JP4429059B2 - Communication control method and program, communication control system, and communication control related apparatus - Google Patents
Communication control method and program, communication control system, and communication control related apparatus Download PDFInfo
- Publication number
- JP4429059B2 JP4429059B2 JP2004099495A JP2004099495A JP4429059B2 JP 4429059 B2 JP4429059 B2 JP 4429059B2 JP 2004099495 A JP2004099495 A JP 2004099495A JP 2004099495 A JP2004099495 A JP 2004099495A JP 4429059 B2 JP4429059 B2 JP 4429059B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- vpn
- address
- application gateway
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、セキュアな通信を可能にするための通信制御技術に関するものである。 The present invention relates to a communication control technique for enabling secure communication.
近年、インターネットを介した通信において、トンネリング(例えばVPN(Virtual Private Network:仮想私設通信網)技術によってセキュアな通信を実現させるケースが増えている。VPNは一般的に専用線の代用として利用されることが多く、接続認証、カプセル化及び暗号化といった技術によってインターネットを経由する通信データの秘密性及び完全性を保持する。 In recent years, in the communication via the Internet, there is an increasing number of cases in which secure communication is realized by tunneling (for example, VPN (Virtual Private Network) technology) VPN is generally used as a substitute for a dedicated line. In many cases, confidentiality and integrity of communication data via the Internet are maintained by techniques such as connection authentication, encapsulation, and encryption.
図13に、一般的なVPN接続システム構成図を示す。例えばインターネットであるネットワーク1には、1又は複数のVPNサーバ5と、例えばパーソナル・コンピュータである1又は複数のユーザ端末3と、1又は複数のゲートウェイ7とが無線又は有線により接続されている。VPNサーバ5は、例えば企業内ネットワークである社内LAN21に接続しており、社内LAN21には、1又は複数の認証サーバ23と1又は複数のメール・サーバ25と1又は複数のウェブ(Web)サーバ27と1又は複数のアプリケーション・サーバ29と図示しない他のサーバとが接続されている。
FIG. 13 shows a general VPN connection system configuration diagram. For example, one or a plurality of
また、ゲートウェイ7は、例えば拠点内ネットワークである拠点LAN9に接続しており、拠点LAN9には、例えばパーソナル・コンピュータである1又は複数のユーザ端末11及び13が接続されている。また、ゲートウェイ7には、VPNクライアント71とアドレス変換部73とが含まれている。VPNクライアント71は、VPNサーバ5とのVPN接続を確立する。アドレス変換部73は、例えばNAT(Network Address Translation)であり、ユーザ端末11やユーザ端末13のIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)とを透過的に相互変換する。これにより、ユーザ端末11やユーザ端末13は、ネットワーク1を介した通信が可能となっている。また、ユーザ端末3にはVPNクライアント33が含まれており、VPNサーバ5とのVPN接続が可能となっている。なお、VPNサーバ5、VPNクライアント33及びVPNクライアント71は、例えばPPTP(Point-to-Point Tunneling Protocol)やL2TP(Layer 2 Tunneling Protocol)、IPSec(Security Architecture for Internet Protocol)等の通信方式によりVPN接続を実現する。
The
このように、従来の一般的なVPN接続システムでは、ユーザ端末3、ユーザ端末11又はユーザ端末13から、社内LAN21に接続されたいずれかのサーバにアクセスする際には、VPNサーバ5を必ず経由するようになっている。すなわち、社内LAN21に接続されたどのサーバと通信する場合であっても、VPN接続を行うことによるカプセル化や暗号化が行われる。
しかしながら、上で述べたような技術によると、カプセル化や暗号化に伴う処理の負荷が比較的高く、回線速度に対して十分なスループットが得られないことが多い。また、カプセル化や暗号化によって通信データのサイズが大きくなると、最大転送サイズ(MTU:Maximum Transmission Unit)の制限と最大転送サイズを検出するアルゴリズム(Path MTU Discovery Protocol)における通信障害(非特許文献1参照)の問題を引き起こす可能性が高くなる。
However, according to the techniques described above, the processing load associated with encapsulation and encryption is relatively high, and it is often impossible to obtain a sufficient throughput with respect to the line speed. In addition, when the size of communication data increases due to encapsulation or encryption, a communication failure occurs in an algorithm (Path MTU Discovery Protocol) that limits the maximum transmission size (MTU) and detects the maximum transmission size (Non-patent
また、TCPの通信においてはパケットの到達性が保証されているため、タイムアウトが発生した場合には再送が行われるが、利用するトンネリング技術とシステム構成の組み合わせによっては、TCPによる再送と、カプセル化を行うプロトコルによる再送とが多重に発生し、必要以上に再送パケットが発生してしまうこともある。 Also, in TCP communication, packet reachability is guaranteed, so retransmission is performed when a timeout occurs, but depending on the combination of the tunneling technology used and the system configuration, TCP retransmission and encapsulation Multiple retransmissions due to the protocol for performing the transmission may occur, and retransmission packets may be generated more than necessary.
一方、インターネットを介して利用されるアプリケーション・プログラムの一部は、HTTPS(Hypertext Transfer Protocol Security)やSSH(Secure SHell)などのようにSSL(Secure Socket Layer)を使い、アプリケーション・プログラム毎に暗号化しているケースも多く、VPN通信のための暗号化を全ての通信に対して行うのは非効率である。 On the other hand, some application programs used over the Internet are encrypted for each application program using SSL (Secure Socket Layer) such as HTTPS (Hypertext Transfer Protocol Security) and SSH (Secure SHell). In many cases, it is inefficient to perform encryption for VPN communication for all communications.
そのため、本発明の目的は、セキュアな通信を適切に行うための通信制御技術を提供することである。 Therefore, an object of the present invention is to provide a communication control technique for appropriately performing secure communication.
本発明の第1の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する許可IPアドレス受信ステップと、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、アクセス要求データの送信元のIPアドレスと記憶装置に格納されているIPアドレスとに基づき、VPN接続とは異なる通信手段による特定のサーバへのアクセスを許可するか判定する判定ステップとを含む。 The communication control method according to the first aspect of the present invention is a communication executed by an application gateway server in which a VPN server communicates with a specific VPN client device that makes a VPN connection and controls access to the specific server. A control method for receiving an IP address of a VPN client device to which access to a specific server is to be permitted and storing the IP address in a storage device; and between the VPN server and the specific VPN client device In the state where the VPN connection is established, when the access request data to the specific server is received by the communication means different from the VPN connection, the IP address of the access request data is stored in the storage device. Based on the IP address, a specific service using a communication method different from the VPN connection is used. And a determination step whether to allow access to server.
これにより、特定のサーバへのアクセスを許可されたVPNクライアント装置は、VPN接続とは異なる通信手段で特定のサーバとの通信を行うことができるようになる。例えば、特定のサーバがSSLを用いた通信を行っている場合、SSLとVPNにより2重の暗号化がなされて通信データのサイズが大きくなってしまうのを回避することができる。また、特定のサーバへのアクセス許可は、VPNサーバとVPNクライアント装置との間でVPN接続が確立している状態においてなされるため、VPN接続がなされていないアクセス要求元からのアクセスを不許可にする等、適切なアクセス制限が可能となる。 Thereby, the VPN client apparatus permitted to access the specific server can communicate with the specific server by a communication means different from the VPN connection. For example, when a specific server performs communication using SSL, it is possible to avoid an increase in the size of communication data due to double encryption by SSL and VPN. In addition, since access permission to a specific server is made in a state where a VPN connection is established between the VPN server and the VPN client device, access from an access request source not making a VPN connection is not permitted. For example, it is possible to restrict access appropriately.
また、上記許可IPアドレス受信ステップにおいて、VPNサーバとの間のVPN接続について所定の認証処理サーバによって認証されたVPNクライアント装置のIPアドレスを、所定の認証処理サーバから受信し、記憶装置に格納するようにしてもよい。これにより、VPN接続における認証がなされたVPNクライアント装置について、特定のサーバへのアクセスが許可されるようになる。 Further, in the above-described permitted IP address receiving step, the IP address of the VPN client device authenticated by the predetermined authentication processing server for the VPN connection with the VPN server is received from the predetermined authentication processing server and stored in the storage device. You may do it. As a result, access to a specific server is permitted for the VPN client device authenticated in the VPN connection.
本発明の第2の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにより実行される通信制御方法であって、VPNサーバと特定のVPNクライアント装置との間でVPN接続が確立している状態において、VPN接続とは異なる通信手段による、特定のサーバへのアクセス要求データを受信した場合、当該アクセス要求データの送信元のIPアドレスを所定の認証サーバに送信するステップと、アクセス要求データの送信元のIPアドレスが特定のサーバへのアクセスを許可されるべきVPNクライアント装置のIPアドレスであるか否かの判定結果を所定の認証サーバから受信し、記憶装置に格納するステップとを含む。 The communication control method according to the second aspect of the present invention is a communication executed by an application gateway server in which a VPN server communicates with a specific VPN client device that performs VPN connection and controls access to the specific server. In the control method, when the VPN connection is established between the VPN server and the specific VPN client device, when access request data to the specific server is received by a communication means different from the VPN connection, The step of transmitting the IP address of the source of the access request data to a predetermined authentication server, and the IP address of the source of the access request data is the IP address of the VPN client device that should be allowed to access the specific server Whether or not is received from a predetermined authentication server and stored in a storage device That and a step.
これにより、特定のサーバへのアクセスを許可されたVPNクライアント装置は、VPN接続とは異なる通信手段で特定のサーバとの通信を行うことができるようになる。また、アプリケーション・ゲートウェイ・サーバは、特定のサーバへのアクセス要求データを受信した場合に当該アクセス要求データの送信元のIPアドレスを認証サーバに送信し、認証サーバから認証結果を受信するため、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを予め保持しておく必要がない。 Thereby, the VPN client apparatus permitted to access the specific server can communicate with the specific server by a communication means different from the VPN connection. When the application gateway server receives access request data for a specific server, the application gateway server transmits the IP address of the access request data source to the authentication server and receives the authentication result from the authentication server. There is no need to hold in advance the IP address of the VPN client device that should be permitted to access the server.
また、本発明の第1の態様において、上記許可IPアドレス受信ステップにおいてアプリケーション・ゲートウェイ・サーバへの接続要求データをVPNを介して受信した所定のアクセス管理サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして記憶装置に格納するようにしてもよい。このように、例えば専用のアクセス管理サーバを設け、当該アクセス管理サーバから受信したIPアドレスに基づき、特定のサーバへのアクセスの許可又は不許可を判定することも可能である。この場合、接続要求データの送信元が既にVPN接続を認証されており且つVPNを介してアクセス管理サーバに接続要求データを送信していることから、アプリケーション・ゲートウェイ・サーバにおいて接続要求データの送信元がVPNクライアントであるかを改めてチェックする必要はない。 In the first aspect of the present invention, the connection request data to the application gateway server is received from the predetermined access management server via the VPN in the permitted IP address receiving step, and the source of the connection request data is transmitted. When the IP address is received, it may be stored in the storage device as the IP address of the VPN client device that should be allowed to access the specific server. In this way, for example, a dedicated access management server can be provided, and permission or non-permission of access to a specific server can be determined based on the IP address received from the access management server. In this case, since the connection request data transmission source has already authenticated the VPN connection and has transmitted the connection request data to the access management server via the VPN, the connection request data transmission source in the application gateway server. There is no need to check again whether is a VPN client.
また、本発明の第1の態様において、上記許可IPアドレス受信ステップにおいてアプリケーション・ゲートウェイ・サーバへの接続要求データをVPN接続とは異なる通信手段により受信し且つ当該接続要求データの送信元の認証を行った所定の認証サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして記憶装置に格納するようにしてもよい。このように、認証サーバがVPN接続とは異なる通信手段により接続要求データを受信し且つ認証した接続要求データの送信元のIPアドレスに基づき、特定のサーバへのアクセスの許可又は不許可を判定するようにしてもよい。この場合、接続要求データの送信元がVPNクライアントであるか否かのチェックは認証サーバによりなされるため、アプリケーション・ゲートウェイ・サーバにおいてチェックする必要はない。 In the first aspect of the present invention, the connection request data to the application gateway server is received by the communication means different from the VPN connection in the permitted IP address receiving step, and the transmission source of the connection request data is authenticated. When the IP address of the connection request data transmission source is received from the predetermined authentication server, the IP address of the VPN client device that should be permitted to access the specific server may be stored in the storage device. Good. In this way, the authentication server receives connection request data by a communication means different from the VPN connection, and determines whether access to the specific server is permitted or not based on the IP address of the authenticated connection request data transmission source. You may do it. In this case, it is not necessary for the application gateway server to check because the authentication server checks whether or not the connection request data transmission source is a VPN client.
また、本発明の第1の態様において、上記判定ステップにおいてアクセス要求データの送信元についてVPN接続とは異なる通信手段による特定のサーバへのアクセスを許可すると判定された場合、アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス及びアプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを、アクセス要求データの送信元に送信するステップをさらに含むようにしてもよい。これにより、アプリケーション・ゲートウェイ・サーバに対して適切な中継処理を行わせるためのデータが、アクセス要求データの送信元に送信される。 In the first aspect of the present invention, when it is determined in the determining step that access to a specific server is permitted by a communication means different from the VPN connection for the transmission source of the access request data, the application gateway server The method may further include a step of transmitting at least one of data relating to a relayable server service, an IP address of the application gateway server, and data relating to a processing method in the application gateway server to a transmission source of the access request data. Good. As a result, data for causing the application gateway server to perform appropriate relay processing is transmitted to the transmission source of the access request data.
また、本発明の第1及び第2の態様において、VPN接続の切断要求及びVPN接続の状態が切断状態であることのいずれかを検知した場合、VPN接続が切断状態となる当該VPNクライアント装置について、特定のサーバへのアクセスを不許可に設定するステップをさらに含むようにしてもよい。このように、VPN接続が切断された場合には、当該VPNクライアント装置についてはVPN接続とは異なる通信手段による接続もできないようにすることにより、セキュアな通信が実現できる。なお、VPN接続の状態は、VPNサーバが切断要求を検知した際にアプリケーション・ゲートウェイ・サーバに対して通知する方法、VPNのコネクション・ステータスが切断状態になった場合に、VPNサーバがアプリケーション・ゲートウェイ・サーバに対して通知する方法、及びアプリケーション・ゲートウェイ・サーバがVPNサーバに対して状態確認を行う方法の少なくともいずれかの方法を用いて把握する。 Also, in the first and second aspects of the present invention, when it is detected that either the VPN connection disconnection request or the state of the VPN connection is in a disconnected state, the VPN client device in which the VPN connection is in a disconnected state The method may further include a step of disabling access to a specific server. In this way, when the VPN connection is disconnected, secure communication can be realized by preventing the VPN client device from being connected by a communication means different from the VPN connection. The state of the VPN connection is a method of notifying the application gateway server when the VPN server detects a disconnection request. When the VPN connection status is in a disconnected state, the VPN server is in the application gateway. -It grasps | ascertains using the method of notifying with respect to a server, and the method of an application gateway server confirming a state with respect to a VPN server.
本発明の第3の態様に係る通信制御方法は、VPNサーバがVPN接続を行う特定のVPNクライアント装置についての認証を行う認証サーバにより実行される通信制御方法であって、特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス及びアプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、VPN接続を要求する特定のVPNクライアント装置の認証がなされた場合、記憶装置に格納されているゲートウェイ関連データをVPN接続とは異なる通信手段により特定のVPNクライアント装置に送信するステップとを含む。 A communication control method according to a third aspect of the present invention is a communication control method executed by an authentication server that authenticates a specific VPN client device to which a VPN server performs VPN connection, and includes a specific VPN client device and At least of data relating to server services that can be relayed in an application gateway server that performs communication and controls access to a specific server, IP address of the application gateway server, and data relating to a processing method in the application gateway server If either of them is received, the gateway-related data is stored in the storage device, and if the specific VPN client device requesting the VPN connection is authenticated, the gateway-related data stored in the storage device is stored. It is the data with the VPN connection and sending to a specific VPN client unit by different communication means.
このように、VPN接続を要求する特定のVPNクライアント装置の認証がなされた場合、VPN接続とは異なる通信手段により、認証サーバから当該特定のVPNクライアント装置に対してゲートウェイ関連データを送信するようにしてもよい。なお、認証サーバがゲートウェイ関連データを取得するために、アプリケーション・ゲートウェイ・サーバに問い合わせを行う場合もある。 In this way, when a specific VPN client device requesting a VPN connection is authenticated, gateway-related data is transmitted from the authentication server to the specific VPN client device by a communication means different from the VPN connection. May be. The authentication server may make an inquiry to the application gateway server in order to acquire gateway related data.
また、本発明の第3の態様において、ゲートウェイ関連データの要求を受信した場合、ゲートウェイ関連データの要求元の認証可否を判定する認証ステップと、認証ステップにおいて、ゲートウェイ関連データの要求元が認証された場合、記憶装置に格納されているゲートウェイ関連データをVPN接続とは異なる通信手段によりゲートウェイ関連データの要求元に送信するステップとをさらに含むようにしてもよい。このように、ゲートウェイ関連データの要求があった場合に、要求元を認証し、ゲートウェイ関連データを送信するようにしてもよい。 In the third aspect of the present invention, when a request for gateway-related data is received, an authentication step for determining whether or not the requester of the gateway-related data is authenticated, and the requester for the gateway-related data are authenticated in the authentication step. In this case, the method may further include a step of transmitting the gateway related data stored in the storage device to the requester of the gateway related data by a communication means different from the VPN connection. As described above, when there is a request for gateway-related data, the request source may be authenticated and the gateway-related data may be transmitted.
本発明の第4の態様に係る通信制御方法は、ユーザ端末と接続し且つVPNサーバとVPN接続可能なVPNクライアント装置により実行される通信制御方法であって、所定の認証サーバ、VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ・サーバのIPアドレス、アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、VPNサーバとの間でVPN接続が確立している状態において、ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、ゲートウェイ関連データを用いて、VPNサーバを経由する通信経路とアプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する経路設定ステップと、通信経路がアプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、ゲートウェイ関連データを用いて、アプリケーション・ゲートウェイ・サーバが中継可能な態様の特定のサーバへのアクセス要求データをアプリケーション・ゲートウェイ・サーバに送信するステップとを含む。 A communication control method according to a fourth aspect of the present invention is a communication control method executed by a VPN client device connected to a user terminal and capable of VPN connection with a VPN server, and includes a predetermined authentication server, VPN server, and application -Data related to server services that can be relayed in any application gateway server from any of the gateway servers, IP addresses of application gateway servers, data related to processing methods in application gateway servers, and destination IPs that cannot be relayed When the address is received, the access request data to the specific server is transmitted from the user terminal in the state where the VPN connection is established between the step of storing in the storage device as gateway related data and the VPN server. A route setting step for setting any one of the communication route via the VPN server, the communication route via the application gateway server, and the other communication route using the gateway related data; When the communication route is set to a communication route that passes through the application gateway server, the gateway-related data is used to send access request data to a specific server in a mode that the application gateway server can relay to the application gateway. Sending to the server.
これにより、VPNクライアント装置は、適切な経路選択が可能となり且つアプリケーション・ゲートウェイ・サーバに対して適切な中継処理を行わせることができるようになる。具体的には、アクセスするサーバに応じて適切なポート番号やプロトコルを選択し、例えばターゲット・ホストの指定が必要な場合にはターゲット・ホストのデータも付加して特定のサーバへのアクセスを要求することができるようになる。 As a result, the VPN client device can select an appropriate route and can cause the application gateway server to perform an appropriate relay process. Specifically, select an appropriate port number and protocol according to the server to be accessed, and for example, when specifying the target host, add the target host data to request access to a specific server. Will be able to.
また、上記経路設定ステップにおいて、特定のサーバへのアクセス要求データの宛先IPアドレスが所定のIPアドレスに合致する場合については経路設定の処理対象から除外するようにしてもよい。これにより、例えばネットワーク管理者等が、ユーザにアクセスさせたくないサーバについて、アクセスできないように設定することができる。 In the route setting step, when the destination IP address of access request data to a specific server matches a predetermined IP address, it may be excluded from the route setting processing target. Thereby, for example, a network administrator or the like can set the server that the user does not want to access to be inaccessible.
なお、本発明に係る方法をコンピュータに実行させるためのプログラムを作成することも可能であって、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークを介してデジタル信号として配信される場合もある。なお、処理途中のデータについては、コンピュータのメモリ等の記憶装置に一時保管される。 It is also possible to create a program for causing a computer to execute the method according to the present invention, and the program is a storage medium such as a flexible disk, a CD-ROM, a magneto-optical disk, a semiconductor memory, and a hard disk. Alternatively, it is stored in a storage device. Moreover, it may be distributed as a digital signal via a network. Note that data being processed is temporarily stored in a storage device such as a computer memory.
本発明によれば、セキュアな通信を適切に行うことが可能となる。 According to the present invention, secure communication can be appropriately performed.
[実施の形態1]
本発明の第1の実施の形態に係るシステム構成図を図1に示す。なお、図13で示したシステムの構成要素と同様の構成要素については、同じ番号を付しており、以下、冗長な説明を省略する場合がある。
[Embodiment 1]
A system configuration diagram according to the first embodiment of the present invention is shown in FIG. Note that the same components as those of the system shown in FIG. 13 are denoted by the same reference numerals, and redundant description may be omitted below.
例えばインターネットであるネットワーク1には、1又は複数のVPNサーバ5と、1又は複数のアプリケーション・ゲートウェイ30と、1又は複数のゲートウェイ7とが無線又は有線により接続されている。VPNサーバ5は社内LAN21に接続しており、社内LAN21には、1又は複数の認証サーバ23と1又は複数のメール・サーバ25と1又は複数のWebサーバ27と1又は複数のアプリケーション・サーバ29と図示しない他のサーバとが接続されている。認証サーバ23にはIPアドレス格納部230が接続されている。IPアドレス格納部230には、例えばVPN接続の確立について認証されたゲートウェイ7のIPアドレスが格納される。
For example, one or
アプリケーション・ゲートウェイ30には、中継処理部31とアクセス制御部32とが含まれている。中継処理部31は、通信データに含まれる宛先アドレスやターゲット・ホスト等の付加データに基づき、サーバ接続の中継処理を行う。アクセス制御部32は、サーバ接続要求元に対してサーバへのアクセスの許可又は不許可の判定を行う。例えばサーバ接続要求元のIPアドレスに基づきアクセスを許可するか否か判定する。不許可と判定された場合には、中継処理を行わないようにする。
The
ゲートウェイ7は拠点LAN9に接続しており、拠点LAN9には、1又は複数のユーザ端末11及び13が接続されている。また、ゲートウェイ7には、VPNクライアント71と通信制御部72とアドレス変換部73とが含まれている。VPNクライアント71は、VPNサーバ5とのVPN接続を確立する。通信制御部72は、ユーザ端末11又は13から特定のサーバへのアクセス要求を受信すると、宛先のIPアドレスに応じて、VPNサーバ5を経由する通信経路とアプリケーション・ゲートウェイ30を経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する。また、通信経路がアプリケーション・ゲートウェイ30を経由する通信経路に設定された場合、アプリケーション・ゲートウェイ30が中継可能な態様でアクセス要求データを送信する。具体的には、アクセスするサーバに応じて適切なポート番号やプロトコルを選択し、例えばターゲット・ホストの指定が必要な場合にはターゲット・ホストのデータも付加する。アドレス変換部73は、例えば周知のNAPT(Network Address Port Translation)であり、ユーザ端末11やユーザ端末13のIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)とを透過的に相互変換する。NAPTは、TCPやUDPのポート番号を動的に変換するため、一つのグローバルアドレスで複数のユーザ端末からの同時接続を実現することが可能である。これにより、ユーザ端末11やユーザ端末13は、ネットワーク1を介した通信が可能となっている。
The
なお、VPNサーバ5及びVPNクライアント71は、例えばPPTPやL2TP、IPSec等の通信方式によりVPN接続を実現する。また、Webサーバ27は、SSLを利用した通信を行う。ユーザ端末11及びユーザ端末13はSSL対応のWebブラウザを有しており、ユーザ端末11又は13とWebサーバ27との間では、VPNを介さなくとも、セキュアな通信が可能である。
Note that the
図2及び図3に、図1に示したシステムの処理フローを示す。以下、各ステップに従い説明する。まず、例えば管理者用の端末であるユーザ端末11は、管理者等のユーザからの操作に従い、VPN接続要求をゲートウェイ7に送信する(図2:ステップS1)。ゲートウェイ7のVPNクライアント71は、VPN接続要求をユーザ端末11から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS3)。そして、VPNクライアント71は、VPN接続を確立するための認証データをVPNサーバ5に送信する(ステップS5)。認証データは、例えばユーザから受け付けたパスワードである。
2 and 3 show a processing flow of the system shown in FIG. Hereinafter, it demonstrates according to each step. First, for example, the
VPNサーバ5は、認証データをゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS7)。そして、VPNサーバ5は、認証サーバ23と協働して、VPN接続の要求元であるゲートウェイ7の認証処理を行う(ステップS9)。認証がなされると、認証サーバ23は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS11)。アプリケーション・ゲートウェイ30は、許可IPアドレスを認証サーバ23から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS13)。許可IPアドレスとは、アプリケーション・ゲートウェイ30のアクセス制御部32がアクセス制御を行う際に用いるIPアドレスであり、例えば許可IPアドレスを有するゲートウェイ7からWebサーバ27へのアクセス要求があった場合には、アクセスを許可するという判定がなされる。なお、ステップS9における認証処理後、VPNサーバ5からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されるような場合もある。
The
VPNサーバ5は、ステップS9における認証がなされると、予め保持しているアプリケーション・ゲートウェイ関連データと、VPN接続応答とをゲートウェイ7に送信する(ステップS15)。ゲートウェイ7のVPNクライアント71は、アプリケーション・ゲートウェイ関連データとVPN接続応答とをVPNサーバ5から受信し、ワーク・メモリ領域等における例えばアプリケーション・ゲートウェイ関連データ格納部に格納する(ステップS17)。アプリケーション・ゲートウェイ関連データには、アプリケーション・ゲートウェイ30において中継可能なサーバ・サービスに関するデータ、アプリケーション・ゲートウェイ30のIPアドレス、アプリケーション・ゲートウェイ30における処理方法に関するデータ及び中継不可能な宛先IPアドレス等が含まれている。アプリケーション・ゲートウェイ30における処理方法に関するデータとは、例えばターゲット・ホストの指定を別途必要とする通信プロトコルを用いる場合には、ターゲット・ホストのデータも付加した態様でのアクセス要求データを受け付けるということを示すデータである。識別子が用いられる場合もある。
When the authentication in step S9 is performed, the
なお、VPNサーバ5がアプリケーション・ゲートウェイ関連データを予め保持していない場合もある。このような場合には、VPNサーバ5はアプリケーション・ゲートウェイ関連データの要求をアプリケーション・ゲートウェイ30に対して送信し、アプリケーション・ゲートウェイ30から受信したアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する。また、アプリケーション・ゲートウェイ関連データをVPN接続応答に併せて送信しない場合もある。このような場合には、例えばゲートウェイ7のVPNクライアント71は、VPNサーバ5に対してアプリケーション・ゲートウェイ関連データを要求し、要求に応じてVPNサーバ5から送信されたデータを受信する。
In some cases, the
そして、ゲートウェイ7のVPNクライアント71は、VPN接続完了通知データを生成し、ユーザ端末11に送信する(ステップS19)。ユーザ端末11は、VPN接続完了通知データをゲートウェイ7から受信し、表示装置に表示する(ステップS21)。
Then, the
また、VPNサーバ5は、VPNの接続状態を示すデータをアプリケーション・ゲートウェイ30に送信する(ステップS23)。アプリケーション・ゲートウェイ30のアクセス制御部32は、VPNの接続状態を示すデータをVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS25)。VPNの接続状態を示すデータは、例えば接続状態が変化した際にVPNサーバ5からアプリケーション・ゲートウェイ30に送信される。なお、アプリケーション・ゲートウェイ30からVPNサーバ5に対して定期的にVPNの接続状態を示すデータの要求を送信する場合もある。また、VPNサーバ5からのデータ受信がない状態が所定期間以上続いた場合に、アプリケーション・ゲートウェイ30からVPNサーバ5に対してデータ要求を送信する場合もある。
The
このようにしてVPN接続が確立され、アプリケーション・ゲートウェイ30に許可IPアドレス及びVPNの接続状態が保持される。
In this way, the VPN connection is established, and the permitted IP address and the VPN connection state are held in the
そして、例えばユーザ端末13は、一般ユーザ等からの操作に従い、例えばWebサーバ27へのアクセス要求をゲートウェイ7に送信する(図3:ステップS31)。ゲートウェイ7の通信制御部72は、Webサーバ27へのアクセス要求をユーザ端末13から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS33)。そして、ゲートウェイ7のアドレス変換部73は、ローカルアドレスからグローバルアドレスへのアドレス変換を行う(ステップS35)。そして、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ関連データに基づき、当該アクセス要求の通信ルートを判定する(ステップS37)。具体的には、VPN(VPNサーバ5)経由の通信ルート、アプリケーション・ゲートウェイ30経由の通信ルート及びその他のルートのうち、いずれかのルートを選択する。本実施の形態においては、Webサーバ27宛てのデータについてはアプリケーション・ゲートウェイ30経由の通信ルートが選択される。
For example, the
図4−1及び図4−2に、通信ルート設定の概要図を示す。まず、図4−1には、図13に示した従来の一般的なVPN接続システムにおけるゲートウェイ7での通信ルート設定の概要が示されている。
FIG. 4A and FIG. 4B are schematic diagrams of communication route setting. First, FIG. 4A shows an outline of communication route setting in the
VPNルート416及びデフォルト・ルート(Default Route)419は、イーサネット(Ethernet)(登録商標)・ルート414に含まれている。イーサネット・ルート414は、例えばTCP/IPによる通信ルートを表しており、インターネットを介す通信ルートは、全てこのイーサネット・ルート414に含まれている。VPNルート416は、VPN接続による通信ルートを表しており、このVPNルート416を通るデータはカプセル化及び暗号化された後、インターネットに送信される。カプセル化により、宛先IPアドレスがVPNサーバ5のIPアドレスに一旦変換される。デフォルト・ルート419は、データを加工せずにインターネットに送信するルートを示している。通信ルート418は、例えば拠点LAN9を経由してゲートウェイ7に到達したデータがまず始めに通るルートを示している。
The
データは図の左から右に向かって進んでいくものとする。まず、例えばユーザ端末13から送信されたサーバ宛データは、通信ルート418を通り、アドレス変換部処理範囲410に入る。ここで、データ送信元であるユーザ端末13のIPアドレスがローカルアドレスからグローバルアドレスに変換される。そしてサーバ宛データはさらに右に進み、VPNクライアント処理範囲412に入る。ここで、サーバ宛データは、まずデフォルト・ルート419を通り、VPN接続が確立している場合には、デフォルト・ルート419の途中から切り替わっているVPNルート416を通り、VPN接続が確立していない場合には、そのままデフォルト・ルート419を通る。なお、VPN接続が確立している場合においても、IPアドレスが所定の範囲外であるサーバ(例えば社内LAN21に接続されていないサーバ)宛のデータについては、デフォルト・ルート419をそのまま通るような設定がなされている場合もある。一方、例えば社内LAN21に接続されているサーバ宛のデータについては、全てVPNルート416を通るようになっている。すなわち、例えばHTTPSによりカプセル化や暗号化された通信データに対しても2重にカプセル化や暗号化がなされるようになっている。
The data is assumed to progress from the left to the right in the figure. First, for example, data addressed to the server transmitted from the
図4−2には、図1に示したような本実施の形態におけるゲートウェイ7での通信ルート設定の概要が示されている。VPNルート416、デフォルト・ルート419及びHTTPSルート420は、イーサネット・ルート414に含まれている。なお、図4−1と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。
FIG. 4B shows an outline of communication route setting in the
例えばユーザ端末13から送信されたサーバ宛データは、通信ルート418を通り、VPNクライアント処理範囲412に入る。ここで、サーバ宛データは、例えば宛先のサーバが用いる通信プロトコルに対応付けられたポート番号によって、VPNルート416、デフォルト・ルート419及びHTTPSルート420のいずれかを通るように振り分けられる。この処理は、ゲートウェイ7の通信制御部72によって実施される。例えば、HTTPS(ポート番号443)を用いた通信を行うサーバ(例えばWebサーバ27)宛のデータは、HTTPSルート420を通りアプリケーション・ゲートウェイ30が中継可能な態様でインターネットに送信される。なお、HTTPSルート420を通るデータはカプセル化され、宛先IPアドレスがアプリケーション・ゲートウェイ30のIPアドレスに一旦変換される。また、POP3(ポート番号110)やSMTP(ポート番号25)を用いたサーバ(例えばメール・サーバ25)宛のデータは、VPNルート416を通りインターネットに送信される。また、IPアドレスが所定の範囲外であるサーバ(例えば社内LAN21に接続されていないサーバ)宛のデータについては、デフォルト・ルート419を通り、そのままインターネットに送信される。このように、2重のカプセル化や暗号化がなされないようになっている。
For example, server-addressed data transmitted from the
図3の説明に戻り、ゲートウェイ7の通信制御部72は、Webサーバ27へのアクセス要求をアプリケーション・ゲートウェイ30に送信する(図3:ステップS39)。アプリケーション・ゲートウェイ関連データに基づき、ターゲット・ホスト等の付加データが必要な場合には併せて送信する。アプリケーション・ゲートウェイ30のアクセス制御部32は、Webサーバ27へのアクセス要求をゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS41)。そして、アクセス制御部32は、ゲートウェイ7のIPアドレスが、ステップS13(図2)において受信した許可IPアドレスと合致しているか確認する(ステップS43)。アクセス制御部32はステップS25(図2)においてワーク・メモリ領域等の記憶装置に格納されたVPN接続の状態も併せて確認し、VPN接続が確立されている状態において、許可IPアドレスを有するゲートウェイ7からのアクセス要求である場合には「アクセスを許可する」と判定する。
Returning to the description of FIG. 3, the
なお、VPN接続が確立されていない場合や、IPアドレスが合致しない場合には、「アクセスを許可しない」と判定する。「アクセスを許可しない」と判定された場合、アプリケーション・ゲートウェイ30は処理を終了するが、例えば接続拒否通知をゲートウェイ7を経由してユーザ端末13に送信するような場合もある。以下、「アクセスを許可する」と判定されたものとして説明を続ける。
If the VPN connection is not established or the IP addresses do not match, it is determined that “access is not permitted”. If it is determined that “access is not permitted”, the
そして、アプリケーション・ゲートウェイ30の中継処理部31は、アクセス要求データをWebサーバ27に送信する(ステップS45)。この際、中継処理部31は、アクセス要求の宛先IPアドレスをアプリケーション・ゲートウェイ30のIPアドレスからWebサーバ27のIPアドレスへと変換して送信する。Webサーバ27は、アクセス要求データをアプリケーション・ゲートウェイ30から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS47)。Webサーバ27は、通信プロトコルに例えばHTTPSを用いており、HTTPSによる通信を確立するためのアクセス応答データを生成し、アプリケーション・ゲートウェイ30に送信する(ステップS49)。
Then, the
アプリケーション・ゲートウェイ30の中継処理部31は、アクセス応答データをWebサーバ27から受信し、ゲートウェイ7に転送する(ステップS51)。ゲートウェイ7の通信制御部72は、アクセス応答データをアプリケーション・ゲートウェイ30から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS53)。そして、ゲートウェイ7のアドレス変換部73は、アクセス応答データの宛先アドレスをグローバルアドレスからローカルアドレスに変換する(ステップS55)。そして、通信制御部72は、アクセス応答データをユーザ端末13に送信する(ステップS57)。ユーザ端末13はアクセス応答データを受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS59)。以降、ユーザ端末13及びWebサーバ27は、HTTPSに従ったデータ通信を行う。
The
このようにして、アプリケーション・ゲートウェイ30経由でのサーバ・アクセスが行われる。これにより、カプセル化や暗号化が2重に行われないようにすることができ、通信データのサイズを不必要に大きくしてしまうことがなくなる。
In this way, server access via the
[実施の形態2]
本発明の第2の実施の形態に係る処理フローを図5及び図6に示す。なお、システム構成は第1の実施の形態と同様であり、以下、図1に示した構成要素を用いて説明する。まず、図5に示す処理フローは、図2に示した処理フローのステップS11及びステップS13の処理をステップS81の処理に変更したものであり、他の処理については同様であるため説明を省略する。ステップS81の処理は、ステップS79の認証処理がなされた後に認証サーバ23によって実行される。図2の処理フローでは、許可IPアドレスがアプリケーション・ゲートウェイ30に送信され、アプリケーション・ゲートウェイ30が許可IPアドレスを保持していたが、本実施の形態においては、認証サーバ23は、許可IPアドレスをIPアドレス格納部230に格納する(図5:ステップS81)。
[Embodiment 2]
A processing flow according to the second embodiment of the present invention is shown in FIGS. The system configuration is the same as that of the first embodiment, and will be described below using the components shown in FIG. First, the processing flow shown in FIG. 5 is obtained by changing the processing of step S11 and step S13 of the processing flow shown in FIG. 2 to the processing of step S81. . The process of step S81 is executed by the
このようにしてVPN接続が確立され、IPアドレス格納部230に許可IPアドレスが格納される。また、アプリケーション・ゲートウェイ30にVPNの接続状態が保持される。
In this way, the VPN connection is established, and the permitted IP address is stored in the IP
図6に示す処理フローは、図3に示した処理フローのステップS43の処理をステップS113の処理に変更したものであり、他の処理については同様であるため説明を省略する。ステップS113の許可IPアドレス確認処理は、アプリケーション・ゲートウェイ30のアクセス制御部32がWebサーバ27へのアクセス要求をゲートウェイ7から受信した(ステップS111)後、アプリケーション・ゲートウェイ30のアクセス制御部32と認証サーバ23とによって実行される。具体的には、まず、アプリケーション・ゲートウェイ30のアクセス制御部32が、アクセス要求元であるゲートウェイ7のIPアドレスを認証サーバ23に送信する。認証サーバ23は、受信したIPアドレスが、IPアドレス格納部230に格納されている許可IPアドレスと合致するか照合し、照合結果をアプリケーション・ゲートウェイ30に送信する。アプリケーション・ゲートウェイ30のアクセス制御部32は、照合結果を受信すると、VPN接続の状態を確認し、受信した照合結果とVPN接続状態とに基づき、VPN接続が確立されている状態において、許可IPアドレスを有するゲートウェイ7からのアクセス要求である場合には「アクセスを許可する」と判定する。
The process flow shown in FIG. 6 is obtained by changing the process in step S43 of the process flow shown in FIG. 3 to the process in step S113. In the permitted IP address confirmation processing in step S113, the
このようにして、アプリケーション・ゲートウェイ30経由でのサーバ・アクセスが行われる。本実施の形態においては、アプリケーション・ゲートウェイ30が許可IPアドレスを保持しておく必要がない代わりに、認証サーバ23への問い合わせが行われる。
In this way, server access via the
[実施の形態3]
本発明の第3の実施の形態に係るシステム構成図を図7に示す。図7に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、新たにアクセス管理サーバ22を加えたものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。アクセス管理サーバ22は1又は複数存在し、社内LAN21に無線又は有線により接続している。アクセス管理サーバ22の処理内容については、以下の処理フローの説明において述べる。
[Embodiment 3]
FIG. 7 shows a system configuration diagram according to the third embodiment of the present invention. The system configuration shown in FIG. 7 is obtained by removing the IP
図8に、図7に示したシステムの処理フローを示す。図8に示す処理フローは、図5に示した処理フローからステップS81の処理を除外し、新たにステップS163乃至ステップS171の処理を追加したものである。他の処理については同様であるため説明を省略する。ステップS163乃至ステップS171の処理は、ゲートウェイ7とVPNサーバ5との間でVPN接続が確立した後に実行される。
FIG. 8 shows a processing flow of the system shown in FIG. The processing flow shown in FIG. 8 excludes the processing of step S81 from the processing flow shown in FIG. 5 and newly adds the processing of steps S163 to S171. Since other processes are the same, description thereof is omitted. Steps S163 to S171 are executed after the VPN connection is established between the
まず、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ接続要求をVPNサーバ5に送信する(ステップS163)。VPNサーバ5は、アプリケーション・ゲートウェイ接続要求をゲートウェイ7から受信し、アクセス管理サーバ22に転送する(ステップS165)。アクセス管理サーバ22は、アプリケーション・ゲートウェイ接続要求をVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS167)。そして、アクセス管理サーバ22は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS169)。アプリケーション・ゲートウェイ30は、許可IPアドレスをアクセス管理サーバ22から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS171)。
First, the
このようにして、VPN接続が確立された後、ゲートウェイ7からの要求により、アクセス管理サーバ22からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されることにより、許可IPアドレスがアプリケーション・ゲートウェイ30に保持される。なお、アクセス管理サーバ22は、許可IPアドレスをアプリケーション・ゲートウェイ30が受信したことを確認すると、許可IPアドレス設定応答をVPNサーバ5経由でゲートウェイ7に送信するような場合もある。また、この許可IPアドレス設定応答の送信に併せて、VPNサーバ5がアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する場合もある。
After the VPN connection is established in this way, the permitted IP address is held in the
そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
Then, the server access processing via the
[実施の形態4]
本発明の第4の実施の形態に係るシステム構成図を図9に示す。図9に示すシステム構成は、図1に示したシステム構成からIPアドレス格納部230を除外し、認証サーバ23の設置場所を変更したものである。その他、図1で示したシステムの構成要素と同様の構成要素については同じ番号を付しており、以下、冗長な説明を省略する。本実施の形態においては、認証サーバ23は、社内LAN21に無線又は有線により接続しており且つネットワーク1に無線又は有線により接続している。本実施の形態における認証サーバ23の処理内容については、以下の処理フローの説明において述べる。
[Embodiment 4]
FIG. 9 shows a system configuration diagram according to the fourth embodiment of the present invention. The system configuration illustrated in FIG. 9 is obtained by removing the IP
図10に、図9に示したシステムの処理フローを示す。図10に示す処理フローは、図8に示した処理フローにおけるステップS163乃至ステップS171の処理をステップS203乃至ステップS213の処理に変更したものである。他の処理については同様であるため説明を省略する。ステップS203乃至ステップS213の処理は、ゲートウェイ7とVPNサーバ5との間でVPN接続が確立した後に実行される。
FIG. 10 shows a processing flow of the system shown in FIG. The processing flow shown in FIG. 10 is obtained by changing the processing from step S163 to step S171 to the processing from step S203 to step S213 in the processing flow shown in FIG. Since other processes are the same, description thereof is omitted. The processing from step S203 to step S213 is executed after the VPN connection is established between the
まず、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ接続要求を認証サーバ23に送信する(ステップS203)。認証サーバ23は、アプリケーション・ゲートウェイ接続要求をゲートウェイ7から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS205)。そして、認証サーバ23は、ゲートウェイ7のIPアドレスを許可IPアドレスとしてアプリケーション・ゲートウェイ30に送信する(ステップS207)。
First, the
なおこの際、認証サーバ23は、ゲートウェイ7の認証処理を行う。認証されなかった場合、許可IPアドレスの送信処理は行われない。上で述べた第3の実施の形態においては、アクセス管理サーバ22がVPN(VPNサーバ5)を介してアプリケーション・ゲートウェイ接続要求を受信するため、VPN接続について既に認証されているゲートウェイ7の再認証処理は不要であった。一方、本実施の形態においては、認証サーバ23がインターネット(ネットワーク1)から直接、アプリケーション・ゲートウェイ接続要求を受信するため、改めてデータ送信元(ここではゲートウェイ7)の認証処理を行うようにしている。
At this time, the
そして、アプリケーション・ゲートウェイ30は、許可IPアドレスを認証サーバ23から受信し、ワーク・メモリ領域等に生成された例えば許可IPアドレステーブルに格納する(ステップS209)。また、認証サーバ23は、例えば許可IPアドレスをアプリケーション・ゲートウェイ30が受信したことを確認すると、許可IPアドレス設定応答をゲートウェイ7に送信する(ステップS211)。ゲートウェイ7の通信制御部72は、許可IPアドレス設定応答を認証サーバ23から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS213)。
Then, the
このようにして、VPN接続が確立された後、ゲートウェイ7からの要求により、認証サーバ23からアプリケーション・ゲートウェイ30に許可IPアドレスが送信されることにより、許可IPアドレスがアプリケーション・ゲートウェイ30に保持される。
Thus, after the VPN connection is established, the permitted IP address is held in the
そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
Then, the server access processing via the
[実施の形態5]
本発明の第5の実施の形態に係る処理フローを図11に示す。なお、システム構成は第4の実施の形態と同様であり、以下、図9に示した構成要素を用いて説明する。まず、図11に示す処理フローは、図10に示した処理フローのステップS191及びステップS193の処理をステップS231及びステップS233の処理に変更し且つステップS211及びステップS213(図10)の処理をステップS251及びステップS253の処理に変更したものであり、他の処理については同様であるため説明を省略する。
[Embodiment 5]
FIG. 11 shows a processing flow according to the fifth embodiment of the present invention. The system configuration is the same as that of the fourth embodiment, and will be described below using the components shown in FIG. First, in the processing flow shown in FIG. 11, the processing in steps S191 and S193 in the processing flow shown in FIG. 10 is changed to the processing in steps S231 and S233, and the processing in steps S211 and S213 (FIG. 10) is performed. Since the processing is changed to the processing of S251 and step S253, and the other processing is the same, the description thereof is omitted.
まず、ステップS231の処理において、VPNサーバ5は、VPN接続応答をゲートウェイ7に送信する。ステップS191(図10)では、アプリケーション・ゲートウェイ関連データも併せて送信するようにしていたが、ここではアプリケーション・ゲートウェイ関連データは送信しない。そして、ゲートウェイ7のVPNクライアント71は、VPN接続応答データをVPNサーバ5から受信し、ワーク・メモリ領域等の記憶装置に格納する(ステップS233)。
First, in the process of step S231, the
そしてステップS235乃至ステップS249の処理が行われ、ステップS251の処理において、認証サーバ23は、アプリケーション・ゲートウェイ関連データと許可IPアドレス設定応答とを、ゲートウェイ7に送信する。すなわち、ステップS231において、VPNサーバ5がアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信していないため、この時点で認証サーバ23が送信する。なお、認証サーバ23がアプリケーション・ゲートウェイ関連データを予め保持していない場合もある。このような場合には、認証サーバ23はアプリケーション・ゲートウェイ関連データの要求をアプリケーション・ゲートウェイ30に対して送信し、アプリケーション・ゲートウェイ30から受信したアプリケーション・ゲートウェイ関連データをゲートウェイ7に送信する。
Then, the processing from step S235 to step S249 is performed, and in the processing of step S251, the
そして、ゲートウェイ7の通信制御部72は、アプリケーション・ゲートウェイ関連データと許可IPアドレス設定応答とを認証サーバ23から受信し、ワーク・メモリ領域等における例えばアプリケーション・ゲートウェイ関連データ格納部に格納する(ステップS253)。
Then, the
このようにして、ゲートウェイ7にアプリケーション・ゲートウェイ関連データが保持される。そして、ユーザ端末からの要求に従い、アプリケーション・ゲートウェイ30経由でのサーバ・アクセス処理が行われるが、第1の実施の形態における処理(図3の処理フロー)と同様であるため、説明を省略する。
In this way, application gateway related data is held in the
以上のようにして、セキュアな通信において、2重にカプセル化や暗号化を行わないような適切な経路制御が行われる。 As described above, in secure communication, appropriate path control is performed so as not to perform double encapsulation or encryption.
また、認証サーバ23、メール・サーバ25、Webサーバ27、アプリケーション・サーバ29、アクセス管理サーバ22(図7)、VPNサーバ5、アプリケーション・ゲートウェイ30、ゲートウェイ7、ユーザ端末11及びユーザ端末13は、図12に示すようなコンピュータ装置であって、メモリ201とCPU203とハードディスク・ドライブ(HDD)205と表示装置209に接続される表示制御部207とリムーバブル・ディスク211用のドライブ装置213と入力装置215とネットワークに接続するための通信制御部217とがバス219で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実現するためのプログラムを含むアプリケーション・プログラムは、HDD205に格納されており、CPU203により実行される際にはHDD205からメモリ201に読み出される。必要に応じてCPU203は、表示制御部207、通信制御部217、ドライブ装置213を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ201に格納され、必要があればHDD205に格納される。本発明の実施の形態における処理を実現するためのプログラムは例えばリムーバブル・ディスク211に格納されて頒布されドライブ装置213から、又はネットワーク及び通信制御部217を介して受信し、HDD205にインストールされる。このようなコンピュータ装置は、CPU203、メモリ201などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で説明したような各種機能を実現する。なお、ゲートウェイ7は、メモリ及びプロセッサを有するルータ等の専用の装置である場合もある。
The
以上本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、図1、図7及び図9に示したアプリケーション・ゲートウェイ30の機能ブロック構成及びゲートウェイ7の機能ブロック構成は一例であって、実際のプログラム・モジュール構成とは異なる場合がある。また、各サーバが複数のコンピュータによって構成されていてもよいし、1つのサーバが複数のサーバ機能を有するような場合もある。また、図4−1及び図4−2に示した通信ルート設定の概要図は一例であって、適用する通信プロトコルは図中に示したものに限られない。また、図2、図3、図5、図6、図8、図10及び図11に示した処理フローも一例であって、同様の処理結果が得られる範囲において処理の順序を入れ替えてもよいし、必要に応じてステップを追加又は削除してもよい。また、図12に示したコンピュータの機能ブロック図も一例であって、実際のハードウェア構成とは異なる場合もある。
Although the embodiment of the present invention has been described above, the present invention is not limited to this. For example, the functional block configuration of the
1 ネットワーク 5 VPNサーバ
7 ゲートウェイ 9 拠点LAN
3,11,13 ユーザ端末 21 社内LAN
22 アクセス管理サーバ 23 認証サーバ
25 メール・サーバ 27 Webサーバ
29 アプリケーション・サーバ
30 アプリケーション・ゲートウェイ
31 中継処理部 32 アクセス制御部
33,71 VPNクライアント 72 通信制御部
73 アドレス変換部 230 IPアドレス格納部
1
3, 11, 13 User terminal 21 Internal LAN
DESCRIPTION OF
Claims (16)
前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する許可IPアドレス受信ステップと、
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、前記アクセス要求データの送信元のIPアドレスと前記記憶装置に格納されているIPアドレスとに基づき、前記VPN接続とは異なる通信手段による前記特定のサーバへのアクセスを許可するか判定する判定ステップと、
を含み、アプリケーション・ゲートウェイ・サーバにより実行される通信制御方法。 A communication control method executed by an application gateway server in which a VPN server communicates with a specific VPN client device for VPN connection and controls access to the specific server,
Receiving an IP address of a VPN client device to which access to the specific server is to be permitted, and storing the IP address in a storage device;
In the state where the VPN connection is established between the VPN server and the specific VPN client device, when access request data to the specific server is received by a communication means different from the VPN connection, A determination step of determining whether to permit access to the specific server by a communication means different from the VPN connection based on an IP address of a transmission source of access request data and an IP address stored in the storage device;
A communication control method executed by an application gateway server.
前記VPNサーバとの間の前記VPN接続について所定の認証処理サーバによって認証されたVPNクライアント装置のIPアドレスを、前記所定の認証処理サーバから受信し、前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 In the permitted IP address receiving step,
An IP address of a VPN client device authenticated by a predetermined authentication processing server for the VPN connection with the VPN server is received from the predetermined authentication processing server and stored in the storage device. Item 4. The communication control method according to Item 1.
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、当該アクセス要求データの送信元のIPアドレスを所定の認証サーバに送信するステップと、
前記アクセス要求データの送信元のIPアドレスが前記特定のサーバへのアクセスを許可されるべきVPNクライアント装置のIPアドレスであるか否かの判定結果を前記所定の認証サーバから受信し、記憶装置に格納するステップと、
を含み、アプリケーション・ゲートウェイ・サーバにより実行される通信制御方法。 A communication control method executed by an application gateway server in which a VPN server communicates with a specific VPN client device for VPN connection and controls access to the specific server,
In a state where the VPN connection is established between the VPN server and the specific VPN client device, when access request data to the specific server is received by a communication means different from the VPN connection, Transmitting an IP address of a transmission source of access request data to a predetermined authentication server;
A determination result is received from the predetermined authentication server as to whether or not the IP address of the transmission source of the access request data is an IP address of a VPN client device that should be allowed to access the specific server, and stored in the storage device Storing, and
A communication control method executed by an application gateway server.
前記アプリケーション・ゲートウェイ・サーバへの接続要求データを前記VPNサーバを介して受信した所定のアクセス管理サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 In the permitted IP address receiving step,
The connection request data to the application gateway server from a predetermined access management server that has received via the VPN server, when receiving the transmission source IP address of the connection request data, the access to certain servers The communication control method according to claim 1, wherein an IP address of a VPN client device to be permitted is stored in the storage device.
前記アプリケーション・ゲートウェイ・サーバへの接続要求データを前記VPN接続とは異なる通信手段により受信し且つ当該接続要求データの送信元の認証を行った所定の認証サーバから、当該接続要求データの送信元のIPアドレスを受信した場合、前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスとして前記記憶装置に格納することを特徴とする
請求項1記載の通信制御方法。 In the permitted IP address receiving step,
The connection request data to the application gateway server is received by a communication means different from the VPN connection, and the transmission source of the connection request data is sent from a predetermined authentication server that has authenticated the transmission source of the connection request data. The communication control method according to claim 1, wherein when an IP address is received, the IP address is stored in the storage device as an IP address of a VPN client device to which access to the specific server should be permitted.
をさらに含む請求項5記載の通信制御方法。 In the determination step, when it is determined that the access source of the access request data is permitted to access the specific server by communication means different from the VPN connection, a server service that can be relayed in the application gateway server 6. The method according to claim 5, further comprising: transmitting at least any one of data relating to an IP address of the application gateway server and data relating to a processing method in the application gateway server to a transmission source of the access request data. Communication control method.
前記特定のVPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス及び前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータのうち少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、
前記VPN接続を要求する前記特定のVPNクライアント装置の認証がなされた場合、前記記憶装置に格納されている前記ゲートウェイ関連データを前記VPN接続とは異なる通信手段により前記特定のVPNクライアント装置に送信するステップと、
を含み、認証サーバにより実行される通信制御方法。 A communication control method executed by an authentication server that authenticates a specific VPN client device to which a VPN server performs VPN connection,
Data relating to server services that can be relayed in an application gateway server that communicates with the specific VPN client device and controls access to the specific server, the IP address of the application gateway server, and the application gateway When receiving at least one of the data related to the processing method in the server, the step of storing in the storage device as gateway related data;
When the specific VPN client device requesting the VPN connection is authenticated, the gateway related data stored in the storage device is transmitted to the specific VPN client device by a communication means different from the VPN connection. Steps,
And a communication control method executed by the authentication server.
前記認証ステップにおいて、前記ゲートウェイ関連データの要求元が認証された場合、前記記憶装置に格納されている前記ゲートウェイ関連データを前記VPN接続とは異なる通信手段により前記ゲートウェイ関連データの要求元に送信するステップと、
をさらに含む請求項8記載の通信制御方法。 An authentication step of determining whether or not authentication of the request source of the gateway related data is received when the request of the gateway related data is received;
When the requester of the gateway related data is authenticated in the authentication step, the gateway related data stored in the storage device is transmitted to the requester of the gateway related data by a communication means different from the VPN connection. Steps,
The communication control method according to claim 8, further comprising:
所定の認証サーバ、前記VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス、前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納するステップと、
前記VPNサーバとの間で前記VPN接続が確立している状態において、前記ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、前記ゲートウェイ関連データを用いて、前記VPNサーバを経由する通信経路と前記アプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する経路設定ステップと、
前記通信経路が前記アプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、前記ゲートウェイ関連データを用いて、前記アプリケーション・ゲートウェイ・サーバが中継可能な態様の前記特定のサーバへのアクセス要求データを前記アプリケーション・ゲートウェイ・サーバに送信するステップと、
を含み、VPNクライアント装置により実行される通信制御方法。 A communication control method executed by a VPN client device connected to a user terminal and capable of VPN connection with a VPN server,
Data related to a server service that can be relayed in the application gateway server from any one of a predetermined authentication server, the VPN server, and the application gateway server, an IP address of the application gateway server, the application gateway A step of storing data relating to a processing method in the server and a destination IP address that cannot be relayed in a storage device as gateway-related data;
When access request data to a specific server is received from the user terminal in a state where the VPN connection is established with the VPN server, the gateway server uses the gateway related data to pass through the VPN server. A route setting step for setting any one of a communication route, a communication route via the application gateway server, and another communication route;
When the communication path is set to a communication path passing through the application gateway server, access request data to the specific server in a mode that the application gateway server can relay using the gateway related data Sending to the application gateway server;
And a communication control method executed by a VPN client device.
前記VPNサーバとVPN接続するVPNクライアント装置と、
前記VPNクライアント装置との通信が可能であり且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバと、
前記VPNサーバを経由することなく前記VPNクライアント装置と通信が可能となっており、前記VPNサーバと前記VPNクライアント装置との間でVPN接続が確立している状態において、前記特定のサーバへのアクセスを要求する特定のVPNクライアント装置からの認証要求を受け付け且つ前記特定のVPNクライアント装置を認証した場合、認証された前記特定のVPNクライアント装置のIPアドレスを前記アプリケーション・ゲートウェイ・サーバに送信する認証サーバと、
を有する通信制御システム。 A VPN server having VPN connection means;
A VPN client device for VPN connection with the VPN server;
An application gateway server capable of communicating with the VPN client device and controlling access to a specific server;
Communication with the VPN client device is possible without going through the VPN server, and access to the specific server in a state where a VPN connection is established between the VPN server and the VPN client device An authentication server that accepts an authentication request from a specific VPN client device that requests and transmits the IP address of the authenticated specific VPN client device to the application gateway server when the specific VPN client device is authenticated When,
A communication control system.
前記特定のサーバへのアクセスが許可されるべきVPNクライアント装置のIPアドレスを受信し、記憶装置に格納する手段と、
前記VPNサーバと前記特定のVPNクライアント装置との間で前記VPN接続が確立している状態において、前記VPN接続とは異なる通信手段による、前記特定のサーバへのアクセス要求データを受信した場合、前記アクセス要求データの送信元のIPアドレスと前記記憶装置に格納されているIPアドレスとに基づき、前記VPN接続とは異なる通信手段による前記特定のサーバへのアクセスを許可するか判定する手段と、
を有するアプリケーション・ゲートウェイ・サーバ。 An application gateway server for controlling access to a specific server from a specific VPN client device to which the VPN server makes a VPN connection,
Means for receiving an IP address of a VPN client device to which access to the specific server should be permitted and storing it in a storage device;
In the state where the VPN connection is established between the VPN server and the specific VPN client device, when access request data to the specific server is received by a communication means different from the VPN connection, Means for determining whether to permit access to the specific server by a communication means different from the VPN connection based on an IP address of a transmission source of access request data and an IP address stored in the storage device;
An application gateway server.
所定の認証サーバ、前記VPNサーバ及びアプリケーション・ゲートウェイ・サーバのいずれかから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス、前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータ及び中継不可能な宛先IPアドレスを受信した場合、ゲートウェイ関連データとして記憶装置に格納する手段と、
前記VPNサーバとの間で前記VPN接続が確立している状態において、前記ユーザ端末から、特定のサーバへのアクセス要求データを受信した場合、前記ゲートウェイ関連データを用いて、前記VPNサーバを経由する通信経路と前記アプリケーション・ゲートウェイ・サーバを経由する通信経路とその他の通信経路とのうち、いずれかの通信経路を設定する手段と、
前記通信経路が前記アプリケーション・ゲートウェイ・サーバを経由する通信経路に設定された場合、前記ゲートウェイ関連データを用いて、前記アプリケーション・ゲートウェイ・サーバが中継可能な態様の前記特定のサーバへのアクセス要求データを前記アプリケーション・ゲートウェイ・サーバに送信する手段と、
を有するVPNクライアント装置。 A VPN client device for connecting to a user terminal and realizing VPN connection in communication with a VPN server,
Data related to a server service that can be relayed in the application gateway server from any one of a predetermined authentication server, the VPN server, and the application gateway server, an IP address of the application gateway server, the application gateway Means for storing data related to a processing method in the server and a destination IP address that cannot be relayed in a storage device as gateway-related data;
When access request data to a specific server is received from the user terminal in a state where the VPN connection is established with the VPN server, the gateway server uses the gateway related data to pass through the VPN server. Means for setting any one of a communication path, a communication path via the application gateway server, and another communication path;
When the communication path is set to a communication path passing through the application gateway server, access request data to the specific server in a mode that the application gateway server can relay using the gateway related data Means for transmitting to the application gateway server;
VPN client device.
前記VPNクライアント装置と通信を行い且つ特定のサーバへのアクセスを制御するアプリケーション・ゲートウェイ・サーバから、前記アプリケーション・ゲートウェイ・サーバにおいて中継可能なサーバ・サービスに関するデータ、前記アプリケーション・ゲートウェイ・サーバのIPアドレス及び前記アプリケーション・ゲートウェイ・サーバにおける処理方法に関するデータの少なくともいずれかを受信した場合、ゲートウェイ関連データとして記憶装置に格納する手段と、
前記VPNクライアント装置との間でVPN接続を確立する場合、VPN接続応答と前記ゲートウェイ関連データとを前記VPNクライアント装置に送信する手段と、
を有するVPNサーバ。 A VPN server for realizing VPN connection in communication with a VPN client device,
Data related to server services that can be relayed in the application gateway server from the application gateway server that communicates with the VPN client device and controls access to a specific server, and the IP address of the application gateway server And at least one of data relating to the processing method in the application gateway server, means for storing in the storage device as gateway related data;
Means for transmitting a VPN connection response and the gateway-related data to the VPN client device when establishing a VPN connection with the VPN client device;
A VPN server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004099495A JP4429059B2 (en) | 2004-03-30 | 2004-03-30 | Communication control method and program, communication control system, and communication control related apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004099495A JP4429059B2 (en) | 2004-03-30 | 2004-03-30 | Communication control method and program, communication control system, and communication control related apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005286802A JP2005286802A (en) | 2005-10-13 |
JP4429059B2 true JP4429059B2 (en) | 2010-03-10 |
Family
ID=35184706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004099495A Expired - Fee Related JP4429059B2 (en) | 2004-03-30 | 2004-03-30 | Communication control method and program, communication control system, and communication control related apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4429059B2 (en) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4791850B2 (en) * | 2006-02-23 | 2011-10-12 | 株式会社日立製作所 | Information processing system and virtual office system |
JP4752062B2 (en) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | Terminal connection device and server connection restriction device on public line for performing access restriction |
JP4752064B2 (en) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | Communication system on public line for restricting access, terminal connection device and server connection restriction device |
JP4752063B2 (en) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | Communication system on public line for restricting access, terminal connection device and server connection restriction device |
JP5081675B2 (en) * | 2008-03-18 | 2012-11-28 | 株式会社リコー | Information processing apparatus, communication control method, and communication control program |
JP5375156B2 (en) * | 2009-02-13 | 2013-12-25 | 富士ゼロックス株式会社 | Communication system, relay device, terminal device, and program |
CN102143292B (en) * | 2010-10-20 | 2013-09-25 | 华为软件技术有限公司 | Calling method and calling devices of virtual private network |
JP5891793B2 (en) * | 2012-01-05 | 2016-03-23 | 村田機械株式会社 | Relay server |
JP6561811B2 (en) * | 2015-12-09 | 2019-08-21 | 株式会社オートネットワーク技術研究所 | In-vehicle communication device, in-vehicle communication system, and vehicle specific processing prohibition method |
EP3882779B1 (en) * | 2018-12-10 | 2024-07-24 | Freebit Co., Ltd. | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device |
JP7243211B2 (en) * | 2019-01-22 | 2023-03-22 | 日本電気株式会社 | Communication management system, management server, VPN server, communication management method, and program |
CN114650471B (en) * | 2022-03-28 | 2023-12-26 | 洛阳萃泽信息科技有限公司 | Numerical control machine tool acquisition system, centralized acquisition module and machine tool data acquisition method |
-
2004
- 2004-03-30 JP JP2004099495A patent/JP4429059B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005286802A (en) | 2005-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4708376B2 (en) | Method and system for securing access to a private network | |
JP4237754B2 (en) | Personal remote firewall | |
KR100758733B1 (en) | System and method for managing a proxy request over a secure network using inherited security attributes | |
US20210136037A1 (en) | Endpoint security domain name server agent | |
JP3492865B2 (en) | Mobile computer device and packet encryption authentication method | |
JP4362132B2 (en) | Address translation method, access control method, and apparatus using these methods | |
US20070124489A1 (en) | Nat access control with ipsec | |
JP4429059B2 (en) | Communication control method and program, communication control system, and communication control related apparatus | |
US11736516B2 (en) | SSL/TLS spoofing using tags | |
JP5131118B2 (en) | Communication system, management device, relay device, and program | |
JP6762735B2 (en) | Terminal-to-terminal communication system, terminal-to-terminal communication method, and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070312 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090710 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091215 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091215 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4429059 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131225 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |