JP2008005434A - 通信制御装置、通信制御方法および通信制御プログラム - Google Patents

通信制御装置、通信制御方法および通信制御プログラム Download PDF

Info

Publication number
JP2008005434A
JP2008005434A JP2006175688A JP2006175688A JP2008005434A JP 2008005434 A JP2008005434 A JP 2008005434A JP 2006175688 A JP2006175688 A JP 2006175688A JP 2006175688 A JP2006175688 A JP 2006175688A JP 2008005434 A JP2008005434 A JP 2008005434A
Authority
JP
Japan
Prior art keywords
communication device
message
communication
firewall
external communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006175688A
Other languages
English (en)
Other versions
JP4224084B2 (ja
Inventor
Yoshimichi Tanizawa
佳道 谷澤
Naoki Ezaka
直紀 江坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2006175688A priority Critical patent/JP4224084B2/ja
Priority to US11/650,936 priority patent/US8136144B2/en
Publication of JP2008005434A publication Critical patent/JP2008005434A/ja
Application granted granted Critical
Publication of JP4224084B2 publication Critical patent/JP4224084B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

【課題】通信時の安全性を向上させる通信制御装置を提供すること。
【解決手段】外部端末200を認証し、認証結果を認証状態テーブル111に保存する認証部102と、外部端末200と内部通信装置との間で通信を許可する第1アプリケーションに関する情報を含む第1メッセージをセッションサーバ300から受信する受信部101と、第1メッセージを受信するごとに、認証状態テーブル111に保存された認証結果を参照して外部端末200が認証されているか否かを判断する判断部103と、外部端末200が認証されていると判断された場合に、第1アプリケーションで利用する第1ポートと外部端末200のアドレスとを含む第2メッセージを生成する生成部104と、第2メッセージをファイアウォール400に送信する送信部105と、を備えた。
【選択図】 図1

Description

この発明は、通信制御する通信制御装置、通信制御方法および通信制御プログラムに関するものである。
近年、SBC(Session Border Controller)と呼ばれる製品が提供されている。SBCとは、ファイアウォールを介してインターネットに接続されている内部ネットワークで動作する装置であり、セッション制御プロトコルを利用してセッション制御を行うセッションサーバと、セッションサーバにより制御されるファイアウォールとを含む製品群をいう。
セッションサーバは、セッション制御プロトコルの実行結果から、ファイアウォールを介した新たなセッションの確立が必要であると判断した場合、セッション制御プロトコルの実行結果より新たなセッションに利用するアドレスおよびポート番号を特定し、新たなセッションの通過を許可するようにファイアウォールを設定する。
SBCにおけるセッションサーバのように、ファイアウォールの設定を外部から変更する装置に関する技術は広く用いられている。例えば、特許文献1では、ネットワークアクセス認証を行った後、その認証結果に応じて異なる値をファイアウォールのQoS(Quality of Service)パラメタとして設定する技術が提案されている。
一方、内部ネットワークに対する接続を許可するためのネットワークアクセス認証を行う認証エージェントと呼ばれる装置も提供されている。SBCに認証エージェントが含まれる場合には、外部端末は、認証エージェントにより認証された後、セッションサーバを介して通信相手端末とデータ通信に利用するセッションに関するネゴシエーションを行い、利用するポート番号を決定する。そして、セッションサーバが、決定されたポート番号による通信が可能となるようにファイアウォールを設定する。
米国特許出願公開第2003/0142681号明細書
しかしながら、従来の技術では、通信確立後のデータセッション開始時のセキュリティ確保が不完全であった。すなわち、従来の技術では、外部端末がネットワークアクセス認証で許可されたセッション制御プロトコルなどを利用して新たに別のデータセッションを開始する際、セッションサーバは、先に行ったネットワークアクセス認証結果を確認せずにファイアウォールの制御を行っていた。
このため、ネットワークアクセス認証済みの外部端末によるデータセッションの確立であることを検証できず、ネットワークアクセス認証を行っていない端末のためにファイアウォールの制御を行う可能性があるという問題があった。
本発明は、上記に鑑みてなされたものであって、ファイアウォール外の外部端末と、ファイアウォール内の内部ネットワークの通信相手端末との間の通信時の安全性を向上させることができる通信制御装置、通信制御方法および通信制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、ファイアウォール外の外部ネットワークに接続された外部通信装置と前記ファイアウォール内の内部ネットワークに接続された内部通信装置との間の通信を確立するサーバ装置と、前記ファイアウォールとに前記内部ネットワークを介して接続可能な通信制御装置であって、外部通信装置を認証し、認証結果を得る認証手段と、前記認証結果を前記外部通信装置の識別情報と関連づけて記憶可能な第1記憶手段と、前記外部通信装置と前記内部通信装置との間の通信に用いる第1アプリケーションに関する情報と、前記外部通信装置の識別情報とを含む第1メッセージを前記サーバ装置から受信する受信手段と、前記第1メッセージに含まれる前記外部通信装置の識別情報から前記外部通信装置が認証済みか否かを前記第1記憶手段を用いて判断する判断手段と、前記判断手段により前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションを用いて前記外部通信装置が前記内部通信装置との間で通信を行うための第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する生成手段と、生成した前記第2メッセージを前記ファイアウォールに送信する送信手段と、を備えたことを特徴とする。
また、本発明は、上記装置を実行することができる通信制御方法および通信制御プログラムである。
また、本発明は、通信を許可するポートの設定を行うファイアウォールと、前記ファイアウォール外の外部ネットワークに接続された外部通信装置と、前記ファイアウォール内の内部ネットワークに接続された内部通信装置と、前記外部通信装置と前記内部通信装置との間の通信を確立するサーバ装置と、前記サーバ装置および前記ファイアウォールに前記内部ネットワークを介して接続された通信制御装置と、を備えた通信システムにおける通信制御方法であって、前記外部通信装置によって、認証を要求する第1メッセージを前記通信制御装置に送信する第1送信ステップと、前記通信制御装置の受信手段によって、前記第1メッセージを前記外部通信装置から受信する第1受信ステップと、前記通信制御装置の認証手段によって、受信した前記第1メッセージに基づいて前記外部通信装置を認証し、認証結果を得る認証ステップと、前記通信制御装置の生成手段によって、認証した前記外部通信装置と前記サーバ装置との間の通信確立に用いるプロトコルで利用する第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する第1生成ステップと、前記通信制御装置の送信手段によって、生成した前記第2メッセージを前記ファイアウォールに送信する第2送信ステップと、前記ファイアウォールによって、前記第2メッセージを受信し、受信した前記第2メッセージに基づいて、前記外部通信装置に対して前記第1ポートによる通信を許可する許可ステップと、前記外部通信装置によって、許可された前記第1ポートを利用して、前記外部通信装置と前記内部通信装置との間で利用する第1アプリケーションによる通信の確立を前記サーバ装置に対して要求する要求ステップと、前記サーバ装置によって、前記外部通信装置と前記内部通信装置との間で前記第1アプリケーションによる通信を確立し、通信を確立した前記第1アプリケーションに関する情報と、通信装置の識別情報とを含む第3メッセージを前記通信制御装置に送信する第3送信ステップと、前記通信制御装置の受信手段によって、前記サーバ装置から前記第3メッセージを受信する第2受信ステップと、前記通信制御装置の判断手段によって、前記第3メッセージを受信するごとに、前記認証結果を前記外部通信装置の識別情報と関連づけて記憶可能な記憶手段に保存された前記認証結果を参照して前記外部通信装置が認証されているか否かを判断する判断ステップと、前記通信制御装置の生成手段によって、前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションで利用する第2ポートを前記ファイアウォールに設定するための第4メッセージを生成する第2生成ステップと、前記通信制御装置の送信手段によって、生成した前記第4メッセージを前記ファイアウォールに送信する第4送信ステップと、前記ファイアウォールによって、前記第4メッセージを受信し、受信した前記第4メッセージに基づいて、前記外部通信装置に対して前記第2ポートによる通信を許可する許可ステップと、を備えたことを特徴とする。
本発明によれば、外部端末と内部ネットワーク上の通信相手端末との間のデータ通信を許可する際に、常に外部端末のネットワークアクセス認証結果を検証した上で、通信の可否を決定することができる。このため、外部端末と通信相手端末との間の通信時の安全性を向上させることができるという効果を奏する。
以下に添付図面を参照して、この発明にかかる通信制御装置、通信制御方法および通信制御プログラムの最良な実施の形態を詳細に説明する。
本実施の形態にかかる通信制御装置は、ファイアウォール外の外部ネットワーク上の外部端末と、ファイアウォール内の内部ネットワーク上の通信相手端末との間のデータ通信を許可する際に、外部端末のネットワークアクセス認証結果を検証して通信の可否を決定するものである。
また、本実施の形態にかかる通信制御装置は、ファイアウォールの設定に必要な情報を一元管理し、セッションサーバからの依頼に応じて通信の可否を決定し、ファイアウォールの設定を制御するものである。
さらに、本実施の形態にかかる通信制御装置は、許可済みのアプリケーションの情報を参照し、さらに許可が依頼されたアプリケーションに対して許可の可否を判定するものである。
図1は、本実施の形態にかかる通信制御装置としての認証エージェント100を含むシステム全体の構成を示す説明図である。同図に示すように、本システムは、ファイアウォール(FW)400と、FW400内部のネットワークである内部ネットワーク20に接続された認証エージェント100、セッションサーバ300、および通信相手端末500と、FW400の外部のネットワークである外部ネットワーク10に接続された外部端末200とを含んでいる。
本システムは、例えば、企業向けのVoIP(Voice over Internet Protocol)システムなどに適用することができる。
外部端末200は、SIP(Session Initiation Protocol)によりセッション制御を実行してデータ通信を行うモバイルコンピュータなどにより構成することができる。なお、セッション制御プロトコルはSIPに限られるものではない。
そして、外部端末200は、ネットワークアクセス認証のため、認証プロトコルPANA(Protocol for carrying Authentication for Network Access)のクライアントとして動作する。ネットワークアクセス認証に利用する認証IDとしては、URIを利用することができる。認証IDは、ネットワークアクセス認証の際に利用するほか、セッション制御に利用するメッセージで送信される。また、セッション制御で通信を確立後にデータ通信を行うプロトコルとしては、RTP(Real-time Transport Protocol)などのあらゆるプロトコルを利用できる。
内部ネットワーク20は、例えば、ある組織にて管理される同一ドメインのネットワークが該当しうる。同図に示すように、内部ネットワーク20内には、少なくともFW400、認証エージェント100、セッションサーバ300、通信相手端末500が含まれる。なお、これらの装置は、いずれか2つ以上が、同一のコンピュータ上で動作するように構成してもよい。また、内部ネットワーク20内に、セッションサーバ300、通信相手端末500、およびFW400がそれぞれ複数存在するように構成してもよい。
セッションサーバ300は、SIPを利用して、端末間で行われるデータ通信のためのセッション制御を行うサーバ装置である。本実施の形態では、セッションサーバ300は、外部端末200とその通信相手端末500との間で行われるデータ通信のためのセッション制御を行う。
外部端末200と通信相手端末500とは、SIPを利用して、セッションサーバ300を介して互いにデータ通信する際に利用するセッションに関するネゴシエーションを行う。この際、セッションサーバ300は、データ通信として利用するアプリケーションプロトコル(以下、アプリケーションという。)名と、利用するポート番号とを識別する。
通信相手端末500は、外部端末200が通信を行う相手となる内部ネットワーク20内の装置である。通信相手端末500は、セッションサーバ300を介して外部端末200との間のセッション制御を行う。また、通信相手端末500は、外部端末200との間でデータ通信を行うためにSIPやRTPなどのあらゆるプロトコルを利用することができる。なお、通信相手端末500も、外部端末200と同様に認証エージェント100で認証するように構成してもよい。
FW400は、内部ネットワーク20と、インターネットなどの外部ネットワーク10との境界に存在し、内部ネットワーク20と外部ネットワーク10との間の許可されない通信を防止するための装置である。
FW400は、特定の外部端末200のIPアドレスとポート番号との組を設定することにより、設定した外部端末200が、設定したアプリケーションによる内部ネットワーク20内の装置と通信することを許可する。
FW400は、認証エージェント100から、例えばSNMPv3(Simple Network Management Protocol Version 3)などの特定のトランスポートプロトコルを用いて特定のデータフォーマットのメッセージを受信し、受信したメッセージに従って、許可するIPアドレスとポート番号との組を追加および削除することにより、その設定を変更することができる。
認証エージェント100は、PANAの認証エージェントとして動作する装置であり、外部端末200との間でネットワークアクセス認証処理を実行し、ネットワークアクセスの可否を決定するものである。なお、認証プロトコルはPANAに限られるものではなく、外部に存在する認証サーバ(図示せず)を用いたRADIUSプロトコル(Remote Authentication Dial-In User Service)などのAAA(Authentication, Authorization and Accounting)プロトコルを適用するように構成してもよい。
また、本実施の形態の認証エージェント100は、ネットワークアクセス認証処理の他に、セッションサーバ300などから、特定のデータフォーマットによるFW400の制御のための制御依頼メッセージを受信した場合、制御依頼メッセージの正当性を検証した後、FW400を制御するための制御メッセージをFW400に対して送信する。
以下に、このように構成された装置を含む本システムの動作手順の概要を示す。動作は図1の括弧内の数値に対応した順序で実行される。
まず、(1)外部端末200が、認証エージェント100に対してネットワークアクセス認証を要求し、認証エージェント100がネットワークアクセス認証処理を行う。
次に、(2)認証エージェント100は認証済みの外部端末200とセッションサーバ300との間のセッション制御プロトコルによる通信用のポートの許可をFW400に対して依頼する。ここでセッションサーバは、外部端末と通信相手端末との間でネゴシエーションが行われるようにメッセージを中継する。
次に、(3)許可されたポートを用いて、外部端末200とセッションサーバ300との間で、通信相手端末500に対するセッション開始のためのネゴシエーションを実行する。
続いて、(4)セッションサーバ300は、ネゴシエーション結果に従い、外部端末200と通信相手端末500とのデータ通信に用いるポートの許可依頼を認証エージェント100に送信する。
次に、(5)認証エージェント100は、依頼に応じてデータ通信用のポートの許可依頼をFW400に対して送信する。FW400によるポートの設定が完了した後、(6)外部端末200と通信相手端末500とのデータ通信を開始することができる。
次に、認証エージェント100の構成の詳細について説明する。図2は、本実施の形態にかかる認証エージェント100の構成を示すブロック図である。同図に示すように、認証エージェント100は、第1記憶部110と、第2記憶部120と、第3記憶部130と、第4記憶部140と、第5記憶部150と、第6記憶部160と、受信部101と、認証部102と、判断部103と、生成部104と、送信部105と、を備えている。
第1記憶部110は、アクセス認証の認証結果を格納した認証状態テーブル111を記憶するものである。認証状態テーブル111は、判断部103が外部端末200に対する通信の許可の可否を判断する際に参照される。
図3は、認証状態テーブル111のデータ構造の一例を示す説明図である。同図に示すように、認証状態テーブル111は、外部端末200を一意に識別する認証IDと、現在のアクセス認証状態とを対応づけて格納している。アクセス認証状態は、認証エージェント100により認証された場合に「○」が、認証されなかった場合やセッションが切断された場合に「×」が設定される。
第2記憶部120は、FW400の設定情報を予め格納した設定情報テーブル121を記憶するものである。設定情報テーブル121は、生成部104がFW400に送信する制御メッセージを作成する際に参照される。
図4は、設定情報テーブル121のデータ構造の一例を示す説明図である。同図に示すように、設定情報テーブル121は、内部ネットワーク20内に存在する各FW400を一意に識別するFWIDと、IPアドレスと、メーカおよび機種名と、制御に利用するトランスポートプロトコルの種別を表す利用制御トランスポートと、制御に利用するメッセージフォーマットを表す利用制御フォーマットとを対応づけて格納している。なお、設定情報はこれに限られるものではなく、FW400の制御に必要な情報であればあらゆる情報を設定情報に含めることができる。
第3記憶部130は、外部端末200ごとにその通信を許可するために設定が必要なFW400を格納した対応FWテーブル131を記憶するものである。図5は、対応FWテーブル131のデータ構造の一例を示す説明図である。
同図に示すように、対応FWテーブル131は、外部端末200の認証IDと、対応しているFW400のFWIDとを対応づけて格納している。対応しているFW400とは、外部端末200が内部ネットワーク20内の装置との通信を行う際に利用できるFW400をいう。
なお、同図では、各FWIDで表されたFW400に対応している場合に「○」、対応していない場合に「×」を設定することで、対応しているFW400のFWIDを格納する例が示されている。
対応するFW400は、ネットワークアクセス認証時に認証要求メッセージから取得した外部端末200のIPアドレスと、事前に判明しているルーティング情報とから、認証した外部端末200に対応するものが特定され、対応FWテーブル131に設定される。
第4記憶部140は、許可済みのアプリケーションの後に許可することが可能なアプリケーションの情報に関する規則を格納した規則テーブル141を記憶するものである。規則テーブル141は、判断部103が、許可を依頼されたアプリケーションに対する許可の可否を判断する際に参照される。
図6は、規則テーブル141のデータ構造の一例を示す説明図である。同図に示すように、規則テーブル141は、許可済みアプリケーションと、許可済みアプリケーションとの後に許可しうるアプリケーションである許可可能アプリケーションとを対応づけて格納している。例えば、同図では、SIPが許可されている状態ではRTPとssh(Secure SHell)とが許可可能であることが示されている。
第5記憶部150は、外部端末200ごとに、通信を許可済みのアプリケーションに関する情報を格納した許可情報テーブル151を記憶するものである。許可情報テーブル151は、規則テーブル141と同様に、判断部103が、許可を依頼されたアプリケーションに対する許可の可否を判断する際に参照される。
図7は、許可情報テーブル151のデータ構造の一例を示す説明図である。同図に示すように、許可情報テーブル151は、外部端末200の認証IDと、外部端末200に対して許可したアプリケーションごとに、利用を許可したポート番号とを対応づけて格納している。
第6記憶部160は、各外部端末200のアドレス情報を格納したアドレステーブル161を記憶するものである。アドレステーブル161は、生成部104が、制御メッセージに設定する外部端末200のIPアドレスを取得するために参照される。
図8は、アドレステーブル161のデータ構造の一例を示す説明図である。同図に示すように、アドレステーブル161は、外部端末200の認証IDと、IPアドレスと対応づけて格納している。アドレステーブル161には、外部端末200のネットワークアクセス認証を行ったときのメッセージから取得された認証IDとIPアドレスとが設定される。
受信部101は、外部端末200から認証を要求する認証要求メッセージを受信するものである。認証要求メッセージには認証に利用する認証ID、パスワード、外部端末200のIPアドレスなどの情報が含まれ、認証プロトコルであるPANAの仕様に従って受信される。
また、受信部101は、外部端末200と通信相手端末500との間でネゴシエーションが完了したアプリケーションに関する通信を許可するポートの情報を含む制御依頼メッセージをセッションサーバ300から受信する。
図9は、制御依頼メッセージのデータ構造の一例を示す説明図である。同図に示すように、制御依頼メッセージは、セッションサーバ300のID情報と、セッションサーバ300のメッセージ認証のために用いるメッセージ認証情報と、制御対象となる外部端末200の認証IDと、許可を依頼するアプリケーション名と、アプリケーションが利用するポート番号とを含んでいる。なお、ポート番号の設定は必須ではない。
認証部102は、認証プロトコルであるPANAにより、外部端末200から受信した認証要求メッセージに従って外部端末200のネットワークアクセス認証処理を実行するものである。なお、上述のように認証プロトコルはPANAに限られるものではないため、他の認証プロトコルを利用する場合は、認証部102は、利用する認証プロトコルに従ってネットワークアクセス認証処理を実行する。
判断部103は、制御依頼メッセージをセッションサーバ300から受信した際に、認証状態テーブル111、規則テーブル141、許可情報テーブル151を参照して、依頼された外部端末200が認証済みか否か、および依頼されたアプリケーションが許可可能か否かを判断するものである。
生成部104は、認証部102が認証に成功した場合、認証した外部端末200と、セッションサーバ300との間で、SIPによる通信を許可するための制御メッセージを生成し、生成した制御メッセージを生成するものである。
また、生成部104は、判断部103により、依頼された外部端末200が認証済みであり、依頼されたアプリケーションを許可可能と判断された場合に、依頼されたアプリケーションによる通信を許可するための制御メッセージを生成する。
図10は、制御メッセージのデータ構造の一例を示す説明図である。同図に示すように、制御メッセージは、認証エージェント100のID情報と、認証エージェント100のメッセージ認証のために用いるメッセージ認証情報と、制御対象となる外部端末200のアドレス情報である制御対象端末IPアドレスと、許可を依頼するポート番号と、許可の時間制約などのFW400に関する固有の情報とを含んでいる。
制御対象端末IPアドレスと、許可を依頼するポート番号と、固有の情報とは暗号化して制御メッセージを生成する。なお、これらの情報を暗号化せずに制御メッセージを生成するように構成してもよい。
送信部105は、生成部104により生成された制御メッセージをFW400に送信するものである。また、送信部105は、外部端末200から受信した認証要求メッセージに対する応答メッセージを、外部端末200に送信する。応答メッセージは、認証プロトコルであるPANAの仕様に従って送信される。
次に、このように構成された本実施の形態にかかる認証エージェント100による通信制御処理について説明する。図11は、本実施の形態における通信制御処理の全体の流れを示すシーケンス図である。
同図は、外部端末200が、FW400の内部ネットワーク20に接続された通信相手端末500と通信を開始するまでに実行される処理を表した図である。
なお、同図の処理の前提として、認証エージェント100は、予め管理者による設定またはSNMPなどの管理プロトコルによって、内部ネットワーク20に存在するFW400に関する情報を取得し、設定情報テーブル121に格納しているものとする。
また、ルーティングの情報などの外部ネットワーク10との接続状況に関する情報も取得している。さらに、必要に応じてFW400、セッションサーバ300などと認証エージェント100との間で予めパスワード情報などを用いた信頼関係を構築するように構成してもよい。
まず、外部端末200が、予め取得している認証エージェント100のアドレスを用いて、認証要求メッセージを認証エージェント100に対して送信する(ステップS1101)。なお、外部端末200は、ネットワークアクセス認証プロトコルとしてPANAプロトコルを利用して、内部ネットワーク20に対して認証要求メッセージを送信する。
ここで、認証される主体は、外部端末200の機器そのものであっても、外部端末200を使用しているユーザであっても、またその両方であっても良い。本実施の形態では、認証IDとしてURIを利用する。例えば、外部端末200の認証IDを「tani@tani.org」などのようなURIで指定する。
認証エージェント100の受信部101は、外部端末200から送信された認証要求メッセージを受信する(ステップS1102)。
次に、認証部102による外部端末200のネットワークアクセス認証処理が実行される(ステップS1103)。ネットワークアクセス認証処理の詳細については後述する。認証エージェント100から送信されたネットワークアクセス認証処理の結果は、外部端末200で受信される(ステップS1104)。
認証に成功した場合、送信部105は、外部端末200とセッションサーバ300との間で、SIPによる通信許可を設定するための制御メッセージの生成等を行う制御メッセージ生成処理を実行する(ステップS1105)。制御メッセージ生成処理の詳細については後述する。なお、同図には示していないが、認証に失敗した場合は制御メッセージ生成処理以降の処理は実行されない。
次に、送信部105は、制御メッセージ生成処理で生成された制御メッセージをFW400に対して送信する(ステップS1106)。具体的には、送信部105は、制御メッセージ生成処理内で取得したFW400のIPアドレスを送信先アドレスとし、制御メッセージ生成処理内で取得したトランスポートプロトコルによって制御メッセージを送信する。
送信された制御メッセージを受信したFW400は、受信した制御メッセージに従って許可するアプリケーション、およびポートの設定を変更する(ステップS1107)。具体的には、まず、FW400は、メッセージに含まれている認証エージェント100のID情報、およびメッセージ認証情報などを用いて、信頼関係を結んでいる認証エージェント100からのメッセージであることを確認する。そして、FW400は、予め保持している対応する鍵でメッセージを復号する。その後、指定されたIPアドレス情報とポート番号による外部からの通信を許可するように設定を変更する。
設定の変更によりSIPによる通信が可能となるため、外部端末200は、セッションサーバ300に対して、通信相手端末500との間のデータ通信セッションを確立するためのセッション制御を開始する(ステップS1108、ステップS1109)。
次に、セッションサーバ300は、外部端末200から受信したメッセージを通信相手端末500に転送するなどの処理により、セッション制御を実行する(ステップS1110)。この際、外部端末200は、セッション制御に利用するIDとして、認証エージェント100との間で行ったネットワークアクセス認証に用いた認証IDと同じIDを利用する。本実施の形態では、URIであり、例えば「tani@tani.org」のようなIDが利用される。
セッション制御プロトコルにより、外部端末200と通信相手端末500との間で利用するデータ通信のプロトコルやフォーマットに関するネゴシエーションが完了する。このとき、メッセージを転送しているセッションサーバ300も、転送しているメッセージを参照することにより、ネゴシエーションが完了した外部端末200の認証ID、利用するアプリケーション名、および可能な場合は利用するポート番号を識別することができる。
なお、セッションサーバ300は、外部端末200のIPアドレスに関しても識別可能であるが、NAT(ネットワークアドレス変換)を利用したシステムなどにおいては、内部ネットワーク20に存在するセッションサーバ300が識別できるIPアドレス情報が、FW400の制御に有効なIPアドレスである保証はない。
この時点では、外部端末200と通信相手端末500とがそれぞれ通信に利用するアプリケーション名および可能な場合はポート番号が決定している。しかし、内部ネットワーク20の境界に存在しているFW400は、まだ外部端末200による当該アプリケーションの当該ポートの使用を許可していないため、外部端末200と通信相手端末500とは当該アプリケーションによるデータ通信を行うことができない。
そこで、セッションサーバ300は、アプリケーション用のFW400の設定変更を依頼するための制御依頼メッセージを、事前に信頼関係を結んでいる認証エージェント100に対して送信する(ステップS1111)。
具体的には、セッションサーバ300は、セッションサーバ300のID情報、メッセージ認証のために用いるメッセージ認証情報、セッション制御時に識別した外部端末200の認証ID、許可を依頼するアプリケーション名、および可能な場合にはアプリケーションが利用するポート番号を設定した制御依頼メッセージを作成し、作成した制御依頼メッセージを認証エージェント100に対して送信する。
例えば、外部端末200の認証IDとして「tani@tani.org」を、許可を依頼するアプリケーション名として「RTP」を、アプリケーションが利用するポート番号として「1234」を設定した制御依頼メッセージを送信する。
このように、本実施の形態によれば、従来のSBCのようにセッションサーバ300が直接FW400の設定を変更するのではなく、FW400の設定の変更を認証エージェント100に対して依頼することができる。このため、セッションサーバ300は、設定の変更に必要なFW400の設定情報を保持する必要がないし、FW400との間で信頼関係を保持しておく必要がない。
なお、セッションサーバ300が制御依頼メッセージを送信する代わりに、通信相手端末500が制御依頼メッセージを認証エージェント100に対して送信するように構成してもよい。この場合は、事前に通信相手端末500と認証エージェント100との間で信頼関係を結んでいる必要がある。
次に、認証エージェント100の受信部101が、制御依頼メッセージを受信する(ステップS1112)。続いて、判断部103が、受信した制御依頼メッセージを参照して、外部端末200と通信相手端末500との間で、ネゴシエーションが完了したアプリケーションによる通信の可否を判断するアプリケーション許可判断処理を実行する(ステップS1113)。アプリケーション許可判断処理の詳細については後述する。
許可可能と判断された場合、生成部104は、許可可能と判断されたアプリケーションによる通信許可を設定するための制御メッセージを生成する制御メッセージ生成処理を実行する(ステップS1114)。なお、この制御メッセージ生成処理は、ステップS1105と同様の処理である。制御メッセージ生成処理の詳細については後述する。
次に、送信部105は、制御メッセージ生成処理で生成された制御メッセージをFW400に対して送信する(ステップS1115)。
送信された制御メッセージを受信したFW400は、受信した制御メッセージに従って許可するアプリケーション、ポートの設定を変更する(ステップS1116)。この処理は、ステップS1107と同様の処理である。
設定の変更により、ネゴシエーションが完了したアプリケーションによる通信が可能となるため、外部端末200は、通信相手端末500との間でアプリケーションによる通信を開始する(ステップS1117、ステップS1118)。上述の例では、外部端末200は、通信相手端末500との間でRTPによる通信を、ポート番号1234のポートを利用して行うができる。
次に、ステップS1103のネットワークアクセス認証処理の詳細について説明する。図12は、本実施の形態におけるネットワークアクセス認証処理の全体の流れを示すフローチャートである。
まず、認証部102は、認証要求メッセージを参照して認証を行う(ステップS1201)。具体的には、認証要求メッセージに含まれる認証IDやパスワードなどの認証に必要な情報を取得し、外部端末200に対する内部ネットワーク20へのネットワークアクセス認証を行う。
次に、認証部102は、認証結果を外部端末200に送信するとともに(ステップS1202)、認証結果を認証状態テーブル111に保存する(ステップS1203)。
具体的には、認証部102は、認証した外部端末200の認証IDを追加し、ネットワークアクセス認証状態を許可状態(○)にする。例えば、図3に示すように、認証ID=「tani@tani.org」のアクセス認証状態を「○」に変更する。
さらに、認証部102は、認証要求メッセージから取得した外部端末200の認証IDとIPアドレスとを、アドレステーブル161に追加する(ステップS1204)。なお、アドレステーブル161に認証IDが登録済みであれば、対応するIPアドレスの更新を行う。
また、認証部102は、外部端末200のIPアドレスや、システム内のルーティング情報などから、当該外部端末200に対してアプリケーションによるデータ通信を許可する際に制御が必要となるFW400のFWIDを特定し、対応FWテーブル131に保存する(ステップS1205)。例えば、認証ID=「tani@tani.org」である外部端末200に対応するFW400のFWIDが「FW−A」である場合は、図5のように「FW−A」に対して「○」が設定される。
このように、本実施の形態では、認証後に実行されるFW400の設定処理で参照可能とするために、認証結果やIPアドレス、対応するFW400などの情報を各テーブルに保存する処理をネットワークアクセス認証処理内で実行する。
次に、ステップS1105およびステップS1114で実行される制御メッセージ生成処理の詳細について説明する。図13は、本実施の形態における制御メッセージ生成処理の全体の流れを示すフローチャートである。
まず、生成部104は、認証した外部端末200に対応するFW400を対応FWテーブル131から取得する(ステップS1301)。例えば、図5に示すような情報が対応FWテーブル131に保存されていた場合、生成部104は、認証IDが「tani@tani.org」である外部端末200に対応するFW400のFWIDとして、「FW−A」を取得する。
次に、生成部104は、取得したFWIDで識別されるFW400の制御に必要な情報を、設定情報テーブル121から取得する(ステップS1302)。例えば、図4に示すような設定情報が設定情報テーブル121に保存されていた場合、生成部104は、FWIDが「FW−A」であるFW400の設定情報として、IPアドレス=「192.168.0.201」、利用制御プロトコル=「SNMPv3」、利用制御フォーマット=「X社独自フォーマット」などの情報を取得する。
次に、生成部104は、認証した外部端末200のIPアドレスを、アドレステーブル161から取得する(ステップS1303)。例えば、図8に示すような情報がアドレステーブル161に保存されていた場合、生成部104は、外部端末200の認証IDが「tani@tani.org」である場合は、IPアドレスとして「10.0.0.5」を取得する。
次に、生成部104は、上記ステップで取得した情報に従って制御メッセージを生成する(ステップS1304)。具体的には、生成部104は、認証エージェント100のID情報と、FW400による認証に用いるメッセージ認証情報と、制御対象となる外部端末200のIPアドレスと、許可を依頼するポート番号と、その他のFW400の固有情報とを含む制御メッセージを、設定情報テーブル121から取得した利用制御フォーマットで作成する。
このような処理により、生成部104は、例えば、FWIDが「FW−A」であるFW400に対し、認証された外部端末200によるSIPを利用した通信相手端末500との通信を許可するような制御メッセージを生成できる。
なお、許可を依頼するポート番号は、アプリケーションに応じて予め定められた値を生成部104により決定し、制御メッセージに設定する。例えば、SIPの許可を依頼する場合には、ポート番号として「5060」を設定する。
また、ステップS1114で制御メッセージ生成処理が呼ばれた場合には、制御依頼メッセージに含まれるポート番号を、許可を依頼するポート番号として設定することができる。すなわち、セッションサーバ300がポート番号を設定して制御依頼メッセージが送信された場合は、当該制御依頼メッセージに含まれるポート番号を、FW400に送信する制御メッセージのポート番号としてそのまま設定する。
次に、生成部104は、制御メッセージにより許可したアプリケーションの情報を許可情報テーブル151に保存する(ステップS1305)。例えば、SIPを許可し、SIPで利用するポート番号が「5060」であるときは、図7に示すように、認証ID=「tani@tani.org」のSIPに対応する欄に「5060」を設定する。このとき、FW400に送信したメッセージに対応するAckメッセージをFW400から受け取った後に、上記設定を行っても良い。
このように、本実施の形態では、認証エージェント100内で、FW400を制御するための制御メッセージを生成する。このため、従来のSBCのようにセッションサーバ300が直接FW400の設定を変更する必要がなくなるともに、セッションサーバ300が個々にFW400の設定情報を保持する必要がなくなる。
また、本実施の形態では、許可済みのアプリケーションの情報を許可情報テーブル151に保存している。これにより、アプリケーションの通信許可のためのFW400の設定を行う際に、アプリケーションの許可の可否を判断することが可能となる。
次に、ステップS1113のアプリケーション許可判断処理の詳細について説明する。図14は、本実施の形態におけるアプリケーション許可判断処理の全体の流れを示すフローチャートである。
まず、判断部103は、制御依頼メッセージのメッセージ認証情報によりセッションサーバを認証する(ステップS1401)。具体的には、判断部103は、制御依頼メッセージからセッションサーバ300のID情報と、メッセージ認証情報とを取得し、取得した情報を参照して認証処理を行うことにより制御依頼メッセージが信頼関係のあるセッションサーバ300から送信されたメッセージであることを確認する。
次に、判断部103は、セッションサーバ300は認証されたか否かを判断し(ステップS1402)、認証された場合は(ステップS1402:YES)、制御依頼メッセージから、通信の許可を依頼された外部端末200の認証IDおよびアプリケーション名を取得する(ステップS1403)。
具体的には、判断部103は、メッセージが暗号化されているときは、まず制御依頼メッセージの暗号化された部分を事前に入手している鍵で復号する。そして、判断部103は、復号化した部分から、制御依頼メッセージの送信元であるセッションサーバ300が、許可を所望する外部端末200の認証IDと、アプリケーション名、および設定されている場合はポート番号を取得する。
ここでは、一例として、判断部103が、認証ID=「tani@tani.org」、アプリケーション名=「RTP」、ポート番号=「1234」を制御依頼メッセージから取得したものとして説明する。
次に、判断部103は、認証状態テーブル111を参照し、取得した認証IDに対応する外部端末200の認証状態を確認する(ステップS1404)。例えば、認証状態テーブル111に図3に示すような情報が記憶されていたとすると、認証ID=「tani@tani.org」の認証状態は「○」であるので、認証済みの状態であることが確認できる。
次に、判断部103は、当該外部端末200が認証済みか否かを判断し(ステップS1405)、認証済みの場合は(ステップS1405:YES)、許可情報テーブル151を参照して、許可済みのアプリケーションを取得する(ステップS1406)。
例えば、許可情報テーブル151に図7に示すような許可情報が記憶されていたとすると、認証ID=「tani@tani.org」の外部端末200に対しては、SIPが許可済みであることを取得できる。
次に、判断部103は、取得した許可済みのアプリケーションと、規則テーブル141とを参照し、ステップS1403で取得したアプリケーションであり、許可を依頼されたアプリケーションを許可することの妥当性を判断する(ステップS1407)。
例えば、規則テーブル141に図6に示すような規則が記憶されていたとすると、SIPが許可済みであるため、さらにRTPを許可することは妥当であると判断できる。
次に、判断部103は、許可の妥当性の判断結果に応じて、妥当である場合は(ステップS1408:YES)、依頼されたアプリケーションを許可することができると判断する(ステップS1409)。
許可が妥当でないと判断された場合(ステップS1408:NO)、ステップS1402でセッションサーバ300は認証されていないと判断された場合(ステップS1402:NO)、または、ステップS1405で外部端末200が認証済みでないと判断された場合は(ステップS1405:NO)、判断部103は、依頼されたアプリケーションを許可することができないと判断する(ステップS1410)。
このように、本実施の形態によれば、FW400に対して通信の許可を依頼するたびに、認証状態を参照し、認証されていない外部端末200に対してはアプリケーションを許可しないようにすることができる。また、外部端末200が認証されている場合であっても、複数のアプリケーションの依存関係に応じて、アプリケーションの許可を制限することが可能となる。
以上のように、本実施の形態にかかる通信制御装置では、外部端末と、内部ネットワーク上の通信相手端末との間のデータ通信を許可する際に、必ず外部端末のネットワークアクセス認証結果を検証して通信の可否を決定することができる。また、既に許可されているアプリケーションの情報と所定の規則とを参照して新たに利用するアプリケーションの利用可否を決定することができる。これにより、外部端末と通信相手端末との間の通信時のネットワーク境界におけるセキュリティの強度を向上させることができる。
また、本実施の形態にかかる通信制御装置は、ファイアウォールの設定に必要な情報を一元管理し、セッションサーバからの依頼に応じて通信の可否を決定し、ファイアウォールの設定を制御することができる。これにより、セッションサーバなどが個々にファイアウォールの情報を保持する必要や、ファイアウォールとの信頼関係を保持する必要がなくなり、システム構成を簡略化し、処理負担を軽減することができる。
図15は、本実施の形態にかかる通信制御装置のハードウェア構成を示す説明図である。
本実施の形態にかかる通信制御装置は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、HDD(Hard Disk Drive)、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス61を備えており、通常のコンピュータを利用したハードウェア構成となっている。
本実施の形態にかかる通信制御装置で実行される通信制御プログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
また、本実施の形態にかかる通信制御装置で実行される通信制御プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施の形態にかかる通信制御装置で実行される通信制御プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。
また、本実施の形態の通信制御プログラムを、ROM等に予め組み込んで提供するように構成してもよい。
本実施の形態にかかる通信制御装置で実行される通信制御プログラムは、上述した各部(受信部、認証部、判断部、生成部、送信部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU51(プロセッサ)が上記記憶媒体から通信制御プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。
以上のように、本発明にかかる通信制御装置、通信制御方法および通信制御プログラムは、外部端末とファイアウォール内部の通信相手端末との通信を許可するようにファイアウォールの設定を変更する装置に適している。
システム全体の構成を示す説明図である。 本実施の形態にかかる通信制御装置の構成を示すブロック図である。 認証状態テーブルのデータ構造の一例を示す説明図である。 設定情報テーブルのデータ構造の一例を示す説明図である。 対応FWテーブルのデータ構造の一例を示す説明図である。 規則テーブルのデータ構造の一例を示す説明図である。 許可情報テーブルのデータ構造の一例を示す説明図である。 アドレステーブルのデータ構造の一例を示す説明図である。 制御依頼メッセージのデータ構造の一例を示す説明図である。 制御メッセージのデータ構造の一例を示す説明図である。 本実施の形態における通信制御処理の全体の流れを示すシーケンス図である。 本実施の形態におけるネットワークアクセス認証処理の全体の流れを示すフローチャートである。 本実施の形態における制御メッセージ生成処理の全体の流れを示すフローチャートである。 本実施の形態におけるアプリケーション許可判断処理の全体の流れを示すフローチャートである。 本実施の形態にかかる通信制御装置のハードウェア構成を示す説明図である。
符号の説明
51 CPU
52 ROM
53 RAM
54 通信I/F
61 バス
10 外部ネットワーク
20 内部ネットワーク
100 認証エージェント
101 受信部
102 認証部
103 判断部
104 生成部
105 送信部
110 第1記憶部
111 認証状態テーブル
120 第2記憶部
121 設定情報テーブル
130 第3記憶部
131 対応FWテーブル
140 第4記憶部
141 許可情報テーブル
150 第5記憶部
151 規則テーブル
160 第6記憶部
161 アドレステーブル
200 外部端末
300 セッションサーバ
400 ファイアウォール(FW)
500 通信相手端末

Claims (16)

  1. ファイアウォール外の外部ネットワークに接続された外部通信装置と前記ファイアウォール内の内部ネットワークに接続された内部通信装置との間の通信を確立するサーバ装置と、前記ファイアウォールとに前記内部ネットワークを介して接続可能な通信制御装置であって、
    外部通信装置を認証し、認証結果を得る認証手段と、
    前記認証結果を前記外部通信装置の識別情報と関連づけて記憶可能な第1記憶手段と、
    前記外部通信装置と前記内部通信装置との間の通信に用いる第1アプリケーションに関する情報と、前記外部通信装置の識別情報とを含む第1メッセージを前記サーバ装置から受信する受信手段と、
    前記第1メッセージに含まれる前記外部通信装置の識別情報から前記外部通信装置が認証済みか否かを前記第1記憶手段を用いて判断する判断手段と、
    前記判断手段により前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションを用いて前記外部通信装置が前記内部通信装置との間で通信を行うための第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する生成手段と、
    生成した前記第2メッセージを前記ファイアウォールに送信する送信手段と、
    を備えたことを特徴とする通信制御装置。
  2. 前記ファイアウォールの設定に関する設定情報を予め記憶する第2記憶手段をさらに備え、
    前記生成手段は、前記第2記憶手段に記憶された前記設定情報に基づいて前記第2メッセージを生成すること、
    を特徴とする請求項1に記載の通信制御装置。
  3. 前記第2記憶手段は、前記ファイアウォールのアドレスを含む前記設定情報を記憶し、
    前記生成手段は、前記第2記憶手段に記憶された前記設定情報に含まれる前記ファイアウォールのアドレスを送信先アドレスに設定した前記第2メッセージを生成すること、
    を特徴とする請求項2に記載の通信制御装置。
  4. 前記第2記憶手段は、前記ファイアウォールを制御する際に用いる制御プロトコルを含む前記設定情報を記憶し、
    前記生成手段は、前記第2記憶手段に記憶された前記設定情報に含まれる前記制御プロトコルで用いる前記第2メッセージを生成すること、
    を特徴とする請求項2に記載の通信制御装置。
  5. 前記第2記憶手段は、前記第2メッセージのフォーマットを含む前記設定情報を記憶し、
    前記生成手段は、前記第2記憶手段に記憶された前記設定情報に含まれる前記フォーマットで前記第2メッセージを生成すること、
    を特徴とする請求項2に記載の通信制御装置。
  6. 前記外部通信装置ごとに通信許可の設定が必要な前記ファイアウォールの識別情報を予め記憶する第3記憶手段をさらに備え、
    前記第2記憶手段は、前記ファイアウォールの識別情報と、前記設定情報とを対応づけて記憶し、
    前記生成手段は、前記外部通信装置に対して通信許可の設定が必要な前記ファイアウォールの識別情報を前記第3記憶手段から取得し、取得した前記ファイアウォールの識別情報に対応する前記設定情報を前記第2記憶手段から取得し、取得した前記設定情報に基づいて前記第2メッセージを生成すること、
    を特徴とする請求項2に記載の通信制御装置。
  7. 前記生成手段は、前記第1メッセージが、前記第1アプリケーションを用いて前記外部通信装置が前記内部通信装置との間で通信を行う際に用いるポート番号を含む場合には、前記第1メッセージに含まれる前記ポート番号に対応するポートを前記第1ポートとして前記ファイアウォールに設定するための前記第2メッセージを生成すること、
    を特徴とする請求項1に記載の通信制御装置。
  8. 前記外部通信装置と前記内部通信装置との間の通信に用いることのできるアプリケーションに関する情報を記憶する第4記憶手段をさらに備え、
    前記生成手段は、前記判断手段により前記外部通信装置が認証されていると判断され、かつ、前記第1アプリケーションが前記外部通信装置と前記内部通信装置との間の通信に用いることのできるアプリケーションとして前記第4記憶手段に記憶されている場合に、前記第2メッセージを生成すること、
    を特徴とする請求項1に記載の通信制御装置。
  9. 前記外部通信装置と前記内部通信装置との間で通信に用いることが許可されたアプリケーションに関する情報を記憶する第5記憶手段をさらに備え、
    前記第4記憶手段は、前記外部通信装置と前記内部通信装置との間の通信に用いることのできるアプリケーションに関する情報を、そのアプリケーションによる通信が許可される前に許可されているべき第2アプリケーションに関する情報と関連づけて記憶し、
    前記判定手段は、前記第4記憶手段から、前記第1アプリケーションによる通信が許可される前に許可されているべき前記第2アプリケーションに関する情報を取得するとともに、前記第5記憶手段から、前記第2アプリケーションが前記外部通信装置と前記内部通信装置との間で通信に用いることが許可されたアプリケーションとして登録されているか否かから、前記第1アプリケーションが前記外部通信装置と前記内部通信装置との間の通信に用いることのできるアプリケーションであるか否かを判定し、
    前記生成手段は、前記判定手段により前記外部通信装置が認証されていると判定され、かつ、前記第1アプリケーションが前記外部通信装置と前記内部通信装置との間の通信に用いることのできるアプリケーションであると判定された場合に、前記第2メッセージを生成すること、
    を特徴とする請求項8に記載の通信制御装置。
  10. 前記受信手段は、さらに認証を要求する第3メッセージを前記外部通信装置から受信し、
    前記生成手段は、前記第3メッセージから前記外部通信装置のアドレスを取得し、取得した前記外部通信装置のアドレスを含む前記第2メッセージを生成すること、
    を特徴とする請求項1に記載の通信制御装置。
  11. 前記生成手段は、さらに、前記認証手段により前記外部通信装置が認証された場合に、前記外部通信装置と前記サーバ装置との間の通信確立に用いるプロトコルで利用する第2ポートを前記ファイアウォールに設定するための前記第2メッセージを生成し、
    前記送信手段は、さらに、前記認証手段により前記外部通信装置が認証された場合に、前記第2ポートを前記ファイアウォールに設定するための前記第2メッセージを前記ファイアウォールに送信すること、
    を特徴とする請求項1に記載の通信制御装置。
  12. 前記生成手段は、前記外部通信装置と前記サーバ装置との間の通信確立に用いるSIP(Session Initiation Protocol)で利用する前記第2ポートを許可する前記第2メッセージを生成すること、
    を特徴とする請求項11に記載の通信制御装置。
  13. 前記認証手段は、さらに前記サーバ装置を認証し、
    前記判断手段は、前記第1メッセージを受信した際に、さらに前記サーバ装置が認証されているか否かを判断し、
    前記生成手段は、前記サーバ装置が認証されており、かつ、前記外部通信装置が認証されていると判断された場合に前記第2メッセージを生成すること、
    を特徴とする請求項1に記載の通信制御装置。
  14. ファイアウォール外の外部ネットワークに接続された外部通信装置と前記ファイアウォール内の内部ネットワークに接続された内部通信装置との間の通信を確立するサーバ装置と、前記ファイアウォールとに前記内部ネットワークを介して接続可能な通信制御装置における通信制御方法であって、
    認証手段によって、外部通信装置を認証し、認証結果を得る認証ステップと、
    前記認証結果を前記外部通信装置の識別情報と関連づけて第1記憶手段に記憶する記憶ステップと、
    受信手段によって、前記外部通信装置と前記内部通信装置との間の通信に用いる第1アプリケーションに関する情報と、前記外部通信装置の識別情報とを含む第1メッセージを前記サーバ装置から受信する受信ステップと、
    判断手段によって、前記第1メッセージに含まれる前記外部通信装置の識別情報から前記外部通信装置が認証済みか否かを前記第1記憶手段を用いて判断する判断ステップと、
    生成手段によって、前記判断ステップにより前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションを用いて前記外部通信装置が前記内部通信装置との間で通信を行うための第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する生成ステップと、
    送信手段によって、生成した前記第2メッセージを前記ファイアウォールに送信する送信ステップと、
    を備えたことを特徴とする通信制御方法。
  15. ファイアウォール外の外部ネットワークに接続された外部通信装置と前記ファイアウォール内の内部ネットワークに接続された内部通信装置との間の通信を確立するサーバ装置と、前記ファイアウォールとに前記内部ネットワークを介して接続可能な通信制御装置における通信制御プログラムであって、
    外部通信装置を認証し、認証結果を得る認証手順と、
    前記認証結果を前記外部通信装置の識別情報と関連づけて第1記憶手段に記憶する記憶手順と、
    前記外部通信装置と前記内部通信装置との間の通信に用いる第1アプリケーションに関する情報と、前記外部通信装置の識別情報とを含む第1メッセージを前記サーバ装置から受信する受信手順と、
    前記第1メッセージに含まれる前記外部通信装置の識別情報から前記外部通信装置が認証済みか否かを前記第1記憶手段を用いて判断する判断手順と、
    前記判断手順により前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションを用いて前記外部通信装置が前記内部通信装置との間で通信を行うための第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する生成手順と、
    生成した前記第2メッセージを前記ファイアウォールに送信する送信手順と、
    をコンピュータに実行させる通信制御プログラム。
  16. 通信を許可するポートの設定を行うファイアウォールと、
    前記ファイアウォール外の外部ネットワークに接続された外部通信装置と、
    前記ファイアウォール内の内部ネットワークに接続された内部通信装置と、
    前記外部通信装置と前記内部通信装置との間の通信を確立するサーバ装置と、
    前記サーバ装置および前記ファイアウォールに前記内部ネットワークを介して接続された通信制御装置と、を備えた通信システムにおける通信制御方法であって、
    前記外部通信装置によって、認証を要求する第1メッセージを前記通信制御装置に送信する第1送信ステップと、
    前記通信制御装置の受信手段によって、前記第1メッセージを前記外部通信装置から受信する第1受信ステップと、
    前記通信制御装置の認証手段によって、受信した前記第1メッセージに基づいて前記外部通信装置を認証し、認証結果を得る認証ステップと、
    前記通信制御装置の生成手段によって、認証した前記外部通信装置と前記サーバ装置との間の通信確立に用いるプロトコルで利用する第1ポートを前記ファイアウォールに設定するための第2メッセージを生成する第1生成ステップと、
    前記通信制御装置の送信手段によって、生成した前記第2メッセージを前記ファイアウォールに送信する第2送信ステップと、
    前記ファイアウォールによって、前記第2メッセージを受信し、受信した前記第2メッセージに基づいて、前記外部通信装置に対して前記第1ポートによる通信を許可する許可ステップと、
    前記外部通信装置によって、許可された前記第1ポートを利用して、前記外部通信装置と前記内部通信装置との間で利用する第1アプリケーションによる通信の確立を前記サーバ装置に対して要求する要求ステップと、
    前記サーバ装置によって、前記外部通信装置と前記内部通信装置との間で前記第1アプリケーションによる通信を確立し、通信を確立した前記第1アプリケーションに関する情報と、通信装置の識別情報とを含む第3メッセージを前記通信制御装置に送信する第3送信ステップと、
    前記通信制御装置の受信手段によって、前記サーバ装置から前記第3メッセージを受信する第2受信ステップと、
    前記通信制御装置の判断手段によって、前記第3メッセージを受信するごとに、前記認証結果を前記外部通信装置の識別情報と関連づけて記憶可能な記憶手段に保存された前記認証結果を参照して前記外部通信装置が認証されているか否かを判断する判断ステップと、
    前記通信制御装置の生成手段によって、前記外部通信装置が認証されていると判断された場合に、前記第1アプリケーションで利用する第2ポートを前記ファイアウォールに設定するための第4メッセージを生成する第2生成ステップと、
    前記通信制御装置の送信手段によって、生成した前記第4メッセージを前記ファイアウォールに送信する第4送信ステップと、
    前記ファイアウォールによって、前記第4メッセージを受信し、受信した前記第4メッセージに基づいて、前記外部通信装置に対して前記第2ポートによる通信を許可する許可ステップと、
    を備えたことを特徴とする通信制御方法。
JP2006175688A 2006-06-26 2006-06-26 通信制御装置、通信制御方法および通信制御プログラム Expired - Fee Related JP4224084B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006175688A JP4224084B2 (ja) 2006-06-26 2006-06-26 通信制御装置、通信制御方法および通信制御プログラム
US11/650,936 US8136144B2 (en) 2006-06-26 2007-01-09 Apparatus and method for controlling communication through firewall, and computer program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006175688A JP4224084B2 (ja) 2006-06-26 2006-06-26 通信制御装置、通信制御方法および通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2008005434A true JP2008005434A (ja) 2008-01-10
JP4224084B2 JP4224084B2 (ja) 2009-02-12

Family

ID=38874936

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006175688A Expired - Fee Related JP4224084B2 (ja) 2006-06-26 2006-06-26 通信制御装置、通信制御方法および通信制御プログラム

Country Status (2)

Country Link
US (1) US8136144B2 (ja)
JP (1) JP4224084B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009258965A (ja) * 2008-04-16 2009-11-05 Nippon Telegr & Teleph Corp <Ntt> 認証システム、認証装置、通信設定装置および認証方法
JP2011043974A (ja) * 2009-08-20 2011-03-03 Nec Personal Products Co Ltd 情報処理装置、情報処理システム、および装置のプログラム
JP2018117340A (ja) * 2016-11-28 2018-07-26 エスエスホー コミュニケーションズ セキュリティ オサケユイチアユルキネン コンピュータネットワーク内のユーザの認証

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080050937A (ko) * 2006-12-04 2008-06-10 삼성전자주식회사 인증 수행 방법 및 그 장치
US7953895B1 (en) * 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
JP5002337B2 (ja) * 2007-05-31 2012-08-15 株式会社東芝 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US20110075047A1 (en) * 2009-09-29 2011-03-31 Sony Corporation Firewall port selection using atsc tuner signals
KR101295428B1 (ko) * 2011-09-09 2013-08-23 주식회사 팬택 스마트 단말기에서 어플리케이션의 권한정보 관리 장치 및 제어 방법
US8844015B2 (en) 2012-01-31 2014-09-23 Hewlett-Packard Development Company, L.P. Application-access authentication agent
CN105027493B (zh) * 2012-12-21 2018-09-07 移动熨斗公司 安全移动应用连接总线
US9866382B2 (en) 2012-12-21 2018-01-09 Mobile Iron, Inc. Secure app-to-app communication
US9432336B2 (en) 2013-02-13 2016-08-30 Blackberry Limited Secure electronic device application connection to an application server
JP6139386B2 (ja) * 2013-11-27 2017-05-31 株式会社東芝 プログラマブルコントローラ
US10834056B2 (en) * 2018-07-31 2020-11-10 Ca, Inc. Dynamically controlling firewall ports based on server transactions to reduce risks
US11785018B2 (en) * 2021-07-29 2023-10-10 Bank Of America Corporation Mobile device management system for securely managing device communication

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1338639C (en) * 1989-09-26 1996-10-08 Seiichi Kubo Communication control device
JP2778893B2 (ja) * 1993-03-05 1998-07-23 株式会社東芝 通信制御装置
US5583855A (en) * 1993-11-10 1996-12-10 Fujitsu Limited Add/drop multiplexer apparatus
DE69533831T2 (de) * 1994-05-05 2005-04-21 Sprint Communications Co Verfahren, system und gerät zur übertragungssteuerung
US5784380A (en) * 1995-02-24 1998-07-21 Kabushiki Kaisha Toshiba Communication control device, communication control method and communication control system
US6523696B1 (en) * 1996-10-15 2003-02-25 Kabushiki Kaisha Toshiba Communication control device for realizing uniform service providing environment
JP4120167B2 (ja) * 1998-07-09 2008-07-16 ソニー株式会社 情報処理装置、情報処理システム及び情報処理方法
ATE339836T1 (de) 2000-04-12 2006-10-15 Tenovis Gmbh & Co Kg Feuerschutzwandsarchitektursparser für ein gegebene protokoll
JP4622070B2 (ja) * 2000-09-13 2011-02-02 株式会社デンソー 適応通信システム、通信端末、及び記録媒体
US7254711B2 (en) * 2001-04-05 2007-08-07 Nippon Telegraph And Telephone Corporation Network authentication system, method, and program, service providing apparatus, certificate authority, and user terminal
US7979900B2 (en) * 2001-05-29 2011-07-12 Alphawolf Consulting, Inc. Method and system for logging into and providing access to a computer system via a communication network
US7161942B2 (en) 2002-01-31 2007-01-09 Telcordia Technologies, Inc. Method for distributing and conditioning traffic for mobile networks based on differentiated services
EP1632862B1 (en) 2004-04-14 2011-11-30 Nippon Telegraph And Telephone Corporation Address conversion method, access control method, and device using these methods
JP4376711B2 (ja) 2004-07-09 2009-12-02 富士通株式会社 アクセス管理方法及びその装置
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
JP4405360B2 (ja) 2004-10-12 2010-01-27 パナソニック株式会社 ファイアウォールシステム及びファイアウォール制御方法
JPWO2006057337A1 (ja) * 2004-11-25 2008-06-05 日本電気株式会社 セキュリティ検証用のデータを生成する方法及びシステム
JP4514134B2 (ja) * 2005-01-24 2010-07-28 株式会社コナミデジタルエンタテインメント ネットワークシステム、サーバ装置、不正利用検出方法、ならびに、プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009258965A (ja) * 2008-04-16 2009-11-05 Nippon Telegr & Teleph Corp <Ntt> 認証システム、認証装置、通信設定装置および認証方法
JP2011043974A (ja) * 2009-08-20 2011-03-03 Nec Personal Products Co Ltd 情報処理装置、情報処理システム、および装置のプログラム
JP2018117340A (ja) * 2016-11-28 2018-07-26 エスエスホー コミュニケーションズ セキュリティ オサケユイチアユルキネン コンピュータネットワーク内のユーザの認証
JP7109909B2 (ja) 2016-11-28 2022-08-01 エスエスホー コミュニケーションズ セキュリティ オサケユイチアユルキネン コンピュータネットワーク内のユーザの認証

Also Published As

Publication number Publication date
US8136144B2 (en) 2012-03-13
US20070300289A1 (en) 2007-12-27
JP4224084B2 (ja) 2009-02-12

Similar Documents

Publication Publication Date Title
JP4224084B2 (ja) 通信制御装置、通信制御方法および通信制御プログラム
US10594699B2 (en) Providing access to remote networks via external endpoints
EP2705642B1 (en) System and method for providing access credentials
EP3080948B1 (en) Secure communication channels
US9032215B2 (en) Management of access control in wireless networks
TWI439103B (zh) 網路資源之單一登入以及安全存取的政策導向憑證授權
US10178181B2 (en) Interposer with security assistant key escrow
Hess et al. Advanced Client/Server Authentication in TLS.
CN107113319B (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
US20140075513A1 (en) Device token protocol for authorization and persistent authentication shared across applications
US11736304B2 (en) Secure authentication of remote equipment
JP2008537256A (ja) ピアツーピア認証及び権限付与
JP2007097010A (ja) 接続支援装置およびゲートウェイ装置
CN106169952B (zh) 一种英特网密钥管理协议重协商的认证方法及装置
JP3944182B2 (ja) セキュリティ通信方法
JP2009290329A (ja) Ip通信システム、サーバユニット、端末デバイスおよび認証方法
JP4579597B2 (ja) 情報処理装置、情報処理方法およびプログラム
WO2016050133A1 (zh) 一种认证凭证更替的方法及装置
US20080092206A1 (en) Security protocol control apparatus and security protocol control method
JP4963425B2 (ja) セッション鍵共有システム、第三者機関装置、要求側装置、および応答側装置
JP2013243583A (ja) 画像形成システム、画像形成装置、認証サーバ、クライアントpc、画像形成装置の制御方法、及びプログラム
JP2003296279A (ja) 認証方法、並びに、そのクライアント装置、サーバ装置およびプログラム
US11924286B2 (en) Encrypted communication processing apparatus, encrypted communication processing system, and non-transitory recording medium
JP2010098496A (ja) ネットワーク対応画像形成装置およびその制御方法、および、プログラム
JP2009253692A (ja) アクセス制限機能を有する機器

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080930

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081120

R151 Written notification of patent or utility model registration

Ref document number: 4224084

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131128

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees