JP2009260901A - Httpおよびhttps通信を経由した各種全二重通信の実現手段 - Google Patents

Httpおよびhttps通信を経由した各種全二重通信の実現手段 Download PDF

Info

Publication number
JP2009260901A
JP2009260901A JP2008132500A JP2008132500A JP2009260901A JP 2009260901 A JP2009260901 A JP 2009260901A JP 2008132500 A JP2008132500 A JP 2008132500A JP 2008132500 A JP2008132500 A JP 2008132500A JP 2009260901 A JP2009260901 A JP 2009260901A
Authority
JP
Japan
Prior art keywords
http
https
communication
communications
full
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008132500A
Other languages
English (en)
Inventor
Akio Yamamoto
明生 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHIMOUSA SYSTEMS KK
Original Assignee
SHIMOUSA SYSTEMS KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHIMOUSA SYSTEMS KK filed Critical SHIMOUSA SYSTEMS KK
Priority to JP2008132500A priority Critical patent/JP2009260901A/ja
Publication of JP2009260901A publication Critical patent/JP2009260901A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

【課題】HTTPおよびHTTPSに準拠した通信以外は許可されない環境において、各種全二重通信を行いたい。
【解決手段】HTTPおよびHTTPSに準拠した通信以外は許可されない通信路部分の両側にプロトコル変換機構Aとプロトコル変換機構Bを配備し、HTTPおよびHTTPSに準拠したプロトコルに変換する事により、各種全二重通信を可能にする。
【選択図】図3

Description

本発明は要求、応答モデルにしたがった通信プロトコルであるHTTPおよびHTTPS通信を中経路として用いながら、任意のタイミングで双方からデータを送信する事を可能とするしくみである。
近年、インターネットの為に策定されたIP(Internet Protocol)がインターネットのみならず、企業内のネットワークでも広く活用されている。
RFC791
また、現在ではIPを用いた通信のうち、Webシステムの為に考案されたHTTP(Hypertext Transfer Protocol)、およびその暗号化通信方式であるHTTPS(Hypertext Transfer Protocol Security)が占める割合が大きくなってきた。
RFC1945 RFC2068 RFC2616
このような状況の中、企業内やISPにおいてはWebプロキシサーバやアノマリ型侵入検知システムといった、特定の通信以外を許可しない中継器が増加している。
クライアントとサーバの間にWebリバースプロキシサーバが存在する場合、両者の間ではHTTPおよびHTTPSに準拠した通信以外は許可されない。
クライアントとサーバの間にWebプロキシサーバが存在する場合も、両者の間ではHTTPおよびHTTPSに準拠した通信以外は許可されない。
クライアントとサーバの間にアノマリ型侵入検知システムが存在する場合も、両者の間ではHTTPおよびHTTPSに準拠した通信以外は許可されない。
また、上記の3つの状況のうち、複数の状況が重なる場合も同様である。
上記の状況にてHTTPおよびHTTPSに準拠した通信以外が許可されない原因を以下に説明する。まず、1個の要求電文に対する応答は1個でなければならない。このため、リバースプロキシにおいてみられる動きとして、クライアントから2個の要求電文が連続して送られると、1個目の応答電文が返信されてから、はじめて2個目の要求電文がサーバへと送られる。また、1個の要求電文に対して2個以上の応答電文が連続して返信されるとアノマリ型侵入検知システムでは異常とみなし、接続を遮断するケースが存在する。このため、任意のタイミングで双方からデータを送信する事は困難である。
上記のいずれの状況においても、TCP通信、UDP通信、イーサネット通信をはじめとする各種全二重通信を可能にすることを本発明の課題とする。本発明における全二重通信とは、双方から任意のタイミングにてデータを送信できる通信の形態を指すものとする。
本発明では、図3の様に目的とする全二重通信本来のクライアントとの間で、目的とする通信方式が自由に利用できる位置にプロトコル変換機構Aを設置。目的とする全二重通信本来のサーバとの間で、目的とする通信方式が自由に利用可能な位置にプロトコル変換機構Bを設置する事で、両変換機構間にWebリバースプロキシサーバ、Webプロキシサーバ、およびアノマリ型侵入検知システムが存在する場合にも各種全二重通信を可能にする。
プロトコル変換機構Aとプロトコル変換機構Bの間では送信用と受信用各1つ以上の独立したHTTPセッションを確立する。送信用セッションではもっぱらクライアント側からサーバ側へのデータ送信を処理する。これに対し受信用セッションではもっぱらサーバ側からクライアント側へのデータ受信を処理する。
HTTP通信において通常は1電文の大きさはHTTPヘッダ内にて定義される為、いつ送信が完了するかわからない通信には向いていない。しかしながら、HTTP1.1にて定義されたchunked転送方式を利用すると、1電文の中にchunkという塊を複数格納する事が可能となる。各chunkのサイズはその先頭に付加されたサイズ指示子によって行われ、最終的な1電文の大きさが分かるのはこのサイズ指示子が0である部分を読み取った時となるため、この方式を用いれば片方向通信に関しては任意のタイミングでデータを順次送信する事が可能となる。
本発明では、送信用セッション、受信用セッションともにデータ伝送に際してはHTTP1.1にて定義されているchunked転送方式を利用する。図1は送信用セッションにおけるchunked転送方式の利用形態、また、図2は受信用セッションにおける転送方式の利用形態を説明している。受信用セッションではセッションの準備時に、HTTP要求ヘッダをプロトコル変換機構B側に送信し、以降、任意のタイミングでプロトコル変換機構B側からプロトコル変換機構A側に送信する事が可能な状態を保持する。この転送方式はHTTPおよびHTTPSに完全準拠している為、Webリバースプロキシ、Webプロキシサーバ、アノマリ型侵入検知システムによって通信が拒否、遮断される事はない。
最後に図3に示す様に、プロトコル変換機構Aおよびプロトコル変換機構Bでは、それぞれHTTP処理機構と反対側に各種全二重通信用のポートを設け、プロトコル変換を行う。これはHTTPの部分がHTTPSになっても同様の構造となる。
本発明によりHTTPおよびHTTPSのみ利用可能な通信路上で各種全二重通信を行う事が可能となるほか,ユーザ毎の利用可能通信種別や通信先サーバ(以降、サービスという)の管理を集約できる。
本件発明の具体的な実装においては、まずクライアント側にはPC上にプロトコル変換機構Aを小さなプログラムとして配備する。このためにはプログラムをインストールする方法の他、USBメモリに格納して起動させるという方法もあり得る。
次に、サーバ側はWebリバースプロキシと同一のサーバマシン内、もしくは隣接するサーバ上にプロトコル変換機構Bを配備し、ここに各ユーザと利用可能サービスの対応表を持たせる事により、プロトコル変換機能の他にもアクセス管理の集約という役割を持たせる。
上記の方法により、図4の様に目的とする全二重通信本来のクライアントとサーバの間にWebプロキシサーバ、Webリバースプロキシサーバ、およびアノマリ型侵入検知システムが存在する環境においても目的とする全二重通信を中継可能とする。
本発明により、企業内ネットワークに設置された各種システムを社外から利用する際にWebリバースプロキシにおいて中経路を絞り込み、管理を集約できるようになる他、各種システムへの接続許可を接続アカウント毎に管理する機能もプロトコル変換機構B上に集約できる。
また、クライアント側にWebプロキシが設置されていて、これを経由しなければインターネット経由の通信ができないという場合にも本発明における通信方法を用いて通信を行う事が可能となるため、利用できる環境、できない環境の説明に掛かる管理コストも削減できる。
プロトコル変換機構Aからプロトコル変換機構Bへの送信用セッション プロトコル変換機構Bからプロトコル変換機構Aへの受信用セッション プロトコル変換機構を中心としたセッション概要図 関連ノードを配置した全体構成図

Claims (3)

  1. サーバ設置側にはWebリバースプロキシが設置された環境において、HTTPもしくはその暗号化通信であるHTTPSを用いて、双方から任意のタイミングでデータを送信する事が可能な全二重通信を可能にするしくみ。
  2. クライアント設置側にWebプロキシが設置された環境において、HTTPもしくはその暗号化通信であるHTTPSを用いて、双方から任意のタイミングでデータを送信する事が可能な全二重通信を可能にするしくみ。
  3. 伝送経路の中にアノマリ型ファイアウォールが設置された環境において、HTTPもしくはその暗号化通信であるHTTPSを用いて、双方から任意のタイミングでデータを送信する事が可能な全二重通信を可能にするしくみ。
JP2008132500A 2008-04-20 2008-04-20 Httpおよびhttps通信を経由した各種全二重通信の実現手段 Pending JP2009260901A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008132500A JP2009260901A (ja) 2008-04-20 2008-04-20 Httpおよびhttps通信を経由した各種全二重通信の実現手段

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008132500A JP2009260901A (ja) 2008-04-20 2008-04-20 Httpおよびhttps通信を経由した各種全二重通信の実現手段

Publications (1)

Publication Number Publication Date
JP2009260901A true JP2009260901A (ja) 2009-11-05

Family

ID=41387703

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008132500A Pending JP2009260901A (ja) 2008-04-20 2008-04-20 Httpおよびhttps通信を経由した各種全二重通信の実現手段

Country Status (1)

Country Link
JP (1) JP2009260901A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737343A (zh) * 2017-04-20 2018-11-02 苏宁云商集团股份有限公司 一种安全访问网络的实现方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737343A (zh) * 2017-04-20 2018-11-02 苏宁云商集团股份有限公司 一种安全访问网络的实现方法及装置
CN108737343B (zh) * 2017-04-20 2021-02-19 苏宁易购集团股份有限公司 一种安全访问网络的实现方法及装置

Similar Documents

Publication Publication Date Title
US10355944B2 (en) Minimally invasive monitoring of path quality
Alghamdi et al. Security analysis of the constrained application protocol in the Internet of Things
Grigorik High Performance Browser Networking: What every web developer should know about networking and web performance
JP6518771B2 (ja) セキュリティシステム、通信制御方法
Mazurczyk et al. Retransmission steganography and its detection
EP2400693B1 (en) Routing and service performance management in an application acceleration environment
Moritz et al. A lightweight SOAP over CoAP transport binding for resource constraint networks
CN103108037B (zh) 一种通信方法,Web服务器及Web通信系统
Thornburgh Adobe's Secure Real-Time Media Flow Protocol
US8971195B2 (en) Querying health of full-meshed forwarding planes
Misra et al. Introduction to IoT
JP3999785B2 (ja) 通信方法
CN114095195A (zh) 安全套接字层代理的自适应控制
Morton Round-trip packet loss metrics
Sharma et al. QUIC protocol based monitoring probes for network devices monitor and alerts
JP2009055418A (ja) 通信システム、中継装置、端末、及び中継処理方法並びにそのプログラム
US20170346932A1 (en) In-band path-to-path signals using tcp retransmission
JP2009260901A (ja) Httpおよびhttps通信を経由した各種全二重通信の実現手段
Parrott et al. Experimental determination of network quality of service in Ethernet: UDP, OPC, and VPN
DeKok RADIUS over TCP
Skjervold et al. Delay and disruption tolerant web services for heterogeneous networks
US20150215289A1 (en) Method for hiding server address
KR101200875B1 (ko) 웹 서비스 기반 관리를 위한 경량 soap 전송을 위한방법 및 시스템
Seifert et al. SOA in the CoNSIS coalition environment: Extending the WS-I Basic Profile for using SOA in a tactical environment
Biswas An investigation on TCP large initial window