JP3253542B2 - ネットワーク通信システム - Google Patents

ネットワーク通信システム

Info

Publication number
JP3253542B2
JP3253542B2 JP31203696A JP31203696A JP3253542B2 JP 3253542 B2 JP3253542 B2 JP 3253542B2 JP 31203696 A JP31203696 A JP 31203696A JP 31203696 A JP31203696 A JP 31203696A JP 3253542 B2 JP3253542 B2 JP 3253542B2
Authority
JP
Japan
Prior art keywords
computer
information
network
server
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP31203696A
Other languages
English (en)
Other versions
JPH10154118A (ja
Inventor
滋 三宅
悟 手塚
聡 宮崎
信 萱島
稔 小泉
修 勝俣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP31203696A priority Critical patent/JP3253542B2/ja
Publication of JPH10154118A publication Critical patent/JPH10154118A/ja
Application granted granted Critical
Publication of JP3253542B2 publication Critical patent/JP3253542B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、計算機間の通信に
複数のファイアウォールが介在するネットワーク通信シ
ステムに関し、特に、計算機間の接続の管理方法に関す
るものである。
【0002】
【従来の技術】現在、企業間あるいは企業内の事業部間
のネットワークの相互接続や、遠隔オフィス/在宅勤務
の通信を、インターネットを介して行えるようにするネ
ットワーク環境の整備が進められている。このようなネ
ットワークでは、不正接続や通信データの盗聴等を防止
し、セキュリティを確保するために、一般的にファイア
ウォール(防火壁)を設置している。
【0003】ファイアウォールは、例えばインターネッ
トと企業内のネットワークの接続点のような、ネットワ
ークの境界部分に配置され、保護対象のネットワークの
構成や構成要素等の情報を、外部のネットワークから取
得できないよう隠蔽する。さらに、ファイアウォール
は、設定された情報を用いて、アクセス要求元のユーザ
の認証を行い、その結果に基づくアクセス制御により正
当なユーザの通信のみを実施可能とする。
【0004】企業内のネットワークでは、例えば事業所
毎に分割したサブネットワークにファイアウォール(内
部ファイアウォール)を設置して、そのサブネットワー
クを企業全体のネットワークから分離して保護している
場合が多い。このため、企業内のネットワークの通信で
も複数のファイアウォールが介在するのが一般的となっ
ている。
【0005】ファイアウォールの設置された企業内のネ
ットワークのサーバへ、ネットワーク外部のクライアン
トからファイアウォールを越えてアクセスすることを可
能とする手段として、socks_V5がRFC1928で提案されて
いる。socks_V5では、各クライアントと中継サーバの間
での相互認証と、中継サーバに対する接続命令とを実現
するsocksプロトコルが定義されており、ファイアウォ
ールを介したクライアントとサーバ間の通信を可能とす
る。
【0006】また、IPレイヤにおける中継経路情報の交
換を動的に行なうメカニズムとしては、RIP(Routing I
nformation Protocol:RFC1058)、OSPF(Open Shortest P
athFirst:RFC1131)等のゲートウェイプロトコルがあ
る。
【0007】また、ネットワークに接続しているコンピ
ュータやネットワークを利用しているユーザ等の情報
を、データベースを用いて統合的に管理する方法として
は、X.500で規定されたディレクトリサービスが国際標
準として利用されている。
【0008】
【発明が解決しようとする課題】上記従来のネットワー
ク通信システムで、クライアントとサーバの通信に複数
のファイアウォールが介在する場合、クライアントはフ
ァイアウォールによりサーバの経路情報を入手すること
ができない。このため、サーバの通信経路が分からない
ユーザは、正当なユーザであっても、サーバへのアクセ
スを実施することができなかった。例えば、図7に示す
ネットワーク通信システムで、A社ネットワーク10のク
ライアント101が、B社ネットワーク11においてサーバ11
3へのアクセスを許可されており、また、B社ネットワー
ク11への通信経路を分かっている場合、クライアント10
1は、上記通信経路で外部ファイアウォールA103,B111に
順次アクセスし認証を行うことでB社のネットワーク11
へは接続することができる。しかし、外部ファイアウォ
ールB111で、内部ファイアウォールC112およびサーバ11
3の経路情報を取得することができないため、例えばサ
ーバ113の名称しか分からないクライアント101は、サー
バ113へつながる次の接続先も分からず、サーバ113にア
クセスすることができない。
【0009】また、従来のネットワーク通信システムで
は、1つのネットワークに複数のファイアウォールを設
置する場合、各ファイアウォールが保護するサブネット
ワークへの接続の可否の決定や、クライアントの認証、
アクセス制御等に用いる各種設定情報の登録や更新を、
各ファイアウォール毎に個別に行う必要があった。この
ため、例えば或る経路の経路情報の登録や更新を行う場
合、管理者はその経路上の全てのファイアウォールに対
し、登録や更新の作業を繰り返さなければならなかっ
た。例えば、図8に示すネットワーク通信システムで
は、サーバ203と社外のネットワークとの接続条件等に
変更が生じた場合、外部ファイアウォール201と内部フ
ァイアウォール202の各設定を更新する必要がある。ま
た、管理者は、外部ファイアウォール201の設定変更を
外部ファイアウォール201に直接接続された設定コンソ
ール端末A204で行い、内部ファイアウォール202の設定
は別の地点に設置された設定コンソールB205で行わなけ
ればならない。
【0010】そこで、本発明は、複数のファイアウォー
ルが介在する計算機間の通信を正当なユーザが通信経路
を意識することなく実施できるネットワーク通信システ
ムを提供することを目的とする。さらに、そのネットワ
ーク通信システムで行われる情報の登録・更新の作業を
軽減することを目的とする。
【0011】
【課題を解決するための手段】上記の目的を達成するた
め、本発明は、ネットワークを構成する、クライアント
計算機と、サーバ計算機と、当該クライアント計算機お
よびサーバ計算機の通信の中継点に配置された、ファイ
アウォールの機能を有する複数の中継サーバ計算機と、
ディレクトリサービス計算機とを備え、当該ディレクト
リサービス計算機は、前記ネットワークを構成する各計
算機を識別するための識別情報と、当該各計算機にアク
セス可能なユーザを規定したユーザ情報と、当該各計算
機の前記ネットワークにおける通信経路を規定した経路
情報とが格納されたデータベースと、前記クライアント
計算機から、前記サーバ計算機の識別情報と、前記クラ
イアント計算機のユーザを指定する情報とを受け付ける
手段と、当該受け付けた情報を基に、前記データベース
に格納された識別情報およびユーザ情報を検索して、前
記クライアント計算機のユーザが前記サーバ計算機の正
当なユーザであるか否かを判定する判定手段と、前記ク
ライアント計算機のユーザが前記サーバ計算機の正当な
ユーザである場合、前記データベースに格納された経路
情報の内の、前記中継サーバ計算機からサーバ計算機に
到る通信経路を規定した経路情報を前記中継サーバ計算
機へ送る手段とを有し、前記中継サーバ計算機は、前記
ディレクトリサービス計算機から送られた経路情報で示
される通信経路で前記クライアント計算機の通信を中継
する手段を有することを特徴とするネットワーク通信シ
ステムを提供する。
【0012】このネットワーク通信システムでは、クラ
イアント計算機のユーザがアクセス対象のサーバ計算機
の正当なユーザである場合、ディレクトリサービス計算
機がサーバの識別情報(例えば、サーバの装置名称やア
ドレス)を基にデータベースを検索してクライアント計
算機とサーバ計算機間の経路情報を中継サーバ計算機へ
送り、その経路情報を用いて中継サーバ計算機がクライ
アント計算機の通信を中継する。これにより、クライア
ント計算機のユーザは、通信経路を意識することなくサ
ーバ計算機との通信を実施することができる。
【0013】また、本発明は、前述のネットワーク通信
システムであって、前記ディレクトリサービス計算機と
中継サーバ計算機とファイアウォール計算機は、それぞ
れに、自計算機に格納されている情報に対する更新情報
を受け付ける手段と、当該更新情報を基に、前記格納さ
れている情報を登録・更新を行う手段と、前記格納され
ている情報の内、他の計算機で格納されている情報と関
連する情報を、前記他の計算機との間で互いに通信する
手段と、当該通信において他の計算機から送られた情報
を基に、自計算機に格納されている情報が前記他の計算
機でなされた情報の更新を反映したものとなるように、
前記格納されている情報を登録・更新する手段とを有す
ることを特徴とするネットワーク通信システムを提供す
る。
【0014】このネットワーク通信システムでは、前記
ディレクトリサービス計算機と中継サーバ計算機とファ
イアウォール計算機において、1つの計算機に格納され
ている情報になされた登録・更新が、他の全ての計算機
に格納されている情報に自動的に反映される。このた
め、管理者が情報の登録・更新を各計算機について個別
に行わずに済み、情報の登録・更新の作業は軽減され
る。
【0015】
【発明の実施の形態】本発明の実施の形態を、図1から
図6を用いて説明する。
【0016】図1は、本発明の実施形態に係るネットワ
ーク通信システムの構成を、仮想ネットワークとして示
した図である。図1のネットワークでは、ネットワーク
30とネットワークA31がインターネット32により接続さ
れている。ネットワーク30には、ファイアウォール・サ
ーバ301と、ディレクトリサービス・サーバ302と、クラ
イアント303とが含まれる。ネットワークA31には、ファ
イアウォール・サーバ311,313,314、ディレクトリサー
ビス・サーバ312、サーバ331,341、クライアント303が
含まれ、サーバ313,331と、サーバ314,341は、それぞ
れサブネットワークB31,C34を構成している。さらに、
インターネットにはクライアント321が直接接続されて
いる。
【0017】ファイアウォール・サーバ301,311,313,31
4にそれぞれ設けられたプログラム3010,3110,3130,3140
は、ファイアウォールの機能と中継サーバの機能を実現
する。クライアントおよびサーバ3030,321,317,331,341
にそれぞれ設けられたプログラム3030,3170,3210,3310,
3410は、ネットワーク通信の機能と中継サーバの機能を
実現する。ディレクトリサービス・サーバ302,312にそ
れぞれ設けられたプログラム3020,3120は、ディレクト
リサービスの機能を実現する。なお、本ネットワークの
ファイアウォール・サーバは、ファイアウォールの機能
を持った中継サーバ(代理サーバ)と定義することがで
きる。また、ファイアウォールの機能と中継サーバの機
能をそれぞれ別のサーバで実現してもよい。
【0018】図2は、ファイアウォール・サーバと、ク
ライアントの構成を示す図である。
【0019】図2において、ファイアウォール・サーバ
およびクライアントは、主記憶装置42、バス43、CPU4
4、通信I/Oインタフェースコントローラ45、キーボード
マウスコントローラ46、キーボード461、ビデオボード
コントローラ47、ディスプレイ装置472、ディスクコン
トローラ41、固定ディスク装置410により構成される。
固定ディスク装置410には、ネットワーク通信を可能と
する通信プログラム411と、上記ネットワーク通信を、
指定された通信経路で行うためのデータ中継制御プログ
ラム412と、経路情報等の更新処理を行うためのディレ
クトリ情報同期プログラム413と、通信経路の決定に利
用する経路情報の設定された中継経路テーブル414とが
予め格納されている。ここで、経路情報は、自計算機の
中継経路に含まれる計算機のアドレスの対応関係を示す
情報である。主記憶装置42には、中継経路テーブルの情
報等が格納されるデータ中継経路情報記憶領域421と、
通信データ記憶領域422と、ディレクトリ同期情報記憶
領域423と、プログラムロード領域424とが形成されてい
る。固定ディスク装置410の各プログラムは、プログラ
ムロード領域424に転送された後、CPU44により実行され
る。なお、ファイアウォール・サーバの固定ディスク装
置410には、クライアントおよびそのユーザの認証を可
能とする認証プログラムおよび認証情報(図示略)も格
納されている。
【0020】図3は、ディレクトリサービス・サーバの
構成を示す図である。
【0021】図3において、ディレクトリサービス・サ
ーバは、主記憶装置52、バス53、CPU54、通信I/Oインタ
フェースコントローラ55、キーボードマウスコントロー
ラ56、キーボード561、ビデオボードコントローラ57、
ディスプレイ装置572、ディスクコントローラ51、固定
ディスク装置510により構成される。固定ディスク装置5
10には、通信プログラム511と、ディレクトリデータベ
ース制御プログラム512と、ディレクトリ情報同期プロ
グラム513と、ディレクトリデータベース514と、クライ
アントおよびそのユーザの認証を可能とする認証プログ
ラムおよび認証情報(図示略)が予め格納されている。
【0022】主記憶装置52には、ディレクトリデータ記
憶領域521と、ディレクトリ同期情報記憶領域522と、プ
ログラムロード領域523とが形成されている。ディレク
トリデータベース514には、管理対象のネットワークの
全ての経路情報が設定された中継経路テーブルの他に、
オブジェクト情報テーブルと、属性情報テーブルが形成
されている。これらの各テーブルの情報は、ネットワー
ク管理者により一括して登録および更新される。
【0023】図4に、ディレクトリデータベース3121の
登録内容の概要を示す。図4中のシンボル60〜631の各
々は、ディレクトリサービス・サーバが管理するネット
ワークA31の各種機器やユーザ等を表している。シンボ
ル60は外部ネットワークのあるディレクトリのRootオブ
ジェクト、シンボル61はネットワークA、シンボル611は
ネットワークAと外部ネットワークを中継するファイア
ウォール1、シンボル612は後述するファイアウォール2
へのポインタとなるエイリアスオブジェクト、シンボル
613はディレクトリサービスを提供するサーバ、シンボ
ル62はネットワークA内部のサブネットワークB、シンボ
ル621,622は規定の位置がサブネットワークBであるユー
ザ、シンボル623は規定の位置がサブネットワークBであ
るユーザが所属するグループ、シンボル624はサブネッ
トワークBに配置された内部ファイアウォール、シンボ
ル625はサブネットワークBに配置されたサーバ、シンボ
ル63はサブネットワークC、シンボル631は規定の位置が
サブネットワークCであるユーザを、それぞれ示す。
【0024】図4に示すように、ディレクトリデータベ
ースの登録情報は、ネットワークの構成をディレクトリ
ツリーと呼ばれる木構造の図で表現することができる。
ネットワーク上の各オブジェクトの配置は、ディレクト
リツリーでRootからそのオブジェクトに到達するまでに
通過するオブジェクトにより特定される。通過するオブ
ジェクトの列により表される階層的な配置のことをコン
テキストと呼ぶ。なお、各オブジェクトを実ネットワー
クの接続状況と同様に配置して、そのコンテキストによ
り実ネットワーク上の配置を表すこともできる。
【0025】図5は、ディレクトリデータベース3121に
形成されたオブジェクト情報テーブルの一例である。オ
ブジェクト情報テーブルには、管理対象のネットワーク
のディレクトリツリーの情報が登録される。図5におい
て、オブジェクト情報テーブルは、図4のディレクトリ
の各オブジェクト毎に、オブジェクトを識別するための
オブジェクトID701、オブジェクト名702と、ディレクト
リツリー上の位置(通過するオブジェクト)を示すコン
テキスト703と、オブジェクト型704と、後述の属性情報
テーブルへの識別子となる属性ID705とが登録される。
オブジェクトを識別するための情報に、ネットワークや
計算機のアドレスを含めてもよい。ディレクトリデータ
ベースでは、オブジェクトID701を基に処理・制御が行
われる。なお、このオブジェクト情報テーブルに、シン
ボルのイメージデータを付加して、図4のようなディレ
クトリツリーのグラフィック表示を行えるようにしても
よい。ただし、このサービスをクライアントに提供する
場合は、そのユーザがアクセス可能な部分のみを表示で
きるようにする。さらに、誤りの検出・訂正を可能とす
る冗長データを付加してもよい。
【0026】図6は、ディレクトリデータベース3121に
形成される属性情報テーブルの一例である。属性情報テ
ーブルには、ディレクトリツリーの各オブジェクトの詳
細な属性が設定される。図6において、属性情報テーブ
ルには、オブジェクト情報テーブルから参照される際の
識別子となる属性ID801と、同一属性IDの各詳細属性を
識別するための補助ID802と、オブジェクト属性の種類
を示す名前803と、同一名のオブジェクト属性を区別す
るためのシリアル番号804と、アクセス権限等を規定す
る属性の設定値805とが登録される。例えば、図6中の
属性812は、ユーザ1がファイアウォール1に対するデー
タの読み出しと書き込みが可能であることを表してい
る。属性826は、ファイアウォール2を介した全ての経路
での通信をユーザ1に許可することを表している。属性8
28は、規定の位置がネットワークAに無いユーザProject
User.Externalに、ファイアウォール2を介する経路Rout
e.0での通信を許可することを表している。本例では、P
rojectUser.Externalに、ファイアウォール1へのアクセ
ス権限(814)と、ファイアウォール2に対するアクセス権
限(819)と、ディレクトリサービスへのアクセス権限(82
4)を与えている。
【0027】本ネットワーク通信システムで行われる情
報更新処理を説明する。
【0028】ディレクトリサービス・サーバと、中継サ
ーバの機能を持つ各ファイアウォール・サーバは、ディ
レクトリ情報同期プログラム512を実行して、定期的に
自計算機の設定情報(経路情報など)を交換し合い、設
定情報の登録・更新を行う。この処理により、例えば、
ディレクトリサービス・サーバとファイアウォール・サ
ーバにそれぞれ格納された同一経路についての経路情報
が一致しない場合は、設定日時の新しい経路情報に統一
するように中継経路テーブルの経路情報が更新される。
接続の可否の決定やクライアントの認証等に用いる情報
も、同様にして登録・更新される。また、インターネッ
トを介して互いに接続されたネットワーク30,31の外部
ファイアウォールも設定情報を互いに交換し、自ネット
ワークへのアクセスを許可するユーザの情報の登録・更
新を行う。例えば、ネットワーク31において、ネットワ
ーク30のユーザの自ネットワーク31へのアクセスを許可
する登録を行った場合には、同内容の登録がネットワー
ク30のディレクトリサービス・サーバとファイアウォー
ル・サーバにもなされる。このように、本ネットワーク
通信システムでは、ネットワーク管理者は各計算機の設
定情報の登録・更新を、例えばディレクトリサービス・
サーバでのみ実施すればよく、従来のシステムのように
各ファイアウォール・サーバ毎に個別に登録・更新を実
施しなくてもよい。
【0029】次に、本ネットワーク通信システムにおけ
る通信動作の具体例を説明する。
【0030】まず、図1において、ネットワークB33の
サーバ331へのアクセス権を与えられたユーザが、その
サーバ331に、他のネットワーク30内のクライアント303
からアクセスする場合を説明する。
【0031】ユーザからネットワークA31へのアクセス
を指示されたクライアント303は、まず、自クライアン
トのMACアドレスやユーザ名称、ユーザID等を指定して
ネットワーク30内のディレクトリサービス・サーバ302
の認証を受ける。そして、クライアント303は、ディレ
クトリサービス・サーバ302に、ネットワークA31内のデ
ィレクトリサービス・サーバ312の識別情報(例えば装
置名称)を指定して経路情報を問い合わせ、経路情報を
取得する。なお、このとき、ネットワーク30内のファイ
アウォール・サーバ301とディレクトリサービス・サー
バ303には、情報更新処理等により上記ユーザのネット
ワークA31へのアクセスを許可する設定がなされてい
る。取得した経路情報に従いクライアント303、ファイ
アウォール・サーバ301、ネットワークA31のファイアウ
ォール・サーバ311は、各中継サーバプログラムによ
り、クライアント303をインターネット32を介してディ
レクトリサービス・サーバ312に接続する。
【0032】そして、クライアント303は、ディレクト
リサービス・サーバ312との間で上記と同様の認証手続
を行った後、サーバ331の装置名称を指定してディレク
トリサービス・サーバ312に経路情報を問い合わせる。
問い合わせに対しディレクトリサービス・サーバ312
は、上記ユーザのサーバ331へのアクセスが許可されて
いるため、サーバ331への経路情報を返送する。この経
路情報に従いファイアウォール・サーバ311,313は、中
継サーバプログラムによりクライアント303とサーバ331
間の通信経路を確立し、その通信経路におけるクライア
ント303の認証手続は免除する。以降、クライアント303
はサーバ331と通信し、サーバ331の資源を利用すること
ができる。
【0033】次に、規定の位置がサブネットワークB33
でサーバ331へのアクセスを許可されたユーザ(図6の
ユーザ1)が、インターネット上のクライアント321か
ら、サーバ331にアクセスする場合を説明する。このユ
ーザは、ネットワークA内のディレクトリサービス・サ
ーバ312とサーバ331の装置名称を知っているものとす
る。
【0034】サーバ331へのアクセスが指示されるとク
ライアント321は、中継サーバプログラムにより、ファ
イアウォール311で認証を得てディレクトリサービス・
サーバ312に接続する。そして、ディレクトリサービス
・サーバ312でユーザID等の指定によりユーザの認証を
受けて、サーバ3310への経路情報をディレクトリサービ
ス・サーバ312に要求する。この要求を受けたディレク
トリサービス・サーバは、ディレクトリデータベース制
御プログラムにより、サーバ331に対応するオブジェク
トをディレクトリデータベース3121で検索し、ユーザ1
のアクセス権利822が読み書き可能なrwの値となってい
ることを確認し、次に途中経路にあるファイアウォール
2へのルートの使用権限826があることを確認し、サーバ
331へのルートの使用権限があることを確認した後、ク
ライアント321からサーバ331に到る通信経路の経路情報
を返送する。この経路情報に従いファイアウォール・サ
ーバ311とファイアウォール・サーバ313は、各中継サー
バプログラムにより通信経路を確立し、クライアント32
1に対する認証手続は免除する。そして、以降、クライ
アント321とサーバ331の間の通信を中継する。
【0035】以上のように、本ネットワークでは、正当
なユーザは通信経路を意識することなしに目的のサーバ
との通信を容易に実施することができる。
【0036】なお、ファイアウォール・サーバでの通信
経路の確立と認証手続の免除を行わずに、クライアント
に経路情報のみを提供するようにしてもよい。この場
合、クライアントは、提供された経路情報を基に中継経
路上のファイアウォール・サーバに順次にアクセスし認
証手続きを行って、サーバ331との間の通信経路を確立
する。また、経路情報の変わりに上記のコンテキストを
クライアントに提供し、コンテキストを基にサーバ331
との間の通信経路を確立するようにしてもよい。
【0037】また、例えばProjectUser.Externalとし
て、ファイアウォール1へのアクセス権限814、ファイア
ウォール2に対するアクセス権限819およびディレクトリ
サービスへのアクセス権限824を許可されたユーザは、
規定の位置がネットワークAに無い場合にも外部からサ
ーバ331にアクセスできる。また、ディレクトリサービ
ス・サーバへのアクセス権限を不許可としておけば、仮
にファイアウォール1へ不正アクセスしたユーザがいた
としても、ディレクトリサービス・サーバ312との認証
を行うことが必要となるため、ネットワークA内部への
不正アクセスを阻止し、セキュリティを確保することが
できる。
【0038】
【発明の効果】以上のように、本発明によれば、複数の
ファイアウォールが介在する計算機間の通信を正当なユ
ーザが通信経路を意識することなく容易に実施できるネ
ットワーク通信システムを提供することができる。さら
に、そのネットワーク通信システムで行われる情報の登
録・更新の作業を軽減することができる。
【図面の簡単な説明】
【図1】 本発明の実施形態に係る通信システムの全体
構成を示す図である。
【図2】 サーバまたはクライアントの構成を示す図で
ある。
【図3】 ディレクトリサービス・サーバの構成を示す
図である。
【図4】 ディレクトリサービスデータベースの登録内
容の説明図である。
【図5】 ディレクトリサービスデータベースを構成す
るオブジェクト情報テーブルの例を示す図である。
【図6】 ディレクトリサービスデータベースを構成す
るオブジェクトの属性情報テーブルの例を示す図であ
る。
【図7】 従来のネットワークの問題点を説明するため
の図である。
【図8】 従来のネットワークの別の問題点を説明する
ための図である。
【符号の説明】
10…A社ネットワークA、11…B社ネットワークB、101…
クライアント計算機、102…ファイアウォール、103…フ
ァイアウォール、110…B社サブネットワークC、111…フ
ァイアウォール、112…ファイアウォール、20…社内ネ
ットワーク、200…サブネットワーク、201…ファイアウ
ォール、202…ファイアウォール、203…クライアント、
204…設定コンソール、205…設定コンソール、30…ネッ
トワーク、31…ネットワーク、32…インターネット、33
…サブネットワーク、34…サブネットワーク、301…フ
ァイアウォール、302…ディレクトリサービス・サー
バ、303…クライアント、311…ファイアウォール、312
…ディレクトリサービス・サーバ、313…ファイアウォ
ール、314…ファイアウォール、317…クライアント、32
1…クライアント、331…サーバ計算機、341…サーバ計
算機、3010…ファイアウォール兼中継サーバプログラ
ム、3020…ディレクトリサーバプログラム、3030…中継
サーバプログラム、3110…ファイアウォール兼中継サー
バプログラム、3120…ディレクトリサーバプログラム、
3130…ファイアウォール兼中継サーバプログラム、3140
…ファイアウォール兼中継サーバプログラム、3210…中
継サーバプログラム、3310…中継サーバプログラム、34
10…中継サーバプログラム、41…ディスクコントロー
ラ、42…主記憶装置、43…バス、44…CPU、45…通信I/O
インタフェースコントローラ、46…キーボードマウスコ
ントローラ、461…キーボード、47…ビデオボードコン
トローラ、472…ディスプレイ装置、410…固定ディスク
装置、411…通信プログラム、412…データ中継制御プロ
グラム、413…ディレクトリ情報同期プログラム、414…
中継経路テーブル、420…主記憶装置の内容、421…デー
タ中継経路情報記憶領域、422…通信データ記憶領域、4
23…ディレクトリ同期情報記憶領域、424…プログラム
ロード領域、51…ディスクコントローラ、52…主記憶装
置、53…バス、54…CPU、55…通信I/Oインタフェースコ
ントローラ、56…キーボードマウスコントローラ、561
…キーボード、57…ビデオボードコントローラ、572…
ディスプレイ装置、510…固定ディスク装置、511…通信
プログラム、512…ディレクトリデータベース制御プロ
グラム、513…ディレクトリ情報同期プログラム、514…
中継経路テーブルを含むディレクトリデータベース、52
0…主記憶装置の内容、521…ディレクトリデータ記憶領
域、522…ディレクトリ同期情報記憶領域、523…プログ
ラムロード領域、60…ディレクトリオブジェクト、61…
ディレクトリオブジェクト、62…ディレクトリオブジェ
クト、63…ディレクトリオブジェクト、611…ディレク
トリオブジェクト、612…ディレクトリオブジェクト、6
13…ディレクトリオブジェクト、621…ディレクトリオ
ブジェクト、622…ディレクトリオブジェクト、623…デ
ィレクトリオブジェクト、624…ディレクトリオブジェ
クト、625…ディレクトリオブジェクト、626…ディレク
トリオブジェクト、70…ディレクトリオブジェクト情報
テーブル、701…オブジェクトID、702…オブジェクト
名、703…オブジェクトコンテキスト、704…オブジェク
ト型、705…オブジェクトの属性ID、710…オブジェクト
情報、711…オブジェクト情報、712…オブジェクト情
報、714…オブジェクト情報、715…オブジェクト情報、
716…オブジェクト情報、717…オブジェクト情報、718
…オブジェクト情報、719…オブジェクト情報、720…オ
ブジェクト情報、721…オブジェクト情報、80…オブジ
ェクト属性情報テーブル、801…属性ID、802…補助ID、
803…オブジェクト属性名、804…オブジェクト属性シリ
アル、805…オブジェクト属性値、810…オブジェクト属
性情報、811…オブジェクト属性情報、812…オブジェク
ト属性情報、813…オブジェクト属性情報、814…オブジ
ェクト属性情報、815…オブジェクト属性情報、816…オ
ブジェクト属性情報、817…オブジェクト属性情報、818
…オブジェクト属性情報、819…オブジェクト属性情
報、820…オブジェクト属性情報、821…オブジェクト属
性情報、822…オブジェクト属性情報、823…オブジェク
ト属性情報、824…オブジェクト属性情報、825…オブジ
ェクト属性情報、826…オブジェクト属性情報、827…オ
ブジェクト属性情報、828…オブジェクト属性情報、829
…オブジェクト属性情報、830…オブジェクト属性情
報、831…オブジェクト属性情報、832…オブジェクト属
性情報、833…オブジェクト属性情報。
フロントページの続き (72)発明者 宮崎 聡 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究 所内 (72)発明者 萱島 信 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究 所内 (72)発明者 小泉 稔 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究 所内 (72)発明者 勝俣 修 神奈川県横浜市戸塚区戸塚町5030番地 株式会社日立製作所 ソフトウェア開発 本部内 (56)参考文献 特開 平10−126440(JP,A) 特開 平9−214556(JP,A) インターネットVPN急浮上するイン トラネット広域化手法,日刊コミュニケ ーション,日本,日経BP社,1996年6 月17日,第224号,p.91−p.100 (58)調査した分野(Int.Cl.7,DB名) G06F 13/00 351 G06F 15/00 330 H04L 12/66

Claims (6)

    (57)【特許請求の範囲】
  1. 【請求項1】ネットワークを構成する、クライアント計
    算機と、サーバ計算機と、当該クライアント計算機およ
    びサーバ計算機の通信の中継点に配置された、ファイア
    ウォールの機能を有する複数の中継サーバ計算機と、デ
    ィレクトリサービス計算機とを備え、 当該ディレクトリサービス計算機は、 前記ネットワークを構成する各計算機を識別するための
    識別情報と、当該各計算機にアクセス可能なユーザを規
    定したユーザ情報と、当該各計算機の前記ネットワーク
    における通信経路を規定した経路情報とが格納されたデ
    ータベースと、 前記クライアント計算機から、前記サーバ計算機の識別
    情報と、前記クライアント計算機のユーザを指定する情
    報とを受け付ける手段と、 当該受け付けた情報を基に、前記データベースに格納さ
    れた識別情報およびユーザ情報を検索して、前記クライ
    アント計算機のユーザが前記サーバ計算機の正当なユー
    ザであるか否かを判定する判定手段と、 前記クライアント計算機のユーザが前記サーバ計算機の
    正当なユーザである場合、前記データベースに格納され
    た経路情報の内の、前記中継サーバ計算機からサーバ計
    算機に到る通信経路を規定した経路情報を前記中継サー
    バ計算機へ送る手段とを有し、 前記中継サーバ計算機は、 前記ディレクトリサービス計算機から送られた経路情報
    で示される通信経路で前記クライアント計算機の通信を
    中継する手段を有することを特徴とするネットワーク通
    信システム。
  2. 【請求項2】請求項1記載のネットワーク通信システム
    であって、 前記クライアント計算機のユーザが前記サーバ計算機の
    正当なユーザである場合、前記各中継サーバは、前記ク
    ライアント計算機からサーバ計算機に到る通信経路を確
    立し、かつ、前記クライアント計算機の通信に対するフ
    ァイアウォールの認証手続を免除することを特徴とする
    ネットワーク通信システム。
  3. 【請求項3】請求項1記載のネットワーク通信システム
    であって、 前記ディレクトリサービス計算機も、アクセスしてきた
    クライアント計算機のユーザの認証を行う手段を有し、 前記判定手段は、当該認証が得られなかったユーザは正
    当なユーザでないと判定することを特徴とするネットワ
    ーク通信システム。
  4. 【請求項4】請求項3記載のネットワーク通信システム
    であって、 前記ディレクトリサービス計算機は、前記クライアント
    計算機のユーザが正当なユーザである場合、前記データ
    べースに格納された、前記クライアント計算機のユーザ
    がアクセス可能な計算機の識別情報を前記クライアント
    計算機に送る手段を有することを特徴とするネットワー
    ク通信システム。
  5. 【請求項5】請求項1記載のネットワーク通信システム
    であって、 前記ネットワークは、前記クライアント計算機が構成す
    る第1のネットワークと、前記サーバ計算機とディレク
    トリサービス計算機と複数の中継サーバ計算機が構成す
    る第2のネットワークとにより構成されており、 前記第1および第2のネットワークの接続点には、1つ
    の前記中継サーバ計算機が配置されることを特徴とする
    ネットワーク通信システム。
  6. 【請求項6】請求項1記載のネットワーク通信システム
    であって、 前記ディレクトリサービス計算機と中継サーバ計算機
    は、それぞれに、 自計算機に格納されている情報に対する更新情報を受け
    付ける手段と、 当該更新情報を基に、前記格納されている情報を登録・
    更新を行う手段と、 前記格納されている情報の内、他の計算機で格納されて
    いる情報と関連する情報を、前記他の計算機との間で互
    いに通信する手段と、 当該通信において他の計算機から送られた情報を基に、
    自計算機に格納されている情報が前記他の計算機でなさ
    れた情報の更新を反映したものとなるように、前記格納
    されている情報を登録・更新する手段とを有することを
    特徴とするネットワーク通信システム。
JP31203696A 1996-11-22 1996-11-22 ネットワーク通信システム Expired - Fee Related JP3253542B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP31203696A JP3253542B2 (ja) 1996-11-22 1996-11-22 ネットワーク通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP31203696A JP3253542B2 (ja) 1996-11-22 1996-11-22 ネットワーク通信システム

Publications (2)

Publication Number Publication Date
JPH10154118A JPH10154118A (ja) 1998-06-09
JP3253542B2 true JP3253542B2 (ja) 2002-02-04

Family

ID=18024457

Family Applications (1)

Application Number Title Priority Date Filing Date
JP31203696A Expired - Fee Related JP3253542B2 (ja) 1996-11-22 1996-11-22 ネットワーク通信システム

Country Status (1)

Country Link
JP (1) JP3253542B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6770152B1 (en) 1999-09-03 2004-08-03 Nsk Ltd. Rolling bearing

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3415456B2 (ja) * 1998-10-19 2003-06-09 日本電気株式会社 ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体
EP1124195A3 (en) 2000-02-09 2001-11-28 Hitachi, Ltd. Answer system for technical support, and technical support method
JP4604365B2 (ja) 2001-02-23 2011-01-05 コニカミノルタビジネステクノロジーズ株式会社 画像処理方法、画像処理システムおよびこれに用いる携帯用端末、画像形成データ送信装置および画像形成装置、ならびに画像処理プログラムおよびこれを記録したコンピュータ読み取り可能な記録媒体
WO2002098075A1 (fr) * 2001-05-25 2002-12-05 Mitsubishi Denki Kabushiki Kaisha Systeme de communication par internet, procede de communication par internet, serveur de commande de session, adaptateur de communication, serveur de relais de communication et programme
US20040249958A1 (en) * 2003-06-04 2004-12-09 Ozdemir Hasan Timucin Method and apparatus for secure internet communications
JP4574287B2 (ja) * 2004-09-01 2010-11-04 キヤノン株式会社 ファイル管理装置
JP4701977B2 (ja) 2005-10-06 2011-06-15 株式会社デンソー 車載ネットワークの診断システム及び車載制御装置
JP4479647B2 (ja) * 2005-11-21 2010-06-09 日本電気株式会社 経路生成システム、経路生成方法、経路管理サーバ、中継装置、端末装置および制御プログラム
EP1990975B1 (en) 2007-05-09 2013-02-20 Murata Machinery, Ltd. Relay server and relay communication system
WO2012173234A1 (ja) 2011-06-17 2012-12-20 日本電気株式会社 通信制御装置、通信制御方法およびプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JP3587633B2 (ja) * 1996-10-18 2004-11-10 株式会社日立製作所 ネットワーク通信方法および装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
インターネットVPN急浮上するイントラネット広域化手法,日刊コミュニケーション,日本,日経BP社,1996年6月17日,第224号,p.91−p.100

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6770152B1 (en) 1999-09-03 2004-08-03 Nsk Ltd. Rolling bearing

Also Published As

Publication number Publication date
JPH10154118A (ja) 1998-06-09

Similar Documents

Publication Publication Date Title
US11218420B2 (en) Virtual network interface objects
JP7053732B2 (ja) 仮想ネットワーク検証サービス
US7269848B2 (en) Method and system for access to development environment of another in a secure zone
US6119234A (en) Method and apparatus for client-host communication over a computer network
US8090827B2 (en) Secure access to remote resources over a network
US7055171B1 (en) Highly secure computer system architecture for a heterogeneous client environment
US5634010A (en) Managing and distributing data objects of different types between computers connected to a network
US6088725A (en) Mobile computer supporting system, its administrative server, its terminal, and address conversion method
JP5167225B2 (ja) 1つのファイラー上の複数の仮想ファイラーが重複するネットワークアドレスを有する複数のアドレス空間に参加することを可能にする技術
US6684243B1 (en) Method for assigning a dual IP address to a workstation attached on an IP data transmission network
US6216159B1 (en) Method and system for IP address accessibility to server applications
US20020083146A1 (en) Data model for automated server configuration
JP2002518726A (ja) プラグインフィルタを用いた拡張性の高いプロキシサーバ
JP3253542B2 (ja) ネットワーク通信システム
US6754212B1 (en) Repeater and network system utililzing the same
US11968201B2 (en) Per-device single sign-on across applications
CN113364741A (zh) 一种应用访问方法及代理服务器
JP3736173B2 (ja) ネットワーク管理システム
US8041761B1 (en) Virtual filer and IP space based IT configuration transitioning framework
US11245623B2 (en) Method and apparatus for collecting data in network communication using concealed user address
JPH1028144A (ja) アクセス制御機能付きネットワーク構成方式
JP3649180B2 (ja) セキュリティ管理システムおよび経路指定プログラム
JP2005217757A (ja) ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
JPH09325931A (ja) ネットワーク接続システム及び接続代行対応クライアント並びに接続代行対応クライアントを実現する制御プログラムを格納した記憶媒体
JP2000295269A (ja) 外部ネットワークへのアクセス規制方法、並びにルータ装置

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees