JP4390965B2 - インターネット環境下のネットワーク接続管理システム - Google Patents

インターネット環境下のネットワーク接続管理システム Download PDF

Info

Publication number
JP4390965B2
JP4390965B2 JP2000113833A JP2000113833A JP4390965B2 JP 4390965 B2 JP4390965 B2 JP 4390965B2 JP 2000113833 A JP2000113833 A JP 2000113833A JP 2000113833 A JP2000113833 A JP 2000113833A JP 4390965 B2 JP4390965 B2 JP 4390965B2
Authority
JP
Japan
Prior art keywords
network
communication message
secure connection
management system
connection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000113833A
Other languages
English (en)
Other versions
JP2001298473A (ja
Inventor
井 信一郎 石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2000113833A priority Critical patent/JP4390965B2/ja
Publication of JP2001298473A publication Critical patent/JP2001298473A/ja
Application granted granted Critical
Publication of JP4390965B2 publication Critical patent/JP4390965B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はファイアウォールを介して接続された2以上のネットワークをあたかも一つのネットワークのように接続・管理するネットワーク接続管理システムに係り、特に、インターネット環境下でセキュリティレベルを維持しつつ、かつ、インターネットを介して接続された別個のネットワークに対してシームレスな接続環境を実現するネットワーク接続管理システムに関する。
【0002】
【従来の技術】
インターネット上では、コンピューターを識別するために各コンピューターは世界で唯一のIPアドレスという識別番号(これをグローバルIPアドレスという)を有している。
【0003】
インターネットに接続したネットワークについては、そのネットワーク内のコンピューターの全部がインターネットに直接接続するわけではないので、インターネットに直接接続するコンピューターを除き、IPアドレスの節約のために各コンピューターは当該ネットワーク内でのみ通用するプライベートIPアドレスを有している。
【0004】
ところが、上記プライベートIPアドレスの存在により、インターネットを通して他のネットワーク内のコンピューターと直接通信することはできない。なぜなら、インターネットを上ではグローバルIPアドレスを介さなけば、通信することができないからである。
【0005】
一方、インターネットに接続したネットワークは、インターネットを通して不正なユーザーによるハッキングやウィルス感染を防止し、あるいは万一被害を受けた場合に被害の拡大を抑制するために、通常インターネットとの間にファイアウォールという装置を設けている。
【0006】
このファイアウォールには、パケットフィルタリングとアプリケーションゲートウェイの二種類がある。現在多数を占めるパケットフィルタリング型のファイアウォールは、インターネットからアクセス可能なコンピューターのIPアドレス(ポート)を少数に制限するものである。この場合、ファイアウォールはインターネットからアクセス可能な自ネットワーク内のポート番号を保持し、これ以外のパケットのアクセスを拒否する。
【0007】
以上のような構成により、インターネットを介して他のネットワーク内のコンピューターと通信するためには、ファイアウォールによって制限されたポートが存在すること、および、そのネットワーク内のプライベートIPアドレスに直送信できないこと、という二重の障害を超えなければならない。
【0008】
この問題を解決するために、現在VPN(Virtual Private Network)とNAT(Network Address Translation)という技術が提案されている。
【0009】
図3に上記VPNとNATによりインターネット環境下の異ネットワーク間で通信する方法を概念的に示す。
【0010】
図3において、インターネット20を介して接続された二つのプライベートネットワーク21,22が示されている。
【0011】
プライベートネットワーク21,22とインターネット20の間には、それぞれファイアウォール23a,23bが設けられている。
【0012】
プライベートネットワーク21には、WEBサーバー24とメールサーバー25が接続されている。WEBサーバー24にはクライアント26が接続されている。
【0013】
一方、プライベートネットワーク22には、WEBサーバー27と、メールサーバー28が接続されている。
【0014】
仮に、クライアント26のプライベートIPアドレスをxxx、WEBサーバー27のプライベートIPアドレスをyyyとする。ファイアウォール23aのグローバルIPアドレスをaaa、ファイアウォール23bのグローバルIPアドレスをbbbとする。
【0015】
今、クライアント26からWEBサーバー27に通信電文を送信する場合を考える。
【0016】
NATは、グローバルIPアドレスとプライベートIPアドレスとを変換する技術である。一方、VPNは、プライベートIPアドレスで記述された通信電文にグローバルIPアドレスによるIPヘッダを付する技術である。NATとVPNは、ファイアウォール23a,23bに付属されている。
【0017】
VPN・NAT技術によってクライアント26からWEBサーバー27に通信電文を送信する場合、クライアント26では(from:xxx to:yyy+電文内容)というような通信電文を発信する。
【0018】
この通信電文は、ファイアウォール23aにおいて、ファイアウォール23a,23bのグローバルIPアドレスを付与され、(from:aaa to:bbb(from:xxx to:yyy+電文内容))という通信電文に変換される。
【0019】
この通信電文は、送信側と受信側のIPアドレスとしてグローバルIPアドレスであるaaaとbbbを使用するので、問題なくインターネットを通してファイアウォール23bに送られる。ファイアウォール23bでは、再びVPN・NAT技術により通信電文が(from:aaa to:bbb(from:xxx to:yyy+電文内容))から(from:xxx to:yyy+電文内容)に変換される。
【0020】
変換された通信電文(from:xxx to:yyy+電文内容)は、プライベートIPアドレスyyyのWEBサーバー27に送られることになる。WEBサーバー27では、上記通信電文の内容に従って処理することができる。
【0021】
VPN・NAT技術によれば、送信側コンピューターは、受信側コンピュータがインターネットによって隔てられていることを意識することなく、相手のプライベートIPアドレスによって通信電文を送ることができることになり、インターネットによって隔てられているネットワークのコンピューターに対してあたかも専用線で接続されたように通信できるようになる。
【0022】
【発明が解決しようとする課題】
▲1▼ しかし、上記従来のVPN・NAT技術によるインターネット環境下の異ネットワーク間通信は、ネットワークのセキュリティ上問題があった。
【0023】
すなわち、VPN・NAT技術は、互いに通信することを認めあったネットワーク間では、あたかも専用線のように通信を許可することになるが、このように接続されたネットワークが多数個に上る場合、いずれか一つのネットワークのセキュリティが破られると、そのネットワークを通じて結局自らのネットワークのセキュリティが破られるようになる。
【0024】
つまり、VPN・NAT技術によって接続されたネットワーク群の内部では不正なアクセスを防止することができないのである。このことは、多数のネットワークを接続する必要がある現状ではVPN・NAT技術の大きな欠点となっている。
【0025】
そこで、本発明が解決しようとする一つの課題は、VPN・NAT技術のようにネットワーク間でシームレスな接続を実現しつつ、ネットワーク間のセキュリティを維持するネットワーク接続管理システムを提供することにある。
【0026】
▲2▼ 次に、従来はインターネットやネットワーク間のファイアウォールを介して接続された複数のネットワークの全体に対してシステムの運用管理を行うシステムが存在していなかった。
【0027】
VPN・NATによる技術は、他のネットワーク内のホストに対してあたかも専用線で接続されたような通信を可能にする技術であって、それ自体ではシステム全体の運用管理を行うことができなかった。
【0028】
特に、接続されたネットワーク内のコンピューターがそれぞれWindowsマシンとUNIXマシンのように、異なるOSによって管理されているコンピューターの場合には、それらを一つの運用管理システムで管理することができなかった。
【0029】
そこで、本発明が解決しようとするもう一つの課題は、インターネットやネットワーク間のファイアウォールを介して接続された複数のネットワーク群に対して、全体としてシステムの運用管理を行うネットワーク接続管理システムを提供することにある。
【0030】
▲3▼ さらに、従来のネットワーク接続技術では、接続されたネットワーク群の内部で独立の特定の処理を行うコンピューター群を指定し、それらのコンピューター群に限って前記特定処理を行うことができなかった。
【0031】
そこで、本発明が解決しようとするもう一つの課題は、接続されたネットワーク群の内部で独立の特定の処理を行うコンピューター群を指定し、それらのコンピューター群に限ってシームレスな接続を実現して特定の処理を行うネットワーク接続管理システムを提供することにある。
【0032】
【課題を解決するための手段】
本願請求項1に係るネットワーク接続管理システムは、
ファイアウォールを介して接続された2以上のネットワークのそれぞれにセキュアコネクション装置を設け、隣接するネットワークのセキュアコネクション装置の間にはファイアウォールを通過可能なポートを有するように構成し、
前記セキュアコネクション装置は、
通信電文を送信側及び受信側プライベートIPアドレスを含めてパケットのデータ部に変換し、あるいはその逆にパケットから通信電文への変換を行う通信データ変換手段と、
前記パケットのIPヘッダに隣接のセキュアコネクション装置のIPヘッダを付すIPアドレス変換手段と、
前記通信電文中の受信側プライベートIPアドレスが指すサーバーの正当性、および、要求しているプログラムの正当性をチェックし、正常な通信電文である場合に受信側のコンピューターに通信電文を送信するフィルタリング手段と、を有し、
前記ファイアウォールを介して接続された2以上のネットワークは、ネットワーク全体のシステムリソース監視、ジョブスケジュール、ソフトウェア配布の少なくとも一つを含むシステムの運用管理を行う管理装置と、前記管理装置によって管理される複数のエージェントを有していることを特徴とするものである。
【0033】
本願請求項2に係るネットワーク接続管理システムは、請求項1のネットワーク接続管理システムにおいて、
前記管理装置は、前記セキュアコネクション装置を通じてシステムの運用管理用の通信電文を前記エージェントとの間で交信することにより、インターネット環境下で物理的に離れた複数のネットワークに対してシステム運用管理を行うことを特徴とするものである。
【0034】
本願請求項3に係るネットワーク接続管理システムは、請求項1または2のネットワーク接続管理システムにおいて、
前記セキュアコネクション装置は、パケットを暗号化し、あるいは復号化する暗号処理手段を有していることを特徴とするものである。
【0035】
本願請求項4に係るネットワーク接続管理システムは、請求項1または2のネットワーク接続管理システムにおいて、
前記セキュアコネクション装置は、受信した通信電文が通信を予定されているセキュアコネクション装置からの通信電文であることを認証する認証手段を有していることを特徴とするものである。
【0036】
本願請求項5に係るネットワーク接続管理システムは、請求項1または2のネットワーク接続管理システムにおいて、
前記セキュアコネクション装置は、メッセージダイジェスト方式により、通信電文に対する改竄の有無をチェックする改竄チェック手段を有していることを特徴とするものである。
【0037】
【発明の実施の形態】
次に、本発明による「インターネット環境下のシームレスなネットワーク接続管理システム」の実施形態について図面を用いて以下に説明する。
【0038】
図1に本発明の一実施形態によるネットワーク接続管理システムの構成を示す。
【0039】
図1に示すように、この実施形態の例によるネットワーク接続管理システム1は、インターネット2を介して接続された二つのプライベートネットワーク群3,4を有している。
【0040】
各プライベートネットワーク群3,4は、インターネット2との間にファイアウォール5を設けている。
【0041】
プライベートネットワーク群3は、さらにファイアウォール5を介して接続された二つのネットワーク6,7を有している。一方、プライベートネットワーク群4は、同様にファイアウォール5を介して接続された二つのネットワーク8,9を有している。
【0042】
ネットワーク6,7,8,9にはそれぞれ一つのセキュアコネクション装置10が接続されている。セキュアコネクション装置10の機能についてはさらに後述する。
【0043】
また、ネットワーク7にはプライベートネットワーク群3,4全体のシステムの運用管理を行う管理装置11が接続されている。
【0044】
ここで、システムの運用管理とは、ネットワーク管理やユーザーアカウント管理などのように通常OSが行う管理のほか、システムリソースの監視、ジョブスケジュール、ソフトウェアの配布など、総合的な使用状況の管理をいう。
【0045】
管理装置11によって多数のエージェントが管理されている。エージェントは、具体的には種々のサービスを提供するサーバーであり、図1に示すようにWEBサーバーやメールサーバーやデータベースサーバー(図中ではDBサーバーと表示)やアプリケーションサーバー(図中ではAPLサーバーと表示)などがある。
【0046】
この他に、ネットワーク6,7,8,9には、図示しないコンピューターが直接あるいは間接的に(サーバーのクライアントとして)接続されている。
【0047】
ネットワーク接続管理システム1によれば、一つのネットワーク内のコンピューターからから他のネットワークのコンピューターに送信する場合、送信側コンピューターからの通信電文は、最初にそのネットワークのセキュアコネクション装置10に送られ、そのセキュアコネクション装置10から隣接のネットワークのセキュアコネクション装置10に送られ、そのネットワーク内に目的のコンピューターが無い場合には、さらに隣接のネットワークのセキュアコネクション装置10に通信電文を受け渡してゆく。最終的に目的の受信側コンピュータが接続されているネットワークのセキュアコネクション装置10に通信電文が到着すると、そこのセキュアコネクション装置10によって受信側コンピューターに送信される。
【0048】
すなわち、ネットワーク接続管理システム1によれば、送信側コンピューターはインターネットが介在するネットワークに対しても、グローバルIPアドレスを意識する必要が無く、受信側コンピューターのプライベートIPアドレスを記載するのみで、あたかも同一ネットワーク内にあるように目的のコンピューターに対して送信することができるのである。受信についても同様である。
【0049】
上記通信電文の送受信について以下にさらに詳細に説明する。
【0050】
図2は、上記シームレスなネットワーク接続を実現するためのセキュアコネクション装置10の構成と処理の流れを示す。
【0051】
なお、図2ではセキュアコネクション装置10aが送信側でセキュアコネクション装置10bが受信側の場合の動作を示しているが、セキュアコネクション装置10bが送信側でセキュアコネクション装置10aが受信側となる場合には、図2における通信電文の流れがセキュアコネクション装置10aと10bの間で入れ替わることを理解されたい。
【0052】
本実施形態のセキュアコネクション装置10aと10bはそれぞれ、通信データ変換手段12と、IPアドレス変換手段13と、フィルタリング手段14と、暗号処理手段15と、認証手段16と、改竄チェック手段17と、通信手段18とを有している。
【0053】
通信データ変換手段12は、通信電文を送信側及び受信側プライベートIPアドレスを含めてパケットのデータ部に変換し、あるいはその逆にパケットから通信電文への変換を行う手段である。
【0054】
IPアドレス変換手段13は、前記パケットのIPヘッダに隣接のセキュアコネクション装置のIPヘッダを付す手段である。
【0055】
フィルタリング手段14は、通信電文中の受信側プライベートIPアドレスが指すサーバーの正当性、あるいは要求しているプログラムの正当性をチェックし、正常な通信電文である場合に受信側のコンピューターに通信電文を送信する手段である。
【0056】
暗号処理手段15は、通信電文の暗号化あるいは復号化を行う手段である。
【0057】
認証手段16は、受信した通信電文が通信を予定されているセキュアコネクション装置からの通信電文であることを認証する手段である。
【0058】
改竄チェック手段17は、メッセージダイジェスト方式により、通信電文に対する改竄の有無をチェックする手段である。
【0059】
なお、上記暗号処理手段15、認証手段16、改竄チェック手段17は、セキュリティレベルを上げる場合に必要により付加するものであるので、システムの設計により適宜省略することができる。
【0060】
図2において、点線は通信電文の流れを示している。
【0061】
最初に、送信側セキュアコネクション装置10aが、そのネットワーク内の送信側コンピューターから通信電文を受信する。この通信電文には、あたかも同一ネットワーク内のように送信側コンピューターのプライベートIPアドレスと受信側コンピューターのプライベートIPアドレスが付けられている。
【0062】
次に、上記通信電文は、通信データ変換手段12により、その送信側および受信側IPアドレスを含めてパケットのデータ部に変換される。
【0063】
上記パケットに変換された通信電文は、次にIPアドレス変換手段13により、IPヘッダに隣接ネットワークのセキュアコネクション装置のグローバルIPアドレスを付される。
【0064】
次に、上記IPヘッダにグローバルIPアドレスを付されたパケットは、暗号処理手段15により暗号化される。暗号化はインターネット上で通信電文の中身を第三者に見られないようにするためである。なお、暗号化・復号化は、任意の公知の暗号化技術を使用でき、たとえば送信側セキュアコネクション装置10aと受信側セキュアコネクション装置10bで共通の秘密鍵を持つようにすることができる。
【0065】
上記暗号化された通信電文は、送信側セキュアコネクション装置10aの通信手段18からファイアウォール5やインターネット(図示せず)を介して受信側セキュアコネクション装置10bに送信される。なお、送信側セキュアコネクション装置10aと受信側セキュアコネクション装置10bの間では、予めファイアウォール5を通過することができるポートを割り当てられ、このポートを通じてTCP/IPプロトコルにより通信できるように構成されている。
【0066】
受信側セキュアコネクション装置10bによって受信された通信電文のパケットは、受信側セキュアコネクション装置10bの通信データ変換手段12とIPアドレス変換手段13によりネットワーク内で使用する通信電文に変換される。
【0067】
この通信電文は、暗号処理手段15により復号化される。次に、認証手段16によって送信側のセキュアコネクション装置が通信を予定しているセキュアコネクション装置か否かをチェックされる。
【0068】
さらに、通信を予定しているセキュアコネクション装置からの送信であっても、第三者がそのセキュアコネクション装置になりすましている可能性あるいは改竄を行った可能性を排除するために、認証された通信電文は改竄チェック手段17によってチェックされる。
【0069】
改竄チェック手段17による改竄のチェックは、たとえば、一定のアルゴリズムによって時間とともに変化するデータを通信電文に含ませて、メッセージダイジェスト化する方法をとることによって実現することができる。
【0070】
上述した認証と改竄チェックを経た通信電文は、さらにフィルタリング手段14により、受信側プライベートIPアドレスが指すサーバー(受信側コンピューター)の正当性、あるいは要求しているプログラムの正当性をチェックされる。
【0071】
受信側プライベートIPアドレスが指すサーバーの正当性がチェックされることにより、また、通信電文が要求している処理を示すプログラム種別の正当性がチェックされることにより、限定されたサーバーと、限定された処理に対する通信電文のみがフィルタリング手段14を通過できるようになる。
【0072】
フィルタリング手段14を通過した通信電文は、そのネットワーク内の該当するサーバー(受信側コンピューター)に送信され、処理される。
【0073】
このとき、受信側セキュアコネクション装置10bのネットワーク内に該当するサーバーがない場合には、この通信電文は、受信側セキュアコネクション装置10bにより、さらに隣接のネットワークのセキュアコネクション装置に転送される。このように転送を繰り返すことにより、最終的に目的の受信側コンピューターに通信電文が送信される。
【0074】
以上が本実施形態のネットワーク接続管理システム1によるネットワーク接続のメカニズムであったが、このメカニズムを利用することにより種々の効果を奏するネットワーク接続管理システムを実現することができる。
【0075】
上述したことから明らかなように、本実施形態のネットワーク接続管理システム1によれば、プライベートネットワーク内のコンピューターが他のプライベートネットワーク内のコンピューターに通信電文を送信する場合に、送信側コンピュータはインターネットを経由する場合のグローバルIPアドレスを意識する必要が無く、受信側コンピューターのプライベートIPアドレスを記載すればよい。なぜなら、インターネットを経由する場合には、必要に応じてセキュアコネクション装置10のIPアドレス変換手段13によって必要なグローバルIPアドレスが付されるからである。
【0076】
これにより、VPN・NATと同等のインターネット環境下の異ネットワーク間のシームレスな接続を実現することができる。
【0077】
その一方で、本実施形態のネットワーク接続管理システムによれば、セキュアコネクション装置10において、通信を許されたセキュアコネクション装置からの送信であるか(認証手段16の作用)、通信電文に改竄が行われたか否か(改竄チェック手段17の作用)、正当なサーバーに対する正当な処理要求であるか否か(フィルタリング手段14の作用)をチェックする。
【0078】
これにより、VPN・NATでは実現することができない接続ネットワーク間のセキュリティを実現することができる。VPN・NATでは、予め接続することを約束したネットワーク間では、専用線のように互いにアクセスすることができるので、接続ネットワークの一つにすでに侵入した不正なユーザーのアクセスや、接続ネットワークからの不正なアクセスを防止することができない。これに対して、本発明のネットワーク接続管理システムによれば、各ネットワーク間でセキュアコネクション装置10で集中的に上述したようなチェックを行えるようになり、接続を約束したプライベートネットワーク群の内部でもネットワーク間でセキュリティを実現することができるのである。
【0079】
また、本発明のネットワーク接続管理システムによれば、フィルタリング手段により正当なサーバーに対する正当な処理要求のみを当該サーバーに送信するようにすることができる。
【0080】
これにより、接続されたプライベートネットワーク群の中で、特定の処理を行う特定のサーバーを指定して独立の特定処理システムを一つまたは複数確立することができる。
【0081】
これにより、たとえば、同一の接続されたプライベートネットワーク群の中で、特定の種類の情報や処理を提供するサーバーが指定され、当該サーバーのクライアントのみがその情報や処理の提供を受けることかできるというように、同一の接続されたプライベートネットワーク群内で、複数の独立した処理システムを独立的にかつ重畳的に有することができる。
【0082】
図1に示したプライベートネットワーク群3,4の運用管理システムは、上記特定処理を行うシステムの一例ということができる。
【0083】
このプライベートネットワーク群3,4の運用管理システムでは、管理装置11とそのエージェント(WEBサーバー、メールサーバー等)がこの運用管理システムを構成するコンピューターとなる。
【0084】
この運用管理システム内では、管理装置11が各エージェントに対してシステムリソースを監視し、ジョブのスケジューリングを行い、適宜プログラムの更新等を行う。管理装置11は各エージェントに対して、各エージェントの処理状況の報告を要求する通信電文を送り、それに対して各エージェントは自らの処理状況を通信電文によって送信する。各エージェントから処理状況の報告を受けた管理装置11は、各エージェントに対して処理すべきジョブを指示し、各エージェント間のジョブのスケジューリングを行うことができる。
【0085】
この運用管理システムによれば、インターネットを介して接続された物理的に隔離された複数のネットワーク群に対して、従来不可能であった本明細書にいう「システムの運用管理」を行うことができるようになるのである。
【0086】
【発明の効果】
以上の説明から明らかなように、本発明のネットワーク接続管理システムによれば、セキュアコネクション装置の作用により、VPN・NAT技術のようにインターネットを経由することを意識することなく、インターネット環境下で接続されたプライベートネットワーク間で専用線のような通信を可能とするのと同時に、接続されたネットワーク間で通信電文の正当性をチェック可能とし、ネットワーク間のセキュリティを維持しつつシームレスな接続を実現することができる。
【0087】
また、本発明のネットワーク接続管理システムをシステムの運用管理に使用することにより、インターネットを介して接続された物理的に離れたネットワーク群に対して、ネットワーク全体のシステムリソースの監視、ジョブスケジューリング、ソフトウェアの配布更新等を含むシステムの運用管理を行うことが可能となる。
【0088】
さらに、インターネットを介して接続されたネットワーク群の中で、特定のコンピューターに特定の処理を割り当てることにより、前記ネットワーク群の中で独立の処理システムを有することができるようになる。
【図面の簡単な説明】
【図1】本発明の一実施態様によるネットワーク接続管理システムの構成を示した図。
【図2】本発明におけるセキュアコネクション装置の内部の構成とその処理の流れを示したブロック図。
【図3】従来のVPN・NAT技術を説明するための図。
【符号の説明】
1 ネットワーク接続管理システム
2 インターネット
3 プライベートネットワーク群
4 プライベートネットワーク群
5 ファイアウォール
6 ネットワーク
7 ネットワーク
8 ネットワーク
9 ネットワーク
10 セキュアコネクション装置
11 管理装置
12 通信データ変換手段
13 IPアドレス変換手段
14 フィルタリング手段
15 暗号処理手段
16 認証手段
17 改竄チェック手段
18 通信手段

Claims (5)

  1. ファイアウォールを介して接続された2以上のネットワークのそれぞれにセキュアコネクション装置を設け、隣接するネットワークのセキュアコネクション装置の間にはファイアウォールを通過可能なポートを有するように構成し、
    前記セキュアコネクション装置は、
    送信側及び受信側プライベートIPアドレスを含む通信電文をパケットのデータ部に変換し、あるいはその逆にパケットから通信電文への変換を行う通信データ変換手段と、
    前記パケットのIPヘッダに隣接のセキュアコネクション装置のIPヘッダを付すIPアドレス変換手段と、
    前記通信電文中の受信側プライベートIPアドレスが指すサーバーの正当性、および、要求しているプログラムの正当性をチェックし、正常な通信電文である場合に受信側のコンピューターに通信電文を送信するフィルタリング手段と、を有し
    前記ファイアウォールを介して接続された2以上のネットワークは、ネットワーク全体のシステムリソース監視、ジョブスケジュール、ソフトウェア配布の少なくとも一つを含むシステムの運用管理を行う管理装置と、前記管理装置によって管理される複数のエージェントを有していることを特徴とするネットワーク接続管理システム。
  2. 前記管理装置は、前記セキュアコネクション装置を通じてシステムの運用管理用の通信電文を前記エージェントとの間で交信することにより、インターネット環境下で物理的に離れた複数のネットワークに対してシステム運用管理を行うことを特徴とする請求項1に記載のネットワーク接続管理システム。
  3. 前記セキュアコネクション装置は、パケットを暗号化し、あるいは復号化する暗号処理手段を有していることを特徴とする請求項1または2に記載のネットワーク接続管理システム。
  4. 前記セキュアコネクション装置は、受信した通信電文が通信を予定されているセキュアコネクション装置からの通信電文であることを認証する認証手段を有していることを特徴とする請求項1または2に記載のネットワーク接続管理システム。
  5. 前記セキュアコネクション装置は、メッセージダイジェスト方式により、通信電文に対する改竄の有無をチェックする改竄チェック手段を有していることを特徴とする請求項1または2に記載のネットワーク接続管理システム。
JP2000113833A 2000-04-14 2000-04-14 インターネット環境下のネットワーク接続管理システム Expired - Fee Related JP4390965B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000113833A JP4390965B2 (ja) 2000-04-14 2000-04-14 インターネット環境下のネットワーク接続管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000113833A JP4390965B2 (ja) 2000-04-14 2000-04-14 インターネット環境下のネットワーク接続管理システム

Publications (2)

Publication Number Publication Date
JP2001298473A JP2001298473A (ja) 2001-10-26
JP4390965B2 true JP4390965B2 (ja) 2009-12-24

Family

ID=18625745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000113833A Expired - Fee Related JP4390965B2 (ja) 2000-04-14 2000-04-14 インターネット環境下のネットワーク接続管理システム

Country Status (1)

Country Link
JP (1) JP4390965B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003044676A1 (en) * 2001-11-20 2003-05-30 Senvid, Inc. Access and control system for network-enabled devices
CN100340084C (zh) * 2004-04-28 2007-09-26 联想(北京)有限公司 一种实现设备分组及分组设备间交互的方法

Also Published As

Publication number Publication date
JP2001298473A (ja) 2001-10-26

Similar Documents

Publication Publication Date Title
US9654453B2 (en) Symmetric key distribution framework for the Internet
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
US6067620A (en) Stand alone security device for computer networks
US8364772B1 (en) System, device and method for dynamically securing instant messages
US8006296B2 (en) Method and system for transmitting information across a firewall
US5940591A (en) Apparatus and method for providing network security
US7769994B2 (en) Content inspection in secure networks
EP1774438B1 (en) System and method for establishing a virtual private network
US6981143B2 (en) System and method for providing connection orientation based access authentication
CA2437548A1 (en) Apparatus and method for providing secure network communication
CN101420455A (zh) 反向http网关数据传输系统和/或方法及其网络
US8386783B2 (en) Communication apparatus and communication method
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US7216226B2 (en) Unique and secure identification of a networked computing node
US20030065953A1 (en) Proxy unit, method for the computer-assisted protection of an application server program, a system having a proxy unit and a unit for executing an application server program
Khoussainov et al. LAN security: problems and solutions for Ethernet networks
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
JP4390965B2 (ja) インターネット環境下のネットワーク接続管理システム
Cisco Command Reference
Cisco Command Reference
JP2005515700A (ja) モバイルコンピューティング環境および他の断続的なコンピューティング環境における安全な接続を提供するための方法およびデバイス
WO2001031874A2 (en) Secured session sequencing proxy system supporting multiple applications and method therefor
JP2000312203A (ja) 暗号通信の通過制御方法およびシステム
JPH1132088A (ja) ネットワークシステム
CN115314262B (zh) 一种可信网卡的设计方法及其组网方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070314

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090508

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091007

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees