JP3665311B2 - 通信システム - Google Patents
通信システム Download PDFInfo
- Publication number
- JP3665311B2 JP3665311B2 JP2002299408A JP2002299408A JP3665311B2 JP 3665311 B2 JP3665311 B2 JP 3665311B2 JP 2002299408 A JP2002299408 A JP 2002299408A JP 2002299408 A JP2002299408 A JP 2002299408A JP 3665311 B2 JP3665311 B2 JP 3665311B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- customer
- communication network
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、インターネット等の公衆通信網に接続する接続装置を用いて、ルータ等の顧客装置を管理する顧客に通信サービスを提供する通信システムに関し、特にVPN(Virtual Private Network) 技術を拡張する通信システムに関する。
【0002】
【従来の技術】
インターネット等の公衆通信網の発展に伴い、例えば企業の事業所間での通信に公衆通信網を用いる通信システムが増加している。
ところが公衆通信網は、不特定の装置が接続するオープンな通信網であるため、送受信される情報の傍受及び改竄等の行為が行われやすく、安全性が低いという問題がある。
一方、事業所間を専用の通信線で接続する通信システムも古くから普及している。
専用の通信線で接続する通信システムでは、クローズな通信網であるため、安全性が高い通信を行うことが可能であるが、通信費用が高騰するという問題がある。
【0003】
そこでインターネット等の安価な公衆通信網を利用しながらも、安全性の高い通信を実現するVPN(Virtual Private Network) 技術が注目を集めている。
VPNでは、VPNルータと呼ばれる通信装置にて公衆通信網に接続し、VPNルータ間で保護された情報の通信を行うことにより、通信コストを抑制しながらも安全性の高い通信を実現している。
なお保護された情報とは、IPsec(IP Security Protocol)及びL2TP(Layer 2 Tunneling Protocol)等の秘匿通信規約(セキュリティプロトコル)に基づいて送受信される通信であり、これらの秘匿通信規約では暗号化及び認証並びにトンネリング等の技術を用いており、公衆通信網上で一般的に用いられているTCP/IP及びHTTP等の通信規約(プロトコル)より安全性の高い通信を行うことが可能である。
【0004】
【非特許文献1】
インターネット<URL:http://www.ocn.ne.jp/package/vpn/use_ex.html>
【0005】
【発明が解決しようとする課題】
しかしながらVPNでは、公衆通信網を介して通信を行う場合、特定のVPNルータ間の通信に限られるため、例えば公衆通信網上で一般公開されているウェブページにアクセスすることはできないという問題がある。
【0006】
本発明は斯かる事情に鑑みてなされたものであり、VPNルータ等の顧客装置と通信する通信装置と、インターネット等の公衆通信網に接続する接続装置と、通信装置及び接続装置間の通信を中継する中継装置を用い、通信装置及び顧客装置間は保護された情報の通信を行いながらも、接続装置は公衆通信網に接続する不特定の装置と通信を行い、そして接続装置にファイアウォール機能及びウィルスチェック機能等の機能を付与し、中継装置にパケットフィルタリング機能を付与することにより、安全性が高く通信費用の高騰を抑制したVPNを介しての通信を実現することが可能であり、しかも公衆通信網上の不特定の装置との通信に対しても安全性の高い通信を実現することが可能な通信システムの提供を目的とする。
【0007】
【課題を解決するための手段】
第1発明に係る通信システムは、公衆通信網に接続する接続装置を備える通信システムにおいて、前記接続装置と通信する中継装置と、一の中継装置と通信する複数の通信装置と、該複数の通信装置の中のいずれか一つの通信装置と保護された情報の通信を夫々行う複数の顧客装置とを備え、前記接続装置は、公衆通信網に接続する不特定の装置と通信を行う手段を備え、前記中継装置は、前記接続装置から送信された情報を中継して前記通信装置を介して前記顧客装置へ送信する手段と、前記通信装置から送信された情報を中継して前記接続装置へ送信する手段と、一の通信装置を介して前記顧客装置へ送信すべき情報を、他の通信装置から受信した場合に、情報の送信を制限する手段とを備えることを特徴とする。
【0008】
第1発明に係る通信システムでは、通信サービスを提供するサービス事業体の顧客にて管理されるLAN(Local Area Network)等の第1閉域通信網に接続するVPNルータ等の顧客装置と通信する通信装置と、サービス事業体にて構築されるLAN等の第2閉域通信網を介して通信装置と接続する接続装置とを設け、接続装置はインターネット等の公衆通信網上の不特定の装置と通信を行い、顧客装置及び通信装置間は、VPN等の技術を利用して保護された情報にて通信することにより、顧客装置又は第1閉域通信網に接続する装置では、VPNを利用したWAN(Wide Area Network) を実現して安全性が高く通信費用の高騰を抑制した通信を実現しながらも、接続装置を介して不特定の装置との通信、例えば一般公開されているウェブページへのアクセスを行うことが可能であり、しかも接続装置及び夫々異なる顧客装置と通信する複数の通信装置間を中継装置にて接続して通信を中継することにより、複数の顧客装置を夫々管理する複数の顧客に通信サービスを提供することが可能であり、更に中継装置にて、顧客装置へ送信する情報を検査し、情報の送信を制限するパケットフィルタリングを行うことにより、例えば異なる顧客にて管理される顧客装置間での情報の漏洩及び改竄を防止することができるので、通信の安全性を確保することが可能となる。
【0009】
第2発明に係る通信システムは、第1発明において、前記保護された情報とは、公衆通信網を介して特定の装置と秘匿通信規約に基づいて送受信される情報であることを特徴とする。
【0010】
第2発明に係る通信システムでは、IPsec及びL2TP等の秘匿通信規約(セキュリティプロトコル)に基づいて情報を送受信することにより、送受信される情報は、暗号化及び認証並びにトンネリング等の技術を用いて保護されているため、公衆通信網上で一般的に用いられているTCP/IP及びHTTP等の通信規約より安全性の高い通信を行うことが可能である。
【0011】
第3発明に係る通信システムは、第1発明又は第2発明において、前記中継装置は、前記通信装置を介して前記顧客装置へ送信すべき情報を、前記接続装置から受信した場合に、受信した情報を検査する手段と、検査した結果に基づいて、情報の送信を制限する手段とを備えることを特徴とする。
【0012】
第3発明に係る通信システムでは、中継装置にて、顧客装置へ送信する情報を検査し、顧客装置から要求した情報以外の情報の送信を制限するパケットフィルタリングを行うことにより、通信の安全性を確保することが可能となる。
【0015】
第4発明に係る通信システムは、第1発明乃至第3発明のいずれかにおいて、前記中継装置は、前記通信装置を介して前記顧客装置から送信された命令を受け付ける手段と、受け付けた命令に基づいて処理を実行する手段と、実行した処理の結果を、命令の送信元の顧客装置へ送信する手段とを備えることを特徴とする。
【0016】
第4発明に係る通信システムでは、中継装置にて、命令に基づいて処理を実行する会計用ソフトウェア及びグループウェア等の応用ソフトを記録し、顧客装置又は顧客装置に接続する装置から中継装置に記録された応用ソフトを利用可能にすることにより、中継装置が顧客装置又は顧客装置に接続する装置から共通して利用することが可能なASP(Application Service Provider)サーバコンピュータとして稼働するので、例えば顧客装置に接続する装置を操作する操作者は、安全性を確保した状態で様々な応用ソフトウェアを安価に利用することが可能となる。
【0017】
第5発明に係る通信システムは、第1発明乃至第4発明のいずれかにおいて、前記顧客装置は、自らが接続している閉域通信網に接続する装置と通信する手段を備えることを特徴とする。
【0018】
第5発明に係る通信システムでは、安価で安全性が高い通信サービスを顧客に提供する新たなサービスを実現することが可能である。
【0019】
第6発明に係る通信システムは、第1発明乃至第5発明のいずれかにおいて、前記接続装置は、前記公衆通信網に接続する不特定の装置から受信した情報を、前記通信装置へ送信する場合に、受信した情報を検査する手段と、検査した結果に基づいて、情報の送信を制限する手段とを備えることを特徴とする。
【0020】
第6発明に係る通信システムでは、不特定の装置から受信した情報を、検査を行った上で通信装置へ送信することにより、コンピュータウィルスの侵入及び不正行為を目的とした攻撃等の危険を回避することができ、これにより公衆通信網上の不特定の装置に対しても安全性の高い通信を実現することが可能である。
【0021】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて詳述する。
実施の形態1.
図1は本発明の通信システムを概念的に示す説明図である。
図1中10,10,…はVPN(Virtual Private Network) ルータを用いた顧客装置であり、夫々の顧客装置10,10,…は、インターネット等の公衆通信網NW1及び夫々異なるLAN(Local Area Network)等の第1閉域通信網NW2,NW2,…に接続している。
公衆通信網NW1には、DHCP(Dynamic Host Configuration Protocol) サーバコンピュータを用いた通信装置20,20,…が接続されており、通信装置20,20,…には、LAN等の第2閉域通信網NW3を介して、ASP(Application Service Provider)サーバコンピュータを用いた中継装置30及びファイアウォールサーバコンピュータを用いた接続装置40が接続されている。
なお図1では、第1閉域通信網NW2をリング型のトポロジーにて構成される通信網として示し、第2閉域通信網NW3をディジーチェーン型のトポロジーにて構成される通信網として示しているが、夫々の通信網は、スター型及びバス型等の他のトポロジーにて構成される通信網であっても良い。
さらに公衆通信網NW1には、各種ウェブページの公開に用いられるウェブサーバコンピュータ等の公衆装置50,50,…が接続されている。
また第1閉域通信網NW2には、パーソナルコンピュータを用いた端末装置60,60,…等の各種装置が接続されており、同一の第1閉域通信線NW2内の装置は互いに通信を行うことが可能である。
【0022】
通信装置20,20,…、中継装置30及び接続装置40は、通信サービスを提供するサービス事業体により管理されており、顧客装置10,10,…を管理する夫々の顧客に通信サービスを提供している。
なお通信装置20,20,…は、顧客毎に設けられており、また各顧客は事業所毎に顧客装置10,10,…を設けている。
このため一の通信装置20に対し、一又は複数の顧客装置10が接続されることになる。
【0023】
顧客装置10は、TCP/IP及びNetBEUI等の一般的な通信規約(プロトコル)に基づいて、接続されている第1閉域通信網NW2内の装置と情報の送受信を行い、またIPsec(IP Security Protocol)及びL2TP(Layer 2 Tunneling Protocol)等の秘匿通信規約(セキュリティプロトコル)に基づいて、公衆通信網NW1に接続する他の事業所にて管理された顧客装置10,10,…、及び通信装置20等の特定の装置と保護された情報を送受信する。
IPsec及びL2TP等の秘匿通信規約に基づいて、保護された情報を送受信することにより行われる通信とは、暗号化及び認証並びにトンネリング等の技術を用いて行われる通信であり、公衆通信網NW1上で一般的に用いられているTCP/IP及びHTTP等の通信規約に基づいて行われる通信より安全性に優れており、他人が容易に傍受及び改竄等の行為を行えないようになっている。
このように同一の顧客にて管理される顧客装置10,10,…間並びに顧客装置10,10,…及び通信装置20間では、秘匿通信規約に規約に基づく情報のみが送受信されるので、公衆通信網NW1を利用したVPNである秘匿通信網NW4が実現する。
なお公衆通信網NW1に接続する装置には、公衆通信網NW1上での位置を特定すべくグローバルIPアドレスが割り当てられているが、秘匿通信網NW4に接続する顧客装置10,10,…等の装置には、プライベートIPアドレスが割り当てられている。
【0024】
また同一顧客の異なる事業所に設置された第1閉域通信網NW2,NW2,…に夫々接続されている端末装置60,60,…は、夫々の第1閉域通信網NW2,NW2,…に接続されている顧客装置10,10,…により、秘匿通信網NW4を介した通信を行うことができるので、VPN技術を利用して高度な安全性を維持しながらも比較的安価に構成されるWAN(Wide Area Network) を実現している。
【0025】
通信装置20,20,…は、秘匿通信網NW4に接続する顧客装置10,10,…にIPアドレスを自動的に割り当てるDHCPサーバ及び同一顧客にて管理される端末装置60,60,…を用いて共用されるファイルを記録するファイルサーバ等の機能を有している。
【0026】
中継装置30は、受け付けた命令に基づいて処理を実行する会計用応用ソフトウェア(会計ASP)及びグループウェア用ソフトウェア(GWASP)等の共用して用いることが可能なASP用の応用ソフトウェアを備えており、第1閉域通信網NW2,NW2,…に接続されている端末装置60,60,…等の各種装置に夫々の応用ソフトウェアを提供している。
また中継装置30は、顧客装置10,10,…へ送信されるべき情報を検査するパケットフィルタリング機能を有している。
【0027】
接続装置40は、記録されている情報の傍受、改竄及び破壊等の不正行為を目的とした攻撃を防止するファイアウォール、コンピュータウィルスの進入を防止するウィルスチェッカ、DNS(Domain Name System)及びProxy等の機能を有している。
なお接続装置40は、中継装置30及び通信装置20,20,…と第2閉域通信網NW3にて接続しており、中継装置30及び通信装置20,20,…を介して顧客装置10,10,…と秘匿通信規約に基づく保護された情報の通信を行う。
さらに接続装置40は、ウェブページを公開するウェブサーバコンピュータ及び電子メールを送受信するメールサーバ等の公衆通信網NW1に接続する公衆装置50と、TCP/IP及びHTTP等の一般的な通信規約に基づく通信を行う。
【0028】
図2及び図3は本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
顧客装置10,10,…は、装置全体を制御する制御手段11、コンピュータプログラム及びデータ等の各種情報記録しているROM12、ROM12に記録されているコンピュータプログラムの実行時に発生する一時的な情報を記憶するRAM13、秘匿通信網NW4として利用する公衆通信網NW1に接続する秘匿通信手段14並びに第1閉域通信網NW2に接続する内部通信手段15を備えている。
そして顧客装置10は、秘匿通信手段14により、秘匿通信網NW4として利用する公衆通信網NW1に接続された他の顧客装置10及び通信装置20等の特定の装置と、保護された情報の通信を行い、内部通信手段15により、第1閉域通信網NW2に接続する各種端末装置60,60,…と通信を行う。
【0029】
通信装置20は、装置全体を制御するCPU21、コンピュータプログラム及びデータ等の各種情報を記録しているハードディスク及びRAID(Redundant Array of Independent Disks)等の記録手段22、RAM23並びに通信部24を備えている。
記録手段22には、DHCPサーバ用ソフトウェア及びファイルサーバ用ソフトウェア等の各種ソフトウェアが記録されている。
通信部24は、制御手段241、ROM242、RAM243、秘匿通信手段244及び内部通信手段245を有している。
そして秘匿通信手段244により、秘匿通信網NW4として利用する公衆通信網NW1に接続する顧客装置10,10,…等の特定の装置と保護された情報の通信を行い、内部通信手段245にて第2閉域通信網NW3を介して中継装置30と通信を行う。
なお図3に示す例では1台の通信装置20として示しているが、運用形態に応じて、VPNルータ、スイッチングハブ、DHCPサーバコンピュータ及びファイルサーバコンピュータ等の複数の装置の集合体を通信装置20として用いても良い。
【0030】
中継装置30は、CPU31、記録手段32、RAM33及び通信部34を備えており、記録手段32には、会計用応用ソフトウェア及びグループウェア用ソフトウェア等の複数の顧客間で共用して用いられるASP用の応用ソフトウェアが記録されている。
通信部34は、制御手段341、ROM342、RAM343、第1内部通信手段344及び第2内部通信手段345を有しており、第1内部通信手段344にて接続装置40と通信を行い、また第2内部通信手段345にて通信装置20,20,…と通信を行う。
ただしバス型又はスター型のトポロジーにて構成される第2閉域通信網NW3に接続する場合、第1内部通信手段344及び第2内部通信手段345は一つの回路により構成しても良い。
またROM342には、パケットフィルタリング機能を実現するコンピュータプログラムが記録されている。
なお図3に示す例では1台の中継装置30として示しているが、運用形態に応じて、VPNルータ、スイッチングハブ及びASPサーバコンピュータ等の複数の装置の集合体を中継装置30として用いても良い。
【0031】
接続装置40は、CPU41、記録手段42、RAM43及び通信部44を備えており、記録手段42には、ファイアウォール、ウィルスチェッカ、DNS及びProxy等の様々な機能を実現するコンピュータプログラムが記録されている。
通信部44は、制御手段441、ROM442、RAM443、通常通信手段444及び内部通信手段445を有している。
通常通信手段444は、TCP/IP及びHTTP等の一般的な通信規約に基づいて公衆装置50と情報の送受信を行い、内部通信手段445は、第2閉域通信網NW3により中継装置30に接続し、中継装置30及び通信装置20,20,…を介して、IPsec及びL2TP等の秘匿通信規約に基づき顧客装置10,10,…等の特定の装置と保護された情報の送受信を行う。
なお図3に示す例では1台の接続装置30として示しているが、運用形態に応じてVPNルータ及びファイアウォールサーバコンピュータ等の複数の装置の集合体を接続装置30として用いても良い。
【0032】
図4は本発明の通信システムにて用いられる中継装置30のパケットフィルタリング処理を示すフローチャートである。
接続装置40及び通信装置20間、並びに夫々異なる顧客装置10,10,…と通信する複数の通信装置20,20,…間で通信を行う場合、中継装置30はパケットとして送受信される情報の中継処理を行う。
即ち中継装置30は、接続装置40から送信された情報を中継して通信装置20を介して顧客装置10へ送信する処理、通信装置20から送信された情報を中継して接続装置40を介して公衆装置50へ送信する処理、及び一の通信装置20から送信された情報を中継して他の通信装置20を介して顧客装置10へ送信する処理を行う。
そして送信先が通信装置20である場合、不正な情報の送信を制限するパケットフィルタリング処理を実行する。
【0033】
中継装置30では、一の通信装置20を介して顧客装置10へ送信すべき情報を、他の通信装置20又は接続装置40から受信し(S101)、パケットフィルタリング等の機能を実現するコンピュータプログラムにより、受信した情報を検査する(S102)。
そして中継装置30では、検査した結果に基づいて、送信先となる顧客装置10からの要求に対する情報ではないと判定した場合(S103:NO)、一の通信装置20への情報の送信を制限する(S104)。
【0034】
ステップS102において、検査した結果に基づいて、送信先となる顧客装置10からの要求に対する情報であると判定した場合(S103:YES)、中継装置30では、受信した情報を一の通信装置20を介して顧客装置10へ送信する(S105)。
そして顧客装置10では、中継装置30から一の通信装置20を介して情報を受信し、受信した情報を必要に応じて端末装置60へ送信する。
【0035】
ステップS102における検査は、情報であるパケットの属性を判別することにより行うものであり、以前に顧客装置10から情報の送信を要求し、その要求に対して送信された情報でない場合、不正行為を目的としたコマンド等の情報であると判定して、ステップS104にて情報の送信の制限、具体的には情報の破棄を行う。
このように顧客装置10へ送信する情報の検査及び送信の制限を行うことにより、例えば不特定の公衆装置50からの様々な攻撃、並びに異なる顧客にて管理される顧客装置10,10間での情報の漏洩及び改竄を防止することができるので、通信の安全性を確保することが可能となる。
【0036】
図5は本発明の通信システムにて用いられる中継装置30のASP処理を示すフローチャートである。
顧客装置10に第1閉域通信網NW2を介して接続する端末装置60を操作する担当者は、中継装置30に記録されている各種応用ソフトウェアを利用する場合、応用ソフトウェアを利用するための命令を端末装置60に入力し、端末装置60では、入力された命令を顧客装置10へ送信し、顧客装置10では、受信した命令を保護された情報として通信装置20へ送信し、通信装置20では、受信した情報を、第2閉域通信網NW3を介して中継装置30へ送信する。
【0037】
中継装置30では、通信装置20から第1閉域通信網NW3を介して受信した情報として、命令を受け付け(S201)、受け付けた命令に基づいて、ASP用の応用ソフトウェアによる処理を実行し(S202)、実行した処理の結果を、命令の送信元の通信装置20へ送信する(S203)。
そして通信装置20では、受信した処理の結果を、保護された情報として顧客装置10へ送信し、顧客装置10では、保護された情報として受信した処理の結果を、命令の送信元の端末装置60へ送信する。
【0038】
このようにして第1閉域通信網NW2に接続する端末装置60を操作する担当者は、中継装置30が備えるASP用の応用ソフトウェアを利用することが可能となる。
【0039】
図6は本発明の通信システムにて用いられる接続装置40の情報検査処理を示すフローチャートである。
端末装置60を操作する操作者が公衆通信網NW1を介しての電子メールの送受信及び公開されているウェブページの閲覧等の通信を行う場合、端末装置60及び公衆装置50間では、顧客装置10、通信装置20、中継装置30及び接続装置40を介して情報の送受信が行われる。
即ち接続装置40は、端末装置60からの要求に対して公衆装置50から送信された情報を中継して、中継装置30及び通信装置20を介して顧客装置10へ送信する処理を行う。
【0040】
接続装置40では、公衆通信網NW1に接続する不特定の公衆装置50からTCP/IP及びHTTP並びにPOP及びSMTP等の公衆通信網NW1にて一般的に用いられている通信規約に基づいて送信された情報を受信し(S301)、ファイアウォール及びウィルスチェッカ等の機能により、受信した情報を検査する(S302)。
そして接続装置40では、検査した結果に基づいて、コンピュータウィルスの侵入及び不正行為を目的とした攻撃等の危険性が高い情報であると判定した場合(S303:YES)、中継装置30及び通信装置20を介しての顧客装置10への情報の送信を制限する(S304)。
情報の送信の制限とは、例えばコンピュータウィルスを含む情報であるときには、送信すべき情報に含まれているコンピュータウィルスの駆除、不正行為を目的としたpingコマンドであるときには、情報の破棄である。
【0041】
ステップS302において、検査した結果に基づいて危険性が低い情報であると判定した場合(S303:NO)、接続装置40では、受信した情報を中継装置30を介して通信装置20へ送信し(S305)、通信装置20では、IPsec及びL2TP等の秘匿通信規約に基づく保護された情報として顧客装置10へ送信する。
なおステップS304において情報にコンピュータウィルスが含まれている場合、コンピュータウィルスを駆除した情報を、保護された情報として通信装置20を介して顧客装置10へ送信するようにしてもよい。
そして顧客装置10では、接続装置30から中継装置30及び通信装置20を介して情報を受信し、受信した情報を端末装置60へ送信する。
【0042】
このように顧客装置10に接続する端末装置60が、公衆通信網NW1に接続する不特定の公衆装置50と通信する場合、接続装置40にて情報の検査及び送信の制限を行うので、端末装置40に対する通信の安全性を確保することが可能となる。
【0043】
実施の形態2.
図7は本発明の通信システムを概念的に示す説明図であり、図8及び図9は本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
実施の形態2は、実施の形態1において、顧客装置10及び通信装置20間を、専用線及びフレームリレー等の専用通信網NW5にて接続する形態である。
実施の形態2における顧客装置10は、秘匿通信手段14を必要としない代わりに、専用通信網NW5に接続する専用通信手段16を備えている。
また実施に形態2における通信装置20についても、秘匿通信手段244を必要としない代わりに専用通信手段246を備えている。
なおその他の構成要素については、実施の形態1と同様であるので、実施の形態1を参照するものとし、その説明を省略する。
実施の形態2では、顧客装置10及び通信装置20間を専用通信網NW5にて接続することで、夫々のLANである第1専用通信網NW2,NW2,…上の各端末装置60,60,…は、通信装置20、中継装置30及び接続装置40を利用することが可能となり、通信装置20、中継装置30及び接続装置40を管理するサービス事業体は、専用通信網NW5上の装置に対し、各種応用ソフトウェア及びインターネット接続等の通信サービスを提供する新たな事業形態を確立することが可能となる。
【0044】
前記実施の形態1及び2では、通信装置20、中継装置30及び接続装置40を異なる装置として実現する形態を示したが、本発明はこれに限らず、1台又は2台の装置にて実現する形態でも良い。
【0045】
さらに前記実施の形態1及び2では、通信装置20、中継装置30及び接続装置40を第2閉域通信網NW3にて接続する形態を示したが本発明はこれに限らず、通信装置20、中継装置30及び接続装置40を秘匿通信網NW4にて接続する形態でも良い。
【0046】
また前記実施の形態1及び2では、顧客装置10に、操作者が操作することが可能な端末装置60を接続する形態を示したが、本発明はこれに限らず、パーソナルコンピュータ等のコンピュータにVPNルータとしての機能を持たせた顧客装置10を、操作者が操作することが可能で、秘匿通信網NW4に接続することが可能な装置として用いる形態でも良い。
【0047】
【発明の効果】
以上詳述した如く本発明に係る通信システムでは、顧客にて管理されるLAN等の第1閉域通信網に接続するVPNルータ等の顧客装置と通信する通信装置と、サービス事業体にて構築されるLAN等の第2閉域通信網を介して通信装置と接続する接続装置とを設け、接続装置はインターネット等の公衆通信網上の不特定の装置と通信を行い、顧客装置及び通信装置間は、VPN等の通信網又は専用線等の通信線を利用して通信することにより、顧客装置又は第1閉域通信網に接続する装置では、安全性が高いWANによる通信を実現しながらも、接続装置を介して不特定の装置との通信、例えば一般公開されているウェブページへのアクセスを行うことが可能である等、優れた効果を奏する。
【0048】
また本発明では、接続装置及び夫々異なる顧客装置と通信する複数の通信装置間を中継装置にて接続して通信を中継することにより、複数の顧客装置を夫々管理する複数の顧客に通信サービスを提供することが可能であり、更に中継装置にて、顧客装置へ送信する情報を検査し、顧客装置から要求した情報以外の情報の送信を制限するパケットフィルタリングを行うことにより、例えば異なる顧客にて管理される顧客装置間での情報の漏洩及び改竄を防止することができるので、通信の安全性を確保することが可能となる等、優れた効果を奏する。
【0049】
さらに本発明では、中継装置にて、命令に基づいて処理を実行する会計用ソフトウェア及びグループウェア等の応用ソフトを記録し、顧客装置又は顧客装置に接続する装置から中継装置に記録された応用ソフトを利用可能にすることにより、中継装置が顧客装置又は顧客装置に接続する装置から共通して利用することが可能なASPサーバコンピュータとして稼働するので、例えば顧客装置に接続する装置を操作する操作者は、安全性を確保した状態で様々な応用ソフトウェアを安価に利用することが可能となる等、優れた効果を奏する。
【0050】
しかも本発明では、接続装置が、不特定の装置から送信された情報を顧客装置へ送信する場合に、接続装置では、不特定の装置から受信した情報を検査し、危険性が高いと判定したときには顧客装置への情報の送信を制限し、危険性が低いと判定したときには顧客装置へ情報を送信するので、コンピュータウィルスの侵入及び不正行為を目的とした攻撃等の危険を回避することができ、これにより顧客装置に接続する端末装置と、公衆通信網上の不特定の装置と間についても安全性の高い通信を実現することが可能である等、優れた効果を奏する。
【図面の簡単な説明】
【図1】本発明の通信システムを概念的に示す説明図である。
【図2】本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
【図3】本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
【図4】本発明の通信システムにて用いられる中継装置のパケットフィルタリング処理を示すフローチャートである。
【図5】本発明の通信システムにて用いられる中継装置のASP処理を示すフローチャートである。
【図6】本発明の通信システムにて用いられる接続装置の情報検査処理を示すフローチャートである。
【図7】本発明の通信システムを概念的に示す説明図である。
【図8】本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
【図9】本発明の通信システムに用いられる各種装置の構成を示すブロック図である。
【符号の説明】
10 顧客装置
20 通信装置
30 中継装置
40 接続装置
50 公衆装置
60 端末装置
NW1 公衆通信網
NW2 第1閉域通信網
NW3 第2閉域通信網
NW4 秘匿通信網
NW5 専用通信網
Claims (6)
- 公衆通信網に接続する接続装置を備える通信システムにおいて、
前記接続装置と通信する中継装置と、
一の中継装置と通信する複数の通信装置と、
該複数の通信装置の中のいずれか一つの通信装置と保護された情報の通信を夫々行う複数の顧客装置と
を備え、
前記接続装置は、
公衆通信網に接続する不特定の装置と通信を行う手段を備え、
前記中継装置は、
前記接続装置から送信された情報を中継して前記通信装置を介して前記顧客装置へ送信する手段と、
前記通信装置から送信された情報を中継して前記接続装置へ送信する手段と、
一の通信装置を介して前記顧客装置へ送信すべき情報を、他の通信装置から受信した場合に、情報の送信を制限する手段と
を備える
ことを特徴とする通信システム。 - 前記保護された情報とは、公衆通信網を介して特定の装置と秘匿通信規約に基づいて送受信される情報であることを特徴とする請求項1に記載の通信システム。
- 前記中継装置は、
前記通信装置を介して前記顧客装置へ送信すべき情報を、前記接続装置から受信した場合に、受信した情報を検査する手段と、
検査した結果に基づいて、情報の送信を制限する手段と
を備える
ことを特徴とする請求項1又は請求項2に記載の通信システム。 - 前記中継装置は、
前記通信装置を介して前記顧客装置から送信された命令を受け付ける手段と、
受け付けた命令に基づいて処理を実行する手段と、
実行した処理の結果を、命令の送信元の顧客装置へ送信する手段と
を備えることを特徴とする請求項1乃至請求項3のいずれかに記載の通信システム。 - 前記顧客装置は、
自らが接続している閉域通信網に接続する装置と通信する手段を備える
ことを特徴とする請求項1乃至請求項4に記載の通信システム。 - 前記接続装置は、
前記公衆通信網に接続する不特定の装置から受信した情報を、前記通信装置へ送信する場合に、受信した情報を検査する手段と、
検査した結果に基づいて、情報の送信を制限する手段と
を備えることを特徴とする請求項1乃至請求項5のいずれかに記載の通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002299408A JP3665311B2 (ja) | 2002-10-11 | 2002-10-11 | 通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002299408A JP3665311B2 (ja) | 2002-10-11 | 2002-10-11 | 通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004135176A JP2004135176A (ja) | 2004-04-30 |
JP3665311B2 true JP3665311B2 (ja) | 2005-06-29 |
Family
ID=32288557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002299408A Expired - Lifetime JP3665311B2 (ja) | 2002-10-11 | 2002-10-11 | 通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3665311B2 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JP3599552B2 (ja) * | 1998-01-19 | 2004-12-08 | 株式会社日立製作所 | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 |
JP2001167201A (ja) * | 1999-10-01 | 2001-06-22 | Information Services International Dentsu Ltd | 医療データ管理システム、サーバ装置、データ管理方法および媒体 |
JP3490358B2 (ja) * | 1999-11-04 | 2004-01-26 | 日本電信電話株式会社 | ネットワーク間通信方法およびサーバ装置並びにネットワーク間通信システム |
-
2002
- 2002-10-11 JP JP2002299408A patent/JP3665311B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2004135176A (ja) | 2004-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4621405B2 (ja) | 仮想ネットワークの仮想アドレスを管理する方法とシステム | |
JP7393514B2 (ja) | モバイルデバイスの効率的なサイバー保護のための方法およびシステム | |
US8006296B2 (en) | Method and system for transmitting information across a firewall | |
US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
US8458786B1 (en) | Automated dynamic tunnel management | |
US6003084A (en) | Secure network proxy for connecting entities | |
US7536715B2 (en) | Distributed firewall system and method | |
US7769994B2 (en) | Content inspection in secure networks | |
EP1255395B1 (en) | External access to protected device on private network | |
US8010085B2 (en) | Traffic redirection in cloud based security services | |
US7792990B2 (en) | Remote client remediation | |
US20020069356A1 (en) | Integrated security gateway apparatus | |
US20080040470A1 (en) | Method for extranet security | |
Noonan et al. | Firewall fundamentals | |
WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
Foltz et al. | Enterprise considerations for ports and protocols | |
JP3665311B2 (ja) | 通信システム | |
Fleck et al. | Wireless access points and arp poisoning | |
WO2001091418A2 (en) | Distributed firewall system and method | |
Cameron et al. | Configuring Juniper Networks NetScreen and SSG Firewalls | |
Simpson et al. | Enterprise Considerations for Ports and Protocols | |
CN109347822A (zh) | 一种用户访问未授权资源的提示方法及装置 | |
WO2024139775A1 (zh) | 安全服务处理方法、装置、设备、存储介质及程序产品 | |
Simpson et al. | Ports and Protocols Extended Control for Security. | |
JP2006094377A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040924 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041019 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050329 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050331 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3665311 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080408 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110408 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |