JP2006050191A - ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 - Google Patents

ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 Download PDF

Info

Publication number
JP2006050191A
JP2006050191A JP2004227617A JP2004227617A JP2006050191A JP 2006050191 A JP2006050191 A JP 2006050191A JP 2004227617 A JP2004227617 A JP 2004227617A JP 2004227617 A JP2004227617 A JP 2004227617A JP 2006050191 A JP2006050191 A JP 2006050191A
Authority
JP
Japan
Prior art keywords
server
internal
external
network
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004227617A
Other languages
English (en)
Other versions
JP2006050191A5 (ja
JP4492248B2 (ja
Inventor
Kazuo Saito
和雄 齊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2004227617A priority Critical patent/JP4492248B2/ja
Priority to US11/039,812 priority patent/US7707628B2/en
Priority to CNB2005100524756A priority patent/CN100525304C/zh
Publication of JP2006050191A publication Critical patent/JP2006050191A/ja
Publication of JP2006050191A5 publication Critical patent/JP2006050191A5/ja
Application granted granted Critical
Publication of JP4492248B2 publication Critical patent/JP4492248B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】社内ネットワーク1とインターネット2との間に接続されたファイヤウォール10を介して、インターネット2上の端末装置50と社内ネットワーク1上の業務サーバ40とが通信を行うネットワークシステムにおいてセキュリティの向上を図る。
【解決手段】ネットワークシステムにおいて、業務サーバ40から内部サーバ30が受信した端末装置50向けのパケットに絶対アドレス情報が含まれている場合、内部サーバ30はその絶対アドレス情報をGWサーバ20経由に変更した後、そのパケットに対して端末装置50のみ復号可能な暗号化を行い、その暗号化済みパケットをファイヤウォール10を介してGWサーバ20へ送信する。GWサーバ20は、内部サーバ30で暗号化されたパケットを受信し、その暗号化済みパケットを復号化せずにそのまま端末装置50に向けて送信する。
【選択図】図1

Description

本発明は、外部ネットワークと内部ネットワークとの間に接続されたファイヤウォールを介して、外部ネットワーク上の端末装置と内部ネットワーク上のアプリケーションサーバとが通信を行うネットワークシステムに関する。
インターネット環境の普及に伴い、自社の内部ネットワークをインターネット等の外部ネットワークに接続し、企業間でデータの授受を電子メールや、Web(HTTP)で行う企業が増加している。
また、無線LANやPHSなど、インターネット等の外部ネットワークに対するモバイルアクセスの環境も急速に整いつつある。
そのような環境の中で、社員が外出先から自社の内部ネットワークにアクセスしたいという要求が出てきた。従来は、これを解決する手段として企業側にダイヤルアップの設備を用意していた。しかし、速度が遅いこと、コストがかかることから、最近では、インターネットなどから、VPN、SSL−VPN(reverse proxy)などと呼ばれる技術を利用して接続するようになってきている。
VPN(Virtual Private Network)とは、共有ネットワーク(インターネット)上にプライベートネットワークを構築する技術であり、例えば、インターネットで接続されたA拠点とB拠点の間に、暗号化されたチャネルを確保することであたかも専用線で接続されているような状況を作り出す技術のことである。この技術の応用によって、個人のクライアントPCをインターネットに接続し、企業側のファイヤウォールのDMZに設置されたVPN装置にアクセスすると、個人のクライアントPCとVPN装置間が暗号化されたプロトコルで通信することで、安全にそのクライアントPCがあたかも企業内のネットワークに接続されているように使用することができるようになる。但し、企業側にはVPN装置(サーバ)が、クライアントPC側にはクライアントソフトウェアが必要となる。
SSL−VPNは、更に簡易に社内のリソースにアクセスするために、クライアントPCに特別なクライアントソフトウェアをインストールすることなしにVPNと似た機能を提供しようとするものであり、社内のデータにアクセスするために、クライアントPCに通常は予めインストールされているWEBブラウザを利用する。したがって、データアクセスの方法が、WEBブラウザでアクセス可能な範囲に限られてしまうことになるが、最近では様々な社内アプリケーションがWEBベースで実現されてきていることから、実用上はそれほど問題にならないことが多く、特に最近注目されている。また、一旦接続されると直接社内ネットワークに接続したのと同じことができるVPNとは異なり、接続しても予め定められたWEBサーバにしかアクセスできないように設定できるため、セキュリティの観点からも好まれる傾向にある。
一方、社内ネットワークはインターネット等からの攻撃から守るため、外部ネットワークとはファイヤウォールを介して接続するのが一般的である。ファイヤウォールでは、インターネット側と社内ネットワーク側で、どのようなパケットを通すのかを細かく指定でき、社内ネットワーク側からインターネット側には、HTTPやHTTPSなどの一般的なプロトコルは許可し、インターネット側から社内ネットワーク側へは何も通さないように設定されるのが一般的である。
しかしながら、VPNやSSL−VPNのいずれの技術も、インターネット側から社内ネットワーク側にアクセスするための技術であるため、インターネット側から社内ネットワーク側方向へのアクセスを許容するようにファイヤウォールの設定を変更することが必須となる。この設定の変更はセキュリティ上の脅威となり得るとの懸念から、企業にとっては許容できないと判断される場合も多々存在する。
これに対して、特許文献1(製品名:SWANStor(登録商標))のようなアクセス方式が考案された。この発明では、社内ネットワーク内の内部サーバとインターネットもしくはファイヤウォールのDMZ上に置かれた外部サーバとの二つで構成され、接続リクエストは必ず内部サーバ側から外部サーバ側に出すことで、ファイヤウォールは通常の設定をなんら変更することなく接続することが可能となるものである。すなわち、内部サーバから外部サーバへ定期的に接続リクエストを出し続けることで、擬似的に継続して接続している状態を作り出すのである。
したがって、インターネット上のユーザが外部サーバに接続し、社内サーバへの接続の要求を送ると、外部サーバは内部サーバからの接続要求に対する応答として、社外のユーザからのリクエストを内部サーバに送付することになる。
内部サーバは社内ネット上に設置されているので、社内のサーバへは普通にアクセス可能であり、そこに接続し、返された結果を外部サーバへ送り、結果として外部サーバは社外のユーザに内部のデータを応答することで、社外ユーザが社内サーバへアクセスすることができるというものである。
さらに、ユーザのクライアントPCと外部サーバ間、外部サーバと内部サーバ間は、それぞれSSL(Secure Socket Layer)と呼ばれる暗号化プロトコルによって暗号化して通信するため、通信経路上も安全にデータが転送することができ、これによって、ファイヤウォールの設定を変更することなしに、社外の社員が社内のサーバに安全にアクセスする方法が提供されることとなった。
ところで、このような方法では、社内サーバから返されるデータ内に「特定のサーバを識別するための絶対アドレス情報」が含まれていると、問題が発生する。
すなわち、内部データから返されたデータ内に"http://intra.foo.var.co.jp/index.htm"というような特定の社内サーバを識別するようなアドレス情報が含まれている時、そのアドレス情報をユーザが選択すると、当然ながらインターネットから社内サーバは直接アクセスすることができないため、Webブラウザ上には「サーバが参照できない」、というエラーが表示されるという問題が発生することになる。
これに対しては、絶対アドレスの変換という処理が既に考案されている。すなわち、外部に転送する際のデータ内に絶対アドレス情報が含まれる際には、その絶対アドレス情報を外部サーバを経由するようなアドレス情報に変換するのである。例えば、外部サーバのアドレスが、"https://outside.abc.net"であったとすると、上記のアドレスを"https://outside.abc.net/intra.php?="http://intra.foo.var.co.jp/index.htm"というように変更する。このように変更すると、外部サーバがそのリクエストを受付け、さらに引数で指定されたアドレスは社内サーバへのものであると解釈して、社内サーバへ接続要求を出すのである。
特開2002−140239号公報
しかしながら、このような手法をもってしても、さらに以下のような問題が生じる。
すなわち、上記方法では外部サーバと内部サーバ、外部サーバとクライアントはそれぞれSSLで接続されているが、内部サーバから外部サーバへ送られたデータは外部サーバで一旦復号され、それが外部サーバで再暗号化されてクライアントへ送付される。したがって、外部サーバ上には、一瞬ではあるが非暗号化データが存在することになる。
このように、外部サーバ上に非暗号化データが存在すると、例えば、外部サーバが、独立したサービスプロバイダが運営するサービスサイト上で運営され、複数の企業の内部サーバがその外部サーバを共有して使うような運用の形態をとる場合、そのサービスサイト上で、複数の企業の暗号化されていない社外秘データがたとえ一瞬にしても残ることとなる。これはセキュリティの観点からは、データの漏洩に対する安全性が、運営会社の管理に委ねられることとなるため、好ましくない状況が生じてしまうことになる。
本発明は、上記のようなファイヤウォールの設定変更をしなくても外部ネットワークからアクセス可能なデータアクセス方式において、外部サーバ上においても、外部ネットワークと内部ネットワークとの間でやり取りされるデータが暗号化されていない状態で残らないようなデータのアクセス方法を提供することを一つの目的とする。
本発明に係るネットワークシステムは、外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールと、外部ネットワーク上に存在する端末装置と、内部ネットワーク上に存在し、端末装置の要求に応じて所望のデータを端末装置に提供するアプリケーションサーバと、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、端末装置からのアプリケーションサーバへの接続要求を受け付け、端末装置とアプリケーションサーバとの間の通信を中継する外部サーバと、内部ネットワーク上に存在し、外部サーバとアプリケーションサーバとの間の通信を中継する内部サーバと、を含み、外部サーバと内部サーバとは、ファイヤウォールのアクセス制限の設定により、内部サーバから外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、外部サーバは、内部サーバからの接続要求に対する応答として端末装置からのアプリケーションサーバへの接続要求を中継するネットワークシステムにおいて、内部サーバは、端末装置向けのパケットをアプリケーションサーバから受信する受信手段と、受信したパケットに対して端末装置のみ復号可能な暗号化を行う暗号化手段と、暗号化されたパケットをファイヤウォールを介して外部サーバへ送信する送信手段と、を備え、外部サーバは、内部サーバで暗号化されたパケットを受信する受信手段と、受信した暗号化済みパケットを復号化せずにそのまま端末装置に向けて送信する送信手段と、を備えることを特徴とする。
本発明によれば、内部サーバは受信した端末装置向けのパケットに対してその端末装置のみ復号可能な暗号化を行い、その暗号化済みパケットをファイヤウォールを介して外部サーバへ送信する。外部サーバは、内部サーバで暗号化されたパケットを受信し、その暗号化済みパケットを復号化せずにそのまま端末装置に向けて送信する。よって、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、不特定多数のユーザがアクセスしうる外部サーバにおいて、内部ネットワークからのパケットが不用意に復号化されずに外部ネットワーク上の端末装置まで到達するため、外部サーバで一旦パケットの復号化を行う場合よりもセキュリティの向上を図ることができる。
本発明に係るネットワークシステムの一つの態様によれば、内部サーバは、受信手段で受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、を備え、暗号化手段は、絶対アドレス情報が含まれている場合、絶対アドレス情報を変更したパケットに対して受信先の端末装置のみ復号可能な暗号化を行う。
本発明よれば、内部サーバが、受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれている場合に、その絶対アドレス情報を外部サーバ経由に変更した後、そのパケットを暗号化して外部サーバへ送信する。よって、外部ネットワーク上の端末装置が、社内ネットワークからのパケットを受信し、そのパケットに含まれる絶対アドレス情報に基づいて、内部ネットワーク上に存在するいずれかの通信装置にアクセスする場合、端末装置はその通信装置に外部サーバ経由でアクセスするため、直接内部ネットワーク上のその通信装置に端末装置がアクセスすることで、ファイヤウォールの設定内容等によってアクセスを拒否されることを防止することができる。
本発明に係るネットワークシステムの一つの態様によれば、端末装置は、アプリケーションサーバが送信したパケットを受信する受信手段と、受信手段で受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、を備えることを特徴とする。
本発明によれば、内部ネットワーク上のいずれかの通信装置にアクセスするための絶対アドレス情報を含むパケットを端末装置が受信した場合に、端末装置がその絶対アドレス情報を外部サーバ経由に変更する。これにより、外部ネットワーク上の端末装置が、社内ネットワークからのパケットを受信し、そのパケットに含まれる絶対アドレス情報に基づいて、内部ネットワーク上に存在するいずれかの通信装置にアクセスする場合、端末装置はその通信装置に外部サーバ経由でアクセスする。よって、端末装置が直接内部ネットワーク上のその通信装置にアクセスすることで、ファイヤウォールの設定内容等によってアクセスを拒否されることを防止することができる。
本発明に係る第1の実施の形態(以下、実施形態1とする)について、以下図面を用いて説明する。
図1は、実施形態1におけるネットワークシステムのネットワーク構成を示す図である。実施形態1におけるネットワークシステムは、ファイヤウォール10を中心として、社内ネットワーク1、インターネット2、DMZ(非武装地帯)3の、3つのネットワークを含み構成され、本システムは、主にインターネット2上の端末装置50から社内ネットワーク1上の業務サーバ40にアクセスして、端末装置50が業務サーバ40から所望のサービスを受けるためのシステムである。
図1において、社内ネットワーク1は、特定のユーザのみアクセス可能な内部ネットワークであり、インターネット2は、不特定多数のユーザがアクセス可能な外部ネットワークである。そして、DMZ3は、社内ネットワーク1からもインターネット2からも隔離され、社内ネットワーク1とインターネット2との間の通信を中継するネットワークである。
ファイヤウォール10は、社内ネットワーク1やインターネット2から送信される他のネットワークに対する接続要求パケットをすべて捕捉し、恣意的にそのパケットを通過させたり禁止したりすることによって、必要なサービスだけをユーザーに提供しつつ、セキュリティを確保する装置である。実施形態1におけるファイヤウォール10は、社内ネットワーク1から外側のネットワーク(DMZ3、インターネット2)への接続要求パケットの場合、使用するプロトコルがHTTPとHTTPSであれば許可し、外側のネットワークから社内ネットワーク1への接続要求パケットの場合はすべてのプロトコルに対して禁止するように設定する。
GW(Getway)サーバ20は、DMZ3上に設置され、インターネット2上の端末装置50から社内ネットワーク1向けのパケットを受け付け、社内ネットワーク1へ転送し、さらに社内ネットワーク1から端末装置50向けのパケットを受け付け、インターネット2へ転送する中継装置である。なお、GWサーバ20は、実施形態1ではDMZ3に設置する例を示すが、社内ネットワーク1以外の例えばインターネット2上に設置しても構わない。
内部サーバ30は、社内ネットワーク1上に設置され、インターネット2上の端末装置50からの社内ネットワーク1向けのパケットを、ファイヤウォール10を介してGWサーバ20から受信して、そのパケットを端末装置50により指定された業務サーバ40に転送し、さらにその業務サーバ40から端末装置50向けのパケットを受け付け、ファイヤウォール10を介してGWサーバ20に転送する中継装置である。
業務サーバ40は、端末装置50等にWebベースの所望のサービスを提供するアプリケーションサーバである。
端末装置50は、一般的なパーソナルコンピュータであり、無線や有線を介してインターネット2に接続されるクライアント端末である。
DBサーバ60は、業務サーバ40が提供するサービスにおいて、補足的な役割をする通信装置の一つであり、例えば、業務サーバ40が提供するWeb画面上に表示される参照先アドレスを有し、端末装置50がその参照先アドレスにアクセスしてきた際に、追加のデータを端末装置50に提供するサーバである。
このように構成されたネットワークシステムにおいて、インターネット上の端末装置50が社内ネットワーク上の業務サーバ40にアクセスする場合、端末装置50は、GWサーバ20・内部サーバ30を介して業務サーバ40と通信を行う。
しかし、上述のとおり、ファイヤウォール10の設定により、GWサーバ20から内部サーバ30への接続要求パケットの送信は禁止されているため、GWサーバ20が端末装置50から業務サーバ40への接続要求を受け付けた場合に、まずGWサーバ20が中継先の内部サーバ30とのセッションを確立すべく、内部サーバ30に対して接続要求パケットを送信したとしても、ファイヤウォール10でそのパケットは破棄されてしまう。よって、このままでは端末装置50は業務サーバ40とは通信を行うことができない。
そこで、実施形態1では、GWサーバ20と内部サーバ30との間のセッションが、内部サーバ30からの接続要求によって常に維持されるようにGWサーバ20と内部サーバ30とを構成し、擬似的にGWサーバ20からの接続要求パケットを内部サーバ30が受信できるようにする。なお、ファイヤウォール10の設定を変更することなく、擬似的にGWサーバ20からの接続要求パケットを内部サーバ30が受信できるようにする技術は、例えば特許文献1に記載された技術を用いて実現すればよい。
ただ、このように構成されたネットワークシステムにおいて、端末装置50からの要求に応じて業務サーバ40が提供するパケットに、社内ネットワーク上に存在するDBサーバ60等のいずれかの通信装置にアクセスするための絶対アドレス情報が含まれている場合、その絶対アドレス情報に基づいて、端末装置50が社内ネットワーク1上の通信装置に直接アクセスしようとしても、上記ファイヤウォール10の設定により、その通信装置への接続は拒否されてしまう。
このような事態を避けるために従来の技術では、パケットに絶対アドレス情報が含まれている場合、端末装置50と業務サーバ40との通信を中継するGWサーバ20において、その絶対アドレス情報をGWサーバ20経由の絶対アドレス情報に書き替え、端末装置50が直接絶対アドレス情報に示された参照先の通信装置へ接続を試みることを防止していた。
しかし上記方法では、内部サーバ30からGWサーバ20へ送られたパケットが、たとえ内部サーバ30等において暗号化されたとしても、インターネット上の不特定多数のユーザの端末装置がアクセスしうるDMZ上に存在するGWサーバ20において一旦復号されてしまうため、セキュリティ上の問題が生じる恐れがある。
そこで、実施形態1では、絶対アドレス情報の変更を内部サーバ30で行い、さらに内部サーバ30では、パケットを端末装置50のみで復号可能な暗号化を行う。具体的には、内部サーバ30と端末装置50が、GWサーバ20を経由して接続されている通信経路上に、擬似的に内部サーバ30と端末装置50が直接SSLで接続されるように各装置において処理を行う。これにより、GWサーバ20において、絶対アドレス情報の変更のためにパケットを復号化する必要がなくなり、セキュリティの向上を図ることができる。
以下、インターネット2上の端末装置50が、社内ネットワーク1上の業務サーバ40と通信を行う手順を、図2を用いてさらに詳しく説明する。なお、実施形態1では、各装置をネットワーク上で一意に識別するための識別情報として、URLを用いる。具体的には、GWサーバ20のURLは、https://gw.foo.net、内部サーバ30のURLは、https://srv.bar.co.jp、業務サーバ40のURLは、http://intra.abc.bar.co.jpとする。
図2において、まず端末装置50は、業務サーバ40と通信を開始するために、GWサーバ20に対して接続要求パケットを送信する(S101)。接続要求パケットには、接続先の業務サーバを識別するために、URL情報としてhttps://gw.foo.net/http://intra.abc.bar.co.jpが示される。
GWサーバ20は、インターネット2上の端末装置50からの接続要求パケットの受信をするために待機している。そして、端末装置50からの接続要求パケットを受け取った場合、GWサーバ20はそのパケットに示されるURL情報の自分自身のアドレス以下、すなわちこの例の場合は、https://gw.foo.net以下に示されたhttp://intra.abc.bar.co.jpを参照して、この業務サーバ40に対する内部サーバ30のアドレスを特定する(S102)。内部サーバ30のアドレス特定は、例えば次に示すようなルールに従い行えばよい。すなわち、ドメイン名"bar.co.jp"に特定のホスト名"srv"を連結したもの"srv.bar.co.jp"を内部サーバ30のアドレスとして特定する。または、予めGWサーバ20上のデータベースに、各業務サーバに対する内部サーバのアドレスをそれぞれ関連づけて登録しておき、その都度データベースを参照することで接続先の業務サーバに対する内部サーバのアドレスを特定してもよい。このようにして内部サーバ30のアドレスを特定した後、GWサーバ20はその内部サーバ30に対してSSLサイト証明書を要求する(S103)。
SSLサイト証明書を要求された内部サーバ30は、自身のSSLサイト証明書をGWサーバ20に送信する(S104)。なお、内部サーバ30のSSLサイト証明書をGWサーバ20のメモリに予め登録しておくことで、その都度GWサーバ20が、特定した内部サーバに対してSSLサイト証明書を要求しないように構成してもよい。なお、SSLサイト証明書には、対象となるサーバのURL情報が埋め込まれており、SSL証明書内のURL情報と、端末装置50が接続しているURLが一致しているかどうかを、端末装置50で検査されることになる。そこで、ここで用いるSSL証明書には、予めGWサーバ20のURL情報が埋め込まれたものとする(但し、このサイト証明書に対する秘密鍵は、実際に暗号化処理を行う内部サーバ30のみで管理されることとする)。こうすることで、端末装置50が接続しているのはGWサーバ20であるから、端末装置で行われるURLの検査にパスさせることができる。
続いて、GWサーバ20は、受信した内部サーバ30のSSLサイト証明書を端末装置50に送信する(S105)。
端末装置50は、受信したSSLサイト証明書を用いて、従来のSSLと同様のプロトコル手順を踏み、鍵交換情報を生成し(S106)、その鍵交換情報をGWサーバ20に送信する(S107)。
鍵交換情報を受信したGWサーバ20は、その鍵交換情報とS101において受信したURL情報を内部サーバ30に送信する(S108)。
それらの情報を受信した内部サーバ30は、自身のSSLサイト証明書と受信した鍵交換情報とを用いて共通鍵を生成する(S109)。端末装置50も内部サーバ30と同様な手順により、SSLサイト証明書と鍵交換情報とを用いて共通鍵を生成する(S109’)。以降、端末装置50と内部サーバ30とは、この共通鍵を使用してお互いに暗号化されたパケットの送受信を行う。
そして、内部サーバ30は、受信したURL情報に示された業務サーバ40のアドレス"http://intra.abc.bar.co.jp"に対して接続要求パケットを送信する(S110)。この接続要求パケットに基づき、内部サーバ30と業務サーバ40との間にセッションが確立され、業務サーバ40が端末装置50から要求のあったデータを含むパケットを内部サーバ30に送信する(S111)。
そのパケットを受信した内部サーバ30は、そのパケットに含まれるHTML表現データの中に、絶対アドレス情報が含まれているか否かを判定する(S112)。絶対アドレス情報が含まれている場合には、さらにその絶対アドレス情報に示された参照先(アクセス先)のURLが社内ネットワークのものかどうかを判定する(S113)。判定の結果、絶対アドレス情報が含まれている場合には、その絶対アドレス情報をGWサーバ経由となるように変更する(S114)。具体的には、例えばHTML表現データの中に含まれている絶対アドレス情報が"http://intra2.abc.bar.co.jp/public/index.htm"であった場合、内部サーバ30は、参照先のURLが社内ネットワークのものであるかどうかをサーバ名のドメインを比較することで判定し、そのURLが社内ネットワークのものであった場合には、そのURLの先頭に内部サーバが現在接続しているGWサーバのURL"https://gw.foo.net"を連結し、"https://gw.foo.net/http://intra2.abc.bar.co.jp/public/index.htm "という絶対アドレス情報に変更する。このように絶対アドレス情報を変更することで、端末装置50が直接社内ネットワークのアドレスに対してアクセスせず、GWサーバ20経由でアクセスするため、インターネット2上に存在する端末装置50から社内ネットワーク1へアクセスできないという不具合を解消することができる。
続いて、内部サーバ30は、業務サーバ40から受信したパケットに参照先が社内ネットワークのものである絶対アドレス情報が含まれている場合には、その絶対アドレス情報が変更されたパケットをS109で生成した共通鍵を用いて暗号化し(S115)、GWサーバ20に暗号化されたパケットを送信する(S116)。なお、図2では示していないが、参照先が社内ネットワークである絶対アドレス情報がパケットに含まれてない場合には、内部サーバ30は業務サーバ40から受信したそのパケットをそのまま暗号化してGWサーバ20に送信する。
続いてGWサーバ20は、受信したパケットを復号化せずそのままそのパケットを端末装置50に送信する(S117)。端末装置50は、受信したパケットを、S109’で生成した共通鍵を用いて復号化し結果をWebブラウザ上に表示する(S118)。
以上、実施形態1によれば、例えば、業務サーバ40から提供されたHTML文書に埋め込まれている絶対アドレス情報の参照先が社内ネットワーク上のアドレスであったとしも、GWサーバ20経由のアドレス情報に変更されるため、端末装置50が直接社内ネットワークにアクセスすることで、そのアクセスが拒否されることを防止することができる。
また、業務サーバ40と端末装置50との間でやり取りされるパケットは、内部サーバ30と端末装置50との間で生成された共通鍵で暗号化されるため、内部サーバ30と端末装置50との間でパケットの中継を行うGWサーバ20では復号化されない。よって、不特定多数のユーザがアクセスしうるGWサーバ20上に不用意に暗号化されていないデータが存在しないため、セキュリティの向上を図ることができる。
さらに、実施形態1のように、内部サーバ側で絶対アドレス情報の変更を行う場合、端末装置側では特に特別なソフトウェアを導入する必要がないため、端末装置側での設定作業等の手間を低減することができる。
ただ、絶対アドレス情報の変更は、内部サーバ側ではなく端末装置側で行っても構わない。この場合、多数の端末装置が存在する場合でも、各端末装置側でそれぞれ絶対アドレス情報の変更処理が行われるため、内部サーバの処理負担を低減することができる。
そこで、以下、本発明の第2の実施の形態(以下、実施形態2とする)として、端末装置側で絶対アドレス情報の変更を行う場合について、図面を用いて説明する。
実施形態2では、端末装置50に組み込まれたWebブラウザに予め機能を追加するか、もしくは特別なHelperプログラム(指定されたmimeタイプのデータを処理するプログラム)を予め端末装置50のメモリに記憶しておき、その都度端末装置50に搭載したCPUがそのプログラムを読み出すことで、端末装置50側で絶対アドレス情報の変更処理を行う。
ここで、実施形態2においてインターネット2上の端末装置50が、社内ネットワーク1上の業務サーバ40と通信を行う手順を、図3を用いて説明する。なお、S201〜S211までは実施形態1におけるS101〜S111と同様な手順であるため簡単に説明し、S212以降について詳しく説明する。
まず端末装置50は、業務サーバ40と通信を開始するために、GWサーバ20に対して接続要求パケットを送信する(S201)。GWサーバ20は端末装置50から接続要求パケットを受信し、そのパケットに示されるURL情報の自分自身のアドレス以下を参照して、この業務サーバ40に対する内部サーバ30のアドレスを特定する(S202)。さらにGWサーバ20は特定した内部サーバ30に対してSSLサイト証明書を要求する(S203)。SSLサイト証明書を要求された内部サーバ30は、自身のSSLサイト証明書をGWサーバ20に送信する(S204)。
続いて、GWサーバ20は、受信した内部サーバ30のSSLサイト証明書を端末装置50に送信する(S205)。端末装置50は、受信したSSLサイト証明書を用いて鍵交換情報を生成し(S206)、その鍵交換情報をGWサーバ20に送信する(S207)。鍵交換情報を受信したGWサーバ20は、その鍵交換情報とS201において受信したURL情報を内部サーバ30に送信する(S208)。
それらの情報を受信した内部サーバ30は、自身のSSLサイト証明書と受信した鍵交換情報とを用いて共通鍵を生成する(S209)。端末装置50も内部サーバ30と同様な手順により、SSLサイト証明書と鍵交換情報とを用いて共通鍵を生成する(S209’)。そして、内部サーバ30は、受信したURL情報に示された業務サーバ40のアドレス"http://intra.abc.bar.co.jp"に対して接続要求パケットを送信する(S210)。この接続要求パケットに基づき、内部サーバ30と業務サーバ40との間にセッションが確立され、業務サーバ40が端末装置50から要求のあったデータを含むパケットを内部サーバ30に送信する(S211)。
さらに内部サーバ30は、端末装置50により要求のあったデータを含むパケットを業務サーバ40から受信した後、その受信したパケットのデータ部分に所定のmimeタイプ、例えば"application/x-special-ssl-vpn"を付与し(S212)、そのパケットをS209で生成した共通鍵で暗号化する(S213)。そして、暗号化されたパケットをGWサーバ20に送信する(S214)。GWサーバ20は、内部サーバ30からファイヤウォール10を介して受信したパケットを復号化せず、そのままそのパケットを端末装置50に送信する(S215)。
端末装置50は、受信したパケットをS209’で生成した共通鍵で復号化し(S216)、さらにパケットに付与されたmimeタイプを参照して、そのmimeタイプに応じたHelperアプリケーションを起動し、絶対アドレス情報の変更を行う(S217)。
Helperアプリケーションによる絶対アドレス情報の変更は、例えば、次のように行う。
すなわち絶対アドレス情報が"http://intra2.abc.bar.co.jp/public/index.htm"の場合、まずそのURLが社内ネットワーク1上に存在するURLかどうかを、最初に接続しようとしているサーバ名のドメインと社内ネットワーク1のドメインとを比較することで判定し、社内ネットワーク1上に存在するURLであった場合に、そのURLの先頭に端末装置50が現在接続しているGWサーバ20のURL"https://gw.foo.net"を連結して、"https://gw.foo.net/http://intra2.abc.bar.co.jp/public/index.htm "という絶対アドレス情報に変更する。
そして、このように絶対アドレス情報を変更した後のHTMLデータをWebブラウザ上に表示する(S218)。なお、図3では示していないが、参照先が社内ネットワークの絶対アドレス情報がパケットに含まれてない場合には、端末装置50はHelperアプリケーションを起動せずに受信したパケットに含まれるHTMLデータをそのままWebブラウザ上に表示すればよい。
以上、実施形態2によれば、ユーザがブラウザ上に表示された絶対アドレス情報に対応するアドレスを指定して、そのアドレスに対して接続要求を行った場合にも、GWサーバ経由で接続されるため、直接社内ネットワークに接続要求することによって接続が拒否されることを防止することができる。
また、実施形態2でも実施形態1と同様に業務サーバ40と端末装置50との間でやり取りされるパケットは、内部サーバ30と端末装置50との間で生成された共通鍵で暗号化されるため、内部サーバ30と端末装置50との間でパケットの中継を行うGWサーバ20では復号化されない。よって、不特定多数のユーザがアクセスしうるGWサーバ20上に不用意に暗号化されていないデータが存在しないため、セキュリティの向上を図ることができる。
なお、実施形態1もしくは2において、端末装置50がGWサーバ20を経由して社内ネットワーク1に接続する際に、ユーザ認証を行う必要が有れば、端末装置50がGWサーバ20に対して接続要求パケットを送信した際に、GWサーバ20がその端末装置50に対してユーザIDやパスワードといったユーザ情報を要求し、ユーザ認証を行えばよい。またユーザ認証は、GWサーバ20で行わず、GWサーバ20から内部サーバ30にユーザ情報を転送し、内部サーバ30においてLDAPなどを用いて行っても構わない。さらにユーザ認証は、ユーザIDとパスワードではなく、公開鍵暗号化方式での証明書の認証により行ってもよい。
また、実施形態1および2では、図1に示すように1台のファイヤウォール10でDMZを構築する例を示したが、ファイヤウォールは1台の場合に限らず、例えば図4に示すように2台のファイヤウォールを用いてDMZを構築する場合にも適用可能である。
実施形態1および2におけるネットワークシステムのネットワーク構成を示す図である。 実施形態1において、インターネットの端末装置が社内ネットワーク上の業務サーバと通信を行う手順を示す図である。 実施形態2において、インターネットの端末装置が社内ネットワーク上の業務サーバと通信を行う手順を示す図である。 実施形態1および2でのネットワークシステムにおいて適用可能なネットワーク構成の一例を示す図である。
符号の説明
1 社内ネットワーク、2 インターネット、3 DMZ、10 ファイヤウォール、20 GWサーバ、30 内部サーバ、40 業務サーバ、50 端末装置、60 DBサーバ。

Claims (9)

  1. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールと、
    外部ネットワーク上に存在する端末装置と、
    内部ネットワーク上に存在し、端末装置の要求に応じて所望のデータを端末装置に提供するアプリケーションサーバと、
    ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、端末装置からのアプリケーションサーバへの接続要求を受け付け、端末装置とアプリケーションサーバとの間の通信を中継する外部サーバと、
    内部ネットワーク上に存在し、外部サーバとアプリケーションサーバとの間の通信を中継する内部サーバと、
    を含み、
    外部サーバと内部サーバとは、ファイヤウォールのアクセス制限の設定により、内部サーバから外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、外部サーバは、内部サーバからの接続要求に対する応答として端末装置からのアプリケーションサーバへの接続要求を中継するネットワークシステムにおいて、
    内部サーバは、
    端末装置向けのパケットをアプリケーションサーバから受信する受信手段と、
    受信したパケットに対して端末装置のみ復号可能な暗号化を行う暗号化手段と、
    暗号化されたパケットをファイヤウォールを介して外部サーバへ送信する送信手段と、
    を備え、
    外部サーバは、
    内部サーバで暗号化されたパケットを受信する受信手段と、
    受信した暗号化済みパケットを復号化せずにそのまま端末装置に向けて送信する送信手段と、
    を備えることを特徴とするネットワークシステム。
  2. 請求項1に記載のネットワークシステムにおいて、
    内部サーバは、
    受信手段で受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、
    を備え、
    暗号化手段は、絶対アドレス情報が含まれている場合、絶対アドレス情報を変更したパケットに対して受信先の端末装置のみ復号可能な暗号化を行うことを特徴とするネットワークシステム。
  3. 請求項1に記載のネットワークシステムにおいて、
    端末装置は、
    アプリケーションサーバが送信したパケットを受信する受信手段と、
    受信手段で受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、
    を備えることを特徴とするネットワークシステム。
  4. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールを介して、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在する外部サーバと通信を行う内部ネットワーク上に存在する内部サーバであって、外部サーバとはファイヤウォールのアクセス制限の設定により、自身から外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、自身から外部サーバへの接続要求に対する応答として、外部ネットワーク上の端末装置から外部サーバ経由で中継される内部ネットワーク上のアプリケーションサーバへの接続要求をアプリケーションサーバへ中継する内部サーバにおいて、
    外部ネットワーク上の端末装置向けのパケットをアプリケーションサーバから受信する受信手段と、
    受信したパケットに対して受信先の端末装置のみ復号可能な暗号化を行う暗号化手段と、
    暗号化されたパケットを中継先の外部サーバへ送信する送信手段と、
    を備えることを特徴とする内部サーバ。
  5. 請求項4に記載の内部サーバにおいて、
    受信手段で受信したパケットに内部ネットワーク上のいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、
    を備え、
    暗号化手段は、絶対アドレス情報が含まれている場合、絶対アドレス情報を変更したパケットに対して受信先の端末装置のみ復号可能な暗号化を行うことを特徴とする内部サーバ。
  6. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールと、内部ネットワーク上に存在し、外部ネットワークからの要求に応じて所望のデータを提供するアプリケーションサーバと、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、外部ネットワークからのアプリケーションサーバへの接続要求を受け付け、アプリケーションサーバとの通信を中継する外部サーバと、内部ネットワーク上に存在し、外部サーバとアプリケーションサーバとの間の通信を中継する内部サーバと、を含み、外部サーバと内部サーバとは、ファイヤウォールのアクセス制限の設定により、内部サーバから外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、外部サーバは、内部サーバからの接続要求に対する応答として外部ネットワークからのアプリケーションサーバへの接続要求を中継するネットワークシステムにおける外部ネットワーク上で、アプリケーションサーバから所望のデータの提供を受ける端末装置であって、
    アプリケーションサーバが送信したパケットを受信する受信手段と、
    受信手段で受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定手段と、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更手段と、
    を備えることを特徴とする端末装置。
  7. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールを介して、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在する外部サーバと通信を行う内部ネットワーク上に存在する内部サーバであって、外部サーバとはファイヤウォールのアクセス制限の設定により、自身から外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、自身から外部サーバへの接続要求に対する応答として、外部ネットワーク上の端末装置から外部サーバ経由で中継される内部ネットワーク上のアプリケーションサーバへの接続要求をアプリケーションサーバへ中継する内部サーバを、コンピュータを用いて制御するためのプログラムであって、
    外部ネットワーク上の端末装置向けのパケットをアプリケーションサーバから受信する受信ステップと、
    受信したパケットに内部ネットワーク上のいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定ステップと、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更ステップと、
    受信したパケットに対して、絶対アドレス情報が含まれている場合は絶対アドレス情報を変更した後、絶対アドレス情報が含まれていない場合はそのまま、端末装置のみ復号可能な暗号化を行う暗号化ステップと、
    暗号化されたパケットを中継先の外部サーバへ送信する送信ステップと、
    を実行させるように、コンピュータを用いて内部サーバを制御するためのプログラム。
  8. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールと、内部ネットワーク上に存在し、外部ネットワークからの要求に応じて所望のデータを提供するアプリケーションサーバと、ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、外部ネットワークからのアプリケーションサーバへの接続要求を受け付け、アプリケーションサーバとの通信を中継する外部サーバと、内部ネットワーク上に存在し、外部サーバとアプリケーションサーバとの間の通信を中継する内部サーバと、を含み、外部サーバと内部サーバとは、ファイヤウォールのアクセス制限の設定により、内部サーバから外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、外部サーバは、内部サーバからの接続要求に対する応答として外部ネットワークからのアプリケーションサーバへの接続要求を中継するネットワークシステムにおける外部ネットワーク上で、アプリケーションサーバから所望のデータの提供を受ける端末装置を、コンピュータを用いて制御するためのプログラムであって、
    アプリケーションサーバが送信したパケットを受信する受信ステップと、
    受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定ステップと、
    絶対アドレス情報が含まれている場合、その絶対アドレス情報を外部サーバ経由に変更する変更ステップと、
    を実行させるように、コンピュータを用いて端末装置を制御するためのプログラム。
  9. 外部ネットワークと内部ネットワークとの間に接続されるファイヤウォールと、
    外部ネットワーク上に存在する端末装置と、
    内部ネットワーク上に存在し、端末装置の要求に応じて所望のデータを端末装置に提供するアプリケーションサーバと、
    ファイヤウォールのDMZ上もしくは外部ネットワーク上に存在し、端末装置からのアプリケーションサーバへの接続要求を受け付け、端末装置とアプリケーションサーバとの間の通信を中継する外部サーバと、
    内部ネットワーク上に存在し、外部サーバとアプリケーションサーバとの間の通信を中継する内部サーバと、
    を含み、
    外部サーバと内部サーバとは、ファイヤウォールのアクセス制限の設定により、内部サーバから外部サーバへの接続要求に基づき確立されたセッションでのみ通信が許可され、外部サーバは、内部サーバからの接続要求に対する応答として端末装置からのアプリケーションサーバへの接続要求を中継するネットワークシステム上において、パケットの中継処理を行うためのパケット中継方法であって、
    内部サーバが、端末装置向けのパケットをアプリケーションサーバから受信する受信工程と、
    内部サーバが、受信ステップで受信したパケットに内部ネットワーク上に存在するいずれかの通信装置にアクセスするための絶対アドレス情報が含まれているか否かを判定する判定工程と、
    絶対アドレス情報が含まれている場合、内部サーバがその絶対アドレス情報を外部サーバ経由に変更する変更工程と、
    受信したパケットに対して、絶対アドレス情報が含まれている場合は絶対アドレス情報を変更した後、絶対アドレス情報が含まれていない場合はそのまま、端末装置のみ復号可能な暗号化を行う暗号化工程と、
    内部サーバが、暗号化されたパケットをファイヤウォールを介して外部サーバへ送信する送信工程と、
    外部サーバが、内部サーバで暗号化されたパケットを受信する受信工程と、
    外部サーバが、受信した暗号化済みパケットを復号化せずにそのまま端末装置に向けて送信する送信工程と、
    を含むパケット中継方法。
JP2004227617A 2004-08-04 2004-08-04 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 Expired - Fee Related JP4492248B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004227617A JP4492248B2 (ja) 2004-08-04 2004-08-04 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
US11/039,812 US7707628B2 (en) 2004-08-04 2005-01-24 Network system, internal server, terminal device, storage medium and packet relay method
CNB2005100524756A CN100525304C (zh) 2004-08-04 2005-02-28 网络系统、内部服务器、终端设备、存储介质和分组中继方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004227617A JP4492248B2 (ja) 2004-08-04 2004-08-04 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法

Publications (3)

Publication Number Publication Date
JP2006050191A true JP2006050191A (ja) 2006-02-16
JP2006050191A5 JP2006050191A5 (ja) 2007-09-13
JP4492248B2 JP4492248B2 (ja) 2010-06-30

Family

ID=35759054

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004227617A Expired - Fee Related JP4492248B2 (ja) 2004-08-04 2004-08-04 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法

Country Status (3)

Country Link
US (1) US7707628B2 (ja)
JP (1) JP4492248B2 (ja)
CN (1) CN100525304C (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009231974A (ja) * 2008-03-19 2009-10-08 Sony Corp 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
JP2011166312A (ja) * 2010-02-05 2011-08-25 Nec Corp 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
US8583912B2 (en) 2006-12-27 2013-11-12 Nec Corporation Communication system of client terminals and relay server and communication method
JP2014123864A (ja) * 2012-12-21 2014-07-03 Sumitomo Electric System Solutions Co Ltd 情報通信機器の管理システム、管理サーバ、情報通信機器、及びコンピュータプログラム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8161538B2 (en) * 2004-09-13 2012-04-17 Cisco Technology, Inc. Stateful application firewall
US7930365B2 (en) * 2005-02-16 2011-04-19 Cisco Technology, Inc. Method and apparatus to modify network identifiers at data servers
US8549295B2 (en) * 2006-05-31 2013-10-01 Microsoft Corporation Establishing secure, mutually authenticated communication credentials
JP4224084B2 (ja) * 2006-06-26 2009-02-12 株式会社東芝 通信制御装置、通信制御方法および通信制御プログラム
US8601124B2 (en) * 2007-06-25 2013-12-03 Microsoft Corporation Secure publishing of data to DMZ using virtual hard drives
DE102009022977A1 (de) * 2009-05-28 2010-12-02 Deutsche Telekom Ag Service Interface
US9710425B2 (en) 2010-12-13 2017-07-18 Vertical Computer Systems, Inc. Mobile proxy server for internet server having a dynamic IP address
US10305915B2 (en) 2010-12-13 2019-05-28 Vertical Computer Systems Inc. Peer-to-peer social network
US9112832B1 (en) 2010-12-13 2015-08-18 Vertical Computer Systems, Inc. System and method for running a web server on a mobile internet device
WO2012170705A1 (en) * 2011-06-07 2012-12-13 Vertical Computer Systems, Inc. System and method for running an internet server behind a closed firewall
KR101303120B1 (ko) * 2011-09-28 2013-09-09 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
IL218185B (en) * 2012-02-19 2018-12-31 Safe T Data A R Ltd Internal server intrusion protection system
US20140075541A1 (en) * 2012-09-11 2014-03-13 Orion Energy Systems, Inc. Systems and methods for accessing resources through a firewall
US20140141746A1 (en) * 2012-11-20 2014-05-22 Khiam Yong Tan Subscriber identity systems, servers, methods for controlling a subscriber identity system, and methods for controlling a server
US9432336B2 (en) * 2013-02-13 2016-08-30 Blackberry Limited Secure electronic device application connection to an application server
JP7375342B2 (ja) * 2019-06-17 2023-11-08 富士フイルムビジネスイノベーション株式会社 中継装置、情報処理システム及び中継処理プログラム
US11233749B2 (en) * 2019-10-23 2022-01-25 Microsoft Technologly Licensing, LLC External access to internal network resource

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10512696A (ja) * 1995-10-31 1998-12-02 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 保護されたゲートウェイ・インターフェース
JP2000505270A (ja) * 1996-10-21 2000-04-25 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン ファイアウォールを通過するコンピュータ資源への外部アクセス
JP2001318842A (ja) * 2000-05-08 2001-11-16 Kuikku:Kk データ配信システム
JP2002140239A (ja) * 2000-08-17 2002-05-17 Masahiro Mizuno 情報管理システム及び情報管理方法及びシステム制御装置
JP2003050756A (ja) * 2001-04-30 2003-02-21 Xerox Corp リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003324484A (ja) * 2002-04-26 2003-11-14 Internatl Business Mach Corp <Ibm> セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0309447B1 (en) * 1986-06-09 1992-12-02 SecuriCrypto AB Ciphering and deciphering device
US7272639B1 (en) * 1995-06-07 2007-09-18 Soverain Software Llc Internet server access control and monitoring systems
US7055173B1 (en) * 1997-12-19 2006-05-30 Avaya Technology Corp. Firewall pooling in a network flowswitch
US6820204B1 (en) * 1999-03-31 2004-11-16 Nimesh Desai System and method for selective information exchange
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US20060031927A1 (en) 2000-08-23 2006-02-09 Masahiro Mizuno Information management system, information management method, and system control apparatus
US7216368B2 (en) * 2001-03-29 2007-05-08 Sony Corporation Information processing apparatus for watermarking digital content
US7577425B2 (en) 2001-11-09 2009-08-18 Ntt Docomo Inc. Method for securing access to mobile IP network
US7286671B2 (en) 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
EP1483781A4 (en) * 2002-03-12 2012-04-25 Ils Technology Inc DIAGNOSTIC SYSTEM AND METHOD FOR INTEGRATED REMOTE TOOL ACCESS, COLLECTION AND DATA CONTROL
US7395536B2 (en) * 2002-11-14 2008-07-01 Sun Microsystems, Inc. System and method for submitting and performing computational tasks in a distributed heterogeneous networked environment
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7774831B2 (en) * 2002-12-24 2010-08-10 International Business Machines Corporation Methods and apparatus for processing markup language messages in a network
CN1480872A (zh) 2003-07-08 2004-03-10 移动警务办公系统
US7831693B2 (en) * 2003-08-18 2010-11-09 Oracle America, Inc. Structured methodology and design patterns for web services
CN100559781C (zh) 2004-05-24 2009-11-11 卡米尔资讯股份有限公司 将信息由防火墙内的资料源服务器推送至行动装置的方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10512696A (ja) * 1995-10-31 1998-12-02 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 保護されたゲートウェイ・インターフェース
JP2000505270A (ja) * 1996-10-21 2000-04-25 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン ファイアウォールを通過するコンピュータ資源への外部アクセス
JP2001318842A (ja) * 2000-05-08 2001-11-16 Kuikku:Kk データ配信システム
JP2002140239A (ja) * 2000-08-17 2002-05-17 Masahiro Mizuno 情報管理システム及び情報管理方法及びシステム制御装置
JP2003050756A (ja) * 2001-04-30 2003-02-21 Xerox Corp リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法
JP2003218954A (ja) * 2001-11-09 2003-07-31 Docomo Communications Laboratories Usa Inc 安全なネットワークアクセス方法
JP2003324484A (ja) * 2002-04-26 2003-11-14 Internatl Business Mach Corp <Ibm> セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8583912B2 (en) 2006-12-27 2013-11-12 Nec Corporation Communication system of client terminals and relay server and communication method
JP2009231974A (ja) * 2008-03-19 2009-10-08 Sony Corp 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
JP4569649B2 (ja) * 2008-03-19 2010-10-27 ソニー株式会社 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
JP2011166312A (ja) * 2010-02-05 2011-08-25 Nec Corp 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
JP2014123864A (ja) * 2012-12-21 2014-07-03 Sumitomo Electric System Solutions Co Ltd 情報通信機器の管理システム、管理サーバ、情報通信機器、及びコンピュータプログラム

Also Published As

Publication number Publication date
CN1731786A (zh) 2006-02-08
US20060031929A1 (en) 2006-02-09
US7707628B2 (en) 2010-04-27
CN100525304C (zh) 2009-08-05
JP4492248B2 (ja) 2010-06-30

Similar Documents

Publication Publication Date Title
JP4492248B2 (ja) ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
US9942204B2 (en) Secure personal server system and method
US7395341B2 (en) System, method, apparatus and computer program product for facilitating digital communications
JP5744172B2 (ja) 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ
US7725589B2 (en) System, method, apparatus, and computer program product for facilitating digital communications
JP2013243553A (ja) サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム
WO2004107646A1 (en) System and method for application-level virtual private network
JP2008252456A (ja) 通信装置、及び通信方法
CN102811225A (zh) 一种ssl中间代理访问web资源的方法及交换机
EP3472991A1 (en) Secure personal server system and method
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
JP2005026856A (ja) リモートアクセスシステム
JP4340848B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP4720576B2 (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
JP2001005746A (ja) ファイル転送システム
US11736516B2 (en) SSL/TLS spoofing using tags
JP2008227626A (ja) ネットワークカメラの通信システムおよび通信方法
WO2017024588A1 (zh) 业务处理方法及装置
JP2009017471A (ja) 情報通信方法
KR101594897B1 (ko) 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
JP2009037478A (ja) 情報通信方法
Goehring et al. Hacking Wireless
JP2005073051A (ja) 中継装置およびその中継プログラム
KR20050119119A (ko) 내장 플랫폼을 위한 보안성 웹 브라우저 기반 시스템 관리

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070727

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091215

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100329

R150 Certificate of patent or registration of utility model

Ref document number: 4492248

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140416

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees