JP2009037478A - 情報通信方法 - Google Patents
情報通信方法 Download PDFInfo
- Publication number
- JP2009037478A JP2009037478A JP2007202051A JP2007202051A JP2009037478A JP 2009037478 A JP2009037478 A JP 2009037478A JP 2007202051 A JP2007202051 A JP 2007202051A JP 2007202051 A JP2007202051 A JP 2007202051A JP 2009037478 A JP2009037478 A JP 2009037478A
- Authority
- JP
- Japan
- Prior art keywords
- proxy server
- server
- internal
- web
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】トンネル接続を経て、ウェブクライアントからウェブサーバへのアクセスを可能にする。
【解決手段】外部プロキシサーバ105と複数の内部プロキシサーバ205,305とでトンネル接続確立後、ウェブクライアント111が、外部プロキシサーバ105に接続してHTTPリクエストを送信する工程と、外部プロキシサーバ105が、受信したHTTPリクエストをトンネル接続を経由して内部プロキシサーバ205等に送信する工程と、内部プロキシサーバ205等が、受信したHTTPリクエストをウェブサーバ211に送信する工程と、ウェブサーバ211が、内部プロキシサーバ205等にHTTPレスポンスを返信する工程と、内部プロキシサーバ205等が、外部プロキシサーバ105にHTTPレスポンスを返信する工程と、外部プロキシサーバ105が、ウェブクライアント111にHTTPレスポンスを返信する工程とからなる。
【選択図】図1
【解決手段】外部プロキシサーバ105と複数の内部プロキシサーバ205,305とでトンネル接続確立後、ウェブクライアント111が、外部プロキシサーバ105に接続してHTTPリクエストを送信する工程と、外部プロキシサーバ105が、受信したHTTPリクエストをトンネル接続を経由して内部プロキシサーバ205等に送信する工程と、内部プロキシサーバ205等が、受信したHTTPリクエストをウェブサーバ211に送信する工程と、ウェブサーバ211が、内部プロキシサーバ205等にHTTPレスポンスを返信する工程と、内部プロキシサーバ205等が、外部プロキシサーバ105にHTTPレスポンスを返信する工程と、外部プロキシサーバ105が、ウェブクライアント111にHTTPレスポンスを返信する工程とからなる。
【選択図】図1
Description
本発明は、ファイアウォール外部に外部プロキシサーバとウェブクライアントとを設置し、複数のファイアウォール内部にそれぞれ内部プロキシサーバとウェブサーバとを設置した情報通信システムにおける情報通信方法に関する。
近年、家庭電化製品やオフィス機器等の各種の電子機器に組み込まれたものも含めて、PC(パーソナルコンピュータ)に代表されるような各種のコンピュータ装置の高機能化に伴い、これらを所有するエンドユーザに対するサポート業務がより重要になってきている。機器のメインテナンス等のサポートを行うために、従来はPC等をサポートセンターに持ち込むか、或いはサポートスタッフをPC等の設置場所に派遣するなどの必要があり、非常にコストがかかっているのが現状であった。この問題を解決する方法として、インターネット等の通信ネットワーク接続を利用して、サポートセンターのオペレータがPC等にリモートアクセスを行ってサポートを行う方式が考えられている。
一方、近年のブロードバンド通信の普及により、一般家庭や各企業においてインターネットへ安価に常時接続を行うことが可能となっている。インターネットにおいては、ネットワーク越しのPC等への不正アクセスやDoS(Denial of Service attack)/ping/RIP(Routing Information Protocol)攻撃等のセキュリティの問題が存在している。そのため、インターネット接続に使用されるいわゆるブロードバンドルータ等の機材においては、NAT(Network Address Translation)機能やファイアウォール機能を持つものが一般的に普及している。
NAT機能は、家庭内もしくは企業内でのみ通信できるプライベートIPアドレスとインターネット上で通信できるユニークなグローバルIPアドレスとを変換する機能であり、またファイアウォール機能は、インターネットと内部ネットワークとの間で特定の通信のみを許可する機能である。どちらの機能も、内部ネットワークからインターネットに向けて発生した正当な通信は許可するが、インターネット側から内部ネットワークに向けて発生した通信は、予め設定されている通信以外は不正なものとして遮断する、という動作を行うもので、インターネット接続に使用されるブロードバンドルータ等の機材ではそのような機能が一般的である。
このような背景から、リモート操作を受けるコンピュータからのコール信号に基づきサポート対象のコンピュータを特定して遠隔操作等を行うリモート操作方法及びそのシステムが提供されている。
また、クライアント側コンピュータから一旦WWWサーバに接続させることでクライアント側コンピュータのIPアドレスを特定して、クライアント側コンピュータを遠隔操作するサポートシステムも提供されている(例えば、特許文献1参照)。
特許文献1に記載のリモートアクセスシステムは、通信ネットワークに接続されたユーザ側PCをサポートセンターのオペレータ端末からの遠隔操作によって維持・管理するシステムであって、不特定多数のユーザ側PCと、ユーザ側PCからの接続要求によりユーザ側PCとサポートセンター間のコネクションを確立しコネクションの内部でトンネル接続を行うことでオペレータ端末からユーザ側PCを遠隔操作可能にするサポートセンタサーバと、ユーザ側PCを遠隔操作するWebブラウザを備えたオペレータ端末とで構成され、ユーザ側PCはトンネル接続によりオペレータ端末からの遠隔操作を受け付けるリモートアクセス用Webサーバと、オペレータ端末からの遠隔操作によりユーザ側PCの維持・管理を行うためのリモートサポートアプリケーションとを備えた構成となっている。
特開2005−26856号公報
ファイアウォール内の情報を取得する方法としては、ファイアウォールの設定で特定の外部からのアクセスを許可する方法と、上記特許文献1にもあるように、ファイアウォール内に通信をトンネルするソフトを実行し、ファイアウォール内とファイアウォール外のプライベートネットワークを仮想的に接続するVPN(Virtual Private Network)の方法とがある。
しかし、ファイアウォールの設定で特定の外部からのアクセスを許可する方法の場合、外部にアクセス方法を教える必要がある。この場合、通常のHTTPプロキシサーバは、ファイアウォールの内側から外側のウェブサイトにアクセスできるが、外側からファイアウォール内部のウェブサイトの情報を取得することが出来ないといった問題があった。また、VPNの方法では、VPNをファイアウォール外のネットワークに合わせる必要がある。
本発明はかかる問題点を解決すべく創案されたもので、その目的は、ファイアウォール外部に外部プロキシサーバ(本体)とウェブクライアント(端末)とを配置し、複数のファイアウォール内部にそれぞれ内部プロキシサーバ(出島)とウェブサーバ(ターゲット)とを設置して、トンネル接続を確立させて、ウェブクライアント(端末)からウェブサーバ(ターゲット)へのアクセスを可能にすることで、オープンポートの情報を外部に示す必要がなく、安全性の高い情報通信方法を提供することになる。
上記課題を解決するため、本発明の情報通信方法は、ファイアウォール外部に外部プロキシサーバとウェブクライアントとを設置し、複数のファイアウォール内部にそれぞれ内部プロキシサーバとウェブサーバとを設置した情報通信システムにおける情報通信方法であって、前記外部プロキシサーバと前記内部プロキシサーバとの間でトンネル接続を確立させる第1工程と、トンネル接続確立後、前記ウェブクライアントが、利用者の操作に応じて、前記外部プロキシサーバに接続し、HTTPリクエストを送信する第2工程と、前記外部プロキシサーバが、前記ウェブクライアントからのHTTPリクエストを受信し、前記トンネル接続を経由して前記内部プロキシサーバに送信する第3工程と、前記内部プロキシサーバが、前記外部プロキシサーバからのHTTPリクエストを受信し、前記ウェブサーバに送信する第4工程と、前記ウェブサーバが、前記内部プロキシサーバに前記HTTPリクエストに応じたHTTPレスポンスを返信する第5工程と、前記内部プロキシサーバが、前記外部プロキシサーバに前記HTTPレスポンスを返信する第6工程と、前記外部プロキシサーバが、前記ウェブクライアントにHTTPレスポンスを返信する第7工程と、を備えていることを特徴としている。
本発明によれば、ファイアウォール外部に設置された外部プロキシサーバと、ファイアウォール内部に設置された内部プロキシサーバとでトンネル接続を確立しているので、ファイアウォールの特定ポートを開く方法と比較し、オープンポートの情報を外部に示す必要がなく安全性が向上する。また、ファイアウォール内部の内部プロキシサーバからファイアウォール外部の外部プロキシサーバに対してトンネル接続を確立することで、不特定のクライアントからアクセスを遮断する効果がある。さらに、情報提供側が内部プロキシサーバを管理して、内部プロキシサーバを停止することによって、外部からのアクセスを完全に遮断することができる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれには、予め接続を許可する前記ウェブサーバのアドレスが記録されており、前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスが、内部に記録されている前記許可するアドレスと一致した場合のみ、一致したアドレスのウェブサーバに前記HTTPリクエストを送信する構成とすることができる。この構成によれば、接続を許可するアドレスの情報を内部プロキシサーバに持ち、それ以外は拒否することにより、外部から不必要なサーバにアクセスされることを防ぐことができる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれには、予め接続を禁止する前記ウェブサーバのアドレスが記録されており、前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスが、内部に記録されている前記禁止するアドレスと一致した場合には、ウェブサーバへの送信を行わない構成とすることができる。この構成によれば、監視対象のウェブサーバが多数あった場合、アクセスを禁止するアドレスのみを設定すればよいので設定が容易となる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれには、予め送信を禁止または許可する前記ウェブサーバのアドレスを示す特定のパターンが記録されており、前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスのパターンが、内部に記録されている前記禁止または許可するアドレスのパターンと一致した場合に、一致したパターンのアドレスのウェブサーバへの送信を禁止または許可する構成とすることができる。この構成によれば、複数のアドレスに関して、まとめて許可または禁止を設定できるので、設定が容易になる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれは、正規の切断操作以外でトンネル接続が切断されたことを検出する工程を備え、トンネル接続が正規の切断操作以外で切断されたことを検出した場合には、再度、トンネル接続の確立を試す構成とすることができる。通常、インターネット上の接続は保証されない。また、外部ファイアウォールや外部プロキシサーバ側などで不測の問題が発生した場合、トンネル接続が切断される場合がある。このとき自動的に再接続を行うことにより、安定した通信路を維持することができる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれには、トンネル接続開始時刻とトンネル接続切断時刻の情報が記録されており、前記第1工程では、前記トンネル接続開始時刻になると前記外部プロキシサーバとのトンネル接続を確立し、前記トンネル接続切断時刻になると前記トンネル接続を切断する構成とすることができる。この構成によれば、内部プロキシサーバに記録されている特定の時間のみ接続することが可能となり、外部からの不正アクセスの可能性を減らすことができる。
また、本発明の情報通信方法によれば、前記第3工程では、前記外部プロキシサーバが、ウェブクライアントからのHTTPリクエストを暗号化し、暗号化したHTTPリクエストを前記内部プロキシサーバに送信し、前記第4工程では、前記内部プロキシサーバが、受信したHTTPリクエストを復号し、復号したHTTPリクエストをウェブサーバに送信し、前記第5工程では、前記内部プロキシサーバが、ウェブサーバからのHTTPレスポンスを暗号化し、暗号化したHTTPレスポンスを前記外部プロキシサーバに送信し、前記第6工程では、前記外部プロキシサーバが、暗号化されている前記HTTPレスポンスを復号し、復号したHTTPレスポンスを前記ウェブクライアントに送信する構成とすることができる。この構成によれば、外部プロキシサーバと内部プロキシサーバとの間で相互に暗号化と復号化を行うので、外部プロキシサーバや内部プロキシサーバのなりすましを防止することができる。
また、本発明の情報通信方法によれば、前記複数の内部プロキシサーバのそれぞれは、前記外部プロキシサーバの識別子に対応する鍵を予め保持し、前記第1工程では、前記内部プロキシサーバが、トンネル接続を確立するとき、前記外部プロキシサーバから当該外部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合にトンネル接続の確立を許可する構成とすることができる。この構成によれば、外部プロキシサーバのなりすましを防止することができる。すなわち、悪意を持った者が、何らかの手段で外部プロキシサーバのアドレスに、不正な外部プロキシサーバを構築した場合、内部プロキシサーバはそれと知らずにアクセスし、ファイアウォール内部の情報を漏洩させてしまう恐れがあるが、本発明によれば、そのような情報漏洩を回避することができる。
また、本発明の情報通信方法によれば、前記外部プロキシサーバは、接続を要求する前記複数の内部プロキシサーバのそれぞれの識別子に対応する鍵を予め保持し、前記第1工程では、前記外部プロキシサーバが、トンネル接続を確立するとき、前記内部プロキシサーバから当該内部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合に、トンネル接続の確立を許可する構成とすることができる。この構成によれば、内部プロキシサーバのなりすましを防止することができる。すなわち、悪意を持った者が、内部プロキシサーバを作成し、不正に外部プロキシサーバに接続しようとした場合、外部プロキシサーバはそれと知らずに接続を許可し、不正確な情報にアクセスしてしまう恐れがあるが、本発明によれば、このような不正確なアクセスを回避することができる。
また、本発明の情報通信方法によれば、前記外部プロキシサーバは、ウェブクライアントからのHTTPリクエストを解析し、HTTPリクエストの一部分を前記ファイアウォール内部のアドレス指定として用いる構成とすることができる。この構成によれば、ウェブクライアントのプロキシ設定機能によって外部プロキシサーバを設定する場合、通常、1つの外部プロキシサーバしか設定できないが、本発明によれば、クライアントのプロキシ設定に依存することなく、複数の外部プロキシサーバを選択することが可能となる
また、本発明の情報通信方法によれば、プロキシサーバ(内部プロキシサーバ及び外部プロキシサーバ)は、ウェブサーバから受信したHTTPレスポンスを解析し、HTTPレスポンス中のハイパーリンク部分に、前記ウェブサーバのアドレスを追加する構成とすることができる。この構成によれば、ウェブクライアント上で、HTTPレスポンス中のハイパーリンクをクリックして、外部プロキシサーバ経由でアクセスすることが可能になり、ユーザの操作性が向上する。
また、本発明の情報通信方法によれば、プロキシサーバ(内部プロキシサーバ及び外部プロキシサーバ)は、ウェブサーバから受信したHTTPレスポンスを解析し、HTTPレスポンス中のハイパーリンク部分に、前記ウェブサーバのアドレスを追加する構成とすることができる。この構成によれば、ウェブクライアント上で、HTTPレスポンス中のハイパーリンクをクリックして、外部プロキシサーバ経由でアクセスすることが可能になり、ユーザの操作性が向上する。
また、本発明の情報通信方法によれば、プロキシサーバ(内部プロキシサーバ及び外部プロキシサーバ)は、ウェブサーバで生成された暗号化されたHTTPレスポンスを復号する復号鍵と、HTTPレスポンスを暗号化する第1暗号化鍵とを保持し、前記ウェブクライアントは、前記プロキシサーバにおいて第1暗号化鍵で暗号化されたHTTPレスポンスを復号する第2復号鍵を保持し、前記ウェブサーバからHTTPレスポンスを受信した場合、当該HTTPレスポンスを前記復号鍵で復号し、復号後のHTTPレスポンス内のハイパーリンクを改変させた後、前記第1暗号化鍵にて暗号化してウェブクライアントに送信する工程と、前記ウェブサーバが、受信したHTTPレスポンスを前記第2復号鍵にて復号し、表示する工程と、を備える構成とすることができる。この構成によれば、SSL(Secire Socket Layer)などで暗号化されたレスポンスの場合、内容が暗号化されているため改変ができないが、復号鍵をプロキシサーバに登録することにより、一旦復号して平文にする。この状態では、HTTPレスポンス中のハイパーリンクを改変することが可能となり、ユーザの操作性が向上する。そして、改変後のHTTPレスポンスを再度暗号化してウェブクライアントに送信することにより、安全性も確保される。
また、本発明の情報通信方法によれば、前記外部プロキシサーバは、前記ファイアウォール内部に設置されたウェブサーバのアドレスを格納した転送先情報テーブルと、前記内部プロキシサーバとは別の通常プロキシサーバのアドレスとを保持し、前記第3工程では、HTTPリクエストを受信した場合に、HTTPリクエストの内容と前記転送先情報テーブルの内容とを比較することで、前記内部プロキシサーバに送信するか、前記通常プロキシサーバに送信するかを決定する構成とすることができる。この構成によれば、ファイアウォール内部のウェブサーバ(ターゲット)にアクセスする業務と、それ以外へアクセスする業務とを、ウェブクライアントのプロキシ設定を切り変えずに同時に行うことができる。
本発明によれば、ファイアウォール外部に設置された外部プロキシサーバと、複数のファイアウォール内部にそれぞれ設置された内部プロキシサーバとでトンネル接続を確立しているので、ファイアウォールの特定ポートを開く方法と比較し、オープンポートの情報を外部に示す必要がなく安全性を向上させることができる。また、ファイアウォール内部の内部プロキシサーバからファイアウォール外部の外部プロキシサーバに対してトンネル接続を確立することで、不特定のクライアントからアクセスを遮断することができる。さらに、情報提供側が内部プロキシサーバを管理することにより、内部プロキシサーバを停止することによって、外部からのアクセスを完全に遮断することができる。
以下、本発明の実施の形態について、図面を参照して説明する。
図1は、本発明の情報通信方法を実施するための通信システムのハードウェア構成例を示すブロック図である。
この通信システムは、各ファイアウォール100A,100Bの外部に外部プロキシサーバ105と複数のウェブクライアント111,112,・・・とが設置され、ファイアウォール100Aの内部に内部プロキシサーバ205と複数のウェブサーバ211,212,・・・とが設置され、ファイアウォール100Bの内部に内部プロキシサーバ305と複数のウェブサーバ311,312,・・・とが設置された構成となっている。そして、外部プロキシサーバ105と各ウェブクライアント111,112,・・・とはイーサネット(登録商標)106によって接続され、内部プロキシサーバ205と各ウェブサーバ211,212,・・・とはイーサネット206によって接続され、内部プロキシサーバ305と各ウェブサーバ311,312,・・・とはイーサネット306によって接続されている。
本実施形態では、外部プロキシサーバ105が、2台のファイアウォール100A,100Bを介して2台の内部プロキシサーバ205,305とそれぞれ接続された構成としているが、外部プロキシサーバ105に接続されるファイアウォールの数及び内部プロキシサーバの数は2台に限定されるものではなく、3台以上であってもよい。
各ウェブサーバ211,212,・・・,311,312,・・・は、一般的にはウェブクライアント111,112,・・・からのHTTPリクエストを待ち受け、HTTPリクエストを受信した場合は、HTTPリクエストに対応したHTTPレスポンスを、HTTPリクエストを送信してきたウェブクライアント111,112,・・・に返す。本システムでは、各内部プロキシサーバ205,305からウェブサーバ211,212,・・・にHTTPリクエストが送信される。
利用者はウェブクライアント111,112,・・・を操作して、HTTPリクエストを送信する。一般的なウェブクライアントは、ウェブサーバに対してHTTPリクエストを送信し、ウェブサーバからのHTTPレスポンスを受信して表示する。一方、本システムでは、ウェブクライアント111,112,・・・は、外部プロキシサーバ105に対してHTTPリクエストを送信し、外部プロキシサーバ105からHTTPレスポンスを受信して表示する。
各内部プロキシサーバ205,305は、起動後、外部プロキシサーバ105に接続して、トンネル接続を確立し、外部プロキシサーバ105からのHTTPリクエストを待ち受ける。そして、トンネル接続を経て外部プロキシサーバ105より送信されてきたHTTPリクエストを受信すると、そのHTTPリクエストに対応したウェブサーバにHTTPリクエストを送信する。そして後、ウェブサーバからのHTTPレスポンスを、トンネル接続を経て外部プロキシサーバ105に送信する。
各ファイアウォール100A,100Bは、一般にファイアウォール内部から外部への接続を許可し、外部から内部への接続を許可しない。
外部プロキシサーバ105は、起動後、各内部プロキシサーバ205,305からのトンネル接続要求を待ち受ける。そして、各内部プロキシサーバ205,305から各ファイアウォール100A,100Bを経てトンネル接続要求があれば、トンネル接続を確立する。また、外部プロキシサーバ105は、各ウェブクライアント111,112,・・・からのHTTPリクエストを待ち受ける。そして、任意のウェブクライアント111,112,・・・から送信されてきたHTTPリクエストを受信すると、トンネル接続を経て、各内部プロキシサーバ205,305に受信したHTTPリクエストを送信する。また、各内部プロキシサーバ205,305からHTTPレスポンスを受信すると、先にHTTPリクエストを送信してきたウェブクライアントにそのHTTPリスポンスを送信する。
次に、上記構成の通信システムを用いた本実施形態の情報通信方法の実施例について説明する。
<実施例>
本実施例は、本実施形態の情報通信方法の最も基本的な処理を示した実施例であり、図2は、本実施例の情報通信方法を説明するためのフローチャートである。以下、この図2に示すフローチャートを参照して本実施例の基本的な通信方法の処理手順を説明する。ただし、ここではファイアウォール100A内部との通信を例に挙げて説明する。
本実施例は、本実施形態の情報通信方法の最も基本的な処理を示した実施例であり、図2は、本実施例の情報通信方法を説明するためのフローチャートである。以下、この図2に示すフローチャートを参照して本実施例の基本的な通信方法の処理手順を説明する。ただし、ここではファイアウォール100A内部との通信を例に挙げて説明する。
まず、外部プロキシサーバ105を起動し(ステップS201)、次に、ファイアウォール100A内部の内部プロキシサーバ205を起動し(ステップS202)、さらにファイアウォール100B内部の内部プロキシサーバ305を起動する(ステップS204)。
次に、各内部プロキシサーバ205,305は、外部プロキシサーバ105に対してトンネル接続の要求を行う(ステップS203,ステップS205)。外部プロキシサーバ105は、この要求に従い、内部プロキシサーバ205,305からのトンネル接続の確立を行う(ステップS206)。
次に、外部プロキシサーバ105は、任意のウェブクライアント111,112,・・・からのHTTPリクエストの待ち受けを開始する(ステップS207)。リクエストとは、URLアドレスを加工して選択することを示している。
一方、利用者によって例えばウェブクライアント111が起動されると(ステップS208)、ウェブクライアント111は、利用者の操作に応じて、HTTPリクエストを外部プロキシサーバ105に送信する(ステップS209)。
外部プロキシサーバ105は、ウェブクライアント111からのHTTPリクエストを受信すると、受信したHTTPリクエストに応じて内部プロキシサーバを選択する(ステップS210)。ここでは、ファイアウォール100A内部の内部プロキシサーバ205を選択したものとする。そして、受信したHTTPリクエストを、トンネル接続を経て選択した内部プロキシサーバ205に送信する(ステップS211)。ただし、このHTTPリクエストに対応するウェブサーバ(例えば、ウェブサーバ211)はすでに起動されているものとする(ステップS213)。
内部プロキシサーバ205は、外部プロキシサーバ105からのHTTPリクエストを受信すると、該当するウェブサーバ211にそのHTTPリクエストを送信する(ステップS212)。ウェブサーバ211は、内部プロキシサーバ205から送信されてきたHTTPリクエストを受信し(ステップS214)、受信したHTTPリクエストに応じたHTTPレスポンスを、内部プロキシサーバ205に送信する(ステップS215)。
内部プロキシサーバ205は、ウェブサーバ211からのHTTPレスポンスを受信し、外部プロキシサーバ105に送信する(ステップS216)。
外部プロキシサーバ105は、内部プロキシサーバ205からのHTTPレスポンスを受信し、先にHTTPリクエストを送信してきたウェブクライアント111に送信する(ステップS217)。
ウェブクライアント111は、外部プロキシサーバ105からのHTTPレスポンスを受信し(ステップS218)、受信したHTTPレスポンスを表示する(ステップS219)。この後、次のHTTPリクエストがある場合には、ステップS209に戻る(ステップS220)。
<応用例1>
本応用例1は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め接続を許可するウェブサーバのアドレスを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスが、内部に登録されている接続許可アドレスと一致した場合のみ、一致したアドレスのウェブサーバにHTTPリクエストを送信するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
本応用例1は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め接続を許可するウェブサーバのアドレスを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスが、内部に登録されている接続許可アドレスと一致した場合のみ、一致したアドレスのウェブサーバにHTTPリクエストを送信するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
すなわち、上記実施例では、各内部プロキシサーバ205,305は、外部プロキシサーバ105から受信したHTTPリクエストを無条件で該当するウェブサーバに送信していたが(図2のステップS212)、本応用例1では、HTTPリクエストを受信した段階で、まずそのHTTPリクエストに含まれているアドレスを確認し、内部に登録されている接続許可アドレスと一致した場合のみ、一致したアドレスのウェブサーバにHTTPリクエストを送信し、一致しない場合には、送信を禁止する構成としている。すなわち、図2のステップS212を実施する前段階で、この判断ステップをまず実施することになる。
ここで、内部プロキシサーバ205を例に挙げて具体的に説明する。内部プロキシサーバ205にイーサネット206を介して例えば5台のウェブサーバ211,212,213,214,215が接続されているものとし、ウェブサーバ211のアドレスを「aaaa」、ウェブサーバ212のアドレスを「bbbb」、ウェブサーバ213のアドレスを「cccc」、ウェブサーバ214のアドレスを「dddd」、ウェブサーバ215のアドレスを「eeee」とする。そして、内部プロキシサーバ205には、このうち接続を許可するアドレスとして、図3に示すように、2台のウェブサーバ211,213のアドレス「aaaa」,「cccc」が登録されているものとする。
ここで、ウェブクライアント111から外部プロキシサーバ105に対して、ウェブサーバ211へのHTTPリクエストが送信されてきたとすると、外部プロキシサーバ105は、このHTTPリクエストを内部プロキシサーバ205に送信する。このとき、内部プロキシサーバ205は、送信されてきたHTTPリクエストに含まれているウェブサーバのアドレス「aaaa」を取得し、内部に登録されているアドレスと比較する。比較の結果、この場合には一致するので、受信したHTTPリクエストを該当するウェブサーバ211に送信する。
一方、ウェブクライアント111から外部プロキシサーバ105に対して、ウェブサーバ212へのHTTPリクエストが送信されてきたとすると、外部プロキシサーバ105は、このHTTPリクエストを内部プロキシサーバ205に送信する。このとき、内部プロキシサーバ205は、送信されてきたHTTPリクエストに含まれているウェブサーバのアドレス「bbbb」を取得し、内部に登録されているアドレスと比較する。比較の結果、この場合には一致しないので、受信したHTTPリクエストをウェブサーバ212に送信することなく、処理を終了する。
このように、本応用例1の構成によれば、接続を許可するアドレスの情報を内部プロキシサーバ205に登録し、この登録されているアドレス以外のアドレスに対してHTTPリクエストが送信されてきた場合には、その受け付けを拒否することにより、外部から不必要なウェブサーバ(接続されたくないウェブサーバ)に不測にアクセスされてしまうことを防ぐことができる。
<応用例2>
本応用例2は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め接続を禁止するウェブサーバのアドレスを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスが、内部に登録されている接続禁止アドレスと一致した場合には、その一致したアドレスのウェブサーバにHTTPリクエストを送信することを禁止するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
本応用例2は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め接続を禁止するウェブサーバのアドレスを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスが、内部に登録されている接続禁止アドレスと一致した場合には、その一致したアドレスのウェブサーバにHTTPリクエストを送信することを禁止するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
すなわち、上記実施例では、各内部プロキシサーバ205,305は、外部プロキシサーバ105から受信したHTTPリクエストを無条件で該当するウェブサーバに送信していたが(図2のステップS212)、本応用例2では、HTTPリクエストを受信した段階で、まずそのHTTPリクエストに含まれているアドレスを確認し、内部に登録されている接続禁止アドレスと一致した場合には、その一致したアドレスのウェブサーバに対するHTTPリクエストの送信を禁止し、一致しない場合にのみ送信を許可する構成としている。すなわち、図2のステップS210を実施する前段階で、この判断ステップをまず実施することになる。
ここで、内部プロキシサーバ205を例に挙げて具体的に説明する。内部プロキシサーバ205にイーサネット206を介して例えば5台のウェブサーバ211,212,213,214,215が接続されているものとし、ウェブサーバ211のアドレスを「aaaa」、ウェブサーバ212のアドレスを「bbbb」、ウェブサーバ213のアドレスを「cccc」、ウェブサーバ214のアドレスを「dddd」、ウェブサーバ215のアドレスを「eeee」とする。そして、内部プロキシサーバ205には、このうち接続を禁止するアドレスとして、図4に示すように、3台のウェブサーバ212,214,215のアドレス「bbbb」,「dddd」,「eeee」が登録されているものとする。
ここで、ウェブクライアント111から外部プロキシサーバ105に対して、ウェブサーバ211(アドレス「aaaa」)へのHTTPリクエストが送信されてきたとすると、外部プロキシサーバ105は、このHTTPリクエストを内部プロキシサーバ205に送信する。このとき、内部プロキシサーバ205は、送信されてきたHTTPリクエストに含まれているウェブサーバのアドレス「aaaa」を取得し、内部に登録されているアドレスと比較する。比較の結果、この場合には禁止アドレスと一致しないので、受信したHTTPリクエストを該当するウェブサーバ211に送信する。
一方、ウェブクライアント111から外部プロキシサーバ105に対して、ウェブサーバ212(アドレス「bbbb」)へのHTTPリクエストが送信されてきたとすると、外部プロキシサーバ105は、このHTTPリクエストを内部プロキシサーバ205に送信する。このとき、内部プロキシサーバ205は、送信されてきたHTTPリクエストに含まれているウェブサーバのアドレス「bbbb」を取得し、内部に登録されているアドレスと比較する。比較の結果、この場合には禁止アドレスと一致するので、受信したHTTPリクエストをウェブサーバ212に送信することなく、処理を終了する。
このように、本応用例2の構成によれば、接続を禁止するアドレスの情報を内部プロキシサーバ205に登録し、この登録されているアドレスに対してHTTPリクエストが送信されてきた場合には、その受け付けを拒否することにより、外部から不必要なウェブサーバ(接続されたくないウェブサーバ)に不測にアクセスされてしまうことを防ぐことができる。
<応用例3>
本応用例3は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め送信を禁止または許可するウェブサーバのアドレスを示す特定のパターンを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスのパターンが、内部に登録されている特定のパターンと一致した場合には、その一致したアドレスのウェブサーバに対してHTTPリクエストの送信を禁止または許可(送信)するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
本応用例3は、図1に示す通信システムの各内部プロキシサーバ205,305に、予め送信を禁止または許可するウェブサーバのアドレスを示す特定のパターンを登録し、トンネル接続を経由して外部プロキシサーバ105から受信したHTTPリクエストのアドレスのパターンが、内部に登録されている特定のパターンと一致した場合には、その一致したアドレスのウェブサーバに対してHTTPリクエストの送信を禁止または許可(送信)するように構成した応用例であり、情報通信方法の基本動作は上記実施例と同様である。
すなわち、上記実施例では、各内部プロキシサーバ205,305は、外部プロキシサーバ105から受信したHTTPリクエストを無条件で該当するウェブサーバに送信していたが(図2のステップS212)、本応用例3では、HTTPリクエストを受信した段階で、まずそのHTTPリクエストに含まれているアドレスのパターンを確認し、内部に登録されている特定のパターンと一致した場合に、その一致したアドレスのウェブサーバに対するHTTPリクエストの送信を禁止または許可(送信)する構成としている。すなわち、図2のステップS210を実施する前段階で、この判断ステップをまず実施することになる。
具体的に説明すると、ウェブサーバのアドレスを示す特定のパターンとして、例えば設定ファイルに、「www.sharp.co.jp/path/to/data enable」が登録されている場合には、この「www.sharp.co.jp/path/to/data enable」へのアクセスを許可する。一方、設定ファイルに、「server.sharp.co.jp/path/to/page disable」が登録されている場合には、この「server.sharp.co.jp/path/to/page disable」へのアクセスを禁止する。
このように、本応用例3によれば、ウェブサーバの複数のアドレスに関して、まとめて許可または禁止を設定できるので、設定が容易になる。
<応用例4>
本応用例4では、各内部プロキシサーバ205,305は、正規の切断操作以外でトンネル接続が切断されたことを検出する検出工程を備えている。そして、トンネル接続が正規の切断操作以外で切断されたことを検出した場合には、再度、トンネル接続の確立を試す構成とした応用例である。
本応用例4では、各内部プロキシサーバ205,305は、正規の切断操作以外でトンネル接続が切断されたことを検出する検出工程を備えている。そして、トンネル接続が正規の切断操作以外で切断されたことを検出した場合には、再度、トンネル接続の確立を試す構成とした応用例である。
通常、インターネット上の接続は保証されない。また、ファイアウォール100A,100Bの外部側や外部プロキシサーバ105などで不測の問題が発生した場合、トンネル接続が切断される場合がある。このとき、内部プロキシサーバ205,305が自動的に再接続を行う構成とすることで、安定した通信路を維持することが可能となる。
ここで、正規の切断操作について説明する。正規の切断操作では、オペレータが内部プロキシサーバ205,305を操作して、切断要求を外部プロキシサーバ105に送信する。外部プロキシサーバ205は、切断要求を受信すると、内部プロキシサーバ205,305に承認応答を送信して、トンネル接続を切断する。一方、内部プロキシサーバ205,305は、承認応答を受信すると、トンネル接続を切断する。以上の手順で切断された場合が正規の切断操作である。
次に、正規外の切断操作について説明する。外部プロキシサーバ105は、内部プロキシサーバ205,305に対して、通信可能かどうかを判定するための存在確認要求を一定間隔で送信する。内部プロキシサーバ205,305は、存在確認要求を受信るすと、応答を外部プロキシサーバ105に送信する。外部プロキシサーバ105は、内部プロキシサーバ205,305からの応答を一定時間待ち、予め決められた時間内に応答がなければ内部プロキシサーバ205とのトンネル接続を切断する。一方、内部プロキシサーバ205,305は、外部プロキシサーバ105からの存在確認要求が前記一定間隔より長い一定期間以上無ければ、トンネル接続を切断する。以上の手順で切断された場合が正規外の切断操作である。
<応用例5>
本応用例5は、図1に示す通信システムの各内部プロキシサーバ205,305に、予めトンネル接続の開始時刻と切断時刻の情報を登録し、その開始時刻から切断時刻までの間だけ、トンネル接続を確立するように構成した応用例であり、トンネル接続確立後の情報通信方法は、上記実施例の基本動作と同様である。
本応用例5は、図1に示す通信システムの各内部プロキシサーバ205,305に、予めトンネル接続の開始時刻と切断時刻の情報を登録し、その開始時刻から切断時刻までの間だけ、トンネル接続を確立するように構成した応用例であり、トンネル接続確立後の情報通信方法は、上記実施例の基本動作と同様である。
すなわち、上記実施例では、内部プロキシサーバ205,305は、起動後、無条件で外部プロキシサーバ105にトンネル接続要求を送信し、トンネル接続を確立する構成としている(図2のステップS203,ステップS205)。また、説明は省略しているが、内部プロキシサーバ205,305の電源がオフされるとき、トンネル接続を遮断する構成としている。これに対し、本応用例5では、内部プロキシサーバ205,305を起動した段階で、まず内部に登録されているトンネル接続の開始時刻及び切断時刻と現在時刻とを比較し、現在時刻が開始時刻から切断時刻の間である場合には、図2のステップS203,ステップS205を実施し、現在時刻が開始時刻から切断時刻の間でない場合には、外部プロキシサーバ105に対してトンネル接続要求を送信せず(すなわち、開始時刻になるまでトンネル接続要求を送信せず)、トンネル接続を確立しない構成としている。すなわち、図2のステップS203,ステップS205を実施する前段階で、トンネル接続確立のための上記判断ステップをまず実施することになる。
ここで、内部プロキシサーバ205を例に挙げて具体的に説明する。内部プロキシサーバ205に、例えば図5に示すように、トンネル接続の開始時刻として「07:00(午前7時00分)」、トンネル接続の切断時刻として「20:00(午後8時00分)」の情報が登録されているものとする。
ここで、内部プロキシサーバ205が、09:00(午前9時00分)に起動されたとすると(図2のステップS202)、内部プロキシサーバ205は、まず起動時の時刻「09:00」と内部に登録されている開始時刻「07:00」及び切断時刻「20:00」とを比較する。比較の結果、この場合には、起動時刻「09:00」が開始時刻「07:00」から切断時刻「20:00」までの間に入っているので、内部プロキシサーバ205は、図2のステップS203の処理を実行し、外部プロセスサーバ105にトンネル接続要求を送信して、トンネル接続を確立する。
一方、内部プロキシサーバ205が、06:00(午前6時00分)に起動されたとすると(図2のステップS202)、内部プロキシサーバ205は、まず起動時の時刻「06:00」と内部に登録されている開始時刻「07:00」及び切断時刻「20:00」とを比較する。比較の結果、この場合には、起動時刻「06:00」が開始時刻「07:00」から切断時刻「20:00」までの間に入っていないので、内部プロキシサーバ205は、図2のステップS203の処理は実行せず、外部プロセスサーバ105にトンネル接続要求を送信しない。この後、内部プロキシサーバ205は、図示しない時計手段による現在時刻の計時を監視し、現在時刻が開始時刻「09:00」になると、図2のステップS203の処理を実行し、外部プロセスサーバ105にトンネル接続要求を送信して、トンネル接続を確立する。
また、内部プロキシサーバ205は、トンネル接続確立後も時計手段による現在時刻の計時を監視し、現在時刻が切断時刻になると、トンネル接続を遮断する。
このように、本応用例5の構成によれば、内部プロキシサーバ205に登録されている特定の時間帯のみ外部プロキシサーバ105との間でトンネル接続を確立することが可能となり、外部からの不正アクセスの可能性を減らすことができる。
<応用例6>
本応用例6は、図2のステップS211の処理を実施するときに、外部プロキシサーバ105が、任意のウェブクライアントから受信したHTTPリクエストを暗号化し、暗号化したHTTPリクエストを内部プロキシサーバ205,305に送信する一方、図2のステップS214の処理を実施するとき、内部プロキシサーバ205,305が、受信したHTTPリクエストを復号し、復号したHTTPリクエストを該当するウェブサーバに送信する構成としている。また、図2のステップS216の処理を実施するとき、内部プロキシサーバ205,305が、ウェブサーバからのHTTPレスポンスを暗号化し、暗号化したHTTPレスポンスを外部プロキシサーバ105に送信する一方、図2のステップS217の処理を実施するとき、外部プロキシサーバ105が、暗号化されているHTTPレスポンスを復号し、復号したHTTPレスポンスを該当するウェブクライアントに送信する構成としている。
本応用例6は、図2のステップS211の処理を実施するときに、外部プロキシサーバ105が、任意のウェブクライアントから受信したHTTPリクエストを暗号化し、暗号化したHTTPリクエストを内部プロキシサーバ205,305に送信する一方、図2のステップS214の処理を実施するとき、内部プロキシサーバ205,305が、受信したHTTPリクエストを復号し、復号したHTTPリクエストを該当するウェブサーバに送信する構成としている。また、図2のステップS216の処理を実施するとき、内部プロキシサーバ205,305が、ウェブサーバからのHTTPレスポンスを暗号化し、暗号化したHTTPレスポンスを外部プロキシサーバ105に送信する一方、図2のステップS217の処理を実施するとき、外部プロキシサーバ105が、暗号化されているHTTPレスポンスを復号し、復号したHTTPレスポンスを該当するウェブクライアントに送信する構成としている。
このように、本応用例6によれば、外部プロキシサーバ105と内部プロキシサーバ205,305との間で相互に暗号化と復号化とを行うので、外部プロキシサーバや内部プロキシサーバのなりすましを防止することができる。
<応用例7>
本応用例7では、各内部プロキシサーバ205,305は、外部プロキシサーバ105の識別子に対応する鍵を予め保持する構成とする。そして、図2のステップS203,ステップS205において、内部プロキシサーバ205,305がトンネル接続を確立するとき、外部プロキシサーバ105から当該外部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合にトンネル接続の確立を行う構成とする。
本応用例7では、各内部プロキシサーバ205,305は、外部プロキシサーバ105の識別子に対応する鍵を予め保持する構成とする。そして、図2のステップS203,ステップS205において、内部プロキシサーバ205,305がトンネル接続を確立するとき、外部プロキシサーバ105から当該外部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合にトンネル接続の確立を行う構成とする。
このように、本応用例7によれば、外部プロキシサーバ105のなりすましを防止することができる。すなわち、悪意を持った者が、何らかの手段で外部プロキシサーバのアドレスに、不正な外部プロキシサーバを構築した場合、従来の通信システムでは、内部プロキシサーバはそれと知らずにアクセスし、ファイアウォール内部の情報を漏洩させてしまう恐れがあるが、本応用例7によれば、鍵の一致を確認した後、トンネル接続を確立するため、そのような情報漏洩を回避することができる。
<応用例8>
本応用例8では、外部プロキシサーバ105は、トンネル接続を要求する各内部プロキシサーバ205,305の識別子に対応する鍵を予め保持する構成とする。そして、図2のステップS206において、外部プロキシサーバ105がトンネル接続を確立するとき、内部プロキシサーバ205,305から当該内部プロキシサーバ205,305の識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合に、トンネル接続の確立を行う構成とする。
本応用例8では、外部プロキシサーバ105は、トンネル接続を要求する各内部プロキシサーバ205,305の識別子に対応する鍵を予め保持する構成とする。そして、図2のステップS206において、外部プロキシサーバ105がトンネル接続を確立するとき、内部プロキシサーバ205,305から当該内部プロキシサーバ205,305の識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合に、トンネル接続の確立を行う構成とする。
このように、本応用例8によれば、内部プロキシサーバ205,305のなりすましを防止することができる。すなわち、悪意を持った者が、内部プロキシサーバを作成し、不正に外部プロキシサーバに接続しようとした場合、従来の通信システムでは、外部プロキシサーバはそれと知らずに接続を許可し、不正確な情報にアクセスしてしまう恐れがあるが、本応用例8によれば、鍵の一致を確認した後、トンネル接続を確立するため、このような不正確なアクセスを回避することができる。また、上記応用例7と本応用例8とを組み合わせることによって、情報漏洩や不正確な情報へのアクセスをより確実に防止することが可能となる。
<応用例9>
本応用例9では、外部プロキシサーバ105は、ウェブクライアントからのHTTPリクエストを解析し、HTTPリクエストの一部分をファイアウォール100A,100B内部のアドレス指定として用いる応用例である。より具体的には、内部プロキシサーバ205,305及び外部プロキシサーバ105は、ウェブサーバから受信したHTTPレスポンスを解析し、HTTPレスポンス中のハイパーリンク部分に、ウェブサーバのアドレスを追加する応用例である。
本応用例9では、外部プロキシサーバ105は、ウェブクライアントからのHTTPリクエストを解析し、HTTPリクエストの一部分をファイアウォール100A,100B内部のアドレス指定として用いる応用例である。より具体的には、内部プロキシサーバ205,305及び外部プロキシサーバ105は、ウェブサーバから受信したHTTPレスポンスを解析し、HTTPレスポンス中のハイパーリンク部分に、ウェブサーバのアドレスを追加する応用例である。
図6は、本応用例9の情報通信方法を説明するためのフローチャートである。以下、この図6に示すフローチャートを参照して本応用例9の通信方法の処理手順を説明する。
初期状態は、図2におけるトンネル接続確立の状態(ステップS207)とする。
まず、任意のウェブクライアントより、HTTPリクエスト「ここでは、(webserver.customr.co.jp/path/to/data.html)」を外部プロキシサーバ105及び内部プロキシサーバ205に送信する(ステップS301)。なお、以下の説明では、外部プロキシサーバ105及び内部プロキシサーバ205,305を区別することなく、単に「プロキシサーバ」と称することとする。
プロキシサーバは、ウェブクライアントからのHTTPリクエストを受信し、受信したHTTPリクエストを、アドレス情報(webserver.customer.co.jp)とそれ以降のHTTPリクエスト本体(path/to/data.html)とに分離し(ステップS302)、アドレス情報(webserver.customer.co.jp)によって示されるウェブサーバに向けて、HTTPリクエスト本体を送信する(ステップS303)。
ターゲットであるウェブサーバは、プロキシサーバから送信されてきたHTTPリクエスト本体を受信し(ステップS304)、HTTPリクエストに応じたHTTPレスポンスを生成し、プロキシサーバへ送信する(ステップS305)。
プロキシサーバは、ウェブサーバから送信されてきたHTTPレスポンスを受信し(ステップS306)、受信したHTTPレスポンス中のハイパーリンク部分に、ステップS302で取得したウェブサーバのアドレスを挿入する。ここでは、
<a href="path/to/data.html">…</a>
を
<a href="webserver.customer.co.jp/path/to/data.html">...</a>
に置き換えて、ウェブクライアントに送信する(ステップS307)。
<a href="path/to/data.html">…</a>
を
<a href="webserver.customer.co.jp/path/to/data.html">...</a>
に置き換えて、ウェブクライアントに送信する(ステップS307)。
ウェブクライアントは、プロキシサーバから送信されてきたHTTPレスポンスを受信し、表示する(ステップS308)。
ウェブクライアントのプロキシ設定機能によって外部プロキシサーバを設定する場合、通常、1つの外部プロキシサーバしか設定できないが、本応用例9によれば、クライアントのプロキシ設定に依存することなく、複数の外部プロキシサーバを選択することが可能となる。また、ウェブクライアント上で、HTTPレスポンス中のハイパーリンクをクリックして、外部プロキシサーバ経由でアクセスすることが可能になり、ユーザの操作性を向上させることが可能となる。
<応用例10>
本応用例10では、プロキシサーバ(内部プロキシサーバ及び外部プロキシサーバ)は、ウェブサーバで生成され暗号化されたHTTPレスポンスを復号する第1復号鍵と、HTTPレスポンスを暗号化する第1暗号化鍵とを保持し、ウェブクライアントは、プロキシサーバにおいて第1暗号化鍵で暗号化されたHTTPレスポンスを復号する第2復号鍵を保持する構成としている。そして、ウェブサーバからHTTPレスポンスを受信した場合、プロキシサーバは、当該HTTPレスポンスを第1復号鍵で復号し、復号後のHTTPレスポンス内のハイパーリンクを改変させた後、第1暗号化鍵にて暗号化してウェブクライアントに送信する一方、ウェブサーバが、受信したHTTPレスポンスを第2復号鍵にて復号し、表示する構成としている。
本応用例10では、プロキシサーバ(内部プロキシサーバ及び外部プロキシサーバ)は、ウェブサーバで生成され暗号化されたHTTPレスポンスを復号する第1復号鍵と、HTTPレスポンスを暗号化する第1暗号化鍵とを保持し、ウェブクライアントは、プロキシサーバにおいて第1暗号化鍵で暗号化されたHTTPレスポンスを復号する第2復号鍵を保持する構成としている。そして、ウェブサーバからHTTPレスポンスを受信した場合、プロキシサーバは、当該HTTPレスポンスを第1復号鍵で復号し、復号後のHTTPレスポンス内のハイパーリンクを改変させた後、第1暗号化鍵にて暗号化してウェブクライアントに送信する一方、ウェブサーバが、受信したHTTPレスポンスを第2復号鍵にて復号し、表示する構成としている。
図7は、本応用例10の情報通信方法を説明するためのフローチャートである。以下、この図7に示すフローチャートを参照して本応用例9の通信方法の処理手順を説明する。
初期状態は、図2におけるトンネル接続確立の状態(ステップS207)とする。
まず、任意のウェブクライアントより、HTTPリクエスト(ここでは、(webserver.customr.co.jp/path/to/data.html))をプロキシサーバに送信する(ステップS401)。このとき、ウェブクライアントは、送信時にHTTPリクエストを暗号化鍵1で暗号化する(ステップS402)。
プロキシサーバは、ウェブクライアントからの暗号化されたHTTPリクエストを受信すると、受信したHTTPリクエストを、暗号化鍵1に対応する復号鍵1によって復号し、復号したHTTPリクエストを、アドレス情報(webserver.customer.co.jp)とそれ以降のHTTPリクエスト本体(path/to/data.html)とに分離する(ステップS403)。そして、アドレス情報(webserver.customer.co.jp)によって示されるウェブクライアント(ターゲット)に向けて、HTTPリクエスト本体を送信する(ステップS404)。このとき、プロキシサーバは、送信時に暗号化鍵2でHTTPリクエスト本体を暗号化する(ステップS405)。
ターゲットであるウェブサーバは、プロキシサーバから送信されてきたHTTPリクエスト本体を受信し、暗号化鍵2に対応する復号鍵2によって復号する(ステップS406)。そして、復号したHTTPリクエストに応じたHTTPレスポンスを生成して、プロキシサーバに送信する(ステップS407)。その際、ウェブサーバは、暗号化鍵3によってHTTPレスポンスを暗号化する(ステップS408)。
プロキシサーバは、ウェブサーバから送信されてきたHTTPレスポンスを受信し、受信したHTTPレスポンスを暗号化鍵3に対応する復号鍵3によって復号する(ステップS409)。そして、復号したHTTPレスポンス中のハイパーリンク部分に、ステップS403で取得したウェブサーバのアドレスを挿入する。ここでは、
<a href="path/to/data.html">...</a>
を
<a href="webserver.customer.co.jp/path/to/data.html">...</a>
に置き換えて、ウェブクライアントに送信する(ステップS410)。その際、プロキシサーバは、送信時に暗号化鍵4によって暗号化する(ステップS411)。
<a href="path/to/data.html">...</a>
を
<a href="webserver.customer.co.jp/path/to/data.html">...</a>
に置き換えて、ウェブクライアントに送信する(ステップS410)。その際、プロキシサーバは、送信時に暗号化鍵4によって暗号化する(ステップS411)。
ウェブクライアントは、プロキシサーバから送信されてきたHTTPレスポンスを受信すると、暗号化鍵4に対応する復号鍵4によって復号し、表示する(ステップS412)。
本応用例10によれば、SSL(Secire Socket Layer)などで暗号化されたレスポンスの場合、内容が暗号化されているため改変ができないが、復号鍵をプロキシサーバに登録することにより、一旦復号して平文にする。この状態では、HTTPレスポンス中のハイパーリンクを改変することが可能となり、ユーザの操作性が向上する。そして、改変後のHTTPレスポンスを再度暗号化してウェブクライアントに送信することにより、安全性が確保されることになる。
<応用例11>
本応用例11では、外部プロキシサーバ105は、前記ファイアウォール内部に設置されたウェブサーバ211,212,・・・,311,312,・・・のアドレスを格納した転送先情報テーブル108(図8参照)と、内部プロキシサーバ205とは別の通常プロキシサーバのアドレスとを保持し、任意のウェブクライアントからHTTPリクエストを受信した場合に、HTTPリクエストの内容と転送先情報テーブルの内容とを比較することで、内部プロキシサーバに送信するか、通常プロキシサーバに送信するかを決定する構成としている。
本応用例11では、外部プロキシサーバ105は、前記ファイアウォール内部に設置されたウェブサーバ211,212,・・・,311,312,・・・のアドレスを格納した転送先情報テーブル108(図8参照)と、内部プロキシサーバ205とは別の通常プロキシサーバのアドレスとを保持し、任意のウェブクライアントからHTTPリクエストを受信した場合に、HTTPリクエストの内容と転送先情報テーブルの内容とを比較することで、内部プロキシサーバに送信するか、通常プロキシサーバに送信するかを決定する構成としている。
すなわち、図1のシステム構成では、外部プロキシサーバ105と内部プロキシサーバ205とが1対2対応となっているが、本応用例11では、図8に示すように、外部プロキシサーバ105に対して、内部プロキシサーバ205,305以外に通常プロキシサーバ405も接続され、この通常プロキシサーバ405に通常ウェブサーバ411が接続された構成となっている。
外部プロキシサーバ105が保持する転送先情報テーブル108には、例えば図9に示すようなアドレスデータが格納されている。ここで、「host-1.local.domain.jp」がウェブサーバ(ターゲット1)211のアドレスであり、「host-2.local.domain.jp」がウェブサーバ(ターゲット2)212のアドレスであり、「host-3.local.domain.jp」がウェブサーバ(ターゲット3)311のアドレスであり、「host-4.local.domain.jp」がウェブサーバ(ターゲット4)312のアドレスであるとすると、外部プロキシサーバ105は、HTTPリクエストのアドレスと転送先情報テーブル108の内容とを比較し、転送先情報テーブル108内にHTTPリクエスト先アドレスと一致するアドレスがあれば、内部プロキシサーバ205にリクエストを送信する。一方、転送先情報テーブル108内にHTTPリクエスト先アドレスと一致するアドレスがなければ、通常プロキシサーバ305にリクエストを送信する。
このように、本応用例11によれば、ファイアウォール内部のウェブサーバ(ターゲット)にアクセスする業務と、それ以外へアクセスする業務とを、ウェブクライアントのプロキシ設定を切り変えずに同時に行うことができる。
100A,100B ファイアウォール
105 外部プロキシサーバ
106 イーサネット
108 転送先情報テーブル
111,112,・・・ ウェブクライアント
205 内部プロキシサーバ
206 イーサネット
211,212,311,312,・・・ ウェブサーバ
305 内部プロキシサーバ
306 イーサネット
405 通常プロキシサーバ
411,・・・ 通常ウェブサーバ
105 外部プロキシサーバ
106 イーサネット
108 転送先情報テーブル
111,112,・・・ ウェブクライアント
205 内部プロキシサーバ
206 イーサネット
211,212,311,312,・・・ ウェブサーバ
305 内部プロキシサーバ
306 イーサネット
405 通常プロキシサーバ
411,・・・ 通常ウェブサーバ
Claims (13)
- ファイアウォール外部に外部プロキシサーバとウェブクライアントとを設置し、複数のファイアウォール内部にそれぞれ内部プロキシサーバとウェブサーバとを設置した情報通信システムにおける情報通信方法であって、
前記外部プロキシサーバと前記内部プロキシサーバとの間でトンネル接続を確立させる第1工程と、
トンネル接続確立後、前記ウェブクライアントが、利用者の操作に応じて、前記外部プロキシサーバに接続し、HTTPリクエストを送信する第2工程と、
前記外部プロキシサーバが、前記ウェブクライアントからのHTTPリクエストを受信し、受信したHTTPリクエストに応じて内部プロキシサーバを選択し、前記トンネル接続を経由して前記選択した内部プロキシサーバに送信する第3工程と、
前記内部プロキシサーバが、前記外部プロキシサーバからのHTTPリクエストを受信し、前記ウェブサーバに送信する第4工程と、
前記ウェブサーバが、前記内部プロキシサーバに前記HTTPリクエストに応じたHTTPレスポンスを返信する第5工程と、
前記内部プロキシサーバが、前記外部プロキシサーバに前記HTTPレスポンスを返信する第6工程と、
前記外部プロキシサーバが、前記ウェブクライアントにHTTPレスポンスを返信する第7工程と、を備えていることを特徴とする情報通信方法。 - 請求項1に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれには、予め接続を許可する前記ウェブサーバのアドレスが記録されており、
前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスが、内部に記録されている前記許可するアドレスと一致した場合のみ、一致したアドレスのウェブサーバに前記HTTPリクエストを送信することを特徴とする請求項1に記載の情報通信方法。 - 請求項1または請求項2に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれには、予め接続を禁止する前記ウェブサーバのアドレスが記録されており、
前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスが、内部に記録されている前記禁止するアドレスと一致した場合には、ウェブサーバへの送信を行わないことを特徴とする情報通信方法。 - 請求項1ないし請求項3のいずれか1項に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれには、予め送信を禁止または許可する前記ウェブサーバのアドレスを示す特定のパターンが記録されており、
前記第4工程では、トンネル接続を経由して前記外部プロキシサーバから受信したHTTPリクエストのアドレスのパターンが、内部に記録されている前記禁止または許可するアドレスのパターンと一致した場合に、一致したパターンのアドレスのウェブサーバへの送信を禁止または許可することを特徴とする情報通信方法。 - 請求項1ないし請求項4のいずれか1項に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれは、正規の切断操作以外でトンネル接続が切断されたことを検出する工程を備え、
トンネル接続が正規の切断操作以外で切断されたことを検出した場合には、再度、トンネル接続の確立を試すことを特徴とする情報通信方法。 - 請求項1ないし請求項5のいずれか1項に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれには、トンネル接続開始時刻とトンネル接続切断時刻の情報が記録されており、
前記第1工程では、前記トンネル接続開始時刻になると前記外部プロキシサーバとのトンネル接続を確立し、前記トンネル接続切断時刻になると前記トンネル接続を切断することを特徴とする情報通信方法。 - 請求項1ないし請求項6のいずれか1項に記載の情報通信方法において、
前記第3工程では、前記外部プロキシサーバが、ウェブクライアントからのHTTPリクエストを暗号化し、暗号化したHTTPリクエストを前記内部プロキシサーバに送信し、
前記第4工程では、前記内部プロキシサーバが、受信したHTTPリクエストを復号し、復号したHTTPリクエストをウェブサーバに送信し、
前記第5工程では、前記内部プロキシサーバが、ウェブサーバからのHTTPレスポンスを暗号化し、暗号化したHTTPレスポンスを前記外部プロキシサーバに送信し、
前記第6工程では、前記外部プロキシサーバが、暗号化されている前記HTTPレスポンスを復号し、復号したHTTPレスポンスを前記ウェブクライアントに送信することを特徴とする情報通信方法。 - 請求項1ないし請求項7のいずれか1項に記載の情報通信方法において、
前記複数の内部プロキシサーバのそれぞれは、前記外部プロキシサーバの識別子に対応する鍵を予め保持し、
前記第1工程では、前記内部プロキシサーバが、トンネル接続を確立するとき、前記外部プロキシサーバから当該外部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合にトンネル接続の確立を許可することを特徴とする情報通信方法。 - 請求項1ないし請求項8のいずれか1項に記載の情報通信方法において、
前記外部プロキシサーバは、接続を要求する前記複数の内部プロキシサーバのそれぞれの識別子に対応する鍵を予め保持し、
前記第1工程では、前記外部プロキシサーバが、トンネル接続を確立するとき、前記内部プロキシサーバから当該内部プロキシサーバの識別子に対応する鍵を受信し、受信した鍵と予め保持している鍵とを比較し、比較の結果が一致した場合に、トンネル接続の確立を許可することを特徴とする情報通信方法。 - 請求項1ないし請求項9のいずれか1項に記載の情報通信方法において、
前記外部プロキシサーバは、ウェブクライアントからのHTTPリクエストを解析し、HTTPリクエストの一部分を前記ファイアウォール内部のアドレス指定として用いることを特徴とする情報通信方法。 - 請求項10に記載の情報通信方法において、
前記プロキシサーバは、ウェブサーバから受信したHTTPレスポンスを解析し、HTTPレスポンス中のハイパーリンク部分に、前記ウェブサーバのアドレスを追加することを特徴とする情報通信方法。 - 請求項11に記載の情報通信方法において、
前記プロキシサーバは、ウェブサーバで生成された暗号化されたHTTPレスポンスを復号する復号鍵と、HTTPレスポンスを暗号化する第1暗号化鍵とを保持し、
前記ウェブクライアントは、前記プロキシサーバにおいて第1暗号化鍵で暗号化されたHTTPレスポンスを復号する第1復号鍵を保持し、
前記ウェブサーバからHTTPレスポンスを受信した場合、当該HTTPレスポンスを前記復号鍵で復号し、復号後のHTTPレスポンス内のハイパーリンクを改変させた後、前記第1暗号化鍵にて暗号化してウェブクライアントに送信する工程と、
前記ウェブサーバが、受信したHTTPレスポンスを前記第2復号鍵にて復号し、表示する工程と、を備えることを特徴とする情報通信方法。 - 請求項1ないし請求項12のいずれか1項に記載の情報通信方法において、
前記外部プロキシサーバは、前記ファイアウォール内部に設置されたウェブサーバのアドレスを格納した転送先情報テーブルと、前記内部プロキシサーバとは別の通常プロキシサーバのアドレスとを保持し、
前記第3工程では、HTTPリクエストを受信した場合に、HTTPリクエストの内容と前記転送先情報テーブルの内容とを比較することで、前記内部プロキシサーバに送信するか、前記通常プロキシサーバに送信するかを決定することを特徴とする情報通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007202051A JP2009037478A (ja) | 2007-08-02 | 2007-08-02 | 情報通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007202051A JP2009037478A (ja) | 2007-08-02 | 2007-08-02 | 情報通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009037478A true JP2009037478A (ja) | 2009-02-19 |
Family
ID=40439312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007202051A Pending JP2009037478A (ja) | 2007-08-02 | 2007-08-02 | 情報通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009037478A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101429687B1 (ko) | 2013-01-25 | 2014-08-13 | 주식회사 시큐아이 | 프록시를 탐지하기 위한 장치 및 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285216A (ja) * | 1997-03-28 | 1998-10-23 | Internatl Business Mach Corp <Ibm> | セキュリティ保護通信トンネリングの方法及び装置 |
| JP2002358254A (ja) * | 2001-05-31 | 2002-12-13 | Matsushita Electric Ind Co Ltd | ゲートウエイwwwサーバシステム |
| JP2005063032A (ja) * | 2003-08-08 | 2005-03-10 | Toshiba Corp | クライアント/サーバシステム、クライアントモジュール及び暗号化通信プログラム |
| JP2006119943A (ja) * | 2004-10-22 | 2006-05-11 | Hitachi Ltd | 既読管理方法 |
| JP2006209568A (ja) * | 2005-01-31 | 2006-08-10 | Matsushita Electric Ind Co Ltd | 情報フィルタリング装置、情報フィルタリング方法、プログラムおよび記録媒体 |
-
2007
- 2007-08-02 JP JP2007202051A patent/JP2009037478A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10285216A (ja) * | 1997-03-28 | 1998-10-23 | Internatl Business Mach Corp <Ibm> | セキュリティ保護通信トンネリングの方法及び装置 |
| JP2002358254A (ja) * | 2001-05-31 | 2002-12-13 | Matsushita Electric Ind Co Ltd | ゲートウエイwwwサーバシステム |
| JP2005063032A (ja) * | 2003-08-08 | 2005-03-10 | Toshiba Corp | クライアント/サーバシステム、クライアントモジュール及び暗号化通信プログラム |
| JP2006119943A (ja) * | 2004-10-22 | 2006-05-11 | Hitachi Ltd | 既読管理方法 |
| JP2006209568A (ja) * | 2005-01-31 | 2006-08-10 | Matsushita Electric Ind Co Ltd | 情報フィルタリング装置、情報フィルタリング方法、プログラムおよび記録媒体 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101429687B1 (ko) | 2013-01-25 | 2014-08-13 | 주식회사 시큐아이 | 프록시를 탐지하기 위한 장치 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
| US11652792B2 (en) | Endpoint security domain name server agent | |
| US7657940B2 (en) | System for SSL re-encryption after load balance | |
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| JP5978759B2 (ja) | サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム | |
| US7752269B2 (en) | Adhoc secure document exchange | |
| US20060182103A1 (en) | System and method for routing network messages | |
| JP4492248B2 (ja) | ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法 | |
| US20100014529A1 (en) | Network Communication Apparatus, Network Communication Method, And Address Management Apparatus | |
| JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US7965701B1 (en) | Method and system for secure communications with IP telephony appliance | |
| CN110086806B (zh) | 一种厂站设备系统漏洞的扫描系统 | |
| KR20190009497A (ko) | 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 | |
| US20040243843A1 (en) | Content server defending system | |
| US11736516B2 (en) | SSL/TLS spoofing using tags | |
| JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| JP2009017471A (ja) | 情報通信方法 | |
| JP4720576B2 (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| JP2004295166A (ja) | リモートアクセスシステムおよびリモートアクセス方法 | |
| JP2009037478A (ja) | 情報通信方法 | |
| US7715326B2 (en) | Webserver alternative for increased security | |
| JP2007259384A (ja) | 通信制御システム、通信制御装置、端末、通信制御方法、およびそのプログラム | |
| US7849166B1 (en) | Creation of secure communication connections through computer networks | |
| CN114268499A (zh) | 数据传输方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091021 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110802 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110929 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110929 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111018 |