JP2006343807A - 通信方法、通信システム、プログラム及び記録媒体 - Google Patents
通信方法、通信システム、プログラム及び記録媒体 Download PDFInfo
- Publication number
- JP2006343807A JP2006343807A JP2005166549A JP2005166549A JP2006343807A JP 2006343807 A JP2006343807 A JP 2006343807A JP 2005166549 A JP2005166549 A JP 2005166549A JP 2005166549 A JP2005166549 A JP 2005166549A JP 2006343807 A JP2006343807 A JP 2006343807A
- Authority
- JP
- Japan
- Prior art keywords
- server
- firewall
- client
- communication
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
【課題】 既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる通信方法、通信システム、プログラム及び記録媒体を提供する。
【解決手段】 サーバAとファイアウォールFWとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールFWが通信の内容を監視したり、制御したりすることができる。
【選択図】 図1
【解決手段】 サーバAとファイアウォールFWとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールFWが通信の内容を監視したり、制御したりすることができる。
【選択図】 図1
Description
本発明は、通信方法、通信システム、プログラム及び記録媒体に関する。
図4は従来の通信方法のシーケンス図である。
同図のシーケンス図に示される通信方法は、既存のファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法である。
すなわち、従来の通信方法は、クライアントBからの要求でクライアントBとファイアウォールFW(Fire Wall)との間のTCP(Transmission Control Protocol)接続処理を行い、クライアントBがファイアウォールへの外部サーバAとの接続要求を送信し、ファイアウォールFWが外部サーバAとファイアウォールFWとの間との間の接続の際にSYN(Synchronize)パケットを外部サーバAに通知し、外部サーバAが受信したことの応答としてSYN+ACK(Acknowledgement)パケットをファイアウォールFWに応答し、TCP接続処理の完了としてファイアウォールFWは外部サーバAにACKパケットを送信し、ファイアウォールFWはクライアントBに外部サーバAとの接続が完了したことを通知し、外部サーバAとクライアントBとの間で暗号通信が開始されるようになっている(例えば、特許文献1、2、3参照)。
特開2002−141953号公報
特開2002−271418号公報
特開2004−192044号公報
同図のシーケンス図に示される通信方法は、既存のファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法である。
すなわち、従来の通信方法は、クライアントBからの要求でクライアントBとファイアウォールFW(Fire Wall)との間のTCP(Transmission Control Protocol)接続処理を行い、クライアントBがファイアウォールへの外部サーバAとの接続要求を送信し、ファイアウォールFWが外部サーバAとファイアウォールFWとの間との間の接続の際にSYN(Synchronize)パケットを外部サーバAに通知し、外部サーバAが受信したことの応答としてSYN+ACK(Acknowledgement)パケットをファイアウォールFWに応答し、TCP接続処理の完了としてファイアウォールFWは外部サーバAにACKパケットを送信し、ファイアウォールFWはクライアントBに外部サーバAとの接続が完了したことを通知し、外部サーバAとクライアントBとの間で暗号通信が開始されるようになっている(例えば、特許文献1、2、3参照)。
ところで、上述した従来の技術は、既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールはデータを中継するだけの機能しかもたない。そのため、通信内容を把握することができないので、情報漏えいの危険性がある。また、中継内容を解読するためにファイアウォールがサーバと同様の動作を行う方法では、現在の証明書システムが成立しなくなるという問題がある。
そこで、本発明の目的は、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる通信方法、通信システム、プログラム及び記録媒体を提供することにある。
上記課題を解決するため、請求項1記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
請求項1記載の発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項2記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
請求項2記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項3記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントと前記ファイアウォールとの間でTCP接続を行い、前記クライアントと前記サーバとの間で暗号通信を行い、前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする。
請求項3記載の発明によれば、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項4記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、前記クライアントが前記ファイアウォールへの接続要求を送信し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始され、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
請求項4記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項5記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
請求項5記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項6記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
請求項6記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項7記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
請求項7記載の発明によれば、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項8記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
請求項8記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項9記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントと前記ファイアウォールとがTCP接続を行い、前記クライアントと前記サーバとが暗号通信を行い、前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする。
請求項9記載の発明によれば、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項10記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
請求項10記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項11記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
請求項11記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項12記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
請求項12記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項13記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
請求項13記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項14記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
請求項14記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項15記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
請求項15記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項16記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とする。
請求項16記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項17記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする。
請求項17記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項18記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする。
請求項18記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項19記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
請求項19記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項20記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
請求項20記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項21記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
請求項21記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項22記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
請求項22記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項23記載の発明は、請求項22記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
請求項23記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
請求項24記載の発明は、請求項22に記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
請求項24記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
本発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
〔発明の特徴〕
既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールに対してだけ通信内容の傍受を許可したり、ファイアウォールからサーバに通信条件を通知したりすることを特徴とする。
既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールに対してだけ通信内容の傍受を許可したり、ファイアウォールからサーバに通信条件を通知したりすることを特徴とする。
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことを特徴とする。
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行い、クライアントがファイアウォールへの接続要求を送信し、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、サーバは通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信システムであって、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことを特徴とする。
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントは、クライアントとファイアウォールとの間のTCP接続処理を要求し、ファイアウォールへの接続要求を送信し、ファイアウォールは、サーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、サーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバは、ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始されると、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させることを特徴とする。
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることを特徴とする。
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることを特徴とする。
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
〔構成〕
図3は本発明の前提となった通信システムの概念図である。
同図において、通信システム10は、外部網(またはインターネット)11上のサーバAと、企業内網12と外部網11とを接続するためのファイアウォールFWと、企業内網12のクライアントのパーソナルコンピュータ(以下「クライアント」と称す)B とで構成される。
図3は本発明の前提となった通信システムの概念図である。
同図において、通信システム10は、外部網(またはインターネット)11上のサーバAと、企業内網12と外部網11とを接続するためのファイアウォールFWと、企業内網12のクライアントのパーソナルコンピュータ(以下「クライアント」と称す)B とで構成される。
サーバAとクライアントBとが暗号通信するために、クライアントBがファイアウォールFWにTCPセッションを張り、サーバAへの接続をファイアウォールFWに要求する。ファイアウォールFWと、サーバAとの接続が完了すると、サーバAとクライアントBとが暗号通信の手順を開始する。
この既存のシステムに対して、図1に示す機能をサーバAとファイアウォールFWと に追加する。
この既存のシステムに対して、図1に示す機能をサーバAとファイアウォールFWと に追加する。
図1は本発明に係る通信システムの一実施の形態を示すブロック図である。
同図において、ファイアウォールFW上にはサーバAとクライアントBとのセッションを中継するセッション中継Rが動作するようになっている。
セッション中継Rには、クライアントB−ファイアウォールFW間のTCPセッションを管理するセッション管理SCと、サーバA−ファイアウォールFW間のTCPセッションを管理するセッション管理SSとが既存システムで実装されている。このファイアウォールFWに監視制御M1が実装されている(監視制御M1はセッション管理SCを制御してもよい)。
サーバA上にはサーバ機能S(例えば、ウェブサーバ機能)が既存システムで実装されている。このサーバAに監視制御M2が実装されている。
同図において、ファイアウォールFW上にはサーバAとクライアントBとのセッションを中継するセッション中継Rが動作するようになっている。
セッション中継Rには、クライアントB−ファイアウォールFW間のTCPセッションを管理するセッション管理SCと、サーバA−ファイアウォールFW間のTCPセッションを管理するセッション管理SSとが既存システムで実装されている。このファイアウォールFWに監視制御M1が実装されている(監視制御M1はセッション管理SCを制御してもよい)。
サーバA上にはサーバ機能S(例えば、ウェブサーバ機能)が既存システムで実装されている。このサーバAに監視制御M2が実装されている。
〔動作〕
図2は図1に示した通信システムの動作を説明するためのシーケンサ図である。
図2において、サーバBからの要求でサーバB−ファイアウォールFW間のTCP接続処理が行われる。
クライアントBは、ファイアウォールFWにサーバAへの接続要求を送信する。
ファイアウォールFWは、サーバA−ファイアウォールFW間のTCP接続の前に監視用のポート番号Nを準備する。
ファイアウォールFW間はサーバA−ファイアウォールFW間のTCP接続の際にSYNパケットのオプションを用いて、ポート番号NをサーバAに通知する。
図2は図1に示した通信システムの動作を説明するためのシーケンサ図である。
図2において、サーバBからの要求でサーバB−ファイアウォールFW間のTCP接続処理が行われる。
クライアントBは、ファイアウォールFWにサーバAへの接続要求を送信する。
ファイアウォールFWは、サーバA−ファイアウォールFW間のTCP接続の前に監視用のポート番号Nを準備する。
ファイアウォールFW間はサーバA−ファイアウォールFW間のTCP接続の際にSYNパケットのオプションを用いて、ポート番号NをサーバAに通知する。
ここで、ポート番号オプションは、本発明において新たに定義したものであり、m(mは自然数)オクテットの種類とn(nはmとは無関係の自然数)オクテットのポート番号値(好ましくは1オクテットの種類と2オクテットのポート番号値)で構成される。
サーバAはポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを使ってポート番号NをファイアウォールFWに応答する。
TCP接続処理の完了としてファイアウォールFWは、サーバAにACKパケットを送信する。
サーバAは通知されたポート番号Nに対してTCP接続処理を行う。
ファイアウォールFWは、クライアントBにサーバAとの接続が完了したことを通知する。
サーバA−クライアントB間の暗号通信が開始される。
ファイアウォールFWは、監視ポートを用いてサーバAと監視情報の交換を行う。
TCP接続処理の完了としてファイアウォールFWは、サーバAにACKパケットを送信する。
サーバAは通知されたポート番号Nに対してTCP接続処理を行う。
ファイアウォールFWは、クライアントBにサーバAとの接続が完了したことを通知する。
サーバA−クライアントB間の暗号通信が開始される。
ファイアウォールFWは、監視ポートを用いてサーバAと監視情報の交換を行う。
尚、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受されるデータの種類やデータの内容を制限するために、フィルタ条件をサーバAに対して要求するように構成してもよい。
また、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受される全ての送受信データをサーバAから送信してもらうために、サーバAに対して要求するように構成してもよい。
また、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受される全ての送受信データをサーバAから送信してもらうために、サーバAに対して要求するように構成してもよい。
尚、上述した実施形態は、本発明の好適な実施形態であり、本発明の趣旨を逸脱しない範囲内において、種々変形することが可能である。
また、上述した実施形態としてのシステム等を実現するための処理手順を有するプログラムやプログラムを記録媒体に記録することにより、本発明の実施形態による各機能を、その記録媒体から供給されるプログラムによって、システムを構成するコンピュータのCPUに処理を行わせて実現させることが可能である。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
すなわち、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体及びその記録媒体から読み出された信号は本発明を構成することになる。
この記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、フラッシュメモリ、CD−ROM、CD−R、磁気テープ、不揮発性メモリカード、ROM、EEPROM等を用いてよい。
本発明に係るプログラムによれば、当該プログラムによって制御される通信システムに、上述した本発明に係る実施形態としての各機能を実現させることができる。
この記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、フラッシュメモリ、CD−ROM、CD−R、磁気テープ、不揮発性メモリカード、ROM、EEPROM等を用いてよい。
本発明に係るプログラムによれば、当該プログラムによって制御される通信システムに、上述した本発明に係る実施形態としての各機能を実現させることができる。
10 通信システム
11 外部網(またはインターネット)
12 企業内網
A サーバ
B クライアントのパーソナルコンピュータ(クライアント)
FW ファイアウォール
M1、M2 監視制御
R セッション中継
S サーバ機能
SC セッション管理
SS セッション管理
11 外部網(またはインターネット)
12 企業内網
A サーバ
B クライアントのパーソナルコンピュータ(クライアント)
FW ファイアウォール
M1、M2 監視制御
R セッション中継
S サーバ機能
SC セッション管理
SS セッション管理
Claims (24)
- 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、
前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信方法。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信方法。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントと前記ファイアウォールとの間でTCP接続を行い、
前記クライアントと前記サーバとの間で暗号通信を行い、
前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする通信方法。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、
前記クライアントが前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、
前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、
前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始され、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信方法。 - 前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
- 前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
- クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、
前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信システム。 - クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信システム。 - クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントと前記ファイアウォールとがTCP接続を行い、
前記クライアントと前記サーバとが暗号通信を行い、
前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする通信システム。 - クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信システム。 - 前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
- 前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
- 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とするプログラム。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とするプログラム。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とするプログラム。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とするプログラム。 - 前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
- 前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
- 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。 - 既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。 - 前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
- 前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005166549A JP2006343807A (ja) | 2005-06-07 | 2005-06-07 | 通信方法、通信システム、プログラム及び記録媒体 |
| US11/446,375 US20060277602A1 (en) | 2005-06-07 | 2006-06-05 | Communication method, communication system, program and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005166549A JP2006343807A (ja) | 2005-06-07 | 2005-06-07 | 通信方法、通信システム、プログラム及び記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006343807A true JP2006343807A (ja) | 2006-12-21 |
Family
ID=37495628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005166549A Withdrawn JP2006343807A (ja) | 2005-06-07 | 2005-06-07 | 通信方法、通信システム、プログラム及び記録媒体 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20060277602A1 (ja) |
| JP (1) | JP2006343807A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009016961A (ja) * | 2007-06-29 | 2009-01-22 | Fujitsu Ltd | 通信装置、通信装置に適した通信ログ送信方法および通信システム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
| US7392323B2 (en) * | 2004-11-16 | 2008-06-24 | Seiko Epson Corporation | Method and apparatus for tunneling data using a single simulated stateful TCP connection |
-
2005
- 2005-06-07 JP JP2005166549A patent/JP2006343807A/ja not_active Withdrawn
-
2006
- 2006-06-05 US US11/446,375 patent/US20060277602A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009016961A (ja) * | 2007-06-29 | 2009-01-22 | Fujitsu Ltd | 通信装置、通信装置に適した通信ログ送信方法および通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060277602A1 (en) | 2006-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| US9094206B2 (en) | Method and system for secure session establishment using identity-based encryption (VDTLS) | |
| JP4959750B2 (ja) | トランスコーディング・プロキシでの複数の起点サーバへの動的接続 | |
| US6965992B1 (en) | Method and system for network security capable of doing stronger encryption with authorized devices | |
| JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| US9350711B2 (en) | Data transmission method, system, and apparatus | |
| JP4267008B2 (ja) | クライアント・サーバ分散システム、サーバ装置、クライアント装置及びそれらに用いるクライアント間rtp暗号方法 | |
| CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
| US20080267395A1 (en) | Apparatus and method for encrypted communication processing | |
| CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN101436933A (zh) | 一种https加密访问方法、系统及装置 | |
| KR20090102050A (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| CN109905310B (zh) | 数据传输方法、装置、电子设备 | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| JP5002830B2 (ja) | 通信モジュール、通信方法、通信プログラム、通信端末、および通信制御装置 | |
| CN110855561A (zh) | 一种物联网智能网关 | |
| JP2006343807A (ja) | 通信方法、通信システム、プログラム及び記録媒体 | |
| CN111245601B (zh) | 一种通讯协商方法及装置 | |
| CN108494744B (zh) | 一种IPsec VPN客户端报文处理方法及装置 | |
| KR101730405B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 | |
| TWI802447B (zh) | 感測器無線傳訊的封包加解密方法 | |
| CN113115306B (zh) | 一种增强LoraWan网络架构安全性的加密方法、系统及存储介质 | |
| CN114157707B (zh) | 一种通信连接方法、装置及系统 | |
| WO2023282263A1 (ja) | 制御ネットワークにおける通信監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080514 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090617 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091218 |