JP4044553B2 - 通信ドライバ装置及び通信制御方法 - Google Patents
通信ドライバ装置及び通信制御方法 Download PDFInfo
- Publication number
- JP4044553B2 JP4044553B2 JP2004355068A JP2004355068A JP4044553B2 JP 4044553 B2 JP4044553 B2 JP 4044553B2 JP 2004355068 A JP2004355068 A JP 2004355068A JP 2004355068 A JP2004355068 A JP 2004355068A JP 4044553 B2 JP4044553 B2 JP 4044553B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- information
- permission
- communication
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、通信元と通信先との間で通信のセキュリティ向上を目的として互いに通信可能であることを確認してから通信を開始する通信ドライバ装置、通信システム、通信制御方法に関する。
図21に従来の一般的な標準構成である通信機器(コンピュータなど)のネットワーク通信の構成図を示す。
図21において、送信側コンピュータなどである送信側通信機器101は、オペレーティングシステム(以下OSとする)を搭載し、一般的にクライアント機に相当する。受信側コンピュータなどである受信側通信機器104は、OSを搭載し、一般的にサーバ機に相当する。通信機器101及び通信機器104とはそれぞれ、OS標準定義ファイル102、OS標準定義ファイル105を備える。また、通信機器101及び通信機器104とはそれぞれ、ネットワーク通信を行うLANドライバ103、LANドライバ106をそれぞれ備える。また、送信側通信機器101と受信側通信機器104とは、ネットワーク505により接続され、互いに通信可能なシステム環境にある。
図21において、送信側コンピュータなどである送信側通信機器101は、オペレーティングシステム(以下OSとする)を搭載し、一般的にクライアント機に相当する。受信側コンピュータなどである受信側通信機器104は、OSを搭載し、一般的にサーバ機に相当する。通信機器101及び通信機器104とはそれぞれ、OS標準定義ファイル102、OS標準定義ファイル105を備える。また、通信機器101及び通信機器104とはそれぞれ、ネットワーク通信を行うLANドライバ103、LANドライバ106をそれぞれ備える。また、送信側通信機器101と受信側通信機器104とは、ネットワーク505により接続され、互いに通信可能なシステム環境にある。
次に動作を説明する。送信側通信機器101が備えるOSと受信側通信機器104が備えるOSとの間でネットワーク通信を行う場合、まず、送信側通信機器101が備えるOSは、OS標準定義ファイル102に使用してはいけないポート番号が定義されているか否かをチェックする。定義されていなければ、使用しようとしているポート番号を使用可能なポート番号と認識して、OSがそのポート番号に対応するポートを開ける。ここで「ポートを開ける」とは、当該ポートを見張って、ポートへのリクエストが発生したか否かを監視する動作を指すものとする。
送信側通信機器101が備えるOSは、LANドライバ103を経由して通信相手である受信側通信機器104のOSへ通信を試みる。受信側通信機器104では、LANドライバ106がLANドライバ103から送られたポート番号を受け取る。この時、受け取ったポート番号がOS標準定義ファイル105に使用禁止定義されていれば、そのポートが開いていないので、LANドライバ106がLANドライバ103との通信を拒否する。受け取ったポート番号がOS標準定義ファイル105に使用禁止定義されていなければ、そのポートはすでに開いているので、LANドライバ106とLANドライバ103とので通信が可能になる。
このように、OS標準定義ファイル102や105に使用してはいけないポート番号を定義することで、外部から不審な通信を制御できる仕組みを提供している。
また、従来のサーバ/クライアントシステムについての発明の「特再表WO01/025934」には、サーバに、I/Oポートを制御するためのデバイスドライバと、該デバイスドライバに対して前記I/Oポートと同一の機能を有するインタフェースを提供し、かつ、前記デバイスドライバからの入出力制御信号をクライアント側に送信し、該クライアント側からのイベントを受信して前記デバイスドライバに通知するための仮想I/Oポートを設けたことが記載されている。また、クライアントに、通信回線を介して前記仮想I/Oポートに接続されるデバイスドライバを設けたことが記載されている。このサーバ/クライアントシステムは、該デバイスドライバによって前記I/Oポートを制御することを特徴とする。
特再表WO01/025934号公報
次に上記した従来のネットワーク通信の構成における問題点を説明する。ポート番号は、一般的に1〜65535までの値が使用可能であり、実際に使用しているポート番号は、そのうちの極わずかである。この為、OS標準定義ファイルに使用してはいけないポート番号を定義する事は、非常に手間がかかる。この結果、定義抜けが発生する可能性があり、定義抜けが原因で使用してはいけないポートを使用した通信が可能になってしまう。また、外部から不審な通信が、たまたま使用可能ポート番号であった場合には、通信が出来てしまう可能性がある。この為、外部の不審者に対する通信制御が容易に防げない問題があった。
この発明は、上記した問題点を解決して、以下のことを目的とする。
・送信側と受信側の通信機器とで、互いに使用可能なポートを管理し、送信側から受信側に対して使用可能なポートを使用して、使用したいポートが使用可能であるか否かを確認する。
・使用したいポートが使用可能であることを確認できた場合に、そのポートを開き、使用可能であることを確認できなかった場合には、そのポートは閉めたままにする。こうすることによって、お互いの通信のセキュリティを向上する。
・使用したいポートは、使用可能であることを確認できてから開き、第3者から不正なアクセスを抑止する。
・使用したいポートは、使用可能であることを確認できてから開き、第3者への情報の流出を防ぐ。
・送信側と受信側の通信機器とで、互いに使用可能なポートを管理し、送信側から受信側に対して使用可能なポートを使用して、使用したいポートが使用可能であるか否かを確認する。
・使用したいポートが使用可能であることを確認できた場合に、そのポートを開き、使用可能であることを確認できなかった場合には、そのポートは閉めたままにする。こうすることによって、お互いの通信のセキュリティを向上する。
・使用したいポートは、使用可能であることを確認できてから開き、第3者から不正なアクセスを抑止する。
・使用したいポートは、使用可能であることを確認できてから開き、第3者への情報の流出を防ぐ。
この発明に係る通信ドライバ装置は、使用許可の確認をすることなく使用できる少なくとも1つの許可不要ポートと、使用許可が得られてから使用できる少なくとも1つの許可要ポートとを備えた通信機器との通信を制御する通信ドライバ装置であって、上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶するポート情報記憶部を備え、上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して、上記通信機器に対して上記ポート情報記憶部が記憶する許可要ポートの使用許可を確認し、上記通信機器から上記許可要ポートの使用許可を得られた場合に、上記許可要ポートを使用して上記通信機器との通信を制御することを特徴とする。
また、上記通信ドライバ装置は、
上記ポート情報記憶部が記憶する許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認部と、
上記確認部が送信した使用確認情報に対する応答情報を、上記通信機器から受信できたか否かを判定する応答判定部と、
上記応答判定部が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記通信機器と情報通信を行う通信部と
を備えたことを特徴とする。
上記ポート情報記憶部が記憶する許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認部と、
上記確認部が送信した使用確認情報に対する応答情報を、上記通信機器から受信できたか否かを判定する応答判定部と、
上記応答判定部が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記通信機器と情報通信を行う通信部と
を備えたことを特徴とする。
また、上記通信部は、上記通信機器との通信を終了することを通知する終了情報を生成して、生成した終了情報を上記許可要ポート情報が示すポートを使用して、上記通信機器へ送信することを特徴とする。
また、上記通信ドライバ装置は、自己を識別する識別情報を記憶する識別情報記憶部を備え、
上記確認部は、上記識別情報記憶部が記憶する識別情報を上記使用確認情報に含めることを特徴とする。
上記確認部は、上記識別情報記憶部が記憶する識別情報を上記使用確認情報に含めることを特徴とする。
また、上記確認部は、通信に使用したいポートを示すポート情報を入力して、上記ポート情報記憶部を検索して、入力したポート情報と適合する許可要ポート情報が検索できた場合に、上記ポート情報を上記許可要ポート情報として有する上記使用確認情報を生成し、
上記入力したポート情報と適合する許可要ポート情報が検索できなかった場合に、上記使用確認情報を生成しないことを特徴とする。
上記入力したポート情報と適合する許可要ポート情報が検索できなかった場合に、上記使用確認情報を生成しないことを特徴とする。
また、この発明に係る通信ドライバ装置は、使用許可を与えることなく使用できる少なくとも1つの許可不要ポートと、許可を与えてから使用できる少なくとも1つの許可要ポートとを備えた通信機器と通信する通信ドライバ装置であって、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶するポート情報記憶部を備え、
上記許可不要ポートを使用して、上記通信機器から通信に使用したいポートの使用許可を確認する使用確認情報を受信して、受信した使用確認情報が示す使用したいポートに適合するポートを上記ポート情報記憶部が記憶する許可要ポート情報から検索して、適合する許可要ポート情報を検索できた場合に、上記使用確認情報に対する応答情報を、上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信する
ことを特徴とする。
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶するポート情報記憶部を備え、
上記許可不要ポートを使用して、上記通信機器から通信に使用したいポートの使用許可を確認する使用確認情報を受信して、受信した使用確認情報が示す使用したいポートに適合するポートを上記ポート情報記憶部が記憶する許可要ポート情報から検索して、適合する許可要ポート情報を検索できた場合に、上記使用確認情報に対する応答情報を、上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信する
ことを特徴とする。
また、上記通信ドライバ装置は、
上記通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記許可不要ポートを使用して受信する受信部と、
上記ポート情報記憶部を検索して、上記受信部が受信した使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して、生成した応答情報を上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信し、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答部と
を備えたことを特徴とする。
上記通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記許可不要ポートを使用して受信する受信部と、
上記ポート情報記憶部を検索して、上記受信部が受信した使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して、生成した応答情報を上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信し、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答部と
を備えたことを特徴とする。
また、上記使用確認情報は、送信元の上記通信機器を識別する識別情報を有し、
上記受信部は、上記識別情報を有する使用確認情報を受信し、
上記通信ドライバ装置は、上記応答部が使用を許可したポート情報と上記識別情報とを対応させて記憶するポート対応情報記憶部を備え、
上記応答部は、使用を許可したポート情報に対して上記識別情報を対応させて上記ポート対応情報記憶部に記憶する
ことを特徴とする。
上記受信部は、上記識別情報を有する使用確認情報を受信し、
上記通信ドライバ装置は、上記応答部が使用を許可したポート情報と上記識別情報とを対応させて記憶するポート対応情報記憶部を備え、
上記応答部は、使用を許可したポート情報に対して上記識別情報を対応させて上記ポート対応情報記憶部に記憶する
ことを特徴とする。
また、上記通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記通信機器と情報を通信する通信部を備え、
上記通信機器と通信する情報は、上記識別情報を有し、
上記通信部は、上記通信機器と通信する情報の有する識別情報と通信に使用されたポートとが、上記ポート対応情報記憶部が記憶するポート情報と識別情報とに一致しない場合、上記情報を破棄することを特徴とする。
上記通信機器と通信する情報は、上記識別情報を有し、
上記通信部は、上記通信機器と通信する情報の有する識別情報と通信に使用されたポートとが、上記ポート対応情報記憶部が記憶するポート情報と識別情報とに一致しない場合、上記情報を破棄することを特徴とする。
また、上記通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記通信機器と情報を通信する通信部を備え、
上記通信部は、上記通信機器から、上記識別情報を有する通信を終了することを通知する終了情報を受信して、受信した終了情報の識別情報と一致する上記ポート対応情報記憶部が記憶する識別情報と識別情報に対応するポート情報とを、上記ポート対応情報記憶部から削除することを特徴とする。
上記通信部は、上記通信機器から、上記識別情報を有する通信を終了することを通知する終了情報を受信して、受信した終了情報の識別情報と一致する上記ポート対応情報記憶部が記憶する識別情報と識別情報に対応するポート情報とを、上記ポート対応情報記憶部から削除することを特徴とする。
また、上記許可要ポートと上記許可不要ポートとは、エフェメラルポートであることを特徴とする。
また、この発明に係る通信システムは、ネットワークを介して通信する通信システムにおいて、
通信を制御する送信側通信ドライバ装置と、受信側に使用の許可を確認することなく使用できる少なくとも1つの許可不要ポートと、受信側に使用を許可された場合に使用できる少なくとも1つの許可要ポートとを備えた送信側通信機器と、
通信を制御する受信側通信ドライバ装置と、送信側に対して使用許可を与えることなく使用できる少なくとも1つの許可不要ポートと、送信側に対して使用を許可した場合に使用できる少なくとも1つの許可要ポートとを備えた受信側通信機器とを備え、
上記送信側通信機器の備える許可不要ポートと、上記受信側通信機器の備える許可不要ポートとは、共通のポートを示し、
上記送信側通信ドライバ装置は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶する送信側ポート情報記憶部と、
上記送信側ポート情報記憶部が記憶する許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記送信側ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記受信側通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認部と、
上記確認部が送信した使用確認情報に対する応答情報を、上記受信側通信機器から上記許可不要ポートを使用して受信できたか否かを判定する応答判定部と、
上記応答判定部が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記受信側通信機器と情報通信を行う送信側通信部と
を備え、
上記受信側通信ドライバ装置は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶する受信側ポート情報記憶部と、
上記送信側通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記許可不要ポートを使用して受信する受信部と、
上記受信側ポート情報記憶部を検索して、上記受信部が受信した使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して上記送信側通信機器に送信し、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答部と
を備えたことを特徴とする。
通信を制御する送信側通信ドライバ装置と、受信側に使用の許可を確認することなく使用できる少なくとも1つの許可不要ポートと、受信側に使用を許可された場合に使用できる少なくとも1つの許可要ポートとを備えた送信側通信機器と、
通信を制御する受信側通信ドライバ装置と、送信側に対して使用許可を与えることなく使用できる少なくとも1つの許可不要ポートと、送信側に対して使用を許可した場合に使用できる少なくとも1つの許可要ポートとを備えた受信側通信機器とを備え、
上記送信側通信機器の備える許可不要ポートと、上記受信側通信機器の備える許可不要ポートとは、共通のポートを示し、
上記送信側通信ドライバ装置は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶する送信側ポート情報記憶部と、
上記送信側ポート情報記憶部が記憶する許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記送信側ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して上記受信側通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認部と、
上記確認部が送信した使用確認情報に対する応答情報を、上記受信側通信機器から上記許可不要ポートを使用して受信できたか否かを判定する応答判定部と、
上記応答判定部が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記受信側通信機器と情報通信を行う送信側通信部と
を備え、
上記受信側通信ドライバ装置は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶する受信側ポート情報記憶部と、
上記送信側通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記許可不要ポートを使用して受信する受信部と、
上記受信側ポート情報記憶部を検索して、上記受信部が受信した使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して上記送信側通信機器に送信し、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答部と
を備えたことを特徴とする。
また、上記送信側通信機器は、自己を識別する識別情報を記憶する識別情報記憶部を備え、
上記確認部は、上記識別情報記憶部が記憶する識別情報を上記使用確認情報に含めて上記受信側通信機器に送信し、
上記受信部は、上記識別情報を含む使用確認情報を受信し、
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポート情報と上記識別情報とを対応させて記憶するポート対応情報記憶部を備え、
上記応答部は、上記許可したポート情報に対して上記識別情報を対応させて上記ポート対応情報記憶部に記憶する
ことを特徴とする。
上記確認部は、上記識別情報記憶部が記憶する識別情報を上記使用確認情報に含めて上記受信側通信機器に送信し、
上記受信部は、上記識別情報を含む使用確認情報を受信し、
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポート情報と上記識別情報とを対応させて記憶するポート対応情報記憶部を備え、
上記応答部は、上記許可したポート情報に対して上記識別情報を対応させて上記ポート対応情報記憶部に記憶する
ことを特徴とする。
また、上記送信側通信部は、上記受信側通信機器と通信する情報に上記識別情報を含んで送信し、
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記送信側通信機器と情報を通信する受信側通信部を備え、
上記受信側通信部は、上記送信側通信機器と通信する情報に含まれた識別情報と通信に使用されたポートとが、上記ポート対応情報記憶部が記憶するポート情報と識別情報とに一致しない場合、上記情報を破棄することを特徴とする。
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記送信側通信機器と情報を通信する受信側通信部を備え、
上記受信側通信部は、上記送信側通信機器と通信する情報に含まれた識別情報と通信に使用されたポートとが、上記ポート対応情報記憶部が記憶するポート情報と識別情報とに一致しない場合、上記情報を破棄することを特徴とする。
また、上記送信側通信部は、上記受信側通信機器との通信を終了することを通知する終了情報を生成して、生成した終了情報に上記識別情報を含めて上記許可要ポート情報が示すポートを使用して、上記受信側通信機器へ送信し、
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記送信側通信機器と情報を通信する受信側通信部を備え、
上記受信側通信部は、上記送信側通信機器から、上記識別情報を有する通信を終了することを通知する終了情報を受信して、受信した終了情報の識別情報と一致する上記ポート対応情報記憶部が記憶する識別情報と識別情報に対応するポート情報とを、上記ポート対応情報記憶部から削除することを特徴とする。
上記受信側通信ドライバ装置は、上記応答部が使用を許可したポートを使用して、上記送信側通信機器と情報を通信する受信側通信部を備え、
上記受信側通信部は、上記送信側通信機器から、上記識別情報を有する通信を終了することを通知する終了情報を受信して、受信した終了情報の識別情報と一致する上記ポート対応情報記憶部が記憶する識別情報と識別情報に対応するポート情報とを、上記ポート対応情報記憶部から削除することを特徴とする。
また、この発明に係る通信制御方法は、使用許可を確認することなく使用できる少なくとも1つの許可不要ポートと、使用を許可された場合に使用できる少なくとも1つの許可要ポートとを備えた通信機器との通信を制御する通信ドライバ装置の通信制御方法であって、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶部に記憶するポート情報記憶工程と、
上記ポート情報記憶工程によって記憶された許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記ポート情報記憶工程によって記憶された許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認工程と、
上記確認工程によって送信された使用確認情報に対する応答情報を、上記通信機器から受信できたか否かを判定する応答判定工程と、
上記応答判定工程が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記通信機器と情報通信を行う送信側通信工程と
を有することを特徴とする。
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶部に記憶するポート情報記憶工程と、
上記ポート情報記憶工程によって記憶された許可要ポート情報を有する使用確認情報を生成して、生成した使用確認情報を上記ポート情報記憶工程によって記憶された許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に対して送信して、上記許可要ポートが使用可能か否かを確認する確認工程と、
上記確認工程によって送信された使用確認情報に対する応答情報を、上記通信機器から受信できたか否かを判定する応答判定工程と、
上記応答判定工程が上記応答情報を受信したことを判定すると、上記許可要ポートを使用して上記通信機器と情報通信を行う送信側通信工程と
を有することを特徴とする。
この発明に係る通信制御方法は、使用許可を与えることなく使用できる少なくとも1つの許可不要ポートと、使用許可を与えてから使用できる少なくとも1つの許可要ポートとを備えた通信機器と通信する通信ドライバ装置の通信制御方法であって、
上記通信制御方法は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶部に記憶するポート情報記憶工程と、
上記通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記ポート情報記憶工程によって記憶された上記許可不要ポート情報が示す許可不要ポートを使用して受信する受信工程と、
上記ポート情報記憶工程によって記憶された記憶部を検索して、上記受信工程によって受信された使用確認情報のポート情報が示すポートと適合するポートを示す許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して、生成した応答情報を上記ポート情報記憶工程によって記憶された上記許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信し、適合するポートを示す許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答工程と
を有することを特徴とする。
上記通信制御方法は、
上記許可不要ポートを示す許可不要ポート情報と、上記許可要ポートを示す許可要ポート情報とを記憶部に記憶するポート情報記憶工程と、
上記通信機器から通信に使用したいポートを示すポート情報を有する使用確認情報を、上記ポート情報記憶工程によって記憶された上記許可不要ポート情報が示す許可不要ポートを使用して受信する受信工程と、
上記ポート情報記憶工程によって記憶された記憶部を検索して、上記受信工程によって受信された使用確認情報のポート情報が示すポートと適合するポートを示す許可要ポート情報が検索できた場合に、上記使用確認情報のポート情報が示すポートの使用を許可することを通知する応答情報を生成して、生成した応答情報を上記ポート情報記憶工程によって記憶された上記許可不要ポート情報が示す許可不要ポートを使用して上記通信機器に送信し、適合するポートを示す許可要ポート情報が検索できなかった場合に、上記応答情報を生成しない応答工程と
を有することを特徴とする。
この発明による通信ドライバ装置は、通信に使用したいポートを、通信相手の通信装置によって使用を許可されるまでは閉じておき(ここでの「閉じておき」とは、ポートに対するリクエストが発生するか否かを監視していない状態を指す。つまり、監視していないポートに対するリクエストを受信しても、受信側の通信装置はリクエストに対して何の処理も行わない。)、使用が許可されたらその使用したいポートを開く(ここでの「開く」とは、ポートに対するリクエストが発生するか否かを監視している状態を指す。つまり、監視中のポートに対するリクエストを受信すると、受信側の通信装置はリクエストに対して何らかの処理を行なう。)。このように特定のポートを開/閉することによって、通信装置間のセキュリティを向上できる効果がある。
実施の形態1.
この実施の形態では、1つのクライアント装置と少なくとも1つのサーバ装置とをネットワークで接続した通信システムを例にして、通信ドライバ装置と通信システムと、通信制御方法について一例を説明する。
この実施の形態では、1つのクライアント装置と少なくとも1つのサーバ装置とをネットワークで接続した通信システムを例にして、通信ドライバ装置と通信システムと、通信制御方法について一例を説明する。
図1は、この実施の形態の通信システムの構成と、クライアント装置とサーバ装置それぞれのブロック図を示す図である。図1において、クライアント装置1は通信ドライバ4を備え、サーバ装置5は通信ドライバ8を備える。クライアント装置1とサーバ装置5とは、ローカル・エリア・ネットワーク(以下「LAN」という)505によって接続されて、互いに通信ドライバ4,8を介して通信を行う。クライアント装置1とサーバ装置5とはそれぞれ、通信機器の一例である。クライアント装置1は、使用許可の確認をすることなく使用できる少なくとも1つの許可不要ポートと、使用許可が得られてから使用できる少なくとも1つの許可要ポートとを有する通信ポート部40を備える。通信ドライバ4は、確認部42と、ポート情報記憶部3と、応答判定部43と、通信部44とを備える。
また、サーバ装置5は、使用許可の確認をすることなく使用できる少なくとも1つの許可不要ポートと、使用許可が得られてから使用できる少なくとも1つの許可要ポートとを有する通信ポート部80とを備える。通信ドライバ8は、受信部82と、ポート情報記憶部7と、応答部83と、通信部84とを備える。通信ドライバ4と通信ドライバ8とはそれぞれ、通信ドライバ装置の一例である。クライアント装置1側に「(送信側)」と記載し、サーバ装置5側に「(受信側)」と記載したのは、クライアント装置1からサーバ装置5へアクセスを行うことを想定しているためである。
図2は、この実施の形態における通信システムの外観を示す図である。図2において、クライアント装置1は、システムユニット200、CRT(Cathode Ray Tube)表示装置141、キーボード(K/B)142、マウス143、コンパクトディスク装置(CDD)186、プリンタ装置187、スキャナ装置188を備え、これらはケーブルで接続されている。
さらに、クライアント装置1は、FAX機310、電話器320とケーブルで接続され、また、ローカルエリアネットワーク(LAN)505、ウェブサーバ500を介してインターネット501に接続されている。サーバ装置5は、図2に示したクライアント装置1と同様の外観をしているものとする。また、図1に示したクライアント装置1とサーバ装置5とは、LAN505を介して接続されていたが、図2のようにLAN505とウェブサーバ500とインターネット501を介して接続されていてもかまわない。
さらに、クライアント装置1は、FAX機310、電話器320とケーブルで接続され、また、ローカルエリアネットワーク(LAN)505、ウェブサーバ500を介してインターネット501に接続されている。サーバ装置5は、図2に示したクライアント装置1と同様の外観をしているものとする。また、図1に示したクライアント装置1とサーバ装置5とは、LAN505を介して接続されていたが、図2のようにLAN505とウェブサーバ500とインターネット501を介して接続されていてもかまわない。
図3は、実施の形態1におけるクライアント装置1とサーバ装置5のそれぞれのハードウェア構成図である。
図3において、クライアント装置1は、プログラムを実行するCPU(Central Processing Unit)137を備えている。CPU137は、バス138を介してROM139、RAM140、通信ポート144、CRT表示装置141、K/B142、マウス143、FDD(Flexible Disk Drive)145、磁気ディスク装置146、CDD186、プリンタ装置187、スキャナ装置188と接続されている。
RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ポート144は、FAX機310、電話器320、LAN505等に接続されている。
例えば、通信ポート144、K/B142、FDD145などは、情報入力部の一例である。
また、例えば、通信ポート144、スキャナ装置188、CRT表示装置141などは、出力部の一例である。
図3において、クライアント装置1は、プログラムを実行するCPU(Central Processing Unit)137を備えている。CPU137は、バス138を介してROM139、RAM140、通信ポート144、CRT表示装置141、K/B142、マウス143、FDD(Flexible Disk Drive)145、磁気ディスク装置146、CDD186、プリンタ装置187、スキャナ装置188と接続されている。
RAMは、揮発性メモリの一例である。ROM、FDD、CDD、磁気ディスク装置、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ポート144は、FAX機310、電話器320、LAN505等に接続されている。
例えば、通信ポート144、K/B142、FDD145などは、情報入力部の一例である。
また、例えば、通信ポート144、スキャナ装置188、CRT表示装置141などは、出力部の一例である。
ここで、通信ポート144は、LAN505に限らず、直接、インターネット、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されていても構わない。直接、インターネット、或いはISDN等のWANに接続されている場合、クライアント装置1は、インターネット、或いはISDN等のWANに接続され、ウェブサーバ500は不用となる。
磁気ディスク装置146には、オペレーティングシステム(OS)147、ウィンドウシステム148、プログラム群149、ファイル群150が記憶されている。プログラム群は、CPU137、OS147、ウィンドウシステム148により実行される。
磁気ディスク装置146には、オペレーティングシステム(OS)147、ウィンドウシステム148、プログラム群149、ファイル群150が記憶されている。プログラム群は、CPU137、OS147、ウィンドウシステム148により実行される。
上記プログラム群149には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPUにより読み出され実行される。
ファイル群150には、以下に述べる実施の形態の説明において、「〜記憶部」、「〜の判定結果」、「〜の検索結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
ファイル群150には、以下に述べる実施の形態の説明において、「〜記憶部」、「〜の判定結果」、「〜の検索結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM139に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。
サーバ装置5は、図3に示したクライアント装置1と同様のハードウェア構成をしているものとする。また、通信ポート144は、通信ポート部40,80に相当する。従来、コンピュータに備えられる通信ポートは、1〜65535まであり、1〜1023まで(ウェルノウンポート)は、特定の用途のために使用されることが決められており、1024以降(エフェメラルポート)が自由に使用できるポートとして規定されている。この実施の形態、及び、この実施の形態以降の実施の形態のクライアント装置1とサーバ装置5とは、1024番以降のポートを許可不要ポート及び許可要ポートとして使用する。
図4は、この実施の形態のポート情報記憶部3,7が記憶する情報の一例を示す図である。図4において、ポート情報記憶部3,7は、許可不要ポートのポート番号「2000」と、許可要ポートのポート番号「1024、1026、1028・・・」とを記憶する。「許可不要ポート」とは、通信相手先からポートの使用を許可されなくても使用できるポートの番号を示し、「許可要ポート」とは、通信相手先からポートの使用を許可されてからでないと使用することができないポートの番号示す。つまり、許可不要ポートは、常にリクエストの有無を監視され、許可要ポートは、使用許可の確認がされてからそのポートへのリクエストの有無が監視される点が異なる。
図5は、ポート情報記憶部3,7に許可不要ポート情報と許可要ポート情報とを記憶する手順を示すフローチャート図である。送信側、受信側共にポート情報記憶部には同じ内容を設定する。通信システムのユーザは、常に通信ができるようなポート番号を1つ決め、これを「通信が許可されているポート番号(許可不要ポート情報)」として定義する(S1)。これは送受信対象となる通信機器全て同一の値となる。通信機器間で送受信を行うポート番号や送受信を行う都度必要に応じて使いたいポート番号を、「本当に通信したいポート番号(許可要ポート情報)」として定義する(S2)。これは通信を行いたい送受信側両方に定義する。上記したS1とS2とはポート情報記憶工程である。
図6は、送信側の通信ドライバの処理手順を示すフローチャート図である。図7は、受信側の通信ドライバの処理手順を示すフローチャート図である。以下に、クライアント装置1を送信側、サーバ装置5を受信側として、TCP/IP(transmission control protocol/internet protocol)を使用して装置間の通信を行う手順を、図6,図7のフローチャートに従い説明する。図8に通信に使用するTCPヘッダのデータフォーマットの一例を示す。図8に示すTCPヘッダは、従来からあるTCPヘッダと同様である。以下に説明する処理手順では、図8に示したTCPヘッダを使用する。
図6において、送信側のクライアント装置1の確認部42は、OS或いは実行中のアプリケーションプログラムからサーバ装置5との通信を要求する通信要求情報401を入力する。確認部42は、ポート情報記憶部3から「通信が許可されているポート番号(許可不要ポート情報402)」を取出す(S10)。例えば、許可不要ポート情報402は、図4より「2000」である。次に、確認部42は、許可不要ポートを使用して受信側のサーバ装置5とのセッションを確立する。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「SYN」に「1」を設定してサーバ装置5へ送信する(S11)。この後、サーバ装置5からの応答があり、セッションが確立された後、確認部42は、受信側に対して「本当に通信したいポート番号(許可要ポート情報)」の使用許可を確認する使用確認情報404を生成して、「通信が許可されているポート番号(許可不要ポート情報402)」を使って、使用確認情報404を受信側のサーバ装置5へ送信する。「本当に通信したいポート番号」は、OS或いはアプリケーションプログラムから通知されてもいいし、通信ドライバ4がポート情報記憶部3を検索して使用されていない「許可要ポート情報」を取得して「本当に通信したいポート番号」としてもかまわない。ここでは、通信ドライバ4がポート情報記憶部3を検索して使用されていない「許可要ポート情報」(例えば「1024」)を取得して、「本当に通信したいポート番号」とする。使用確認情報404の一例としては、確認部42は、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「データ部」に「1024」を設定して、使用確認情報404を生成する。
通信ドライバ4の応答判定部43は、「通信が許可されているポート番号(許可不要ポート)」である「2000」のポートから、使用確認情報404に対する応答情報405である使用許可を受信できたか受信できなかったかを判定する(S14)。例えば、応答判定部43は、確認部42が使用確認情報404を送信してから予め定めた一定時間の間、サーバ装置5から応答情報405が送信されるのを待つ。一定時間経過しても応答情報405が送信されなかった場合には、応答判定部43は、通信ドライバ4の処理を終了する(S14,NO)。
一定時間の間に応答情報405が送信された場合は(S14,YES)、応答判定部43が、応答情報405を受信する(S16)。例えば、応答情報405は、TCPヘッダの「送信元ポート番号」に「2000」が設定され、「送信先ポート番号」に「2000」が設定され、「データ部」に「1024」のポートの使用を許可する旨を通知する情報が設定されている。
次に、通信部44が、ポート「1024」を開く(S18)。ここでの「開く」とは、ポート「1024」に対するリクエストの有無の監視を開始することを指す。通信したいポート番号(許可要ポート)を使用して、受信側のサーバ装置5へデータを送信する(S20)。データ送信が完了したら、通信したいポート番号のポート(許可要ポート)である「1024」のポートを閉じる(S22)。ここでの「閉じる」とは、ポート「1024」に対するリクエストの有無の監視を停止することを指す。つまり、ポートが閉じられた後、閉じたポートに対してリクエストが発生しても、通信ドライバ(或いは、OS)はリクエストの処理を行わない。
この後、通信部44は、許可不要ポート「2000」を使用して、サーバ装置5へ「通信したいポート番号(許可要ポート)」である「1024」のポートの使用終了を通知する(S24)。例えば、「TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」に「2000」を設定し、「データ部」に「1024」のポートの使用を終了する旨を通知する情報を設定して、受信側へ送る情報(送信側からの情報)407を生成して、サーバ装置5へ送信する。
ポートの使用終了を通知した後、通信部44は、許可不要ポートを使用して、サーバ装置5とのセッションを解放する。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「FIN」に「1」を設定してサーバ装置5へ送信する(S26)。
このように、上記した手順で、送信側の通信ドライバ4は動作する。なお、上記したS10〜S12は確認工程、S14〜S16は応答判定工程、S18〜S26は通信工程である。
次に、図6の送信側の処理に対応する受信側の通信ドライバ8の処理手順を説明する。図7において、予め通信ドライバ8は受信部82よって、ポート情報記憶部7が記憶する許可不要ポートを開けておく(S30)。例えば、ポート情報記憶部7は、図4に示した許可不要ポート情報と許可要ポート情報とを記憶しているで、「2000」のポートを開けておく。ここで「開ける」とは、ポート「2000」に対するリクエストの有無の監視を開始することを指す。
次に、受信部82は、送信側の通信ドライバ4から送信されたセッションの接続要求を、「通信が許可されているポート番号(許可不要ポート)」から受信する。接続要求に対して、受信部82は、「通信が許可されているポート番号(許可不要ポート)」を使用して、応答を返す(S33)。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「SYN」及び「ACK」にそれぞれ「1」を設定して、送信側の通信ドライバ4に送信する。
セッションが接続された後、受信部82は、送信側から「通信が許可されているポート(許可不要ポート)」を使って、「通信したいポート番号(許可要ポート情報)」の使用許可を確認する使用確認情報404を受取る(S35)。
応答部83は、受取った使用確認情報404の有する通信したいポート番号(許可要ポート情報)がポート情報記憶部7に「許可要ポート情報」として定義されているか確認する(S37)。定義済みでなければ(S39,NO)、受信を行わずに受信側の通信ドライバ8の処理を終了する。定義済みであれば(S39,YES)、応答部83は、通信したいポート番号(許可要ポート情報)のポートを開ける(S41)。例えば、「1024」のポートを使用する確認をされたものとする。ここで「開ける」とは、ポート「1024」に対するリクエストの有無の監視を開始することを指す。応答部83は、通信したいポート番号(許可要ポート情報)のポートを開けるとともに、許可要ポートの使用を許可することを送信側に通知する応答情報405を生成して、送信側へ送信する。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定して、「送信先ポート番号」に「2000」を設定して、「データ部」に1024のポートの使用を許可する旨を通知する情報を設定して、応答情報405を生成する。
応答情報405を送信側に通知するとともに、「1024」のポートを開けることによって、通信部84は、通信したいポート番号を使って、送信側のクライアント装置からデータを受信する(S43)。また、受信側のサーバ装置からデータを送信する(S43)。
データの通信が終了すると、通信部84は、「通信が許可されているポート(許可不要ポート)であるポート「2000」を使用して、送信側から通信したいポート(許可要ポート)の使用終了を通知する受信側へ送る情報(送信側からの情報)407を受信する(S45)。通信部84は、通信したいポート(許可要ポート)であるポート「1024」を閉じる(S47)。ここでの「閉じる」とは、ポート「1024」に対するリクエストの有無の監視を停止することを指す。つまり、ポートが閉じられた後、閉じたポートに対してリクエストが発生しても、通信ドライバ(或いは、OS)は発生したリクエストが要求する処理は行わない。
通信部84は、送信側からセッションを解放する通知を受信して、応答を返す(S49)。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「FIN」及び「ACK」のそれぞれに「1」を設定してクライアント装置1へ送信する。
このように、上記した手順で、受信側の通信ドライバ8は動作する。なお、上記したS30〜S35は受信工程、S37〜S41は応答工程、S43〜S49は通信工程である。
以上のように、通信ドライバレベルでネットワークポートを制御する事により、通信時にお互いに使用許可されたポート番号(許可不要ポート)で通信が可能かどうかを受信側に対して確認し、受信側では許可されたポート番号(許可要ポート)であれば、その番号のポートを開けて通信が行えるようにする。受信側では、送信側に対して使用の許可をしていない限りは許可要ポートを閉じているので、セキュリティを保つ事を可能にしている。これにより、通信元と通信先で、お互いに通信可能かどうかを確認することで第三者からのアクセス抑止、第三者へのデータの流出を防ぐことが可能となる。
上記した図6、図7は、TCP/IPを使用した場合の処理手順であった。以下に、UDP(user datagram protocol)を使用した場合の処理手順の違いを説明する。なお、UDPヘッダは、TCPヘッダとは異なるデータフォーマットである。図9にUDPヘッダのデータフォーマットの一例を示す。図9に示したUDPヘッダは、従来のデータフォーマットと同様である。TCP/IPはコネクション指向のプロトコルであるが、UDPは、コネクションレス指向のプロトコルである。このため、UDPを使用する送信側の通信ドライバ4では、図6のS11と、S26の処理が不要となる。S16も不要であるが、あっても良い。その他の処理は、図6の手順通りに行う。例えば、図6のS12で確認部42が生成する使用確認情報404は、UDPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「データ部」に「1024」を設定して生成する。
また、UDPを使用する受信側の通信ドライバ8では、図7のS33と、S49の処理が不要となる。その他の処理は、図7の手順通りに行う。例えば、図7のS41で応答部83が生成する応答情報405は、UDPヘッダの「送信元ポート番号」に「2000」を設定して、「送信先ポート番号」に「2000」を設定して、「データ部」に「1024のポートの使用を許可する旨を通知する情報」を設定する。
このように、コネクション指向型のプロトコルを使用した場合と、コネクションレス指向のプロトコルを使用した場合とでは、通信ドライバの主要部分の処理に違いは無い。また、TCP/IP、UDPを一例として説明したが、他のプロトコルを使用してもかまわない。上記した通信ドライバの処理の主要部分とは、送信側の通信ドライバでは、図6のS10,S12,S14,S16,S18,S20,S22,S24の処理であって、それぞれの処理を実行する確認部、応答判定部、通信部と、処理に必要な情報を記憶するポート情報記憶部である。また、受信側の通信ドライバでは、図7のS30,S35,S37,S39,S41,S43,S45,S47の処理であって、それぞれの処理を実行する受信部、応答部、通信部と、処理に必要な情報を記憶するポート情報記憶部である。
以上のように、この実施の形態の送信側に備えられた通信ドライバと受信側に備えられた通信ドライバとは、互いに使用可能なポートを管理し、使用可能なポートを使用して、使用したいポートの使用許可を確認する。そして、使用したいポートの使用が許可されたら、そのポートを開き、使用が許可されなかったら、そのポートは閉めたままにする。この結果、お互いの通信のセキュリティを向上できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者からの不正なアクセスを抑止できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者への情報の流出を防ぐことができる効果がある。
実施の形態2.
この実施の形態では、1つのクライアント装置と複数のサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
この実施の形態では、1つのクライアント装置と複数のサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
図1では、クライアント装置とサーバ装置とはそれぞれ、1台であった。しかし、図10のように、サーバ装置が複数台であってもかまわない。図10のサーバ装置5a〜5dはそれぞれ、図1のサーバ装置5と同様の要素を備え、図10のクライアント装置1は、図1のクライアント装置1と同様の要素を備えるものとする。また、サーバ装置5a〜5dの備えるポート情報記憶部7とクライアント装置1が備えるポート情報記憶部3とは、図4に示した情報を記憶するものとする。クライアント装置1を送信側、サーバ装置5a〜5dを受信側とすると、クライアント装置1はサーバ装置5a〜5dの内、アクセスしたいサーバ装置との間で、許可不要ポートを使用して許可要ポートの使用許可を確認する。この時、例えばクライアント装置1は、既にサーバ装置5aから許可要ポート「1024」を使用する許可を得ているとすると、「1024」のポートは開かれている。このため、サーバ装置5bと「1024」のポートを使用して通信を行おうとすると、クライアント装置1からサーバ装置5bに対しては情報の送信を行えるが、サーバ装置5bでは「1024」のポートの使用を許可していないので、サーバ装置5b側では「1024」のポートは閉じられていて送信された情報を受信できない。このことを防ぐため、クライアント装置1の通信ドライバ4は、以下の機能を備えるものとする。
1つ目は、サーバ装置より使用を許可された許可要ポートを開く場合に、許可要ポート情報とそのポートの使用を許可したサーバ装置を識別する情報とを対応させてファイル群150に記憶する。クライアント装置1がサーバ装置5bと通信する際に、サーバ装置5bから既に使用を許可されたポートがあるかファイル群150を検索する。検索して既に使用が許可されたポートがあれば、そのポートを使用してサーバ装置5bと通信を行う。使用を許可されたポートが無ければ、まだ開いていない許可要ポートの使用許可をサーバ装置5bに対して行う。サーバ装置5bとの通信が終了したら、サーバ装置5bに使用を許可されたポートを示すポート情報とサーバ装置5bの識別情報との組をファイル群150から削除する。
2つ目は、クライアント装置からアクセスする可能性のサーバ装置が予め分かっていたら、サーバ装置ごとの許可要ポート情報を決めておく。例えば、ポート情報記憶部3が記憶する許可要ポート情報に対応して、サーバ装置の識別情報を記憶させておく。さらに、許可要ポートが開いているか閉じているかを示すフラグ情報もいっしょに記憶する。クライアント装置の通信ドライバは、サーバ装置と通信を行うとき、ポート情報記憶部を検索して、通信をしようとしているサーバ装置に対応する許可要ポートが開いているか閉じているか確認する。開いていることが確認できたら、使用したい許可要ポートを使用してサーバ装置と通信を行う。通信が終了したら、許可要ポートを閉じて、フラグ情報を閉じている状態を示すように変更する。閉じていることが確認できたら、使用したい許可要ポートの使用許可をサーバ装置に対して確認する。サーバ装置から使用を許可されたらそのポートを開き、対応するフラグ情報を開いている状態を示すように変更する。
以上のように、この実施の形態の通信ドライバは、クライアント装置が1台でサーバ装置が複数台であっても、お互いの通信のセキュリティを向上できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者からの不正なアクセスを抑止できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者への情報の流出を防ぐことができる効果がある。
実施の形態3.
この実施の形態では、複数のクライアント装置と1つのサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
この実施の形態では、複数のクライアント装置と1つのサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
図11は、実施の形態3の通信システムの構成を示す図である。図1では、クライアント装置とサーバ装置とはそれぞれ、1台であった。しかし、図11のように、クライアント装置が複数台であってもかまわない。図11のクライアント装置1a〜1cはそれぞれ、図1の通信ドライバ4と同様の要素を備える通信ドライバ4a〜4cを備えるとともに、自己を識別する識別情報を記憶する識別情報記憶部A〜Cを備える。識別情報記憶部は、通信ドライバが備えても、クライアント装置が通信ドライバとは別に備えてもかまわない。図11の例では、クライアント装置が識別情報記憶部を通信ドライバとは別に備える。また、図11のサーバ装置は、図1のサーバ装置5と一部異なる要素を備える。
図12に実施の形態3の受信側通信機器であるサーバ装置のブロック図を示す。図12において、サーバ装置5eは、通信ドライバ8eを備える。通信ドライバ8eは、ポート対応情報記憶部85を備える点で、図1の通信ドライバ8と異なる。図13は、ポート対応情報記憶部85が記憶するデータの一例を示す図である。図13に示すように、ポート対応情報記憶部85は、ポート番号を示すポート情報と、ポートの使用を許可しているクライアント装置を識別する識別情報とを対応させて記憶する。例えば、ポート対応情報85aは、クライアント装置1aに使用を許可しているポート情報を記憶し、ポート対応情報85bは、クライアント装置1bに使用を許可しているポート情報を記憶し、ポート対応情報85cは、クライアント装置1cに使用を許可しているポート情報を記憶している。クライアント装置の識別情報は、使用確認情報404に含まれている。例えば、TCP/IPを使用する場合は、IPヘッダに識別情報が含まれている。図14にIPヘッダのデータフォーマットを示す。図14のIPヘッダは、従来のIPヘッダと同様である。図14に示す「送信元IPアドレス」が識別情報である。
ここでは、クライアント装置1a〜1cを送信側、サーバ装置5eを受信側として、送信側と受信側のそれぞれの通信ドライバの処理手順を説明する。図15は、この実施の形態の送信側の通信ドライバの処理手順を示すフローチャート図である。図16は、この実施の形態の受信側の通信ドライバの処理手順を示すフローチャート図である。図16及び図17の処理のうち実施の形態1で説明した図6、図7の処理と同じ内容のものは、同じステップ番号を付してある。また、クライアント装置1a〜1cの備えるポート情報記憶部3とサーバ装置5eが備えるポート情報記憶部7とは、図4に示した情報を記憶するものとする。また、クライアント装置1a〜1cとサーバ装置5eとは、一例としてTCP/IPを使用して通信を行うものとする。また、クライアント装置1a〜1cを代表して、クライアント装置1aの動作を説明する。
送信側のクライアント装置1aの確認部42は、OS或いは実行中のアプリケーションプログラムからサーバ装置5eとの通信を要求する通信要求情報401を入力する。確認部42は、ポート情報記憶部3から「通信が許可されているポート番号(許可不要ポート情報402)」を取出す(S10)。例えば、許可不要ポート情報402は、図4より「2000」である。次に、確認部42は、許可不要ポートを使用して受信側のサーバ装置5eとのセッションを確立する。例えば、TCPヘッダの「送信元ポート番号」に「2000」を設定し、「送信先ポート番号」にも「2000」を設定し、「SYN」に「1」を設定してサーバ装置5へ送信する(S11)。この後、サーバ装置5eからの応答があり、セッションが確立された後、確認部42は、受信側に対して「本当に通信したいポート番号(許可要ポート情報)」の使用許可を確認する使用確認情報404を生成して、「通信が許可されているポート番号(許可不要ポート情報402)」を使って、使用確認情報404を受信側のサーバ装置5eへ送信する。この時、確認部42は、識別情報記憶部Aからクライアント装置1aの識別情報を取得して、使用確認情報404に識別情報を含める(S40)。例えば、確認部42は、TCPヘッダの「データ部」に使用したい許可要ポート情報を設定するとともに、識別情報を設定する。或いは、図14に示すようにIPヘッダには送信元IPアドレスが設定されるので、サーバ装置5e側では送信元IPアドレスを識別情報として使用すれば、TCPヘッダのデータ部に設定しなくてもかまわない。
通信ドライバ4aの応答判定部43は、「通信が許可されているポート番号(許可不要ポート)」から、使用確認情報404に対する応答情報405である使用許可を受信できたか受信できなかったかを判定する(S14)。一定時間経過しても応答情報405が送信されなかった場合には、応答判定部43は、通信ドライバ4aの処理を終了する(S14,NO)。また、UDPの場合は通信ドライバ8eから応答情報405を送信しなくても良いので、上記した「通信ドライバ4aの応答判定部43は、「通信が許可されているポート番号(許可不要ポート)」から、使用確認情報404に対する応答情報405である使用許可を受信できたか受信できなかったかを判定して(S14)、一定時間経過しても応答情報405が送信されなかった場合には、応答判定部43は、通信ドライバ4aの処理を終了する(S14,NO)。」の処理がなくても良い。
一定時間の間に応答情報405が送信された場合は(S14,YES)、応答判定部43が、応答情報405を受信する(S16)。次に、通信部44が、使用を許可された許可要ポートを開く(S18)。そして、通信したいポート番号(許可要ポート)で、受信側のサーバ装置5へ識別情報を含むデータを送信する(S42)。送信するデータには識別情報を含めるが、受信側がIPヘッダの有する送信元IPアドレスを識別情報として使用するのであれば、送信するデータに識別情報を含めなくともかまわない。
データ送信が完了したら、通信したいポート番号のポート(許可要ポート)を閉じる(S22)。ポートが閉じられた後は、閉じたポートに対してリクエストが発生しても、通信ドライバ(或いは、OS)はリクエストの有無を監視していないので、リクエストの発生を検知することができず、発生したリクエストが要求する処理は行われない。
この後、通信部44は、許可不要ポートを使用して、サーバ装置5eへ「通信したいポート番号(許可要ポート)」の使用終了を識別情報と共に通知する(S44)。例えば、TCPヘッダの「データ部」に識別情報を含むポートの使用を終了する旨を通知する情報を設定して、受信側へ送る情報(送信側からの情報)407を生成して、サーバ装置5eへ送信する。或いは、サーバ装置5e側でIPヘッダの有する送信元IPアドレスを識別情報として使用するのであれば、「データ部」に識別情報を設定しなくてもかまわない。
ポートの使用終了を通知した後、通信部44は、許可不要ポートを使用して、サーバ装置5eとのセッションを解放する(S26)。
このように、上記した手順で、送信側の通信ドライバ4は動作する。なお、上記したS10,S11,S40は確認工程、S14〜S16は応答判定工程、S18,S42,S22,S44,S26は通信工程である。
次に、図15の送信側の処理に対応する受信側の通信ドライバ8eの処理手順を説明する。図16において、予め通信ドライバ8eは受信部82よって、ポート情報記憶部7が記憶する許可不要ポートを開けておく(S30)。
次に、受信部82は、送信側の通信ドライバ4aから送信されたセッションの接続要求を、「通信が許可されているポート番号(許可不要ポート)」から受信する。接続要求に対して、受信部82は、「通信が許可されているポート番号(許可不要ポート)」を使用して、応答を返す(S33)。UDPの場合は、S33がなくても良い。
セッションが接続された後、受信部82は、送信側から「通信が許可されているポート(許可不要ポート)」を使って、通信したいポート番号(許可要ポート情報)の使用許可を確認する使用確認情報404を受取る(S50)。使用確認情報404には、送信元を識別する識別情報が含まれている。
応答部83は、受取った使用確認情報404の有する通信したいポート番号(許可要ポート情報)がポート情報記憶部7に「許可要ポート情報」として定義されているか確認する(S37)。定義済みでなければ(S39,NO)、受信を行わずに受信側の通信ドライバ8eの処理を終了する。定義済みであれば(S39,YES)、応答部83は、通信したいポート番号(許可要ポート情報)のポートを開けて(S41)、さらに、使用を許可する許可要ポート情報と使用確認情報404に含まれた識別情報とを組にしてポート対応情報記憶部85に記憶する(S51)。もし、識別情報が使用確認情報404に含まれていなければ、IPヘッダの送信元IPアドレスを識別情報としポート対応情報記憶部85に記憶する。使用を許可した許可要ポート情報と識別情報とを対にして記憶することにより、どのクライアント装置に対してどの許可要ポートの使用を許可しているのか、確認できるようにしている。
また、応答部83は、通信したいポート番号(許可要ポート情報)のポートを開けるとともに、許可要ポートの使用を許可することを送信側に通知する応答情報405を生成して、送信側へ送信する。UDPの場合は、応答部83は、通信したいポート番号(許可要ポート情報)のポートを開けた後、「許可要ポートの使用を許可することを送信側に通知する応答情報405を生成して、送信側へ送信する。」の処理がなくても良い。
許可要ポートの使用を許可すると、送信側の通信部44から、識別情報を含む受信側へ送る情報(送信側からの情報)407が許可要ポートを使用して送信されるので、受信側の通信部84は、許可要ポートを使用してこれを受信する(S53)。或いは、データの通信が終了したら、通信部84は、「通信が許可されているポート(許可不要ポート)を使用して、送信側から通信したいポート(許可要ポート)の使用終了を通知するとともに通信を終了するクライアント装置の識別情報を受信側へ送る情報(送信側からの情報)407として受信する(S53)。
通信部84は、使用された許可要ポートと識別情報とを基にポート対応情報記憶部85を検索して、一致する許可要ポートと識別情報とが記憶されているか確認する。一致するものが記憶されていない時は(S55,NO)、処理を終了する。例えば、サーバ装置5eを不正にアクセスしようとする第3者が偶然使用を許可しているポートを使用してリクエストを行うと、通信部84は、第3者が使用しているクライアント装置の識別情報と使用したポート情報とが、ポート対応情報記憶部85に記憶されているか否かを確認する。ポート対応情報記憶部85に記憶されているのは、クライアント装置1aの識別情報と許可要ポート情報との組なので、一致するものは検索できない。この結果、不正にアクセスしようとする第3者からのリクエストは破棄されることになる。
一致するものが記憶されている時は(S55,YES)、受信した情報が通信を終了する通知か否かを確認する。終了通知でない時は(S57,NO)、受信した情報が要求するデータ処理を行う(S59)。終了通知である時は(S57,YES)、通信部84は、許可要ポートを閉じる(S47)。続いて、通信部84は、送信側からセッションを解放する通知を受信して、応答を返す(S49)。UDPの場合は、S49がなくても良い。
セッションを解放した後、通信部84は、ポート対応情報記憶部85から、S47で閉じた許可要ポートと、対応する識別情報とを削除する(S60)。なお、S60の処理は、S47とS49との間に実行してもかまわない。
このように、クライアント装置の識別情報に対応させて、そのクライアント装置に対して使用を許可したポート番号を記憶して管理することによって、使用を許可していないクライアント装置からのリクエストを排除できる。上記したS30,S33,S50は受信工程、S37〜S41,S51は応答工程、S53〜S60,S47,S49は通信工程である。
上記した図15、図16は、TCP/IPを使用した場合の処理手順であったが、UDP(user datagram protocol)を使用してもかまわない。UDPを使用した場合の処理手順の違いは、UDPヘッダは、TCPヘッダとは異なるデータフォーマットである。図9にUDPヘッダのデータフォーマットの一例を示す。図9に示したUDPヘッダを使用する場合は、図15のS11と、S16、S26の処理が不要となる。但し、S16はあっても良い。その他の処理は、図15の手順通りに行う。また、UDPを使用する受信側の通信ドライバ8eでは、図16のS33と、S49の処理が不要となる。その他の処理は、図16の手順通りに行う。
以上のように、この実施の形態の通信ドライバは、クライアント装置が複数であり、サーバ装置が1台であっても、互いに使用可能なポートを管理し、使用可能なポートを使用して、使用したいポートが使用可能であるか否かを確認する。そして、使用したいポートが使用可能であることを確認できた場合にのみ、そのポートを開き、使用可能であることを確認できなかった場合には、そのポートは閉めたままにする。この結果、お互いの通信のセキュリティを向上できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者からの不正なアクセスを抑止できる効果がある。また、使用したいポートは、使用を許可してから開くので、第3者への情報の流出を防ぐことができる効果がある。
また、ポートはクライアント装置の識別情報に対応させて管理されているので、ポートが開いているだけでなく、使用されたポートがリクエストを行ったクライアント装置に対して使用を許可しているポートであるかを同時に確認するので、許可要ポートが開いているだけではサーバ装置にアクセスできない。このため、第3者からの不正なアクセスを抑止できる効果がある。また、第3者への情報の流出を防ぐことができる効果がある。
実施の形態4.
この実施の形態では、使用したいポート情報をOS或いは、アプリケーションから指示される通信ドライバについて、一例を説明する。
この実施の形態では、使用したいポート情報をOS或いは、アプリケーションから指示される通信ドライバについて、一例を説明する。
図17は、この実施の形態の通信システムの構成と、クライアント装置とサーバ装置それぞれのブロック図を示す図である。図17において、通信要求情報601は、OS或いは、アプリケーションからの通信の要求情報であって、「通信したいポート番号(許可要ポート情報)」を含むものである。図17のクライアント装置1の他の要素は、図1のクライアント装置1の要素と同じである。また、サーバ装置5は、図1のサーバ装置5の要素と同じである。
図18は、この実施の形態の送信側の通信ドライバの処理手順を示すフローチャート図である。S70、S72,S74との処理を図6の送信側の通信ドライバの処理手順を示すフローチャートに追加した。この追加した処理以外の処理は、図6と同様である。以下に、追加したS70、S72,S74との処理を説明する。なお、S70、S72,S74との処理は、図6のS10の処理の前に追加した。
図18において、クライアント装置1の確認部42は、OS、或いは実行中のアプリケーションプログラムから通信要求情報601を入力する(S70)。この通信要求情報601には、通信したい宛先と通信したい内容と通信に使用したいポート番号(許可要ポート情報)とが含まれている。確認部42は、入力した通信要求情報601に含まれる通信に使用したいポート番号(許可要ポート情報)が、ポート情報記憶部3に記憶されているか、ポート情報記憶部3を検索する(S72)。検索した結果、記憶されていれば、S10以降の処理を行う(S74,YES)。記憶されていなければ、処理を終了する(S74,NO)。S10以降の処理は、実施の形態1の図6と同様である。
このように、送信側の通信ドライバは、OSやアプリケーションプログラムから通信に使用したいポート番号を受け取ることが可能である。このため、例えばアプリケーションプログラム毎に使用するポート番号を決めておき、そのポート番号を送信側のポート情報記憶部3と受信側のポート情報記憶部7に記憶させておけば、クライアント装置とサーバ装置とは、アプリケーションプログラムに依存したポートを使用して通信を行うことができる効果がある。
実施の形態5.
この実施の形態では、1つのクライアント装置と複数のサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
この実施の形態では、1つのクライアント装置と複数のサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
図10では、通信システムは、1台のクライアント装置と複数のサーバ装置とを備えていた。そして、クライアント装置と複数のサーバ装置それぞれが備えるポート情報記憶部には、図4のように、1つの許可不要ポート情報と複数の許可要ポート情報とを同じ内容で記憶していた。この実施の形態では、それぞれのサーバ装置毎に許可不要ポート情報と許可要ポート情報とを使用する一例を説明する。
図19は、実施の形態5の通信システムの構成と、クライアント装置とサーバ装置それぞれのブロック図を示す図である。図19のサーバ装置5a〜5cはそれぞれ、図1のサーバ装置5と同様の要素を備え、図19のクライアント装置1は、図1のクライアント装置1と同様の要素を備えるものとする。ただし、クライアント装置のポート情報記憶部3は、図19に示すようにサーバ装置毎の許可不要ポート情報と、サーバ装置毎の許可要ポート情報とを記憶する。例えば、ポート情報記憶部3は、サーバ装置5aの「許可不要ポート情報」を「2000」、「許可要ポート情報」を「1024」、サーバ装置5bの「許可不要ポート情報」を「2010」、「許可要ポート情報」を「1026」と記憶する。また、サーバ装置5a〜5cのそれぞれのポート情報記憶部7a,7b,7cは、独自の許可不要ポート情報と許可要ポート情報とを記憶する。例えば、サーバ装置5aのポート情報記憶部7aの「許可不要ポート情報」は「2000」であり、「許可要ポート情報」は「1024」である。一方、サーバ装置5bの「許可不要ポート情報」は「2010」であり、「許可要ポート情報」は「1026」である。
クライアント装置1を送信側、サーバ装置5a〜5dを受信側とすると、クライアント装置1はサーバ装置5a〜5dの内、アクセスしたいサーバ装置との間で、許可不要ポートを使用して許可要ポートの使用許可を確認する。例えばクライアント装置1は、既にサーバ装置5aから許可要ポート「1024」を使用する許可を得ているとしても、サーバ装置5bと通信を開始する場合には、許可不要ポート「2010」を使用して許可要ポート「1026」の使用許可の確認を得なければならない。
以上のように、この実施の形態の通信ドライバは、クライアント装置が1台でサーバ装置が複数台であっても、お互いの通信のセキュリティを向上できる効果がある。また、接続するサーバ装置が追加になった場合には、追加したサーバ装置のポート情報記憶部には、自己が使用する許可要ポート情報と許可不要ポート情報を設定し、他のサーバ装置が使用する許可要ポート情報と許可不要ポート情報とは設定する必要が無い。また、自己以外の他のサーバ装置から自己のサーバ装置のポート情報記憶部に記憶された情報を秘匿することができる。
また、サーバ装置5a〜5cは、プリンタ装置やファクシミリ装置や電話等の外部装置であってもかまわない。外部装置毎に許可要ポート情報と許可不要ポート情報とを管理することが可能となる。
実施の形態6.
この実施の形態では、複数のクライアント装置と1つのサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
この実施の形態では、複数のクライアント装置と1つのサーバ装置とを備える通信システムの一例を説明する。なお、「ポートを開く」及び「ポートを閉じる」とがそれぞれ指す動作は、実施の形態1で説明した通りである。
図11では、通信システムは、1台のクライアント装置と複数のサーバ装置とを備えていた。そして、複数のクライアント装置と1つのサーバ装置それぞれが備えるポート情報記憶部には、図4のように、1つの許可不要ポート情報と複数の許可要ポート情報とを同じ内容で記憶していた。この実施の形態では、それぞれのクライアント装置毎に許可不要ポート情報と許可要ポート情報とを使用する一例を説明する。
図20は、実施の形態6の通信システムの構成と、クライアント装置とサーバ装置それぞれのブロック図を示す図である。図20のクライアント装置1a〜1cはそれぞれ、図1のクライアント装置1と同様の要素を備え、図20のサーバ装置5は、図1のサーバ装置5と同様の要素を備えるものとする。ただし、サーバ装置のポート情報記憶部7は、図20に示すようにクライアント装置毎の許可不要ポート情報と、クライアント装置毎の許可要ポート情報とを記憶する。例えば、ポート情報記憶部7は、クライアント装置1aの「許可不要ポート情報」を「2000」、「許可要ポート情報」を「1024」、クライアント装置1bの「許可不要ポート情報」を「2010」、「許可要ポート情報」を「1026」と記憶する。また、クライアント装置1a〜1cのそれぞれのポート情報記憶部3a,3b,3cは、独自の許可不要ポート情報と許可要ポート情報とを記憶する。例えば、クライアント装置1aのポート情報記憶部3aの「許可不要ポート情報」は「2000」であり、「許可要ポート情報」は「1024」である。一方、クライアント装置1bの「許可不要ポート情報」は「2010」であり、「許可要ポート情報」は「1026」である。
クライアント装置1a〜1cを送信側、サーバ装置5を受信側とすると、クライアント装置1a〜1cはそれぞれ、サーバ装置との間で、許可不要ポートを使用して許可要ポートの使用許可を確認する。例えばサーバ装置5は、既にクライアント装置1aに対して許可要ポート「1024」を使用することを許可しているとしても、クライアント装置1bと通信を開始する場合には、許可不要ポート「2010」を使用して許可要ポート「1026」の使用を許可しなければならない。
以上のように、この実施の形態の通信ドライバは、クライアント装置が複数でサーバ装置が1台であっても、お互いの通信のセキュリティを向上できる効果がある。また、接続するクライアント装置が追加になった場合には、追加したクライアント装置のポート情報記憶部には、自己が使用する許可要ポート情報と許可不要ポート情報を設定し、他のクライアント装置が使用する許可要ポート情報と許可不要ポート情報とは設定する必要が無い。また、自己以外の他のクライアント装置から自己のポート情報記憶部に記憶された情報を秘匿することができる。
1,1a,1b,1c クライアント装置、3,3a,3b,3c,7,7a,7b,7c ポート情報記憶部、4,8 通信ドライバ、5,5a,5b,5c,5d,5e サーバ装置、40,80 通信ポート部、42 確認部、43 応答判定部、44,84 通信部、82 受信部、83 応答部、85 ポート対応情報記憶部、85a,85b,85c ポート対応情報、101 送信側通信機器、102,105 OS標準定義ファイル、103,106 LANドライバ、104 受信側通信機器、137 CPU、138 バス、139 ROM、140 RAM、141 CRT表示装置、142 K/B、143 マウス、144 通信ポート、145 FDD、146 磁気ディスク装置、147 OS、148 ウィンドウシステム、149 プログラム群、150 ファイル群、186 CDD、187 プリンタ装置、188 スキャナ装置、200 システムユニット、310 FAX機、320 電話器、401 通信要求情報、402 許可不要ポート情報、403 許可要ポート情報、404 使用確認情報、405 応答情報、406 判定結果、407 受信側へ送る情報(送信側からの情報)、408 受信側からの情報(送信側へ送る情報)、500 ウェブサーバ、501 インターネット、502 許可要ポート情報、504 許可不要ポート情報、505 LAN、601 通信要求情報。
Claims (4)
- 使用許可を与えることなく使用できる許可不要ポートと、使用許可を与えてから使用できる複数の許可要ポートとを備え、上記許可不要ポートと複数の許可要ポートとを使用して複数の通信機器と通信する通信ドライバ装置であって、
上記許可不要ポートを示す許可不要ポート情報と、上記複数の許可要ポートのそれぞれを示す複数の許可要ポート情報とを記憶するポート情報記憶部と、
上記複数の許可要ポートのうち使用許可を与えた許可要ポートの許可要ポート情報をポート情報として、上記ポート情報と、上記複数の通信機器のうち上記使用許可を与えた許可要ポートを使用できる通信機器を識別する識別情報とを対で記憶するポート対応情報記憶部と、
上記複数の各通信機器から、通信機器の使用したいポートを示すポート情報と、通信機器の識別情報とを有する使用確認情報を、上記許可不要ポートを使用して受信する受信部と、
上記各通信機器から受信した使用確認情報ごとに、上記受信部が受信した使用確認情報のポート情報を用いて上記ポート情報記憶部を検索して、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、ポート情報と適合する許可要ポート情報の検索ができた使用確認情報ごとに、使用確認情報の識別情報により識別される通信機器に対して上記使用確認情報のポート情報が示すポートの使用許可を与えることを通知する応答情報を生成して、生成した応答情報を、上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して、上記使用確認情報の識別情報により識別される通信機器に送信して、使用許可を与えたポート情報と上記使用確認情報の識別情報とを対にして上記ポート対応情報記憶部に記憶し、
上記ポート情報記憶部を検索して、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記許可要ポート情報が検索できなかった上記使用確認情報に対して上記応答情報を生成しない応答部と、
上記許可要ポートを使用して、通信機器の識別情報を有する情報を受信し、上記情報の受信に使用したポートのポート情報と上記受信した情報の識別情報との組合せが、上記ポート対応情報記憶部にポート情報と識別情報との対として記憶されていない場合に、上記情報を破棄する通信部と
を備えたことを特徴とする通信ドライバ装置。 - 上記通信部は、上記通信機器から、通信機器の識別情報を有するとともに通信を終了することを通知する終了情報を、上記許可要ポートを使用して受信して、上記終了情報の受信に使用したポートのポート情報と、上記受信した終了情報の識別情報との組合せと一致する上記ポート対応情報記憶部が記憶するポート情報と識別情報との対を、上記ポート対応情報記憶部から削除することを特徴とする請求項1記載の通信ドライバ装置。
- 上記許可要ポートと上記許可不要ポートとは、エフェメラルポートであることを特徴とする請求項1、または、2に記載の通信ドライバ装置。
- 使用許可を与えることなく使用できる許可不要ポートと、使用許可を与えてから使用できる複数の許可要ポートと、上記許可不要ポートを示す許可不要ポート情報と、上記複数の許可要ポートのそれぞれを示す複数の許可要ポート情報とを記憶するポート情報記憶部と、上記複数の許可要ポートのうち使用許可を与えた許可要ポートの許可要ポート情報をポート情報として、上記ポート情報と、上記複数の通信機器のうち上記使用許可を与えた許可要ポートを使用できる通信機器を識別する識別情報とを対で記憶するポート対応情報記憶部とを備え、上記許可不要ポートと複数の許可要ポートとを使用して複数の通信機器と通信する通信ドライバ装置の通信制御方法であって、
上記複数の各通信機器から、通信機器の使用したいポートを示すポート情報と、通信機器の識別情報とを有する使用確認情報を、上記許可不要ポートを使用して受信する受信工程と、
上記各通信機器から受信した使用確認情報ごとに、上記受信工程により受信した使用確認情報のポート情報を用いて上記ポート情報記憶部を検索して、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できた場合に、ポート情報と適合する許可要ポート情報の検索ができた使用確認情報ごとに、使用確認情報の識別情報により識別される通信機器に対して上記使用確認情報のポート情報が示すポートの使用許可を与えることを通知する応答情報を生成して、生成した応答情報を、上記ポート情報記憶部が記憶する許可不要ポート情報が示す許可不要ポートを使用して、上記使用確認情報の識別情報により識別される通信機器に送信して、使用許可を与えたポート情報と上記使用確認情報の識別情報とを対にして上記ポート対応情報記憶部に記憶し、
上記ポート情報記憶部を検索して、上記使用確認情報のポート情報と適合する許可要ポート情報が検索できなかった場合に、上記許可要ポート情報が検索できなかった上記使用確認情報に対して上記応答情報を生成しない応答工程と、
上記許可要ポートを使用して、通信機器の識別情報を有する情報を受信し、上記情報の受信に使用したポートのポート情報と上記受信した情報の識別情報との組合せが、上記ポート対応情報記憶部にポート情報と識別情報との対として記憶されていない場合に、上記情報を破棄する通信工程と
を有することを特徴とする通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004355068A JP4044553B2 (ja) | 2004-12-08 | 2004-12-08 | 通信ドライバ装置及び通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004355068A JP4044553B2 (ja) | 2004-12-08 | 2004-12-08 | 通信ドライバ装置及び通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006166062A JP2006166062A (ja) | 2006-06-22 |
| JP4044553B2 true JP4044553B2 (ja) | 2008-02-06 |
Family
ID=36667558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004355068A Expired - Fee Related JP4044553B2 (ja) | 2004-12-08 | 2004-12-08 | 通信ドライバ装置及び通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4044553B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI453624B (zh) * | 2010-11-09 | 2014-09-21 | Inst Information Industry | 資訊安全防護主機 |
| WO2012144462A1 (ja) * | 2011-04-22 | 2012-10-26 | 日本電気株式会社 | ポート番号特定システム、ポート番号特定システム制御方法およびその制御用プログラム |
| JP6138302B1 (ja) * | 2016-02-23 | 2017-05-31 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 認証装置、認証方法及びコンピュータプログラム |
-
2004
- 2004-12-08 JP JP2004355068A patent/JP4044553B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006166062A (ja) | 2006-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1632862B1 (en) | Address conversion method, access control method, and device using these methods | |
| JP4477661B2 (ja) | 中継プログラム、中継装置、中継方法 | |
| US8799441B2 (en) | Remote computer management when a proxy server is present at the site of a managed computer | |
| US10432594B2 (en) | Primitive functions for use in remote computer management | |
| US7526641B2 (en) | IPsec communication method, communication control apparatus, and network camera | |
| US9160614B2 (en) | Remote computer management using network communications protocol that enables communication through a firewall and/or gateway | |
| US7933261B2 (en) | Communication method, communication system, communication device, and program using multiple communication modes | |
| US20050050214A1 (en) | Access control method, communication system, server, and communication terminal | |
| US7827547B1 (en) | Use of a dynamically loaded library to update remote computer management capability | |
| KR20050117543A (ko) | 정보 처리 장치, 및 정보 처리 방법, 및 컴퓨터 프로그램 | |
| US8195806B2 (en) | Managing remote host visibility in a proxy server environment | |
| JP2007097010A (ja) | 接続支援装置およびゲートウェイ装置 | |
| JP2008083859A (ja) | 仲介サーバ、通信仲介方法、通信仲介プログラム、および通信システム | |
| TW200540595A (en) | Server apparatus, client apparatus and network system | |
| JP4830503B2 (ja) | 個人情報を保護した通信セッション確立仲介システムおよび方法 | |
| EP1404054B1 (en) | Conferencing application without using a specific connection port | |
| JP4044553B2 (ja) | 通信ドライバ装置及び通信制御方法 | |
| JP4038684B2 (ja) | Web及びアイコンを利用した遠隔制御システム | |
| JP5148179B2 (ja) | Ip端末装置及びip端末装置の映像モニタ方法 | |
| JP2004187149A (ja) | 遠隔機器制御方法及び機器管理装置 | |
| JP3808663B2 (ja) | 計算機ネットワークシステムおよびそのアクセス制御方法 | |
| US8504665B1 (en) | Management of a device connected to a remote computer using the remote computer to effect management actions | |
| JP2005142915A (ja) | 通信端末装置、サーバ装置、通信システムおよびプログラム | |
| JP2014116911A (ja) | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071016 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071113 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071115 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101122 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131122 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |