JP2007129534A - データ通信方法 - Google Patents
データ通信方法 Download PDFInfo
- Publication number
- JP2007129534A JP2007129534A JP2005320659A JP2005320659A JP2007129534A JP 2007129534 A JP2007129534 A JP 2007129534A JP 2005320659 A JP2005320659 A JP 2005320659A JP 2005320659 A JP2005320659 A JP 2005320659A JP 2007129534 A JP2007129534 A JP 2007129534A
- Authority
- JP
- Japan
- Prior art keywords
- data
- machine side
- application software
- proxy server
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 238000004891 communication Methods 0.000 title claims abstract description 99
- 230000005540 biological transmission Effects 0.000 claims abstract description 177
- 238000012545 processing Methods 0.000 claims abstract description 103
- 230000004044 response Effects 0.000 claims description 87
- 230000008569 process Effects 0.000 claims description 57
- 238000006243 chemical reaction Methods 0.000 claims description 40
- 230000006870 function Effects 0.000 claims description 32
- 238000012546 transfer Methods 0.000 claims description 23
- 230000008859 change Effects 0.000 claims description 9
- 238000013144 data compression Methods 0.000 claims description 5
- 238000007906 compression Methods 0.000 claims description 4
- 238000003754 machining Methods 0.000 claims 2
- 238000001914 filtration Methods 0.000 description 12
- 230000006835 compression Effects 0.000 description 3
- 230000006837 decompression Effects 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】種々のアプリケーションソフトウエアに対して適用できるとともに、高いセキュリティを実現できるデータ通信方法を提供するものである。
【解決手段】クライアント機側アプリケーションソフトウエア5で作成された送信データを通信プロトコル処理した後、フィルタドライバ10によってクラインアト機1に設けたクライアント機側代理サーバ6に向けて戻し転送し、クライアント機側代理サーバは受信した送信データに所定の加工を施して加工送信データを生成して、所定のポート及びネットワークインターフェース及びインターネット4を介して、サーバ機側代理サーバ機3に向けて送信する。サーバ機側代理サーバ機は受信した加工送信データを復元し、復元した送信データを、代理サーバ機からサーバ機側アプリケーションソフトウエア22に向けて転送するように構成される。
【選択図】図1
【解決手段】クライアント機側アプリケーションソフトウエア5で作成された送信データを通信プロトコル処理した後、フィルタドライバ10によってクラインアト機1に設けたクライアント機側代理サーバ6に向けて戻し転送し、クライアント機側代理サーバは受信した送信データに所定の加工を施して加工送信データを生成して、所定のポート及びネットワークインターフェース及びインターネット4を介して、サーバ機側代理サーバ機3に向けて送信する。サーバ機側代理サーバ機は受信した加工送信データを復元し、復元した送信データを、代理サーバ機からサーバ機側アプリケーションソフトウエア22に向けて転送するように構成される。
【選択図】図1
Description
本願発明は、データ通信方法及びデータ通信システムに関する。詳しくは、種々のデータ通信において、セキュリティを格段に向上させることのできるデータ通信方法に関する。
近年、インターネット等の通信ネットワークを介して種々の情報が交換される。インターネットは、複数のコンピュータが手を取り合う構造となっているため、一部のコンピュータが破壊されたり故障した場合でも、ネットワークが機能しなくなることはない。
一方、ネットワーク上の不特定な複数のコンピュータを通過して情報が交換されるため、ネットワークに接続されるコンピュータシステムにおいて、不正なアクセスやデータの盗み見、さらには、データ改ざん、データの破壊等の危険性も生じることになる。
通信データを作成したり閲覧等するためのアプリケーションソフトウエアとオペレーションシステムの通信システムとの間においては、上記アプリケーションソフトウエアに応じた特定のポートを介してデータのやりとりが行われる。コンピュータを起動すると同時に、種々のアプリケーションソフトウエアが起動し、アプリケーションソフトウエアに応じたポートが開かれ、通信可能な状態に置かれる。
ところが、ポートスキャン等の手法を用いることにより、上記ポートを見つけ出し、通信パケットを盗聴することにより、コンピュータシステムがどのようなネットワークのサービスを利用しているかを調べ上げることができる。特に、アプリケーションソフトウエアごとに、標準的に用いるポート番号が定められることが多く、使用ポートが判明するとコンピュータシステムへの侵入が容易になり、プロトコルを解析して種々の工作を行うことも可能になる。
上記問題を解決してセキュリティを高める、種々の手法が開発されている。
特開2002−82907
特開2003−333084
上記特許文献1に記載されている発明は、セキュリティ・プロトコルを用いてサーバクライアント型データ通信をおこなうサーバとクライアントとの間に中継装置を備え、該中継装置が、前記クライアントの代理として、前期データ通信におけるセキュリティを維持する処理の一部を代行するように構成している。
中継装置において、通信データを暗号化したり、アクセスする者の認証を行うことができるため、セキュリティが向上する。しかしながら、暗号化等を行うためにシステムに大きな負荷がかかることが多い。上記特許文献1では、クライアントへのメッセージ送信量を少なくすることが可能となり、ネットワーク、クライアントでの負荷を低減できるとしている。
一方、上記特許文献2には、パケットフィルタリングを用いた手法が開示されている。パケットフィルタリングは、受信データパケットを検査し、あらかじめ設定したルールに基づいて、パケットの通過を許容し、あるいは拒否するものである。
上記特許文献1に記載されている発明においては、上記中継装置において、サーバの認証処理、クライアントの認証処理、又はデータの暗号化・複合化処理をさせるように構成している。
ところが、上記手法によると、ネットワークサービスごとに別々のセキュリティアプリケーションソフトウエアが必要になる。すなわち、telnet、FTP、電子メール、WWW、あるいはその他のサービスごとにプロトコルが異なるため、上記構成では、各々に対応するセキュリティプログラムが必要になる。この結果、クライアントが受けたいサービスが「中継装置」でサポートされていない場合、そのサービスにアクセスできないことになる。また、上記サービス及びこれらサービスの変更やバージョンアップ等に対応してセキュリティプログラムを設定するのは非常に困難である。
一方、上記特許文献2に記載されているパケットフィルタリングの手法は、ネットワークインターフェース層で実行されるものであるため、パーフォーマンスが高く、アプリケーションソフトウエアに依存しない。
ところが、IP(Internet Protcol)のヘッダ情報のみで判断するため、上記セキュリティレベルが低く、また、各アプリケーションソフトウエアレベルでのアクセス制御はできないという問題がある。
本願発明は、上記従来のセキュリティ手法の問題を解決し、種々のアプリケーションソフトウエアに対して適用できるとともに、高いセキュリティを実現できるデータ通信方法を提供するものである。
本願の請求項1に記載した発明は、クライアント機側アプリケーションソフトウエアで生成された送信データを、インターネットを介してサーバ機側アプリケーションソフトウエアに送信するデータ通信方法であって、上記クライアント機に、上記アプリケーションソフトウエアと同一のオペレーションシステムで作動するクライアント機側代理サーバと、上記クライアント機のネットワークインターフェース層で作動するフィルタドライバとを設ける一方、上記サーバ機側に、上記サーバ機側アプリケーションソフトウエアと異なるオペレーションシステムで作動するサーバ機側代理サーバ機を設け、上記送信データを通信プロトコル処理した後、上記フィルタドライバによって上記クライアント機側代理サーバに向けて戻し転送する送信データループバック行程と、上記クライアント機側代理サーバに受信した上記送信データに所定の加工を施して加工送信データを生成する加工送信データ生成行程と、上記加工送信データを、所定のポート及びネットワークインターフェースを介して、上記クライアント機側代理サーバから、上記サーバ機側代理サーバ機に向けて送信する加工送信データ送信行程と、上記サーバ機側代理サーバ機で受信した加工送信データを、上記クライアント機側代理サーバに受信した送信データに復元するデータ復元行程と、復元した上記送信データを、上記代理サーバ機から上記サーバ機側アプリケーションソフトウエアに向けて転送する復元送信データ転送行程とを含んで構成される。
本願発明における上記フィルタドライバは、上記アプリケーションソフトウエア及びクライアント機側代理サーバがインストールされたオペレーションシステムの通信システムに組み込まれる。
本願発明では、ネットワークインターフェース層において機能するフィルタドライバを設け、クライアント機側アプリケーションソフトウエアからオペレーションシステムに引き渡されて、プロトコル処理された送信データのヘッダが解析される。上記ヘッダが所定の条件を満たす場合、上記アプリケーションソフトウエアと同一のオペレーションシステムで作動するクライアント機側代理サーバに戻し転送される。すなわち、宛先データとして上記送信データにIPヘッダ等が付加されるのであるが、上記ヘッダが所定の条件を満たす場合、経路を変更して上記クライアント機側代理サーバに戻し転送して、上記送信データを同じクライアント機のアプリケーションレベルへ戻すループバック行程を行うのである。上記ループバック行程は、パケットヘッダを書き換えることにより実行される。一方、所定の通過条件を満たす送信データは、通常どおり上記フィルタドライバをそのまま通過してネットワークインターフェースを介して指定した宛先へ送信される。また、上記差戻し転送の条件、通過条件の双方を満たさないデータは、廃棄するように構成される。
上記クライアント機側アプリケーションソフトウエアと上記クライアント機側代理サーバとの間は、本来の宛先であるサーバ機側アプリケーションソフトウエアとの間の通信手順と同様の手順でデータが送信される。すなわち、上記フィルタドライバによって宛先が変更されるものの、TCP(Transmission Cntrol Protocol)あるいはUDP(User Dagram Protcol)、及びIP(Internet Protcol)による通常のプロトコル受信処理が行われた上で、上記クライアント機側代理サーバが上記通信データを受信する。したがって、アプリケーションソフトウエアの設定等を変更する必要はない。また、同一のオペレーションシステムでのネットワークインターフェース層におけるルート変更であるため、アプリケーション層のプロトコルの相違が問題になることもない。また、上記クライアント機側アプリケーションソフトウエアと上記クライアント機側代理サーバとの間では、一応、通信手順が完結しているため、種々のアプリケーションソフトウエアで生成された送信データを、クライアント機側代理サーバにおいて一元的(画一的)に取り扱うことが可能となる。
上記クライアント機側サーバにおいて、上記送信データに対して種々の加工を行うことができる。たとえば、圧縮処理、暗号化処理のみならず、種々のセキュリティ情報を付加することができる。特に、本願発明では、上記クライアント機側代理サーバが、上記アプリケーションソフトウエアと同一のオペーションシステムで作動しているため、個人識別情報等をシステムから注出して付加することも可能となる。また、送信データを作成したクライアント機側アプリケーションソフトウエアが採用するプロトコルとは別個の独自のプロトコル処理を行うことも可能となり、セキュリティ性が高まる。
また、上記クライアント機側代理サーバは、上記加工を施した送信データを特定のポートを介して、サーバ機側代理サーバに向けて送信する。すなわち、上記クライアント機側アプリケーションソフトウエアにおいては、従来通り、各々のアプリケーションソフトウエアに対応した種々のポートを使用できる一方、上記クライアント機側代理サーバでは、特定の一つのポートを使用してサーバ機側代理サーバに対して通信を行うことも可能となる。この結果、種々のアプリケーションソフトウエアに対する通信待ち受けポートを特定の一つのポートに纏めることが可能となる。この結果、ネットワークに開かれるポートが限定され、その分セキュリティが向上する。また、通信データのベッダが書換えられるため、不正侵入者がアプリケーションレベルまで侵入することが困難となる。
クライアント機側代理サーバからサーバ機側代理サーバ機に送信される加工送信データは、上記サーバ機側代理サーバ機に通常の手順で受信され、上記クライアント機側代理サーバに受信した送信データに復元される。そして、通常の送信手順により、上記サーバ機側代理サーバ機から、本来の宛先であるサーバ機に送信され、通常の受信手順によって上記サーバ機側アプリケーションソフトウエアに受信される。
上述したように、本願発明は、いわば、パケットフィルタリングの手法とアプリケーションゲートウエイの手法とを組み合わせたものであり、種々のデータ通信における高いセキュリテュ機能を発揮させることができる。
本願の請求項2に記載した発明は、上記送信データループバック行程が、上記フィルタドライバのヘッダ解析機能を用いて、上記通信プロトコル処理された送信データが、上記クライアント機側アプリケーションソフトウエアから上記サーバ機側アプリケーションソフトウエアに向けたものであるかどうかを検出するヘッダ解析行程と、上記送信データが上記クライアント機側アプリケーションソフトウエアから上記サーバ機側アプリケーションソフトウエアに向けたものである場合に、上記フィルタドライバの変換テーブル生成機能を用いて、上記送信データのヘッダから送信元及び送信先データを注出して構成されるヘッダ変換テーブルを、クライアント機側メモリ領域に生成する変換テーブル生成行程と、上記フイルタドライバのヘッダ書換え機能を用いて、上記送信データのヘッダを、上記サーバ機側アプリケーションソフトウエアから上記クライアント機側代理サーバ1向かうかのように書換えるヘッダ書換え行程と、上記ヘッダを書き換えた送信データを、上記クライアント機側代理サーバに戻し送信する戻し転送行程とを含むものである。
上記ヘッダ解析行程は、上記クライアント機にインストールされた種々のアプリケーションソフトウエアで作成される通信データに適用される。上記ヘッダ解析機能は、TCP、UDP及びIP等によってプロトコル処理されたヘッダを解析するものであるため、送信データを作成するすべてののアプリケーョンに対して適用できる。
本願発明では、上記通信プロトコル処理された送信データが、上記クライアント機側アプリケーションソフトウエアから上記サーバ機側アプリケーションソフトウエアに向けたものである場合に、変換テーブルが生成される。上記変換テーブルは、クライアント機においてデータの授受を行う際に、クライアント機側代理サーバに向けるものか、あるいはクライアント機側アプリケーションソフトウエアに向けるものであるか否かの判断と、ヘッダを書き換えてルート変更するか否かの判断の指標となるものである。上記変換テーブルは、送信元ポート番号、すなわち、クライアント機側アプリケーションソフトウエアが利用した送信元ポート番号をキーとして、データのヘッダから、送信元マックアドレス、送信元IPアドレス、送信先マックアドレス、送信先IPアドレス及び送信先ポート番号を注出して上記変換テーブルが構成される。上記変換テーブルによって、クライアント機側代理サーバからサーバ機側代理サーバ機に送信されるデータを通過させたり、後に説明するように、宛先サーバから上記クライアント機側代理サーバを介して応答データを受け取る際に、上記クライアント機側アプリケーションソフトウエア及びその使用ポートを特定する機能を発揮する。
上記変換テーブルを生成するとともに、上記フイルタドライバのヘッダ書換え機能によって、上記送信データのヘッダが、上記サーバ機側アプリケーションソフトウエアから上記クライアント機側代理サーバに向かうように書換えられる。すなわち、上記フィルタドライバによって、送信データが、上記クライアント機側代理サーバに向けて経路変更が行われる。このとき、上記クライアント機側代理サーバは、所定のポートを用いて上記送信データを受け取る。上記クライアント機側アプリケーションソフトウエアは、上記クライアント機側代理サーバを本来の送信データの宛先サーバとして認識してデータ送信手順が実行される。
特に、本願発明では、クライアント機側アプリケーションソフトウエアで生成された送信データが、あたかも、宛先であるサーバ機側アプリケーションソフトウエアから上記クライアント機側代理サーバに向かうように、上記送信元IPアドレスが書換えられる。これにより、外部からみた場合に、あたかも上記クライアント機側代理サーバが主体となって通信しているかのように装うことが可能となり、クライアント機側アプリタケーションソフトウエアが使用するポート番号等が外部に流出しなくなる。これにより、セキュリティ性能が格段に向上する。
上記クライアント機側代理サーバにおいて、上記送信データに対して種種の加工を施すことができる。たとえば、請求項3に記載した発明のように、データ圧縮加工、データ暗号化加工及び認証等の付加加工等のアプリケーションレベルのセキュリティを高める加工を施すことができる。
本願の請求項4に記載した発明は、上記クライアント機側アプリケーションソフトウエアのリクエストに応じて、送信データに対する応答データの処理に関するものである。
すなわち、請求項4に記載した発明は、上記サーバ機側アプリケーションソフトウエアが、受信した上記送信データに基づいて応答データを生成する応答データ生成行程と、上記応答データをサーバ機側代理サーバに機向けて転送する応答データ転送行程と、上記サーバ機側代理サーバ機に受信した上記応答データに所定の加工を施して加工応答データを生成する加工応答データ生成行程と、上記加工応答データを、上記サーバ機側代理サーバ機のネットワークインターフェースを介して、上記クライアント機側代理サーバに向けて送信する加工応答データ送信行程と、上記クライアント機側代理サーバが、上記加工応答データを所定のポートを介して受信する加工応答データ受信行程と、上記クライアント機側代理サーバに受信した加工応答データを、上記サーバ機側代理サーバ機に受信した応答データに復元する応答データ復元行程と、復元した上記応答データを、上記サーバ機側アプリケーションソフトウエアに向かうように通信プロトコル処理した後、上記フィルタドライバによって上記クライアント機側アプリケーションソフトウエアに戻し転送する応答データループバック行程と、上記クライアント機側アプリケーションソフトウエアが、上記応答データを受信する応答データ受信行程とを含むものである。
上記サーバ機側アプリケーションソフトウエアで生成された応答データは、まずサーバ機側代理サーバ機に向けて送信される。上記サーバ機は、オペレーションシステム及びサーバソフトウエアを備えて構成されており、上記サーバ機とサーバ機側代理サーバ機との間のデータ通信は、TCP,UDP/IPによる通常の通信手順で行われる。上記サーバ機側代理サーバにおいて、上記応答データに対して、上記クライアント機側代理サーバで行ったのと同様の加工が施される。すなわち、データ圧縮加工、データ暗号化加工及び認証等のセキュリティ加工等を施して、アプリケーションレベルのセキュリティを高める加工を施すことができる。上記加工が施された加工応答データは、通常の送信手順を用いて、上記サーバ機側代理サーバから上記クライアント機側代理サーバに向けて送信される。
上記クライアント機のネットワークインターフェースに受信した応答データに対して、上記フィルタドライバによる判断が行われる。上記応答データが、上記サーバ機側代理サーバ機からクライアント機側代理サーバに向けたものである場合には、上記フィルタドライバは、上記応答データをそのまま通過させて、上記クライアント機側代理サーバに受信させる。この場合も、通常の通信手順でプロトコル処理が行われる。
上記クライアント機側代理サーバでは、データ解凍加工、データ復復合化加工及び認証等がなされて、上記サーバ機側アプリケーションソフトウエアから送信された状態の応答データが復元される。
次に、上記応答データは、上記クライアント機側代理サーバから、上記クライアント機側アプリケーションソフトウエアに向けて転送される。この場合、TCP,UDP/IPを用いた通常の送信手順が用いられ、送信元IPアドレスとしてクライアント機側代理サーバのIPアドレスが付加されるとともに、送信先のIPアドレスとしてサーバ機側アプリケーションソフトウエアのIPアドレスが付加される。すなわち、あたかもクライアント機側代理サーバがサーバ機に向かってデータを送信しているかのように設定される。一方、送信元のポート番号としてクライアント機側代理サーバの使用するポート番号が付加されるが、送信先のポートとして上記変換テーブルに記録されたクライアント機側アプリケーションソフトウエアが利用するポート番号宛とされる。
上記復元応答データが、上記フィルタドライバを通過する際、上記ヘッダ解析機能により、送信データのベッダが解析されてループバック対象であると認識される。そして、上記フィルタドライバのヘッダ書換え機能により、上記復元応答データの送信元情報がサーバ機側アプリケーションソフトウエアのIPアドレスに、ポート番号がサーバ機側アプリケーションソフトウエアのポート番号に書換えられる。また、送信先情報がクライアント機側アプリケーションのIPアドレスに、送信先ポート番号が上記クライアント機側アプリケーションソフトウエアが使用しているポート番号に書換えられて、上記サーバ機側アプリケーションソフトウエアからの応答データとして、上記クライアント機側アプリケーションソフトウエアに受信される。
本願発明では、上記クライアント機側代理サーバから、上記クライアント機側アプリケーションソフトウエアに応答データを転送する際、送信先IPアドレスとして、サーバ機側アプリケーションのIPアドレスに書き換える。すなわち、クライアント機側代理サーバは、上記サーバ機側アプリケーションソフトウエアに対してデータを転送するように偽装して、応答データを転送するのである。これにより、サーバ機側アプリケーションソフトウエア以外から、クライアント機側アプリケーションソフトウエアにアクセスすることが困難になり、セキュリティを格段に向上させることが可能となる。一方、クライアント機側アプリケーションソフトウエアは、環境設定等を変更する必要はなく、種々のアプリケーションソフトウエアに対して上記手法を採用することができる。
本願の請求項8に記載した発明は、クライアント機で生成された送信データを、インターネット及び代理サーバ機を介してサーバ機に送信するデータ通信システムである。
上記クライアント機、上記代理サーバ機及び上記サーバ機は、演算装置、記憶装置、ネッチワークに対する入力手段等の基本的構成を備えており、そさぞれが独立したオペレーションシステムで作動するように構成されている。
上記クライアント機は、上記の機器構成に加え、上記サーバ機側アプリケーションソフトウエアに対する送信データを生成できるクライアント機側アプリケーションソフトウエアと、上記アプリケーションソフトウエアと同一のオペレーションシステムで作動し、データに対して所定の加工を行うことのできるクライアント機側代理サーバと、上記ネットワークに対してデータを送受信できる通信手段と、上記クライアント機のネットワークインターフェース層で作動するとともに、所定の条件を満たすヘッダの付された通信データを検出して、上記ヘッダを変更することにより転送先を変更できるフィルタドライバとを備えて構成されている。
上記通信手段は、たとえば、インターネットで使用されるプロトコル処理を行うことのできる種々の通信プログラムを適用できる。上記クライアント機側及び上記サーバ機側アプリケーションソフトウエアは、データ交換を行える種々のソフトウエアを採用することができる。たとえば、メールソフトウエア、ウェブブラウザ等のみならず、業務用の専用のデータベースソフトウエアを採用することもできる。これらソフトウエアはプログラムの形態で上記クライアント機及び上記サーバ機にインストールされている。
上記代理サーバは、受信したデータに所定の加工を施すことのできるデータ加工手段が設けられる。上記データ加工手段として、たとえば、データ圧縮手段やデータ暗号化手段等を採用することができる。
上記代理サーバ機は、サーバ機側に設けられのが望ましい。たとえば、上記クライアント機と上記代理サーバ間は、一般のインターネットを利用してデータ通信を行う一方、上記代理サーバ機と上記サーバ機間は、ローカルエリアネットワーク等を利用することができる。
上記サーバ機は、上記クライアント機側アプリケーションソフトウエアから受信したデータに基づいて、データ処理を行い返答データを生成できるサーバ機側アプリケーションソフトウエアと、上記代理サーバ機に対してデータの送受信を行う通信手段とを備えて構成され、クライアント機側アプリケーションソフトウエアからのデータ要求等に対応してデータが生成される。
請求項9に記載した発明のように、上記フィルタドライバを、上記データ入出力装置を通過しようとするデータのパケットヘッダを解析して所定の条件をを満たすデータを検出できるヘッダ解析機能と、上記所定の条件を満たすデータの送信元データ及び送信先データを注出して、クライアント機側のメモリ領域に、ヘッダ変換テーブルを生成できる変換テーブル生成機能と、上記変換テーブル及びあらかじめ設定された変換テーブルに基づいて、上記データのヘッダを書き換えて送信先を変更する送信先変更機能とを備えて構成できる。これら各機能は、プログラムの形態でフィルタドライバに付与されている。また、上記条件を満たさないデータは廃棄するように設定するのか望ましい。
請求項10に記載した発明のように、上記ヘッダ解析機能によって、上記クライアント機側アプリケーションソフトウエアで生成されて上記サーバ機側アプリケーションソフトウエアに向かうデータが検出され、上記変換テーブル生成機能によって、上記変換テーブルが生成され,上記送信先変更機能によって、上記データのヘッダが上記クライアント機側代理サーバに向かうように書換えられるように構成できる。
一方、請求項11に記載した発明のように、上記ヘッダ解析機能によって、上記クライアント機側代理サーバから上記サーバ機側アプリケーションソフトウエアへ向かうデータが検出され、上記ヘッダ書換え機能によって、上記データのヘッダが、上記クライアント機側アプリケーションソフトウエアに向かうように書換えられる。
本願発明に係るシステムにおいては、請求項13に記載した発明のように、上記フィルタドライバと上記クライアント機側代理サーバ間が、所定のポートを用いてデータの交換を行うように構成されている。すなわち、クライアント側では、特定のポートを使用して通信することができるためセキュリティ性が向上する。また、上記クライアント機側サーバが、クライアント機側ソフトウエアと同じコンピュータにインストールされているため、通信を行うアプリケーションソフトウエアが異なっても、通信プロトコルの相違による問題が生じることはない。したがって、種々のアプリケーションソフトウエアに対応できる通信システムう構築することができる。
しかも、上記通信データは、インターネット上を流れる場合には、圧縮・暗号化され、しかも、クライアント機においては、クライアント機側代理サーバ機を介してのデータ交換になるため、外部から上記データにアクセスすることは極めて困難である。したがって、上記構成の通信システムを採用することにより、セキュリティ性を格段に高めたバーチャルプライベートネットワークシステムを構築することが可能となる。
以下、本願発明の実施の形態を図に基づいて説明する。
図1に示すように、本実施の形態に係るデータ通信方法は、装置構成として、クライアント機1と、サーバ機2と、このサーバ機側に設けられるサーバ機側代理サーバー機3とを備えて構成される。上記クライアント機1と上記サーバ機側代理サーバ機3は、インターネット4を介してデータを交換できるように構成されている。上記サーバ機側代理サーバ機3とサーバ機2との間は、ローカルエリアネットワーク24等を介してデータ交換できるように構成されている。なお、ネットワークの態様は上記のものに限定されることはなく、上記サーバ機側代理サーバ機3と上記サーバ機2とを、上記インターネットや他のネットワークを介して接続することもできる。また、サーバ機2とサーバ機側代理サーバ機3とを、直接接続することもできる。
上記クライアント機1には、クライアント機側アプリケーションソフトウエア5及びソフトウエアとしてのクライアント機側代理サーバ6が、同じオペレーションシステム7で作動するようにインストールされている。なお、ここでは、上記オペレーションシステム7は、上記クライアント機側アプリケーションソフトウエア5及びクライアント機側代理サーバ6に対して、上記インターネット4を介して通信データの授受を行うための通信システム8を含む概念である。上記通信システム8は、TCPあるいはUDP、及びIPを用いた一般的な通信システムが採用されている。
インターネット等のネットワークでは、データは上記通信システム8によって一定のデータ量のパケットに分割されて、ネットワーク4に送り出される。上記パケット等の通信手順は、階層構造を備えるプロトコルによって実行される。図2に、本実施の形態で利用されるパケットヘッダの一例を示す。この図に示すように、分割された実データD(ペイロード)の頭部には、宛先等を記述したパケットヘッダと呼ばれる識別符号11,12,13が、上記階層構造に対応したプロトコルによってそれぞれ付加されていく。
実施の形態では、クライアント機側アプリケーションソフトウエア5で生成された実データDに対して、トランスポート層26においてTCPヘッダ11が付加され、インターネット層27においてIPヘッダ12が付加され、さらに、ネットワークインターフェース層9においてイーサネットヘッダ13(イーサネットは登録商標)が付加される。すなわち、各階層において上記のプロトコル処理がなされて、実データに対して各階層のヘッダが重畳的に付加されていく。図2のネットワークインターフェース層のデータが、インターネットへ送出する直前のデータ形態である。なお、実施の形態では、トランスポート層26においてTCPヘッダが付加されるように構成しているが、データの形態等に応じて、UDPヘッダ等を付加するように構成することもできる。
図3に、各パケットヘッダの構成を示す。各パケットヘッダは、送信データを相手先に伝達するための情報をそれぞれ含んでおり、通信経路途中や宛先のオペレーションシステムにおいて、上記パケットヘッダが解読され、所定の宛先の装置及びアプリケーションソフトウエアにデータを送り届ける。なお、各ヘッダの上部の数字はビット数を表している。
本実施の形態では、図1に示すように、上記通信システム8のネットワークインターフェース層9で作動するフィルタドライバ10が設けられている。上記フィルタドライバ10は、ヘッダが付加されたデータを分析し、所定の条件を満たす場合にこのデータを注出して、上記パケットヘッダを書き換えて、このデータの転送ルートを変更できるように構成されている。
上記フィルタドライバ10において、検出及び書換え対象となるパケットヘッダは、図3に示すネットワークインターフェース層で付加されるイーサネットヘッダのうち送信先マックアドレス14及び送信元マックアドレス15、インターネット層で付加されるIPヘッダのうち送信元IPアドレス16及び送信先IPアドレス17、トランスポート層で付加されるTCPヘッダのうち送信元ポート番号18及び送信先ポート番号19である。
上記フィルタドライバ10は、パケットヘッダ解析手段と、あらかじめ設定されたフィルタリングルール(通過、廃棄、転送等を行う条件)と、変換テーブル生成手段と、パケットヘッダ書換え手段とを備えて構成されている。
上記パケットヘッダ解析手段は、クライアント機の上記通信システム8を通過する全てのパケットに対して適用され、パケットヘッダを注出して解析する。
上記フィルタリングルールにより、上記パケットヘッダに所定の記述が検出された場合に、通過、廃棄、転送等を実行する。
本実施の形態に係る上記フィルタリングルールは、(1)図11のH1欄に示すパケットヘッダが検出された場合に、ヘッダをH2欄に示すものに書換えて、転送先を変更すし、(2)図11のH3欄及び図12のH6欄のパケットヘッダが検出された場合そのまま通過させ、(3)図12のH7欄に示すパケットヘッダが検出された場合に、ヘッダを図12のH8欄に示すものに書きえて転送先を変更し、(4)それ以外のものについてはデータを廃棄する、というものである。
上記パケットヘッダ書換え手段は、上記パケットヘッダを書き換えて、上記データの経路を変更するためのものである。
上記変換テーブル生成手段は、上記パケットヘッダから注出した情報から、送信元ポート番号AC・PTをキーとして、図4に示す変換テーブル21を生成する。上記変換テーブル21は、上記クライアント機1のメモリ領域に格納される。この変換テーブル21は、クライアント機側アプリケーションソフトウエア5からのデータ要求等に応じてサーバ側からの返答があった場合に、上記変換テーブル21を参照してパケットヘッダを書換え、発信元のクライアント機側アプリケーションソフトウエア5にデータを帰すために作成される。なお、本実施の形態で取り扱うデータは、アプリケーションによって生成されるデータのみならず通信を行う上で必要なデータ、たとえば確認応答データ等も含まれる。
図5は、クライアント機1における送信データの通過経路の概要を示す図である。この図に示すように、メイラーあるいはブラウザ等のクライアント機側アプリケーションソフトウエア5a,5b,5c等で送信データが生成され、サーバ機側アプリケーションソフトウエア22に向けて転送指示がなされる。クライアント機側アプリケーションソフトウエア5a,5b,5cで生成された送信データは、アプリケーション層におけるプロトコル処理がなされた後、各アプリケーションソフトウエアに対応するポート20a,20b,20c,20d…を介して上記通信システム8のトランスポート層26に引き渡される。
送信データはパケットに分割され、パケットヘッダ等が付加されてネットワークインターフェースからネットワーク4に送出される。本実施の形態では、上記フィルタドライバ10が、ネットワークインターフェース層9に引き渡された送信データのパケットヘッダを解析する。パケットヘッダが上記の条件を満たす場合にヘッダを書換え、上記アプリケーションソフトウエア5a,5b,5cと同じオペレーションシステム7で作動するクライアント機側代理サーバ6に向けて送信経路を変更する。一方、送信データのパケットヘッダが上記条件を満たさない場合には、上記フィルタドライバ10によってデータが廃棄される。なお、必要に応じて特定のアプリケーションからのデータをそのまま通過させるように構成することができる。この場合、上記フィルタドライバ10に通過させる条件が別途設定される。
送信データが、上記フィルタドライバ10によって、クライアント機側代理サーバ6へ戻し転送される際には特定の一つのポート20hが使用されるとともに、上記クライアント機側代理サーバ6から上記通信システム8に送信データを送出する場合にはポート20jが使用される。なお、上記戻し転送するポートと、送出ポートとを同一のポートに設定することもできる。
図7〜図10に本実施の形態に係るデータ通信方法のフローチャートの一例を示す。また、図11及び図12に、上記フローチャートにしたがって処理されるデータのパケットヘッダの変遷を示す。以下、これらの図に基づいて、本実施の形態に係るデータ通信方法を説明する。
メイラーあるいはブラウザ等のクライアント機側アプリケーションソフトウエア5a,5b,5c等で送信データが生成され、サーバ機側アプリケーションソフトウエア22に向けて転送指示がなされる(S101)。上記送信データは、アプリケーション層におけるプロトコル処理等(S102)がなされた後、各アプリケーションソフトウエアに対応した上記ポート20a,20b,20c…を介して通信システム8のトランスポート層26に引き渡される。図5に示すように、上記アプリケーションソフトウエア5a,5b,5c等から送信指示がなされるデータのうち、アプリケーションソフトウエア5aからの送信データのように、条件を満たさず上記フィルタドライバ10によってデータが廃棄されるものと、アプリケーションソフトウエア5b.5cのように上記フィルタドライバに10よって経路が変更されるものと、そのまま通過させるものがある。本実施の形態では、上記アプリケーションソフトウエア5aから直接インターネットに情報を送出できないように構成しているが、特定のアプリケーションソフトウエアからの送信データや送信先等に応じて、送信データを上記フィルタドライバ10をそのまま通過させるように設定することもできる。
以下、経路が変更される場合について説明する。
上記トランスポート層26に引き渡された送信データは、TCP処理がなされて、図3に示す形態のTCPヘッダが付加される。経路変更が行われるデータは、図11のH1欄に示すように、送信元ポート番号としてAC・PT(クライアント機側アプリケーョンソフトウエアのポート番号)、送信先ポート番号としてAS・PT(サーバ機側アプリケーションソフトウエアのポート番号)が付加される(S103)。なお、図11及び図12の表に示す記号は、理解を容易にするためにソフトウエア及び機器を代表させたものとしている。
次に、上記ポート情報が付加された送信データは、インターネット層に引き渡されてIP処理がなされて、図3に示す形態のIPヘッダが付加される。このときに、送信元IPアドレスとしてAC・IP(クライアント機側IPアドレス)、送信先IPアドレスとしてAS・IP(サーバ機側IPアドレス)が付加される。その後、ネットワークインターフェース層に引き渡されて、図3に示す形態のイーサネットプロトコル処理がなされて、送信元マックアドレスAC・MC(クライアント機側マックアドレス)、送信先マックアドレスNX・MC(次に通過する機器のマックアドレス)が付加される(S103)。
本実施の形態では、上述したように、上記フィルタドライバ10のヘッダ解析手段がネットワークへ送出する直前の送信データの上記パケットヘッダを解析する。(S104)そして、上記送信データが上記クライアント機側アプリケーションソフトウエアからサーバ機側アプリケーションソフトウエアに向けたものである場合に、上記パケットヘッダを書き換えて、送信データを上記クライアント機側代理サーバ6に向けて経路変更する(S106)。
具体的には、上記送信元及び送信先のIPアドレスを検出して、パケットヘッダを書き換えるかどうかを判断する。そして、上記送信データがクライアント機側アプリケーションソフトウエア5からサーバ機側アプリケーションソフトウエア22に向けたものである場合(S104でY)、図4に示す変換テーブル21が生成される(S105)。
上記変換テーブル21は、送信元ポート番号(AC・PT)をキーとして作成される。上記変換テーブル21は、クライアント機1のメモリ領域に生成され、本実施の形態では、少なくとも上記送信データに対する応答データを受信するまで保持される。
一方、上記送信データが、上記クライアント機側アプリケーションソフトウエア5からサーバ機側アプリケーションソフトウエア22に向けたものでない場合は(S104でNo)、上記フィルタリングルールの通過対象であるかどうかが判断されて(S115)、通過対象でない場合はデータが廃棄される(S117)。なお、通過対象である場合は(S115でY)、上記フィルタドライバ10は送信データをそのまま通過させて、パケットヘッダどおりの宛先に向けてデータが送信される(S116)。
上記戻し転送の対象となる送信データに対して、上記記変換テーブル21が生成された後、上記送信データのパケットヘッダが書換えらる(S106)。本実施の形態では、図11のH2欄に示すように、送信元IPアドレスがAS・IP(サーバ機のIPアドレス)に、送信先マックアドレスがAC・MC(クライアント機マックアドレス)に、送信先IPアドレスがXC・IP(クライアント機側代理サーバIPアドレス)に、送信先ポート番号がXC・PT(クライアント機側代理サーバのポート番号)に書換えられる。すなわち、送信データは、あたかもサーバ機側アプリケーションソフトウエア22からクライアント機側代理サーバに向かうかのように、上記パケットヘッダが書換えられる。そして、インターネット4に送出することなく、クライアント機側代理サーバ6に向けてループバック転送されるのである。(S107)
上記ループバック転送された送信データは、上述した経路と逆方向に通常の手順にしたがってプロトコル処理される。すなわち、イーサネットヘッダ、IPヘッダ及びTCPヘッダが順次が取り除かれた後(S108)、上記ポート20Hを介して上記クライアント機側代理サーバ6に受信される(S109)。なお、ここでは、上記クライアント機側代理サーバ6のデータ受信ポートは、上記送信先ポート番号XC・PT(クライアント機側代理サーバのポート)に対応するポート20hとなる。
上記クライアント機側アプリケーションソフトウエア5b、5cと上記クライアント機側代理サーバ6との間の通信は、ヘッダを書き換えること以外は、通常の通信手順と全く同様に処理される。このため、上記クライアント機側アプリケーションソフトウエア5b、cは、上記クライアント機側代理サーバ6を、本来の宛先のサーバ機側アプリケーションソフトウエア22と認識して通信を行うことになる。
上記クライアント機側代理サーバ6において、上記送信データに種々の加工が施される。本実施の形態では、クライアント機側代理サーバの暗号化処理手段によってデータを暗号化し、データ圧縮手段よってデータを圧縮し、セキュリティ処理手段によってセキュリティ情報の付加がなされる(S110)。なお、上記クライアント機側代理サーバ6に、上記以外の種々の処理プログラムを設けておき、各アプリケーションソフトウエアや送信データに最適な処理を選択して行うこともできる。
上記クライアント機側代理サーバ6において加工された加工送信データに対して、あらかじめ設定された送信先の書き込みが行われ(S111)、独自のアプリケーション層プロトコル処理がなされる(S112)。本実施の形態では、サーバ機側代理サーバ23が送信先として書き込まれる。その後、サーバ機側代理サーバ23に向けて送信指示がなされて(S113)、ポート20Jを介して上記通信システム8に引き渡される。上記通信システム8では、上記クライアント機側代理サーバ6に対応した送信元情報、サーバ機側代理サーバ機に対応した送信先情報がパケットヘッダとして付加される。すなわち、図11のH3欄に示すように、クライアント機側代理サーバに対応した送信元マックアドレス(XC・MC)、送信元IPアドレス(XC・IP)、送信元ポート番号(XC・PT)が付加される一方、送信先であるサーバ機側代理サーバに対応した送信先IPアドレス(XS・IP)、送信先ポート番号(XS・PT)が付加される。なお、送信先マックアドレスとしては、次の中継機器に対応したマックアドレス(NX・MC)が付加される(S114)。
上記加工送信データは、再度上記フィルタドライバ10に引き渡されてパケットヘッダの解析が行われるが(S115)、通過条件を満たしているため、ヘッダの書換え及びループバック処理は行われずにそのまま通過させられて、ネットワークインターフェースから、サーバ機側代理サーバ23に向けてインターネットに送出される。(S116)
上記サーバ機側代理サーバ機3には、オペレーションシステム28及びアプリケーションソフトウエアとしての上記サーバ機側代理サーバ23がインストールされており、インターフェースで上記加工送信データが受信された後(S118)、通常の通信手順によって上記加工送信データが、上記サーバ機側代理サーバ23に引き渡される。すなわち、受信した加工送信データに対して、ネットワークインターフェース層31においてイーサネットプロトコル処理がなされ、インターネット層30においてIP処理がなされ、トランスポート層29においてTCP処理が行われる(S119)。その後、図示しないサーバ機側代理サーバのポート(XS・PT)を介してサーバ機側代理サーバ23に引き渡される(S120)。サーバ機側代理サーバ23に引き渡された加工送信データは、アプリケーション層の独自プロトコル処理が行われるとともに(S121)、上記サーバ機側代理サーバ23の解凍処理手段により解凍され、復号化処理手段によって復号化され、セキュリティ処理手段によってセキュリティ処理が行われて、送信データが復元される(S122)。
次に、復元された上記送信データは、上記サーバ機側代理サーバ23から、サーバ機2に向けて転送される(S124)。上記サーバ機側代理サーバ23は、独立したオペレーションシステム28によって作動しているため、通常の手順にしたがって送信データが転送される。すなわち、アプリケーション層のプロトコル処理、トランスポート層29のTCP処理、インターネット層30のIP処理、ネッワークインターフェース層31のイーサネットプロトコル処理が順次行われて(S125)、上記復元送信データが、サーバ機側代理サーバ機3のネットワークインターフェースからサーバ機2に向けて転送される(S126)。このときの復元送信データのパケットヘッダの状態を図11のH4欄に示す。上記サーバ機側代理サーバ機と上記サーバ機は、社内LAN等で接続されることが多いため、通信負荷は小さい。
上記サーバ機2は、ネットワークインターフェースを介して上記加工送信データを受取り(S127)、ネッワークインターフェース層のイーサネットプロトコル処理、インターネット層のIP処理、トランスポート層のTCP処理(S128)、アプリケーション層のプロトコル処理(S129)が順次行われる。そして、上記復元送信データが上記サーバ機側アプリケーションソフトウエア22に受け取られ(S130)、送信データの処理が行われる(S131)。これにより、クライアント機側アプリケーションソフトウエア5からサーバ機側アプリケーションソフトウエア22へのデータ送信が終了する。
次に、図9及び図10に基づいて、上記サーバ機側アプリケーションソフトウエア22から、上記送信データに対する応答データを上記クライアント機側アプリケーションソフトウエア5に送信する手順について説明する。
まず、サーバ機側アプリケーションソフトウエア22によって応答データが生成されて、クライアント機側アプリケーションソフトウエア5に向けて送信が指示される(S201)。
上記応答データは、アプリケーションプロトコル処理がなされ(S202)、通常の送信手続と同様に、トランスポート層のTCP処理、インターネット層のIP処理、ネッワークインターフェース層のイーサネットプロトコル処理が順次行われて(S203)、ネットワークインターフェースからサーバ機側代理サーバ23に向けて転送される。この時のパケットヘッダの状態を図12のH5欄に示す。
上記サーバ機側代理サーバ23は、上述したように、独立したオペレーションシステム28で作動しているため、上記応答データを通常の手順で受信する(S205〜S207)。なお、受信手順(プロトコル処理)は、上述した加工送信データを受け取る場合と同様であるので説明は省略する。
上記サーバ機側代理サーバ23では、クライアント機側代理サーバ6と同様に、上記応答データに対して、データの暗号化処理、圧縮処理、セキュリティ情報の付加等がなされて加工応答データが生成される。(S208)。
上記加工応答データは、独自プロトコル処理(S209)された後、通常の送信手順、すなわち、TCP/IP処理、イーサネットプロトコル処理が行われて(S210)、ネットワークインターフェース及びネットワーク4を介してクライアント機側代理サーバに向けて送信される(S211)。この時のパケットヘッダの状態を図12のH6欄に示す。
図6に、クライアント機1が応答データを受信した後のデータ経路の概略を示す。上記クライアント機1は、上加工応答データをネットワークインターフェースに受信し(S214)、上記フィルタドライバ10によって、パケットヘッダが解析される(S215)。上記パケットヘッダは、図12のH6欄に示すように、サーバ機側代理サーバ23からクライアント機側代理サーバに向かうように設定されているため、上記フィルタドライバ10を通過して、通常の受信手順と同様に、上記クライアント機側代理サーバ6に受信される。通信システム8における受信手続は、上述した手順と同様であるので説明は省略する(S216、S217)。
一方、本実施の形態では、上記以外のパケットヘッダが付加されていた場合は、データが廃棄される(S229)。なお、あらかじめフィルタリングルールを定めることにより、上記クライアント機側アプリケーションに直接受信させることもできる。本システム専用の機器の場合は、上述した条件を満たさないパケットすべてを廃棄するように構成するのが、セキュリティ上望ましい。
上記クライアント機側代理サーバ6では、独自プロトコル処理が行われ(S218)、解凍機能により上記加工応答データを解凍し、復号化手段により暗号化されたデータを復号し、セキュリティ解除処理が行われて、上記サーバ機側アプリケーションソフトウエアで生成した応答データが復元される(S219)。
上記復元応答データは、クライアント機側代理サーバ6からクライアント機側アプリケーションソフトウエア5に転送される。上記転送手順においても通常のプロトコル処理が行われるが(S220)、このとき、上記通信システム8のプロトコル処理において、図12のH7欄に示すように、上記復元応答データの送信先ヘッダをサーバ機側アプリケーションソフトウエアのIPアドレス(AS・IP)に設定する一方、ポート番号をクライアント機側アプリケーションソフトウエアが使用するもの(AC・PT)に設定する。すなわち、復元した応答データをサーバ機側アプリケーションソフトウエア22に向かうかのように設定して転送するのである(S221)。上記設定は、一見矛盾するように見える。しかし、本実施の形態では、インターネットに送出するまでにフィルタドライバ10に上記パケットヘッダを検出及び解析させ、真正な送信先に対応するヘッダに書き換える。
すなわち、上記ヘッダが付加された応答データが、上記フィルタドライバ10に受信されると、サーバ機側アプリケーションソフトウエアのIPアドレスとクライアント機側アプリケーションポート番号を検出することにより、経路変更対象であると判断して(S222でY)、上記ヘッダを書き換える。
上記ヘッダの書換えは、クライアント機側アプリケーションソフトウエア5からの送信データを受信した際に生成された上記変換テーブル21に基づいて行われる。すなわち、図12のH8欄に示すように、送信元IPアドレス及び送信元ポート番号をサーバ機側アプリケーションソフトウエアとするものに書換えられるとともに、送信先IPアドレス及び送信先ポート番号をクライアント機側アプリケーションソフトウエア5とするものに書き換える(S223)。これにより、変転データの経路が変更され、サーバ機側アプリケーションソフトウエア22からクライアント機側アプリケーションソフトウエア5へデータが転送されたものとして、クライアント機側アプリケーションソフトウエアにループバック転送される(S224)。
ヘッダが書換えられた応答データの上記ループバック転送は、クライアント機の通信システム8の通常の受信手順によって行われる。すなわち、イーサネットプロトココル受信処理、IP受信処理及びTCPorUDP受信処理がなされ(S225)、アプリケーションレベルのプロトコル処理が行われて(S226)、クライアント機側アプリケーションソフトウエアに応答データが受信される(S227)。これにより、クライアント機側アプリケーションソフトウエア5と、サーバ機側アプリケーションソフトウエア22との間の、送信及び応答処理が完結する。
本実施の形態では、ネットワークインターフェース層9におけるパケットフィルタリングの手法と、クライアント機側代理サーバ及びサーバ機側代理サーバのアプリケーションレベルの処理を複合して行えるため、非常に高いセキュリティを得ることができる。
また、送信データに上記パケットフィルタリング処理を行うとともに、同一のオペレーションシステムで作動する代理サーバにて、圧縮等の二次的処理を行うように構成している。このため、種々のアプリケーションソフトウエア、すなわち、種々のアプリケーション層レベルのプロトコルに対応することが可能となる。
さらに、クライアント機側代理サーバは、クライアント機の特定の通信ポートのみを待ち受け状態とするため、外部からの不正な侵入の危険性を低下させることができる。
また、一見したところでは、クライアント機側代理サーバとサーバ機側代理サーバ間のデータの授受と認識できるため、不正な侵入者がクライアント機側アプリケーションレベルまで侵入することは極めて困難である。また、本システムでは、クライアント機にのみフィルタドライバを設けることにより、セキュリティを格段に高めることができる。
しかも、クライアント機側とサーバ機側に代理サーバを設けているため、独自のプロトコル処理を容易に行うことが可能となり、セキュリティ性をさらに高めることができる。この結果、上記システムを用いることにより、非常にセキュリティ性の高いプライベートバーチャルネットワークを構成することが可能となる。
本願発明は、上述の実施の形態に限定されることはない。実施の形態では、一つのクライアント機と一つのサーバ機との間の情報交換に本願発明を適用したが、複数のクライアントと一つのサーバ間の情報通信に本願発明を適用できる。また、一つのサーバ側代理サーバを設けたが、クライアントあるいはグループクライアントに応じて複数のサーバ側代理サーバを設けることもできる。
また、実施の形態では、クライアント機側代理サーバから送信されるすべての通信データをクライアント機側代理サーバに戻し転送するように構成したが、アプリケーションソフトウエアや送信先に応じて、フィルタドライバを通過させて、上記代理サーバを介さずに通信できるように設定することもできる。
1 クライアント機
3 サーバ機側代理サーバ機
4 インターネット
5 クライアント機側アプリケーションソフトウエア
6 クライアント機側代理サーバ
10 フィルタドライバ
22 サーバ機側アプリケーションソフトウエア
3 サーバ機側代理サーバ機
4 インターネット
5 クライアント機側アプリケーションソフトウエア
6 クライアント機側代理サーバ
10 フィルタドライバ
22 サーバ機側アプリケーションソフトウエア
Claims (14)
- クライアント機側アプリケーションソフトウエアで生成された送信データを、インターネットを介してサーバ機側アプリケーションソフトウエアに送信するデータ通信方法であって、
上記クライアント機に、上記アプリケーションソフトウエアと同一のオペレーションシステムで作動するクライアント機側代理サーバと、上記クライアント機のネットワークインターフェース層で作動するフィルタドライバとを設ける一方、
上記サーバ機側に、上記サーバ機側アプリケーションソフトウエアと異なるオペレーションシステムで作動するサーバ機側代理サーバ機を設け、
上記送信データを通信プロトコル処理した後、上記フィルタドライバによって上記クライアント機側代理サーバに向けて戻し転送する送信データループバック行程と、
上記クライアント機側代理サーバに受信した上記送信データに所定の加工を施して加工送信データを生成する加工送信データ生成行程と、
上記加工送信データを、所定のポート及びネットワークインターフェースを介して、上記クライアント機側代理サーバから、上記サーバ機側代理サーバ機に向けて送信する加工送信データ送信行程と、
上記サーバ機側代理サーバ機で受信した加工送信データを、上記クライアント機側代理サーバに受信した送信データに復元するデータ復元行程と、
復元した上記送信データを、上記代理サーバ機から上記サーバ機側アプリケーションソフトウエアに向けて転送する復元送信データ転送行程とを含む、データ通信方法。 - 上記送信データループバック行程は、
上記フィルタドライバのヘッダ解析機能を用いて、上記通信プロトコル処理された送信データが、上記クライアント機側アプリケーションソフトウエアから上記サーバ機側アプリケーションソフトウエアに向けたものであるかどうかを検出するヘッダ解析行程と、
上記送信データが上記クライアント機側アプリケーションソフトウエアからサーバ機側アプリケーションソフトウエアに向けたものである場合に、上記フィルタドライバの変換テーブル生成機能を用いて、上記送信データのヘッダから送信元及び送信先データを注出して構成されるヘッダ変換テーブルを、クライアント機側メモリ領域に生成する変換テーブル生成行程と、
上記フイルタドライバのヘッダ書換え機能を用いて、上記送信データのヘッダを、上記サーバ機側アプリケーションソフトウエアから上記クライアント機側代理サーバに向かうかのように書換えるヘッダ書換え行程と、
上記ヘッダを書き換えた送信データを、上記クライアント機側代理サーバに戻し送信する戻し転送行程とを含む、請求項1に記載のデータ通信方法。 - 上記データ加工行程は、圧縮処理行程又は/及びセキュリティ処理行程を含む、請求項1又は請求項2のいずれかに記載のデータ通信方法。
- 請求項1から請求項3に記載したデータ通信方法であって、
上記サーバ機側アプリケーションソフトウエアが、受信した上記送信データに基づいて応答データを生成する応答データ生成行程と、
上記応答データをサーバ機側代理サーバに機に向けて転送する応答データ転送行程と、
上記サーバ機側代理サーバ機に受信した上記応答データに所定の加工を施して加工応答データを生成する加工応答データ生成行程と、
上記加工応答データを、上記サーバ機側代理サーバ機のネットワークインターフェースを介して、上記クライアント機側代理サーバに向けて送信する加工応答データ送信行程と、
上記クライアント機側代理サーバが、上記加工応答データを所定のポートを介して受信する加工応答データ受信行程と、
上記クライアント機側代理サーバに受信した加工応答データを、上記サーバ機側代理サーバ機に受信した応答データに復元する応答データ復元行程と、
上記復元応答データを、上記サーバ機側アプリケーションソフトウエアに向かうように通信プロトコル処理した後、上記フィルタドライバによって上記クライアント機側アプリケーションソフトウエアに戻し転送する応答データループバック行程と、
上記クライアント機側アプリケーションソフトウエアが、上記応答データを受信する応答データ受信行程とを含む、データ通信方法。 - 上記応答データループバック行程は、
上記フィルタドライバのヘッダ解析機能を用いて、通信プロトコル処理された上記応答データが、上記クライアント機側代理サーバから上記サーバ機側アプリケーションソフトウエアに向けたものであるかどうかを検出するヘッダ解析行程と、
上記応答データが上記クライアント機側代理サーバから上記サーバ機側アプリケーションソフトウエアに向けたものである場合に、上記変換テーブルに基づいて、上記フィルタドライバのヘッダ書換え機能を用いて、上記応答データのヘッダを、上記サーバ機側アプリケーションソフトウエアから上記クライアント機側アプリケーションソフトウエアに向かうようように書換える返信ヘッダ書換え行程と、
上記ヘッダを書き換えた応答データを、上記クライアント機側アプリケーションソフトウエアに戻し転送する応答データ戻し転送行程とを含む、請求項4に記載のデータ通信方法。 - 上記変換テーブル生成行程は、送信データあるいは応答データのヘッダから、送信元マックアドレス、送信元IPアドレス、送信元ポート番号、送信先マックアドレス、送信先IPアドレス及び送信先ポート番号を注出して上記変換テーブルを生成する、請求項1から請求項5のいずれかに記載のデータ通信方法。
- 少なくとも、上記クライアント機側代理サーバと上記フィルタドライバとの間では、特定のポートを用いてデータの通信を行うように設定した請求項1から請求項6のいずれかに記載のデータ通信方法。
- クライアント機で生成された送信データを、インターネット及びサーバ機側に設けたサーバ機側代理サーバ機を介してサーバ機に送信するデータ通信システムであって、
上記クライアント機は、
演算装置と、記憶装置と、上記ネットワークに対してデータを入出力できるデータ入出力装置とを備えるとともに、
上記サーバ機側のアプリケーションソフトウエアに対する送信データを生成できるクライアント機側アプリケーションソフトウエアと、
上記アプリケーションソフトウエアプログラムと同一のオペレーションシステムで作動し、データに対して所定の加工を行うことのできるクライアント機側代理サーバソフトウエアと、
上記ネットワークに対してデータを送受信できる通信プログラムと、
上記クライアント機のネットワークインターフェース層で作動するとともに、所定の条件を満たすヘッダの付された通信データを検出して、上記ヘッダを変更することにより転送先を変更できるフィルタドライバとを備え、
上記サーバ機側代理サーバ機は、
演算装置と、記憶装置と、上記ネットワークに対してデータを入出力できるデータ入出力装置とを備えるとともに、
受信したデータに所定の加工を施すことのできるデータ加工手段を含むサーバソフトウエアと、
上記各ネットワークに対してデータを送受信できる通信手段とを備え、
上記サーバ機は、
演算装置と、記憶装置と、上記ネットワークに対してデータを入出力できるデータ入出力装置とを備えるとともに、
上記クライアント機側アプリケーションソフトウエアプログラムから受信したデータに基づいて、データ処理を行い返答データを生成できるサーバ機側アプリケーションソフトウエアと、
上記代理サーバ機に対してデータの送受信を行う通信手段とを備える、
データ通信システム。 - 上記フィルタドライバは、
上記データ入出力装置を通過しようとするデータのパケットヘッダを解析して所定の条件をを満たすデータを検出できるヘッダ解析機能と、
上記所定の条件を満たすデータの送信元データ及び送信先データを注出して、クライアント機側のメモリ領域に、上記送信元データ及び上記送信先データから構成されるヘッダ変換テーブルを生成できる変換テーブル生成機能と、
上記変換テーブル及びあらかじめ設定された変換テーブルに基づいて、上記データのヘッダを書き換えて送信先を変更する送信先変更機能とを備えて構成されている、請求項8に記載のデータ通信システム。 - 上記ヘッダ解析機能によって、上記クライアント機側アプリケーションソフトウエアで生成されて上記サーバ機側アプリケーションソフトウエアに向かうデータが検出され、
上記変換テーブル生成機能によって、上記変換テーブルが生成され,
上記送信先変更機能によって、上記データのヘッダが上記クライアント機側代理サーバに向かうように書換えられる、請求項9に記載のデータ通信システム。 - 上記ヘッダ解析機能によって、上記クライアント機側代理サーバから上記サーバ機側アプリケーションソフトウエアへ向かうデータが検出され、
上記ヘッダ書換え機能によって、上記データのヘッダが、上記クライアント機側アプリケーションソフトウエアに向かうように書換えらる、請求項9又は請求項10のいずれかに記載のデータ通信システム。 - 上記加工手段は、データの圧縮加工手段及び/又はデータのセキュリティ加工手段である、請求項9から請求項11のいずれに記載のデータ通信システム。
- 上記フィルタドライバと上記クライアント機側代理サーバ間は、所定のポートを用いてデータの交換が行なわれる、請求項9から請求項12のいずれかに記載のデータ通信システム。
- 請求項9から請求項13のいずれかに記載した通信システムを用いて構築した、バーチャルプライベートネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005320659A JP4700473B2 (ja) | 2005-11-04 | 2005-11-04 | データ通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005320659A JP4700473B2 (ja) | 2005-11-04 | 2005-11-04 | データ通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007129534A true JP2007129534A (ja) | 2007-05-24 |
| JP4700473B2 JP4700473B2 (ja) | 2011-06-15 |
Family
ID=38151824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005320659A Expired - Fee Related JP4700473B2 (ja) | 2005-11-04 | 2005-11-04 | データ通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4700473B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009157067A1 (ja) * | 2008-06-25 | 2009-12-30 | 富士通株式会社 | 試験装置及び方法 |
| JP2012185799A (ja) * | 2011-02-17 | 2012-09-27 | Canon Electronics Inc | 情報処理装置及びその制御方法、コンピュータプログラム |
| JP2014130570A (ja) * | 2012-11-29 | 2014-07-10 | Ricoh Co Ltd | 機器、情報処理システム、情報処理方法、及びプログラム |
| US9823944B2 (en) | 2014-11-12 | 2017-11-21 | Fujitsu Limited | Deployment control device and deployment control method for deploying virtual machine for allowing access |
| JP2018207436A (ja) * | 2017-06-09 | 2018-12-27 | 日本電信電話株式会社 | トラヒック制御装置、方法、およびプログラム |
| CN111095137A (zh) * | 2018-01-22 | 2020-05-01 | 欧姆龙株式会社 | 控制装置、控制方法和控制程序 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11507152A (ja) * | 1996-03-22 | 1999-06-22 | ベル コミュニケーションズ リサーチ,インコーポレイテッド | リモート・プロキシ・システムおよび方法 |
| JPH11272581A (ja) * | 1998-03-25 | 1999-10-08 | Toshiba Corp | メール伝送方法ならびにシステム及び同方法がプログラムされ記録される記録媒体 |
| JP2000101640A (ja) * | 1998-09-18 | 2000-04-07 | Mitsubishi Electric Corp | クライアント/サーバシステム |
| JP2000276455A (ja) * | 1999-03-26 | 2000-10-06 | Toshiba Corp | 耐障害コンピュータシステム |
| JP2003099338A (ja) * | 2001-09-20 | 2003-04-04 | Mitsubishi Electric Corp | 冗長構成ネットワーク管理システム |
| WO2004092205A1 (en) * | 2003-04-16 | 2004-10-28 | Debio Recherche Pharmacuetique S.A. | Hydroxy-substituted-20-acyloxy-camptothecin polymer derivatives and use of the same for the manufacture of a medicament |
| JP2005192157A (ja) * | 2003-12-26 | 2005-07-14 | Digital Design Co Ltd | データ通信方法及びデータ通信システム |
-
2005
- 2005-11-04 JP JP2005320659A patent/JP4700473B2/ja not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11507152A (ja) * | 1996-03-22 | 1999-06-22 | ベル コミュニケーションズ リサーチ,インコーポレイテッド | リモート・プロキシ・システムおよび方法 |
| JPH11272581A (ja) * | 1998-03-25 | 1999-10-08 | Toshiba Corp | メール伝送方法ならびにシステム及び同方法がプログラムされ記録される記録媒体 |
| JP2000101640A (ja) * | 1998-09-18 | 2000-04-07 | Mitsubishi Electric Corp | クライアント/サーバシステム |
| JP2000276455A (ja) * | 1999-03-26 | 2000-10-06 | Toshiba Corp | 耐障害コンピュータシステム |
| JP2003099338A (ja) * | 2001-09-20 | 2003-04-04 | Mitsubishi Electric Corp | 冗長構成ネットワーク管理システム |
| WO2004092205A1 (en) * | 2003-04-16 | 2004-10-28 | Debio Recherche Pharmacuetique S.A. | Hydroxy-substituted-20-acyloxy-camptothecin polymer derivatives and use of the same for the manufacture of a medicament |
| JP2005192157A (ja) * | 2003-12-26 | 2005-07-14 | Digital Design Co Ltd | データ通信方法及びデータ通信システム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009157067A1 (ja) * | 2008-06-25 | 2009-12-30 | 富士通株式会社 | 試験装置及び方法 |
| JP5003821B2 (ja) * | 2008-06-25 | 2012-08-15 | 富士通株式会社 | 試験装置及び方法 |
| JP2012185799A (ja) * | 2011-02-17 | 2012-09-27 | Canon Electronics Inc | 情報処理装置及びその制御方法、コンピュータプログラム |
| US10063668B2 (en) | 2011-02-17 | 2018-08-28 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, control method thereof, and computer program |
| JP2014130570A (ja) * | 2012-11-29 | 2014-07-10 | Ricoh Co Ltd | 機器、情報処理システム、情報処理方法、及びプログラム |
| US9823944B2 (en) | 2014-11-12 | 2017-11-21 | Fujitsu Limited | Deployment control device and deployment control method for deploying virtual machine for allowing access |
| JP2018207436A (ja) * | 2017-06-09 | 2018-12-27 | 日本電信電話株式会社 | トラヒック制御装置、方法、およびプログラム |
| CN111095137A (zh) * | 2018-01-22 | 2020-05-01 | 欧姆龙株式会社 | 控制装置、控制方法和控制程序 |
| CN111095137B (zh) * | 2018-01-22 | 2023-08-08 | 欧姆龙株式会社 | 控制装置、控制方法和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4700473B2 (ja) | 2011-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11477224B2 (en) | Rule-based network-threat detection for encrypted communications | |
| US9197616B2 (en) | Out-of-band session key information exchange | |
| US6751728B1 (en) | System and method of transmitting encrypted packets through a network access point | |
| US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| US6076168A (en) | Simplified method of configuring internet protocol security tunnels | |
| US9237059B2 (en) | Method and apparatus for dynamic mapping | |
| KR100940525B1 (ko) | 소켓 레벨 가상 사설망 통신 장치 및 방법 | |
| US7650500B2 (en) | Encryption communication system | |
| JP4766574B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| US6836795B2 (en) | Mapping connections and protocol-specific resource identifiers | |
| US7657737B2 (en) | Method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server | |
| TWI274487B (en) | Password device and method, password system | |
| US20120131330A1 (en) | System and Method for Processing Secure Transmissions | |
| US20080141020A1 (en) | Method and Apparatus for Providing Secure Streaming Data Transmission Facilities Using Unreliable Protocols | |
| JP3831364B2 (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 | |
| EP1269709B1 (en) | Proxy network address translation | |
| US20080130900A1 (en) | Method and apparatus for providing secure communication | |
| JP4700473B2 (ja) | データ通信方法 | |
| JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
| KR100479261B1 (ko) | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| US7207063B1 (en) | Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol | |
| CN106355101B (zh) | 一种面向简易存储服务的透明文件加解密系统及其方法 | |
| JP7008451B2 (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
| JP4874037B2 (ja) | ネットワーク機器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081030 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081030 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100823 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110304 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4700473 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |