求パケットを受信すると、プロトコル変換部26に転送し、httpアンラッピングによりIPパケットに分離し、IP送信部27からコンピュータ7にIPパケットを送信する。前述の動作を繰り返すことにより、中継サーバ10からコンピュータ7に対してhttpラッピングによるIPパケットを送信することができる。
【0049】
又ファイアウォール2,3とプロトコル変換装置8,9との間に、プロキシサーバが存在するシステムの場合、プロトコル変換装置8,9の受信処理に於いて、受信要求通知パケットを送出するコネクションがタイムアウトにより切断される可能性がある。しかし、プロトコル変換装置8,9からの受信要求通知パケットの送出は、リトライ動作を行うことを可能としているもので、そのリトライ動作による受信要求通知パケットの送出によって形成したコネクションにより、プロトコル変換装置8,9は、中継サーバ10からの送信要求パケットを受信することができる。
【0050】
又中継サーバ10に、登録テーブル等の登録手段を設け、この登録手段に、通信可能のプロトコル変換装置を送信先装置IDとして登録し、送受信判断部51,54は、送信先装置IDを識別できるから、登録手段を参照して、登録された送信先装置IDを有する送信要求パケットの中継伝送を可能とすることができる。それにより、通信できる相手プロトコル変換装置を制限して、セキュリティの向上を図ることができる。
【0051】
本発明は、前述の各実施の形態のみに限定されるものではなく、種々付加変更することが可能である。例えば、中継サーバ10の送信バッファ53に送信要求パケットが格納された時に、送受信判断部54の判断処理により、送信先のプロトコル変換装置に対するコネクションを設定し、そのプロトコル変換装置からの応答に従って、送信要求パケットを送出する制御構成とすることも可能である。又送信バッファ42,53に一時格納された送信要求パケットを読出して送信する毎に、コネクションを切断することができる。
【0052】
(付記1)ファイアウォールを介してインターネットにそれぞれ接続した通信装置間でデータ通信を行うデータ通信システムに於いて、前記通信装置と前記ファイアウォールとの間に、送信元の通信装置からのデータを前記ファイアウォールを透過可能の形式のパケットに変換して送出し、前記ファイアウォールを介して受信した前記パケットを送信先の通信装置へのデータに復元するプロトコル変換装置を設け、送信元の通信装置を接続したプロトコル変換装置と送信先の通信装置を接続したプロトコル変換装置との間を前記ファイアウォールと前記インターネットとを介して中継接続する中継サーバを設けたことを特徴とするデータ通信システム。
(付記2)前記プロトコル変換装置は、送信先の通信装置のアドレスと前記中継サーバのアドレスとを対応させたルーティングテーブルと、送信元の通信装置からのデータを前記ファイアウォールを透過可能の形式のパケットにラッピングするプロトコル変換部と、該プロトコル変換部により変換したパケットを一時格納する送信バッファと、前記中継サーバとの間の接続要求及び前記送信バッファから読出したパケットを前記中継サーバに送出する送信部と、前記中継サーバから中継送出されたパケットを受信する受信部と、該受信部により受信したパケットを送信先の通信装置に送出するデータに変換するプロトコル変換部とを備えたことを特徴とする付記1記載のデータ通信システム。
【0053】
(付記3)前記プロトコル変換装置の前記送信バッファは、前記ルーティングテーブルを参照して求めた送信先中継サーバ対応に送信要求パケットを格納する構成を有することを特徴とする付記2記載のデータ通信システム。
(付記4)前記中継サーバは、前記インターネットを介して前記プロトコル変換装置との間のコネクションを形成して、送信元側の前記プロトコル変換装置により変換したパケットを受信する処理部と、該処理部により受信したパケットを一時格納する送信バッファと、該送信バッファからパケットを読出して送信先側の前記プロトコル変換装置へ送信する処理部とを含む構成を有することを特徴とする付記1記載のデータ通信システム。
(付記5)前記中継サーバの前記送信バッファは、前記処理部の制御に従って送信先のプロトコル変換装置対応に送信要求パケットを格納する構成を有することを特徴とする付記4記載のデータ通信システム。
【0054】
(付記6)前記プロトコル変換装置及び前記中継サーバは、相互間で伝送するパケットに通番を付加して送信し、該パケットを受信して前記通番を抽出し、該通番を付加した応答を送信する構成を備えたことを特徴とする付記1乃至3の何れかに記載のデータ通信システム。
(付記7)前記中継サーバは、前記プロトコル変換装置を登録手段と、該登録手段に登録されたプロトコル変換装置間のみ前記ファイアウォールを透過可能の形式のパケットの中継送出を行う構成を備えたことを特徴とする付記1乃至4の何れに記載のデータ通信システム。
【0055】
【発明の効果】
以上説明したように、本発明は、コンピュータ6A,6B,7A,7B等の通信装置とファイアウォール2,3との間にプロトコル変換装置8,9を設け、又インターネット1に中継サーバ10を設けて、プロトコル変換装置8,9によりファイアウォール2,3を透過可能のhttpパケット等の形式に変換し、中継サーバ10とプロトコル変換装置8,9との間にコネクションを形成して、送信元のプロトコル変換装置と送信先のプロトコル変換装置との間で、ファイアウォール2,3を透過させて、通信装置間でデータ通信を行うものであり、従って、インターネット1を介してTCP/IPによる通信を行う場合に、プロトコル変換装置8,9と中継サーバ10とに於けるルーティング処理により、送信元の通信装置と送信先の通信装置との間にファイアウォール2,3が介在していても、ファイアウォール2,3の設定変更を行うことなく、データ通信を行うことができ、且つ専用線によるM:N接続の場合と同様に、複数の企業内LAN間でインターネット1を介してデータ通信を行うことができる。
【0056】
又プロトコル変換装置8,9と中継サーバ10とのそれぞれの間で送達確認を行うことにより、送信元の通信装置と送信先の通信装置との間でデータ通信を行うことができるもので、例えば、インターネットを介して接続したイントラネット間でデータ通信を行う場合の送達確認を行う場合、従来例のSMTPにより送達確認を行う構成に比較して、伝送遅延による問題がなくなる。又イントラネット用の既存のアプリケーションを、セキュリティを確保した上で、そのままインターネット用としてリアルタイム通信を可能とすることができるから、イントラネット用のアプリケーションとインターネット用のアプリケーションとの二重開発の必要がなくなる利点がある。
【図面の簡単な説明】
【図1】本発明の実施の形態の説明図である。
【図2】パケットフォーマットの説明図である。
【図3】本発明の実施の形態の各部の説明図である。
【図4】本発明の実施の形態のプロトコル変換装置の説明図である。
【図5】ルーティングテーブル及びMACテーブルの説明図である。
【図6】本発明の実施の形態の中継サーバの説明図である。
【図7】本発明の実施の形態の送信処理シーケンス説明図である。
【図8】本発明の実施の形態の受信処理シーケンス説明図である。
【図9】従来のデータ通信システムの説明図である。
【符号の説明】
1 インターネット
2,3 ファイアウォール
4,5 企業内LAN
6A,6B,7A,7B コンピュータ
8,9 プロトコル変換装置
10 中継サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a data communication system in which a communication device including a computer or the like is connected to the Internet via a firewall, and performs data communication between the communication devices via the Internet.
[0002]
[Prior art]
2. Description of the Related Art A data communication system in a company or the like in which a LAN (Local Area Network) connecting a plurality of computers is connected by a dedicated line is known. In this case, in the case of a connection between distributed 1: 1 LANs, only one dedicated line is required, but in the case of an M: N configuration, M × N connections are required to connect between each other. Dedicated line is required. Therefore, there is a problem that the number of dedicated lines increases dramatically as the scale of the data communication system increases, resulting in an increase in cost.
[0003]
Therefore, with the recent widespread use of the Internet, a system for connecting LANs via the Internet and performing data communication between them has been put to practical use. In such a case, a configuration is generally used in which a firewall is connected between the LAN and the Internet to ensure the security of the LAN.
[0004]
For example, as shown in FIG. 9, corporate LANs 104 and 105 are connected to the Internet 101 via firewalls 102 and 103, respectively. The corporate LANs 104 and 105 connect a plurality of computers 106A, 106B, 107A and 107, respectively. Connected configurations are known. The firewalls 102 and 103 can prevent unauthorized access to the corporate LAN.
[0005]
[Problems to be solved by the invention]
In the conventional example shown in FIG. 9, data communication can be performed without connecting a large number of dedicated lines by connecting between the in-house LANs 102 and 103 via the Internet 101. However, the firewalls 102 and 103 are provided between the corporate LANs 102 and 103 and the Internet 101 to improve the security of the corporate LANs 102 and 103, so that the firewalls 102 and 103 allow only connection through a specific port. Therefore, any application is prevented from connecting.
[0006]
For example, since the computers 106A and 106B of the corporate LAN 102 and the computers 107A and 107B of the corporate LAN 103 are connected to the same LAN, data communication by an arbitrary application is possible. , Data communication by an arbitrary application becomes impossible. Therefore, it is necessary to open specific ports of the firewalls 102 and 103, change the settings of the authentication function and the like, or remodel the application. Therefore, every time the number of communication destination IPs or applications increases, there is a problem that a setting change work of the firewalls 102 and 103 and a remodeling work of the application occur, and a security problem occurs by opening a port.
[0007]
In addition, since an application for an intranet cannot be directly applied to an application for the Internet, there is a problem in that dual development of an application for the intranet and an application for the Internet is required.
[0008]
Also, when communicating between a client and a server through a firewall, a firewall or the like is used as a relay server, a relay program is mounted on this relay server, and a relay program that can be communicated from the client is selected with reference to a table. (For example, see Japanese Patent Application Laid-Open No. 10-126440). However, in a corporate LAN or the like which is distributed and arranged, it is common that a network administrator is different for each firewall. Therefore, since it is not possible to perform centralized management, it is difficult to realize the operation management.
[0009]
It has also been proposed to mount a relay program that allows a firewall to pass through the application itself (for example, see Japanese Patent Application Laid-Open No. 2000-115157). However, in such a configuration, there is a problem that the application must be modified.
[0010]
Data communication can also be performed by applying a VPN (Virtual Private Network) service. However, since data communication means in this case is not standardized, it is difficult to connect between multi-vendors.
[0011]
When the firewall rejects the data transfer by HTTP (Hypertext Transfer Protocol), the HTTP request from the client is converted to SMTP (Simple Mail Transfer Protocol) by the relay server and transmitted to the network, and is transmitted to the server via the network. Is converted from SMTP to HTTP by the relay server and transferred to the server, and the HTTP response from the server is converted to SMTP by the relay server and sent out to the network, and is converted from SMTP to HTTP by the relay server on the client side via the network. It is proposed that the data be transferred after the transfer (for example, see Japanese Patent Application Laid-Open No. 2001-197125).
[0012]
When such a system is applied to data communication between a source intranet and a destination intranet, the data source computer sends a response via the SMTP server of the destination intranet → firewall → internet → firewall → SMTP server. The next data is transmitted by receiving and confirming the delivery. In this case, the transmission destination intranet is not always constructed by a high-speed line, and if the transmission delay is large, there is a problem that it is difficult to perform data communication in real time.
[0013]
An object of the present invention is to solve the above-mentioned conventional problems, and an object of the present invention is to enable data communication by a TCP (Transmission Control Protocol) connection without being aware of connection via the Internet or a firewall. And
[0014]
[Means for Solving the Problems]
Referring to FIG. 1, a data communication system according to the present invention is a communication system including computers 6A, 6B, 7A, 7B and corporate LANs 4, 5 connected to the Internet 1 through firewalls 2, 3, respectively. A data communication system for performing data communication by transmitting data from a communication device of a transmission source through firewalls 2 and 3 between communication devices such as computers 6A, 6B, 7A and 7B and firewalls 2 and 3. Protocol converters 8 and 9 are provided to convert the packets into a format that can be transmitted and transmit the packets, and to restore the packets received through the firewalls 2 and 3 to the data to be transmitted to the destination communication device. The firewalls 2 and 3 and the Internet are connected between the protocol conversion device that has been connected and the protocol conversion device that connects the destination communication device. Sheet 1 and through a structure in which a relay server 10 that the relay connection.
[0015]
The protocol conversion devices 8 and 9 wrap the routing table in which the addresses of the communication devices of the transmission destination correspond to the addresses of the relay servers, and wrap the data from the communication device of the transmission source into packets that can be transmitted through the firewall. A transmission buffer for temporarily storing a packet converted by the protocol conversion unit, a transmission unit for transmitting a connection request between the relay server and a packet read from the transmission buffer to the relay server, The receiving unit includes a receiving unit that receives the relayed packet, and a protocol converting unit that converts the packet received by the receiving unit into data to be transmitted to a destination communication device.
[0016]
The relay server 10 forms a connection with the protocol converters 8 and 9 via the Internet 1 and receives a packet converted by the source-side protocol converter. And a processing unit that reads out the packet from the transmission buffer and transmits the packet to the protocol conversion device on the destination side. Further, the protocol conversion device and the relay server have a configuration in which a packet to be transmitted between them is added with a serial number and transmitted, the packet is received, the serial number is extracted, and a response to which the serial number is added is transmitted. . Further, the relay server 10 can be provided with a registration unit for registering a protocol conversion device, and a configuration for relaying and transmitting a packet in a format that can be transmitted through a firewall only between the protocol conversion devices registered in the registration unit.
[0017]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 is an explanatory diagram of an embodiment of the present invention, wherein 1 is the Internet, 2 and 3 are firewalls, 4 and 5 are corporate LANs, 6A, 6B, 7A and 7B are computers as communication devices, and 8 and 9 Denotes a protocol conversion device, and 10 denotes a relay server. Protocol converters 8 and 9 are connected between a plurality of computers 6A, 6B, 7A and 7B and corporate LANs 4 and 5, respectively, and firewalls 2 and 3 are connected between corporate LANs 4 and 5 and the Internet 1. 1 shows a data communication system when a relay server 10 is connected to the Internet 1.
[0018]
The relay server 10, the firewalls 2, 3, the protocol converters 8, 9, and the computers 6A, 6B, 7A, 7B may be provided in a larger number, and the communication devices may include the computers 6A, 6B, Although the case where 7A and 7B are used is shown, a configuration other than a computer can be applied as long as the configuration allows data communication via the Internet 1.
[0019]
The protocol converters 8 and 9 convert data from the computers 6A, 6B, 7A and 7B as communication devices into a format that can be transmitted through the firewalls 2 and 3. A case where an http packet is used as a packet of the form The computers 6A, 6B, 7A, and 7B transmit and receive using IP packets. Therefore, the protocol converters 8 and 9 convert the IP packets into http packets and send the packets to the firewalls 2 and 3, respectively. The configuration is such that the http packet received via the network 2 or 3 is converted into an IP packet and transmitted to the computers 6A, 6B, 7A and 7B.
[0020]
The relay server 10 is connected to the Internet 1 and forms a connection with the protocol converters 8 and 9 when performing data communication between the company LANs 4 and 5 via the Internet 1, and the firewalls 2 and 3. Is relayed and transmitted in an HTTP packet in a format that allows transmission of the HTTP packet. That is, by forming an http connection between the protocol converters 8 and 9 and the relay server 10 and relaying the http packet, the TCP connection between the computers 6A and 6B and the computers 7A and 7B is established. A / IP (Transmission Control Protocol / Internet Protocol) connection can be formed to perform data communication.
[0021]
Therefore, it is not necessary to modify the application or change the settings of the firewalls 2 and 3. Further, data communication between the protocol converters 8 and 9 is performed via the relay server, and by providing each with a routing function, data communication between M: N becomes possible without requiring a dedicated line connection. .
[0022]
FIG. 2 shows the format of a packet transmitted and received between the protocol converters 8 and 9 and the relay server 10, where (a) is a transmission request packet, (b) is a transmission reception completion notification packet, and (c) is a reception request notification. Indicates a packet. Each packet is an http packet as a format that can be transmitted through the firewalls 2 and 3, and includes an http header, an identifier of a transmission / reception section indicating transmission, completion notification, and reception, and a packet serial number.
[0023]
The transmission request packet shown in FIG. 2A indicates a format in which an IP packet from a transmission source computer is subjected to protocol conversion, that is, http wrapping in the protocol converters 8 and 9, and as described above. , An http header, an identifier of a transmission / reception section, and a packet serial number, an issuer device ID for uniquely identifying the protocol converters 8 and 9 is added. Then, a destination device ID, an IP packet length, an encryption An arbitrary number of sets are sequentially added to the grouped IP packets to form an http packet. It is to be noted that the case where the IP data is encrypted to improve security is shown, and the IP data can be encrypted and decrypted in the protocol converters 8 and 9, but can be transmitted and received as plaintext data. .
[0024]
The transmission reception completion notification packet shown in FIG. 2B is used as a response to the transmission request packet shown in FIG. 2A from the protocol converters 8 and 9 to confirm the packet sequence number of the transmission request packet for confirming the delivery. This is an http packet to be inserted and responded to. The reception request notification packet shown in FIG. 2C is an http packet transmitted by the protocol converters 8 and 9 to the relay server 10 when making a connection request, and includes the packet serial number of the latest received packet and the device ID of its own protocol converter. Is added.
[0025]
FIG. 3 is an explanatory diagram of each part of the embodiment of the present invention. The same reference numerals as those in FIG. 1 denote the same parts, and the computers 6, 7 are connected to the protocol converters 8, 9, the firewalls 2, 3, and the Internet. The configuration of each unit when data communication is performed via the relay server 10 will be described. A corporate network including the firewalls 2 and 3, the protocol converters 8 and 9, and the computers 6 and 7, and an http connection between the relay server 10 and the protocol converters 8 and 9 is formed. A TCP / IP connection is formed between the transmission destination computer and the transmission source computer, and data communication is performed via the firewalls 2 and 3 and the Internet.
[0026]
The protocol converters 8 and 9 connected between the computers 6 and 7 and the firewalls 2 and 3 include IP receivers 11 and 21, IP transmitters 17 and 27, and protocol converters 12, 22, 16, and 26. , Http transmitting units 13 and 23 for transmitting http packets, http receiving units 15 and 25 for receiving http packets, routing tables 14 and 24, and MAC (Media Access Control) tables 18 and 28. Things.
[0027]
The relay server 10 includes http processing units 31, 32, 34, 36 and transmission / reception processing units 33, 36 including a transmission buffer, and is connected to the Internet 1 as shown in FIG. The http transmitting units 13 and 23 are transmitting units that transmit to the relay server 10, and the http receiving units 15 and 25 are receiving units from the relay server 10. The http processing units 31 and 34 of the relay server 10 are processing units that receive packets from the protocol conversion device, and the http processing units 32 and 35 are processing units that transmit packets to the protocol conversion device.
[0028]
When receiving the IP packets from the computers 6 and 7, the IP receiving units 11 and 21 of the protocol conversion devices 8 and 9 transfer the IP packets to the protocol conversion units 12 and 22. The protocol conversion units 12 and 22 determine the IP address of the relay server 10 with reference to the routing tables 14 and 24, wrap the IP packet to http, and connect to the Internet from the http transmission units 13 and 23 via the firewall 2. An http packet is transmitted to the relay server 10 which has been made.
[0029]
The relay server 10 transfers the http packets received by the http processing units 31 and 34 to the http processing units 32 and 35 via the transmission / reception processing units 33 and 36, and transfers the http packets via the firewalls 2 and 3 to the protocol conversion device 8 , 9. When the http receiving units 15 and 25 of the protocol converters 8 and 9 receive the http packets from the relay server 10, they transfer the http packets to the protocol converters 16 and 26, and the protocol converters 16 and 26 convert the http packets by unwrapping. The IP packets are extracted, and the IP packets are transmitted from the IP transmission units 17 and 27 to the computers 6 and 7 with reference to the MAC tables 18 and 28.
[0030]
FIG. 4 is an explanatory view of the protocol conversion device according to the embodiment of the present invention, and shows the protocol conversion device 8 connected to the computer 6 in FIG. 3, and the protocol conversion device 9 connected to the computer 7 is the same. It has a configuration. The illustration of the firewall 2 with the relay server 10 is omitted.
[0031]
The protocol conversion device 8 has a function as a transmission unit that performs protocol conversion and transmits the same to the relay server 10 side, and a function as a reception unit that receives a protocol from the relay server 10 and converts the protocol. , The upper side constitutes a transmitting section, and the lower side constitutes a receiving section. In FIG. 4, 11 is an IP receiving unit, 12 is a protocol converting unit, 13 is an http transmitting unit, 14 is a routing table, 15 is an http receiving unit, 16 is a protocol converting unit, 17 is an IP transmitting unit, and 18 is an IP transmitting unit. The MAC table, 41 indicates a transmission sequence number table, 42 indicates a transmission buffer, and 43 indicates a reception sequence number table.
[0032]
When receiving the IP packet from the computer 6, the IP reception unit 11 transfers the IP packet to the protocol conversion unit 12. The protocol conversion unit 12 has a function of wrapping an IP packet via http, and refers to the routing table 14 and the transmission sequence number table 41 to determine a relay server and a transmission destination device ID corresponding to the transmission destination computer of the IP packet. Then, the transmission request packet shown in FIG. 2A is formed by adding the packet serial number, transferred to the transmission buffer 42, and transmitted to the http transmission unit 13 by the buffer update notification indicating that the packet is stored in the transmission buffer 42. I do.
[0033]
The routing table 14 includes, for example, as shown in FIG. 5A, the device ID of the protocol conversion device corresponding to the destination IP address and the relay server IP address. Therefore, it is possible to determine the destination device ID to be added to the transmission request packet and the relay server that transmits the http packet based on the IP address of the destination of the IP packet. That is, for a plurality of relay servers connected to the Internet, the relay server corresponding to the IP address of the transmission destination can be designated. The transmission sequence number table 41 is a table for managing the packet sequence number of the transmission request packet, and adds a packet sequence number unique to each transmission relay server to the transmission request packet.
[0034]
The transmission buffer 42 has a configuration for buffering each transmission destination relay server. If there is an untransmission request packet for the same relay server, the protocol conversion unit 12 adds an IP packet to the transmission request packet. I do. In this case, as shown in FIG. 2A, the transmission request packet including a plurality of sets of IP packets is stored in the transmission buffer 42. Then, the HTTP transmission unit 13 notifies the http transmission unit 13 of a buffer update, and the http transmission unit 13 issues an http connection request to the relay server 10. After establishing the http connection, the transmission request packet is read from the transmission buffer 42 and transmitted to the relay server 10. .
[0035]
Upon receiving the transmission request packet, the relay server 10 extracts the packet sequence number of the transmission request packet, adds the packet sequence number, and sends out the transmission reception completion notification packet shown in FIG. 2B as a reception response. When the http transmission unit 13 confirms the reception of the transmission reception completion notification packet, it identifies the packet sequence number at the time of the transmission request added to the transmission reception completion notification packet, and the http packet of the previous packet sequence number including this packet sequence number Since transmission has been confirmed, it is deleted from the transmission buffer 42 as transmission completed. The packet stored in the transmission buffer 42 by the processing of the protocol conversion unit 12 before the delivery confirmation is obtained is controlled to form an http connection after the delivery confirmation is obtained, and to transmit the packet to the transmission destination relay server in a lump. You can do it too.
[0036]
Also, the http receiving unit 15 makes an http connection request to a pre-defined connectable relay server 10 and, after establishing the http connection, transmits a reception request notification packet shown in FIG. 2C to the relay server 10. When a transmission request packet having the format shown in FIG. 2A is received as a response from the relay server 10, the packet is transferred to the protocol conversion unit 16, and the packet sequence number of the transmission request packet is held by the reception sequence number table 43. At the time of the next reception request, the latest received packet sequence number is stored in the reception request notification packet and transmitted. The relay server 10 can confirm the delivery by extracting the latest received packet sequence number added to the reception request notification packet.
[0037]
Further, the protocol conversion unit 16 restores the transmission request packet transferred from the http reception unit 15 into an IP packet by http unwrapping, refers to the MAC table 18, adds a MAC address to the transmission destination IP address, The data is transferred to the IP transmitting unit 17 and transmitted from the IP transmitting unit 17 to the computer 6. The MAC table 18 stores a destination MAC address corresponding to a destination IP address, for example, as shown in FIG.
[0038]
FIG. 6 is an explanatory diagram of the relay server according to the embodiment of the present invention, and corresponds to the http processing units 31 and 32 and the transmission / reception processing unit 33 of the relay server 10 between the protocol conversion devices 8 and 9 in FIG. The transmission / reception processing unit 33 is constituted by the transmission / reception determination units 51 and 54, the serial number management table 52, and the transmission buffer 53.
[0039]
The http processing unit 31 establishes an http connection in response to an http connection request from the protocol conversion device 8, and when receiving a transmission request packet from the protocol conversion device 8 via an http port, transfers the packet to the transmission / reception determination unit 51. Further, it has a function of transmitting a transmission acceptance completion notification packet requested by the transmission / reception determining unit 51 to the protocol conversion device 8 and notifying of the http disconnection. Similarly, the http processing unit 32 establishes an http connection in response to an http connection request from the protocol conversion device 9, and upon receiving a transmission request notification packet from the protocol conversion device 9 via the http port, transfers the packet to the transmission / reception determination unit 54, and It has a function of transmitting the transmission request packet from the transmission / reception determining unit 54 to the protocol conversion device 9 and notifying the http disconnection.
[0040]
The transmission / reception determining unit 51 analyzes the contents of the packet transferred from the http processing unit 31, determines whether the packet is a transmission request or a reception request, and stores the transmission request packet in the transmission buffer 53 of each destination protocol conversion device. I do. In this case, when a plurality of sets of IP packets are included, they can be decomposed for each IP packet and stored in the transmission buffer 53 for each destination device ID. Further, the sequence number management table 52 manages the packet sequence number added to the transmission request packet for each destination protocol converter, and uses this packet sequence number when transmitting a transmission acceptance completion notice.
[0041]
When the transmission request packet is received and stored in the transmission buffer, the http processing unit is notified to transmit the transmission reception completion notification packet, and the transmission reception completion notification added with the transmission request-time packet sequence number shown in FIG. The packet is transmitted to the protocol conversion device 8. Therefore, the protocol conversion device 8 receives the transmission acceptance completion notification packet, confirms the delivery by the packet sequence number, and if the transmission request packet with this packet sequence number remains in the transmission buffer 42, it is a transmission completion packet. If the untransmitted data remains in the transmission buffer 42, the data is transmitted from the http transmission unit 13.
[0042]
The transmission / reception determination unit 54 analyzes the contents of the packet transferred from the http processing unit 32, and in the case of a reception request notification packet, determines whether or not the packet exists in an area of the transmission buffer 53 corresponding to the destination protocol conversion device. If the packet does not exist, the area is monitored. If the packet is stored, the packet is read out, a transmission request packet is assembled, and the packet is transferred to the http processing unit 32. The transmission request packet is transmitted to the conversion device 9.
[0043]
When a reception request notification packet from the protocol converter 9 is received in response to the transmission request packet, the packet having the same packet sequence number as the latest received packet sequence number added thereto is determined to be transmission complete, and the transmission buffer is determined. If the packet is deleted from the transmission buffer 53 and an untransmitted packet remains, the packet is read from the transmission buffer 53 and transmitted from the http processing unit 32 to the protocol conversion device 9. When all the transmission is completed, the http is disconnected. Also in this transmission buffer 53, when the transmission request packet from the source protocol converter is stored before the transmission confirmation from the destination protocol converter is obtained, after the transmission confirmation is obtained, An http connection can be formed and transmitted collectively to the destination protocol converter.
[0044]
FIG. 7 shows a sequence in the case of transmitting data from the computer 6 to the relay server 10 via the protocol conversion device 8, which will be described with reference to FIGS. When an IP packet is transmitted from the transmission source computer 6 to the transmission destination computer 7, in the protocol conversion device 8, the IP packet is received by the IP reception unit 11 and transferred to the protocol conversion unit 12. The protocol conversion unit 12 obtains the IP address of the relay server by referring to the routing table 14, converts the IP packet into an http packet by http wrapping, assigns a packet serial number, stores the packet in the transmission buffer 42, and stores the 13 and sends a buffer update notification to the server 13.
[0045]
The http transmission unit 13 sends an http connection request to the relay server 10, establishes an http connection, reads a transmission request packet from the transmission buffer 42, and transmits the packet. The http processing unit 31 of the relay server 10 transfers the transmission request packet to the transmission / reception determination unit 51. The transmission / reception determination unit 51 stores the transmission request packet in the transmission buffer 53, and transmits the transmission reception completion packet added with the packet serial number to the http The data is transferred to the transmission unit 31, transmitted from the http transmission unit 31 to the protocol conversion device 8, and the http is disconnected. The http transmission unit 13 of the protocol conversion device 8 deletes, from the transmission buffer 42, the packet whose transmission has been completed based on the serial number added to the transmission acceptance completion packet.
[0046]
FIG. 8 shows a sequence in the case of transmission from the relay server 10 to the destination computer 7 via the protocol conversion device 9, in which an http connection request is transmitted from the http receiving unit 25 of the protocol conversion device 9 to communicate with the relay server 10. Establish an http connection between them and transmit a reception request notification packet.
[0047]
The http processing unit 32 of the relay server 10 transfers the reception request notification packet to the transmission / reception determination unit 54. The transmission / reception determination unit 54 extracts an untransmitted packet from the transmission buffer 53 and transfers it to the http processing unit 32 as a transmission request packet. The http processing unit 32 transmits the transmission request packet to the protocol conversion device 9 and performs http disconnection.
[0048]
When the transmission request packet is received by the http receiving unit 25 of the protocol conversion device 9, the packet is transferred to the protocol conversion unit 26, separated into IP packets by http unwrapping, and the IP packet is transmitted from the IP transmission unit 27 to the computer 7. . By repeating the above-described operation, the relay server 10 can transmit the IP packet by the HTTP wrapping to the computer 7.
[0049]
In the case of a system in which a proxy server exists between the firewalls 2 and 3 and the protocol converters 8 and 9, in the reception process of the protocol converters 8 and 9, the connection for transmitting the reception request notification packet is timed out. May be disconnected. However, the transmission of the reception request notification packet from the protocol converters 8 and 9 enables the retry operation to be performed, and the connection formed by transmitting the reception request notification packet by the retry operation causes the protocol conversion device 8 to transmit. , 9 can receive a transmission request packet from the relay server 10.
[0050]
The relay server 10 is provided with a registration unit such as a registration table. In this registration unit, a communicable protocol converter is registered as a destination device ID, and the transmission / reception determination units 51 and 54 can identify the destination device ID. By referring to the registering means, the relay transmission of the transmission request packet having the registered destination device ID can be performed. Thereby, the communication partner protocol conversion device can be restricted, and security can be improved.
[0051]
The present invention is not limited to only the above-described embodiments, and various additions and changes can be made. For example, when a transmission request packet is stored in the transmission buffer 53 of the relay server 10, the connection to the destination protocol converter is set by the transmission / reception determination unit 54, and the transmission is performed according to the response from the protocol converter. It is also possible to adopt a control configuration for transmitting a request packet. Also, the connection can be disconnected each time the transmission request packet temporarily stored in the transmission buffers 42 and 53 is read and transmitted.
[0052]
(Supplementary Note 1) In a data communication system in which data communication is performed between communication devices connected to the Internet via a firewall, data from a transmission source communication device is transmitted between the communication device and the firewall. A protocol conversion device is provided, which converts the packet into a packet in a format that can be transmitted and transmits the packet, and restores the packet received through the firewall into data to be transmitted to the destination communication device. A data communication system, comprising: a relay server that relays connection between a conversion device and a protocol conversion device that connects a communication device of a transmission destination via the firewall and the Internet.
(Supplementary Note 2) The protocol conversion device includes a routing table in which an address of a destination communication device is associated with an address of the relay server, and a packet in a format that allows data from the source communication device to pass through the firewall. A transmission buffer for temporarily storing packets converted by the protocol conversion unit, and a transmission unit for transmitting a connection request between the relay server and a packet read from the transmission buffer to the relay server. A receiving unit that receives a packet relay-transmitted from the relay server; and a protocol converting unit that converts the packet received by the receiving unit into data to be transmitted to a destination communication device. The data communication system according to attachment 1.
[0053]
(Supplementary note 3) The data communication system according to supplementary note 2, wherein the transmission buffer of the protocol conversion device stores a transmission request packet corresponding to a transmission destination relay server obtained by referring to the routing table. .
(Supplementary Note 4) The relay server forms a connection with the protocol conversion device via the Internet, and receives a packet converted by the protocol conversion device on the transmission side, and the processing unit 2. The data communication according to claim 1, further comprising: a transmission buffer for temporarily storing a packet received by the communication device; and a processing unit for reading the packet from the transmission buffer and transmitting the packet to the protocol conversion device on the transmission destination side. system.
(Supplementary note 5) The data communication system according to supplementary note 4, wherein the transmission buffer of the relay server has a configuration for storing a transmission request packet corresponding to a destination protocol converter under the control of the processing unit.
[0054]
(Supplementary Note 6) The protocol conversion device and the relay server add a serial number to a packet transmitted between them, transmit the packet, receive the packet, extract the serial number, and transmit a response with the serial number added. 4. The data communication system according to any one of supplementary notes 1 to 3, further comprising a configuration.
(Supplementary Note 7) The relay server has a configuration in which the protocol conversion device is configured to register the relay device and relay the packet in a format that can be transmitted through the firewall only between the protocol conversion devices registered in the registration device. 5. The data communication system according to any one of supplementary notes 1 to 4, wherein:
[0055]
【The invention's effect】
As described above, according to the present invention, the protocol converters 8 and 9 are provided between the communication devices such as the computers 6A, 6B, 7A and 7B and the firewalls 2 and 3, and the relay server 10 is provided on the Internet 1. The protocol converters 8 and 9 convert the firewalls 2 and 3 into a format such as a transparent http packet, and form a connection between the relay server 10 and the protocol converters 8 and 9 to convert the protocol of the transmission source. The data communication is performed between the communication devices through the firewalls 2 and 3 between the device and the protocol conversion device of the transmission destination. Therefore, when performing communication by TCP / IP via the Internet 1, The communication between the transmission source communication device and the transmission destination is performed by the routing process between the protocol conversion devices 8 and 9 and the relay server 10. Even if the firewalls 2 and 3 are interposed between the devices, data communication can be performed without changing the settings of the firewalls 2 and 3 and, similarly to the case of the M: N connection using the dedicated line, Data communication can be performed via the Internet 1 between a plurality of corporate LANs.
[0056]
Further, by confirming delivery between each of the protocol converters 8 and 9 and the relay server 10, data communication can be performed between the communication device of the transmission source and the communication device of the transmission destination. In the case of performing delivery confirmation when performing data communication between intranets connected via the Internet, there is no problem due to transmission delay as compared with a conventional configuration in which delivery confirmation is performed using SMTP. In addition, existing applications for intranets can be made available for real-time communication as they are for the Internet, while ensuring security. This eliminates the need for dual development of intranet applications and Internet applications. There is.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram of an embodiment of the present invention.
FIG. 2 is an explanatory diagram of a packet format.
FIG. 3 is an explanatory diagram of each unit of the embodiment of the present invention.
FIG. 4 is an explanatory diagram of a protocol conversion device according to an embodiment of the present invention.
FIG. 5 is an explanatory diagram of a routing table and a MAC table.
FIG. 6 is an explanatory diagram of a relay server according to the embodiment of this invention.
FIG. 7 is an explanatory diagram of a transmission processing sequence according to the embodiment of this invention.
FIG. 8 is an explanatory diagram of a reception processing sequence according to the embodiment of this invention.
FIG. 9 is an explanatory diagram of a conventional data communication system.
[Explanation of symbols]
1 Internet
A few firewalls
4,5 Corporate LAN
6A, 6B, 7A, 7B Computer
8,9 Protocol converter
10 Relay server

Claims (5)

ファイアウォールを介してインターネットにそれぞれ接続した通信装置間でデータ通信を行うデータ通信システムに於いて、
前記通信装置と前記ファイアウォールとの間に、送信元の通信装置からのデータを前記ファイアウォールを透過可能の形式のパケットに変換して送出し、前記ファイアウォールを介して受信した前記パケットを送信先の通信装置へのデータに復元するプロトコル変換装置を設け、
送信元の通信装置を接続したプロトコル変換装置と送信先の通信装置を接続したプロトコル変換装置との間を前記ファイアウォールと前記インターネットとを介して中継接続する中継サーバを設けた
ことを特徴とするデータ通信システム。In a data communication system for performing data communication between communication devices respectively connected to the Internet via a firewall,
Between the communication device and the firewall, data from the communication device of the transmission source is converted into a packet in a format that can be transmitted through the firewall and transmitted, and the packet received through the firewall is transmitted to the communication destination. Provision of a protocol conversion device for restoring data to the device,
Data provided with a relay server for relaying connection between the protocol converter connected to the communication device of the transmission source and the protocol converter connected to the communication device of the transmission destination via the firewall and the Internet. Communications system. 前記プロトコル変換装置は、送信先の通信装置のアドレスと前記中継サーバのアドレスとを対応させたルーティングテーブルと、送信元の通信装置からのデータを前記ファイアウォールを透過可能の形式のパケットにラッピングするプロトコル変換部と、該プロトコル変換部により変換したパケットを一時格納する送信バッファと、前記中継サーバとの間の接続要求及び前記送信バッファから読出したパケットを前記中継サーバに送出する送信部と、前記中継サーバから中継送出されたパケットを受信する受信部と、該受信部により受信したパケットを送信先の通信装置に送出するデータに変換するプロトコル変換部とを備えたことを特徴とする請求項1記載のデータ通信システム。The protocol conversion device includes a routing table that associates the address of the communication device of the transmission destination with the address of the relay server, and a protocol that wraps data from the communication device of the transmission source into a packet that can be transmitted through the firewall. A conversion unit, a transmission buffer for temporarily storing a packet converted by the protocol conversion unit, a transmission unit for transmitting a connection request between the relay server and a packet read from the transmission buffer to the relay server, 2. The apparatus according to claim 1, further comprising: a receiving unit that receives a packet relay-transmitted from the server; and a protocol converting unit that converts the packet received by the receiving unit into data to be transmitted to a destination communication device. Data communication system. 前記中継サーバは、前記インターネットを介して前記プロトコル変換装置との間のコネクションを形成して、送信元側の前記プロトコル変換装置により変換したパケットを受信する処理部と、該処理部により受信したパケットを一時格納する送信バッファと、該送信バッファからパケットを読出して送信先側の前記プロトコル変換装置へ送信する処理部とを含む構成を有することを特徴とする請求項1記載のデータ通信システム。A processing unit configured to form a connection with the protocol conversion device via the Internet and receive a packet converted by the protocol conversion device on the transmission side; and a packet received by the processing unit. 2. The data communication system according to claim 1, further comprising: a transmission buffer for temporarily storing a packet, and a processing unit for reading a packet from the transmission buffer and transmitting the packet to the protocol conversion device on the transmission destination side. 前記プロトコル変換装置及び前記中継サーバは、相互間で伝送するパケットに通番を付加して送信し、該パケットを受信して前記通番を抽出し、該通番を付加した応答を送信する構成を備えたことを特徴とする請求項1乃至3の何れか1項記載のデータ通信システム。The protocol conversion device and the relay server are configured to add a serial number to a packet transmitted between them, transmit the packet, receive the packet, extract the serial number, and transmit a response with the serial number added. The data communication system according to any one of claims 1 to 3, wherein: 前記中継サーバは、前記プロトコル変換装置を登録する登録手段と、該登録手段に登録されたプロトコル変換装置間のみ前記ファイアウォールを透過可能の形式のパケットの中継送出を行う構成を備えたことを特徴とする請求項1乃至4の何れか1項記載のデータ通信システム。The relay server includes a registration unit that registers the protocol conversion device, and a configuration that relays and transmits a packet in a format that can be transmitted through the firewall only between the protocol conversion devices registered in the registration unit. The data communication system according to any one of claims 1 to 4, wherein:
JP2002221055A 2002-07-30 2002-07-30 Data communication system Pending JP2004064490A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002221055A JP2004064490A (en) 2002-07-30 2002-07-30 Data communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002221055A JP2004064490A (en) 2002-07-30 2002-07-30 Data communication system

Publications (1)

Publication Number Publication Date
JP2004064490A true JP2004064490A (en) 2004-02-26

Family

ID=31941494

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002221055A Pending JP2004064490A (en) 2002-07-30 2002-07-30 Data communication system

Country Status (1)

Country Link
JP (1) JP2004064490A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006092844A1 (en) * 2005-03-01 2006-09-08 Hewlett-Packard Development Company, L.P. Packet relay system and packet relay device
US7392323B2 (en) 2004-11-16 2008-06-24 Seiko Epson Corporation Method and apparatus for tunneling data using a single simulated stateful TCP connection
US7406533B2 (en) 2003-10-08 2008-07-29 Seiko Epson Corporation Method and apparatus for tunneling data through a single port
WO2011049135A1 (en) * 2009-10-23 2011-04-28 日本電気株式会社 Network system, control method thereof, and controller
JP2021048623A (en) * 2014-09-03 2021-03-25 フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー Data transmission between at least one safe producer and at least one safe consumer

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7406533B2 (en) 2003-10-08 2008-07-29 Seiko Epson Corporation Method and apparatus for tunneling data through a single port
US7392323B2 (en) 2004-11-16 2008-06-24 Seiko Epson Corporation Method and apparatus for tunneling data using a single simulated stateful TCP connection
WO2006092844A1 (en) * 2005-03-01 2006-09-08 Hewlett-Packard Development Company, L.P. Packet relay system and packet relay device
GB2438546A (en) * 2005-03-01 2007-11-28 Hewlett Packard Development Co Packet relay system and packet relay device
GB2438546B (en) * 2005-03-01 2009-06-17 Hewlett Packard Development Co Packet forwarding system and packet forwarding device
WO2011049135A1 (en) * 2009-10-23 2011-04-28 日本電気株式会社 Network system, control method thereof, and controller
US8832272B2 (en) 2009-10-23 2014-09-09 Nec Corporation Network system, control method for the same, and controller, using targeted relay processing devices
JP2021048623A (en) * 2014-09-03 2021-03-25 フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー Data transmission between at least one safe producer and at least one safe consumer
JP7063976B2 (en) 2014-09-03 2022-05-09 フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー Data transmission between at least one secure producer and at least one secure consumer

Similar Documents

Publication Publication Date Title
US8473620B2 (en) Interception of a cloud-based communication connection
EP2400693B1 (en) Routing and service performance management in an application acceleration environment
US8250643B2 (en) Communication device, communication system, communication method, and program
KR101263783B1 (en) System and method for data transmission using relay server
EP0838930A2 (en) Pseudo network adapter for frame capture, encapsulation and encryption
CN101420455A (en) Systems and/or methods for streaming reverse http gateway, and network including the same
AU2007320794B2 (en) Selective session interception method
WO2005027540B1 (en) Methods and systems for wireless local area network (wlan)-based signaling network monitoring
JP3637863B2 (en) Virtual network and virtual network connection method
JP3970857B2 (en) Communication system, gateway device
JP4344336B2 (en) Multihoming authentication communication system, multihoming authentication communication method, and management server
JP2004064490A (en) Data communication system
JP2009055418A (en) Communicating system, relay device, terminal, relay processing method, and its program
JPH07170280A (en) Local area network
JP2009177239A (en) Network relay apparatus
JP2004158923A (en) Http session tunneling system, method thereof, and program thereof
JP4893279B2 (en) Communication apparatus and communication method
JP3543767B2 (en) Facsimile system
JPH1132088A (en) Network system
WO2018225158A1 (en) Communication device, relay device, information processing system, and communication system
CN116436731B (en) Multi-internal network two-layer data stream communication method
JP6403450B2 (en) Tunnel connection apparatus, communication network, data communication method, and program
WO2006064561A1 (en) Virtual private network system
JP3743502B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND NETWORK DEVICE
JP6392134B2 (en) Communication system and communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050512

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080603