JP4619059B2 - 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム - Google Patents
端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム Download PDFInfo
- Publication number
- JP4619059B2 JP4619059B2 JP2004235587A JP2004235587A JP4619059B2 JP 4619059 B2 JP4619059 B2 JP 4619059B2 JP 2004235587 A JP2004235587 A JP 2004235587A JP 2004235587 A JP2004235587 A JP 2004235587A JP 4619059 B2 JP4619059 B2 JP 4619059B2
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- encrypted communication
- communication channel
- control command
- session management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 53
- 238000004891 communication Methods 0.000 claims description 261
- 230000004044 response Effects 0.000 claims description 51
- 230000011664 signaling Effects 0.000 claims description 49
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 8
- 230000005764 inhibitory process Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 26
- 230000009131 signaling function Effects 0.000 description 15
- 238000010276 construction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信ネットワーク上のファイアウォール装置を制御する技術に関する。
社内ネットワーク等のプライベートなネットワークのセキュリティを確保するためにファイアウォール装置が用いられている。ファイアウォール装置は、通常、予め定めた通信方法または、予め定めた通信方法かつ特定の通信相手からのアクセスのみを許容し、それ以外の通信は拒否する動作をするように設定をする。従って、特定の端末からのアクセスを拒否する設定がなされている場合において、当該特定の端末と、ファイアウォール装置配下の端末とが、ファイアウォール装置を介して直接通信(P2P通信:ピアツーピア通信)を行うには、その特定の端末からのアクセスを許可するようファイアウォール装置の設定を変える必要がある。
ファイアウォール装置の設定はいわゆるネットワーク管理者が行うのが一般的であり、その場合、あるユーザが特定の通信相手とファイアウォール装置を介してすぐに通信を行うことを希望したとしても、ネットワーク管理者が設定を完了するまではそのような通信を行うことができないという不便さがある。また、ネットワーク管理者による設定によりセキュリティホールが生じる恐れがある。
ファイアウォール装置を自動的に設定する技術として、UPnP (Universal Plug and Play)があるが、UPnPでは、ユーザ認証、制御通信の暗号化、改ざん防止等を行うことなく、ファイアウォール装置がユーザからの命令をそのまま受け入れるので、セキュリティ上問題がある。なお、ファイアウォール装置の制御に関する従来技術として、例えば特許文献1に記載された技術がある。
特開平10−70576号公報
本発明は上記の点に鑑みてなされたものであり、上記従来技術における利便性の低さやセキュリティ上の問題を解決し、ファイアウォール装置の動的な制御をセキュアに行うことを可能にする技術を提供することを目的とする。
上記の課題は、端末装置からの制御命令に基づき通信可否設定を行うファイアウォール装置であって、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースと、シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手段と、通信相手装置から送信された接続要求を受信した前記端末装置により送信され、前記セッション管理装置が受信したファイアウォール装置制御命令を、前記セッション管理装置から、前記暗号化通信チャネルを介して受信する受信手段と、前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手段と、前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行い、制御受入応答を前記端末装置に向けて送信する通信可否設定応答手段とを有することを特徴とするファイアウォール装置により解決される。
また、本発明は、端末装置からの制御命令に基づき通信可否設定を行うファイアウォール装置であって、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースと、シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手段と、前記端末装置から送信された、暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して受信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記端末装置に向けて送信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手段と、前記端末装置から送信されたファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して受信する受信手段と、前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手段と、前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行う通信可否設定手段とを有することを特徴とするファイアウォール装置として構成することもできる。
また、本発明は、ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する端末装置であって、シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手段と、前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を含む接続要求を、前記暗号化通信チャネルを介して受信する受信手段と、前記接続要求に含まれる前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記暗号化通信チャネルを介して前記ファイアウォール装置に向けて送信する制御命令送信手段と、前記ファイアウォール装置から送信され、前記セッション管理装置により受信された前記ファイアウォール装置制御命令に対する制御受入応答を、前記セッション管理装置から前記暗号化通信チャネルを介して受信した後に、前記接続要求に対する要求受入応答を前記通信相手装置に向けて送信する応答送信手段と、を有することを特徴とする端末装置として構成することができる。
更に、本発明は、ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する端末装置であって、シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手段と、前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を、前記第1の暗号化通信チャネルを介して受信する受信手段と、暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置に向けて送信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置から受信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手段と、前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して前記ファイアウォール装置に送信する制御命令送信手段とを有することを特徴とする端末装置として構成することもできる。
また、前記端末装置は、前記通信相手装置との通信のために通信可否設定を必要とするファイアウォール装置の情報を格納したデータベースを有し、前記制御命令送信手段は、前記データベースを参照することにより検出したファイアウォール装置に対して前記ファイアウォール装置制御命令を送信するように構成してもよい。
本発明によれば、暗号化通信チャネルを介して端末装置からファイアウォール装置制御にファイアウォール装置制御命令を送信し、ファイアウォール装置では、ファイアウォール装置制御命令を許可するか否かの判定を行った上で通信可否設定を行うこととしたので、ファイアウォール装置の制御を動的にセキュアに行うことが可能となる。よって、従来技術における利便性の低さやセキュリティ上の問題が解決される。
以下、本発明の実施の形態を図を参照して説明する。まず、本発明のファイアウォール装置制御技術の前提となるセキュアデータチャネル構築技術について説明し、その後に、ファイアウォール装置制御技術について説明する。
(セキュアデータチャネル構築技術)
図1は、セキュアデータチャネル構築技術の概要を説明するための図である。
図1は、セキュアデータチャネル構築技術の概要を説明するための図である。
図1に示すように、端末1と端末2との間にセッション管理サーバ3を設置し、端末1−セッション管理サーバ3−端末2間で、端末1−端末2間のデータチャネル構築のためのシグナリング(信号手順)を実行し、データチャネル構築後はセッション管理サーバ3を介さずに端末間のみでデータ通信を行う。
シグナリングにおいては、まず、端末1−セッション管理サーバ3間、セッション管理サーバ3−端末2間の各々で、IPsec等の暗号化通信を行うための暗号鍵情報の交換、相互認証が行われる。そして、端末1−セッション管理サーバ3間、セッション管理サーバ3−端末2間の各々で確立されたセキュアシグナリングチャネルを介して、セッション管理サーバへの名前登録、端末1−端末2間のセキュアデータチャネル確立のためのシグナリングが実行される。
端末1−セッション管理サーバ3間、セッション管理サーバ3−端末2間でのセキュアシグナリングチャネル確立におけるシグナリングにより、セッション管理サーバ3と端末1との間、セッション管理サーバ3と端末2との間において相互認証に基づく信頼関係が確立されているため、端末1と端末2との間でも信頼関係が確立されている。
次に、端末1−セッション管理サーバ3−端末2間の通信のシーケンスを図2を参照して説明する。
次に、端末1−セッション管理サーバ3−端末2間の通信のシーケンスを図2を参照して説明する。
各端末は、セッション管理サーバ3との間でシグナリングを実行するシグナリング機能、セキュアデータチャネルを介してデータ通信を行うための機能、及びアプリケーションを備えている。また、セッション管理サーバ3は、シグナリングを各端末との間で実行するシグナリング機能、端末間の接続可否を判断する接続ポリシー制御機能、各端末を認証するための認証機能、端末の名前からIPアドレスを取得する名前解決機能、及び、認証のために用いるID、パスワードを格納するデータベース、名前とIPアドレスを対応付けて格納するデータベース等を備えている。
図2に示すように、まず、端末1−セッション管理サーバ3間でIPsec等の暗号通信で用いる鍵情報(暗号鍵生成用の情報)の交換を行う(ステップ1)。その後、自分のID、パスワードを含む情報を暗号化して相手側に送信することにより、相互に認証を行う(ステップ2)。認証後は、セキュアシグナリングチャネルが確立された状態となり、そのチャネルを用いて、端末1は、名前とIPアドレスをセッション管理サーバ3に対して送信し、セッション管理サーバ3はそれらの登録を行う(ステップ3)。端末1の通信相手となる端末2とセッション管理サーバ3間でも同様のシーケンスが実行され、端末2の名前とIPアドレスがセッション管理サーバ3に登録される(ステップ4、5、6)。
その後、端末1から端末2への接続要求が、セキュアシグナリングチャネルを介して送信される(ステップ7)。接続要求には、端末2の名前と暗号通信用の鍵情報(暗号鍵生成用の情報)が含まれる。接続要求を受信したセッション管理サーバ3は、端末1からの接続要求に関して、端末1が嘘をついていないことをチェックし(発信者詐称チェック)、更に、接続ポリシー制御機能を用いて端末1と端末2との接続が許可されているかをチェックし(ステップ8)、許可されていれば、名前解決機能を用いてデータベースを参照することにより、端末2の名前から端末2のIPアドレスを取得し(ステップ9)、セキュアシグナリングチャネルを介して端末2へ接続要求を転送する(ステップ10)。このとき、端末1のIPアドレスも端末2に送信される。端末1と端末2の接続が許可されていなければ、端末1の接続要求は拒否される。このとき、端末2に関する情報は端末1には全く送信されない。
接続要求を受信した端末2は、接続要求に対する応答として、暗号通信用の鍵情報を含む応答メッセージをセキュアシグナリングチャネルを介してセッション管理サーバ3に送信し(ステップ11)、セッション管理サーバ3がその応答メッセージを端末1に送る(ステップ12)。このとき、端末2のIPアドレスも端末1に送信される。
以上の手順により、端末1と端末2との間での暗号化通信が可能となる。すなわち、セキュアデータチャネルが確立され、所望のデータ通信が行われる。
ステップ1、2及び4、5を経てセキュアシグナリングチャネルが確立されているということは、端末−セッション管理サーバ間で相互に認証が成功しており、信頼関係が成立しているということである。端末1−セッション管理サーバ3間、及び端末2−セッション管理サーバ3間の各々でこのような関係が成立しているので、端末1と端末2との間も相互に信頼できる関係となることから、ステップ7以降は、一般の暗号化通信で用いられる鍵交換手順より簡略化した手順を用いることが可能となっている。
上記のシーケンスを実現する手段として、SIP(session initiation protocol)を拡張したプロトコルを用いることが可能である。すなわち、セッション管理サーバ3をSIPプロキシサーバとして機能させ、SIPのメッセージに上記の手順でやり取りされる情報を含ませる。
この場合、セキュアシグナリングチャネルの確立及び名前登録のためにREGISTERメッセージを用い、端末1−端末2間のセキュアデータチャネル確立のためにINVITEメッセージを用いる。SIPを用いる場合のシーケンス例を図3に示す。
図3に示す例は、セキュアなチャネルで接続された複数のセッション管理サーバを経由して、シグナリングを行う場合の例である。図3に示すシーケンスにおいて、端末1のIPアドレスが2001:1234::10、セッション管理サーバAのIPアドレスが2001:6789::5060、セッション管理サーバBのIPアドレスが2001:abcd::5060、端末2のIPアドレスが2001:cdef::10である。
各端末とセッション管理サーバ間には予め互いにID、パスワードを配布しておき、端末とセッション管理サーバの各々は、相手のID、パスワードを自分の記憶装置に格納する。また、セッション管理サーバAとセッション管理サーバBの間は、TLS等のセキュアなチャネルを介して通信を行う。
まず、端末1、2は、REGISTERメッセージを用いて、セッション管理サーバとのセキュアチャネルの確立、及び、(SIPに準拠した)名前の登録をセッション管理サーバA、Bに対して行う(ステップ21)(図2のステップ1〜6に相当する)。なお、この部分の手順については後により詳細に説明する。
続いて、端末1が、暗号通信用の鍵情報(図の例では秘密共有鍵生成用の情報)をSDPパラメータとして記述したINVITEメッセージを、端末2への接続要求として、端末1とセッション管理サーバA間のセキュアシグナリングチャネルを介して送信する(ステップ22)。セッション管理サーバAは、INVITEメッセージをセッション管理サーバA、B間のセキュアなチャネルを介してセッション管理サーバBに転送する(ステップ23)。
なお、端末1からのINVITEメッセージにはRoute-Securityヘッダが含まれる。Route-Securityヘッダが付加されている場合、そのINVITEメッセージを受信した装置は、Route-Securityヘッダ:[アドレス]で示されているアドレスから当該装置までの経路がセキュアなものであるかとうか(例えばIPsecによる暗号化がなされているかどうか)をチェックし、セキュアなものであればそのRoute-Securityヘッダをそのまま残してメッセージを転送する。また、転送先で経路がセキュアなものであるかとうかチェックを要する場合には、Route-Securityヘッダ:[自分のアドレス]を付加したメッセージをその転送先に転送する。応答メッセージには、これまでに付されたRoute-Securityヘッダがそのまま付されており、これにより、メッセージがセキュアな経路を介して転送されたものであることがわかる。
セッション管理サーバBは、端末2に、端末2とセッション管理サーバB間のセキュアシグナリングチャネルを介してINVITEメッセージを送信する(ステップ24)。なお、セッション管理サーバA及びセッション管理サーバBにおいて端末2の名前解決がなされている。INVITEメッセージを受信した端末2は、暗号通信用の鍵情報をSDPパラメータとして含む応答メッセージを端末1に向けて送信する(ステップ25)。そして、その応答メッセージは、INVITEメッセージと同じルート上を逆の方向に運ばれ、端末1に送信される(ステップ26、27)。
その後、受信確認(ACK)メッセージが端末1から端末2に送信され(ステップ28〜30)、端末1と端末2との間の暗号化通信(例えばIPsecによる通信)が可能となる。
図3のステップ21におけるREGISTERメッセージのシーケンスは、例えば図4に示す通りである。
この場合、まず、暗号通信用(IPsec等)の鍵情報を含むREGISTERメッセージを、端末からセッション管理サーバに送信する(ステップ211)。セッション管理サーバは、その応答として暗号通信用の鍵情報を含む応答メッセージを端末に返す(ステップ212)。続いて、端末は、セッション管理サーバが端末を認証するための認証用情報を含むREGISTERメッセージをセッション管理サーバに送信する(ステップ213)。セッション管理サーバはその応答として、端末がセッション管理サーバを認証するために必要な認証用情報を含む応答メッセージを端末に送信する(ステップ214)。互いの認証が取れた後、セキュアシグナリングチャネルによる暗号化通信が可能となる。
その後は、パケットがセキュアシグナリングチャネルを介して暗号化して送受信されるため、通常のREGISTERメッセージシーケンスにより名前の登録が行われる(ステップ215、216)。
認証用情報は、ID、パスワード等を含む情報でもよいし、証明書(X.509証明書等)でもよい。また、暗号通信用の鍵情報の交換のために用いるメッセージに認証用情報(証明書)を含めてもよい。
次に、シグナリングプロトコルとしてSIPを用いる場合の各装置の機能ブロックを図5を参照して説明する。
セッション管理サーバは、呼(メッセージ)の転送のための処理を行うSIPプロキシ、SIPの名前登録を行うSIPレジストラ、ID、パスワード、もしくは証明書等を用いて各端末の認証を行う認証モジュール、IPsec等の暗号化通信を行うための暗号化モジュールを有している。
また、各端末は、セキュアデータチャネル上での通信を行う機能部、INVITEメッセージの送受信やREGISTERメッセージの発行等を含むSIPに基づくメッセージ通信を行うSIP機能部、ID、パスワード、もしくは証明書等を用いてセッション管理サーバの認証を行う認証モジュール、IPsec等の暗号化通信を行うための暗号化モジュールを有している。
(ファイアウォール装置制御技術)
次に、本発明の実施の形態におけるファイアウォール装置制御技術の概要について説明する。図6(a)に示すように、ファイアウォール装置A(10)の配下にある端末A(11)と、ファイアウォール装置B(12)の配下にある端末B(13)とが通信を行う場合におけるファイアウォール装置制御を例にとり説明する。
次に、本発明の実施の形態におけるファイアウォール装置制御技術の概要について説明する。図6(a)に示すように、ファイアウォール装置A(10)の配下にある端末A(11)と、ファイアウォール装置B(12)の配下にある端末B(13)とが通信を行う場合におけるファイアウォール装置制御を例にとり説明する。
図6(a)の構成において、ファイアウォール装置A、端末A、ファイアウォール装置B、端末Bの各々は、上述した端末1、2と同様に、セキュアシグナリングチャネル及びセキュアデータチャネルを構築する機能を有しており、各々がセッション管理サーバ15とセキュアシグナリングチャネルにより接続可能である。以下、ファイアウォール装置制御の手順について、図6(a)〜図8を参照して説明する。
ステップ1)図6(a)において、まず、ファイアウォール装置A、端末A、ファイアウォール装置B、端末Bの各々が、図2に示したステップ1〜ステップ3と同様のシーケンスを実行することにより、セッション管理サーバ15との間でセキュアシグナリングチャネルを確立し、名前とアドレスをセッション管理サーバ15に送信する。セッション管理サーバ15では、名前とアドレスを記憶装置に記憶する。なお、ファイアウォール装置A、Bがセッション管理サーバ15との間でセキュアシグナリングチャネルを確立する手順を開始するタイミングは、例えばファイアウォール装置の電源を入れたときとすることができる。
ステップ2)続いて、図6(b)に示すように、端末Bが、端末Bとセッション管理サーバ15間のセキュアシグナリングチャネル、及びセッション管理サーバ15と端末A間のセキュアシグナリングチャネルを用いて、端末Aに対して接続要求を送信する。この接続要求には、ファイアウォール装置制御に必要な端末Bのネットワーク情報(送信元IPアドレス、ポート等)と、暗号化通信用の鍵情報が含まれる。なお、ファイアウォール装置Aは、セッション管理サーバ15からの通信を通すように設定がなされている。同様に、ファイアウォール装置Bも、セッション管理サーバ15からの通信を通すように設定がなされている。
ステップ3)次に、図7(a)に示すように、接続要求を受信した端末Aは、端末Bのネットワーク情報に基づく制御命令を、端末Aとセッション管理サーバ15間及びセッション管理サーバ15とファイアウォール装置A間のセキュアシグナリングチャネルを用いてファイアウォール装置Aに送信する。ファイアウォール装置Aは、その制御命令を許容するか否かの判断を行い、許容する場合に端末Bからの通信を許可するように設定を行う。その後、制御命令を受け入れた旨を通知する応答が、セッション管理サーバ15を介して端末Aに返される。なお、制御命令を許容しない場合には、ファイアウォール装置Aの上記設定は行わず、制御命令を許容しない旨の応答が端末Aに返される。
ステップ4)図7(b)に示すように、端末Aは、端末Bからの接続要求を受け入れた旨を示す要求受入応答をセッション管理サーバ15を介して端末Bに送信する。この際、端末A自身のネットワーク情報と鍵情報を端末Bに伝える。
なお、必要であれば、端末Bの側においても、ファイアウォール装置Bに対する端末Aからの通信許可設定を行う。具体的には、端末Aがファイアウォール装置Aの設定を行う場合と同様の方法で、要求受入応答に含まれる端末Aのネットワーク情報に基づき、端末Bがファイアウォール装置Bに対して制御命令を送信する。そして、ファイアウォール装置Bの設定の確認を行ってから実際の通信を開始する。
端末Bがファイアウォール装置Bに制御命令を送信することに代えて、端末Aがファイアウォール装置Bに制御命令を送信することにより、ファイアウォール装置Bの設定を行うこともできる。
ステップ5)続いて、図8に示すように、互いに受信した鍵情報を用いて、端末Aと端末Bとの間でセキュアなP2P(ピアツーピア)チャネルを確立し、通信を開始する。通信が切断した場合には、ステップ3と同様にして、端末Bが制御命令をファイアウォール装置Bに送信することによりファイアウォール装置Bの設定を元に戻し、端末Aからの通信を拒否する状態にする。
(シーケンス具体例)
次に、SIPを用いた場合のファイアウォール装置制御シーケンスの具体例について説明する。以下、セキュアシグナリングチャネルのみを用いて制御を行う例(具体例1、図6(a)〜図8を用いて説明した例に相当する)と、端末とファイアウォール装置間でセキュアデータチャネルを確立し、そのチャネルを用いてファイアウォール制御を行う例(具体例2)について説明する。
次に、SIPを用いた場合のファイアウォール装置制御シーケンスの具体例について説明する。以下、セキュアシグナリングチャネルのみを用いて制御を行う例(具体例1、図6(a)〜図8を用いて説明した例に相当する)と、端末とファイアウォール装置間でセキュアデータチャネルを確立し、そのチャネルを用いてファイアウォール制御を行う例(具体例2)について説明する。
[具体例1]
具体例1のシーケンスを図9に示す。まず、端末Bが、セッション管理サーバ15を介して接続要求を含むINVITEメッセージを端末Aに送信する(ステップ41)。次に、端末Aが、ファイアウォール装置制御命令を含むMESSAGEを、セッション管理サーバ15を介してファイアウォール装置Aに送信する(ステップ42)。
具体例1のシーケンスを図9に示す。まず、端末Bが、セッション管理サーバ15を介して接続要求を含むINVITEメッセージを端末Aに送信する(ステップ41)。次に、端末Aが、ファイアウォール装置制御命令を含むMESSAGEを、セッション管理サーバ15を介してファイアウォール装置Aに送信する(ステップ42)。
ファイアウォール装置Aは、端末Aからの当該制御命令を受け入れる場合には、その制御命令に従って設定を行い、セッション管理サーバ15を介して制御受入応答(200 OK)を端末Aに返す(ステップ43)。制御受入応答を受信した端末Aは、INVITEメッセージ(ステップ41)への応答として、要求受入応答を、セッション管理サーバ15を介して端末Bに送信し(ステップ44)、端末Bは、ACK(通信確立許可)を、セッション管理サーバ15を介して端末Aに送信する(ステップ45)。上記の手順によって、端末Aと端末B間のセキュアデータチャネルが確立される(ステップ46)。
上記のINVITEメッセージには、セキュアデータチャネル構築のための鍵情報に加え、通信プロトコル(tcp、udp等)、送信元(端末B)のアドレス、送信元ポート等が含まれる。また、要求受入応答には、セキュアデータチャネル構築のための鍵情報が含まれる。また、MESSAGEには、ファイアウォール制御命令を構成する情報として、通信プロトコル、送信元アドレス、送信元ポート、受信元(端末A)アドレス、受信元ポート、リクエストか応答かを示す情報、及びアクション(許可、拒否)等の情報が含まれる。MESSAGEを用いた制御命令の一例を図10に示す。これは、MESSAGEのbody部に、XMLを用いて命令を記述した例であり、2001:1234::10から、2001:5678::20へのtcp−80の通信(http通信)を許可設定するための命令を示すものである。
具体例1の方法によれば、シグナリングチャネルだけを用いるので、簡易にファイアウォール装置制御が可能であるという利点を有する。
[具体例2]
次に、具体例2のシーケンスを図11に示す。まず、端末Bが、セッション管理サーバ15を介し、接続要求を含むINVITEメッセージを端末Aに送信する(ステップ51)。次に、端末Aが、ファイアウォール装置Aへの接続要求を含むINVITEメッセージを、セッション管理サーバ15を介してファイアウォール装置Aに送信する(ステップ52)。なお、このファイアウォール接続要求は、端末Aとファイアウォール装置A間のデータチャネルを確立するために必要な情報を含む。
次に、具体例2のシーケンスを図11に示す。まず、端末Bが、セッション管理サーバ15を介し、接続要求を含むINVITEメッセージを端末Aに送信する(ステップ51)。次に、端末Aが、ファイアウォール装置Aへの接続要求を含むINVITEメッセージを、セッション管理サーバ15を介してファイアウォール装置Aに送信する(ステップ52)。なお、このファイアウォール接続要求は、端末Aとファイアウォール装置A間のデータチャネルを確立するために必要な情報を含む。
ファイアウォール装置Aは、端末Aからの接続要求を受け入れる場合に、セッション管理サーバ15を介し、接続受入応答を端末Aに送信する(ステップ53)。端末AがACKをファイアウォール装置Aに返すことにより(ステップ54)、端末Aとファイアウォール装置A間でセキュアデータチャネルが確立される。
そして、端末Aはファイアウォール制御命令を上記データチャネルを用いてファイアウォール装置Aに直接送信する(ステップ55)。ファイアウォール装置Aは、端末Aからの当該制御命令を受け入れる場合には、その制御命令に従って設定を行い、制御受入応答を端末Aに返す。制御受入応答を受信した端末Aは、INVITEメッセージ(ステップ51)への応答として、要求受入応答を、セッション管理サーバ15を介して端末Bに送信し(ステップ56)、端末Bは、ACK(通信確立許可)をセッション管理サーバ15を介して端末Aに送信する(ステップ57)。
上記の手順によって、端末Aと端末B間のセキュアデータチャネルが確立される(ステップ58)。
上記のINVITEメッセージ(ステップ51)には、具体例1におけるINVITEメッセージと同様の情報が含まれる。また、ファイアウォール制御命令を構成する情報は、具体例1と同様である。
具体例2の方法によれば、データチャネルを用いて直接に情報をファイアウォール装置Aに送信することが可能なので、任意の形式の制御命令を送ることが可能となり、ファイアウォール装置の仕様に応じた制御命令を柔軟に定めることができる。
(端末の構成、動作)
次に、本発明のファイアウォール装置制御機能を持つ端末20の構成と動作について説明する。図12に、端末20の機能ブロック図を示す。端末20は、ユーザに対してサービスを提供するためのアプリケーション部21(例えばIP電話アプリケーション)と、セキュアシグナリングセッション(セキュアシグナリングチャネルを介したデータの送受信)を実行するためのセキュアシグナリング機能部22と、端末20が属するネットワークのファイアウォール装置(通信相手との通信のために制御が必要となるファイアウォール装置)の名前を格納したファイアウォールデータベース23とを有している。また、セキュアシグナリング機能部22は、ファイアウォール装置に対する通信及び制御を行うためのファイアウォール制御通信部221を有している。アプリケーション部21はAPIを用いてセキュアシグナリング機能部22の機能を利用する。なお、図12のセキュアシグナリング機能部22は、図5に示したSIP機能部、認証モジュール、暗号化モジュールを含んでいる。更に、セキュアシグナリング機能部22は、ファイアウォール装置や通信相手と直接通信を行う場合における、データチャネルを用いた通信を行う機能も有しているものとする。
次に、本発明のファイアウォール装置制御機能を持つ端末20の構成と動作について説明する。図12に、端末20の機能ブロック図を示す。端末20は、ユーザに対してサービスを提供するためのアプリケーション部21(例えばIP電話アプリケーション)と、セキュアシグナリングセッション(セキュアシグナリングチャネルを介したデータの送受信)を実行するためのセキュアシグナリング機能部22と、端末20が属するネットワークのファイアウォール装置(通信相手との通信のために制御が必要となるファイアウォール装置)の名前を格納したファイアウォールデータベース23とを有している。また、セキュアシグナリング機能部22は、ファイアウォール装置に対する通信及び制御を行うためのファイアウォール制御通信部221を有している。アプリケーション部21はAPIを用いてセキュアシグナリング機能部22の機能を利用する。なお、図12のセキュアシグナリング機能部22は、図5に示したSIP機能部、認証モジュール、暗号化モジュールを含んでいる。更に、セキュアシグナリング機能部22は、ファイアウォール装置や通信相手と直接通信を行う場合における、データチャネルを用いた通信を行う機能も有しているものとする。
上記の端末20の各機能部はプログラムにより実現されるものであるが、当該プログラムは本実施の形態で説明した処理手順をコンピュータ等に実行させるプログラムであればよく、図5、12のモジュール構成に限定されるものではない。端末20は、CPU、メモリ、ハードディスク(記憶装置)、ネットワーク通信装置等を含む一般的なPC等のコンピュータ、モバイル機器等であり、当該コンピュータ等に上記プログラムをインストールすることにより本実施の形態の端末の機能を実現することができる。端末20はディジタル家電等でもよい。
次に、図13に示すフローチャートを参照して端末20の動作を説明する。ここで、端末20における処理手順は、実際の通信相手との通信の接続及び切断に係る手順と、通信を確立するために必要なファイアウォール装置制御の手順とに分類できるので、図13では、これらを左右に分けて記載している。また、図13に示す例は、具体例2の場合に相当する。図13のフローチャートに示す手順において、セッション管理サーバ、ファイアウォール装置、及び通信相手との通信はセキュアシグナリング機能部22により実現されるが、ファイアウォール装置の制御には更にファイアウォール制御通信部221が用いられている。
図13のフローチャートにおいて、まず、端末20は、通信相手からの通信要求をセッション管理サーバから受信する(ステップ61)。通信要求を受けた端末20は、ファイアウォールデータベース23から制御の対象となるファイアウォール装置の名前を取得し(ステップ62)、そのファイアウォール装置に対する接続要求をセッション管理サーバに対して送信する(ステップ63)。この接続要求に基づき、端末20とファイアウォール装置間でのチャネルが確立された後、端末20は、通信相手との通信許可を求める制御命令をファイアウォール装置に送信する(ステップ64)。続いて、ファイアウォール装置から制御完了報告を受信する(ステップ65)。この後、端末20とファイアウォール装置とのデータチャネルは切断するものとする。そして、通信相手からの通信要求(ステップ61)を受理したことを示す応答を、セッション管理サーバを介して通信相手に送信する(ステップ66)。これにより、通信相手とセキュアデータチャネルを介して接続され、実際の通信が開始される(ステップ67)。
通信相手との通信が切断されると(ステップ68)、セッション管理サーバを介して、再度ファイアウォール装置へ接続要求を送信する(ステップ69)。ファイアウォール装置との接続が確立した後、今度は、ステップ64において一旦設定した通信相手との通信“許可”設定を、通信“拒否”設定にすることを求める制御命令をファイアウォール装置に対して送信する(ステップ70)。ファイアウォール装置が当該設定を行った後、端末20は制御完了報告をファイアウォール装置から受信し(ステップ71)、処理を終了する(ステップ72)。このように、通信相手との通信が終了した直後にファイアウォール装置の設定を元に戻すことにより、セキュリティの向上を図ることができる。
(ファイアウォール装置の構成、動作)
次に、ファイアウォール装置の構成と動作について説明する。図14に、ファイアウォール装置30の機能ブロック図を示す。ファイアウォール装置30は、ファイアウォール本来の処理を行うためのファイアウォール部31、セキュアシグナリング機能部32、端末からの制御命令を受け入れるか否かの判定を行う際に参照するデータを格納した制御許可拒否データベース34を有している。また、ファイアウォール部31は、セキュアシグナリング機能部32からの制御命令を受信し、命令に基づく処理を実行するためのAPI33を有している。端末の場合と同様に、セキュアシグナリング機能部32は、図5に示したSIP機能部、認証モジュール、暗号化モジュールを含み、セキュアシグナリングチャネル構築、セキュアシグナリングチャネル上でのデータ送受信等の機能を有している。また、セキュアシグナリング機能部32は、端末と直接通信を行う場合における、データチャネルを用いた通信を行う機能も有しているものとする。更に、セキュアシグナリング機能部32は、制御許可拒否データベース34を参照して制御命令を受け入れるか否かの判定を行う機能を有している。
次に、ファイアウォール装置の構成と動作について説明する。図14に、ファイアウォール装置30の機能ブロック図を示す。ファイアウォール装置30は、ファイアウォール本来の処理を行うためのファイアウォール部31、セキュアシグナリング機能部32、端末からの制御命令を受け入れるか否かの判定を行う際に参照するデータを格納した制御許可拒否データベース34を有している。また、ファイアウォール部31は、セキュアシグナリング機能部32からの制御命令を受信し、命令に基づく処理を実行するためのAPI33を有している。端末の場合と同様に、セキュアシグナリング機能部32は、図5に示したSIP機能部、認証モジュール、暗号化モジュールを含み、セキュアシグナリングチャネル構築、セキュアシグナリングチャネル上でのデータ送受信等の機能を有している。また、セキュアシグナリング機能部32は、端末と直接通信を行う場合における、データチャネルを用いた通信を行う機能も有しているものとする。更に、セキュアシグナリング機能部32は、制御許可拒否データベース34を参照して制御命令を受け入れるか否かの判定を行う機能を有している。
上記のファイアウォール装置30の各機能部はプログラムにより実現されるものであるが、当該プログラムは本実施の形態で説明した処理手順をコンピュータ等に実行させるプログラムであればよく、図14、図5のモジュール構成に限定されるものではない。ファイアウォール装置30は、CPU、メモリ、ハードディスク(記憶装置)、ネットワーク通信装置等を含む一般的なコンピュータや通信機器等であり、当該コンピュータ等に上記プログラムをインストールすることにより本実施の形態のファイアウォール装置の機能を実現することができる。
制御許可拒否データベース34の内容例を図15に示す。図15に示す例では、ファイアウォール装置に対して制御命令を送信するユーザ(端末)毎に、そのユーザからの要求を受け入れるか否か(allowまたはdeny)、制御要求のうちどのような内容であれば受け入れるか、を示すデータが格納されている。例えば、命令元のユーザa@aaa.comに対しては、全ての制御命令を許可することを示し、b@aaa.comに対しては、httpに関する制御命令のみを許可することを示し、c@aaa.comに対しては、全ての制御命令を拒否することを示し、d@aaa.comに対しては、httpに関する命令のみを拒否することを示す。また、e@aaa.comに対しては、e@aaa.comが受信するssh通信(tcpポート:22番)であれば、通信相手を問わず許可することを示す。また、特定の通信相手先への通信を拒否もしくは許可する設定も可能である。
次に、図16に示すフローチャートを参照してファイアウォール装置30の動作を説明する。なお、図16に示す例は、具体例2の場合に相当する。
まず、制御を行う端末から、セッション管理サーバを介して接続要求を受信する(ステップ81)。この接続要求に基づき、端末とファイアウォール装置30間でのデータチャネルが確立された後、端末からファイアウォール装置制御命令を受信する(ステップ82)。なお、接続要求を受信した後に、接続要求を送信した端末からの接続を許容するか否かのみの判定を行い、接続を許容しない場合に、その旨の応答を端末に返答するようにしてもよい。
ファイアウォール装置30は、制御許可拒否データベース34を参照し、その制御命令を許可するか否かを判定する(ステップ83)。許可する場合、制御命令に基づく設定を行い(ステップ84)、制御完了報告を制御命令送信元の端末に送信する(ステップ85)。端末間での通信切断後にも、ステップ81〜ステップ85と同様の処理手順が実行される。ただし、端末間での通信切断後は、端末間の通信を拒否する設定を行うことになる。
(セッション管理サーバでの判定等)
さて、ファイアウォール装置が図15のような制御許可拒否データベース34を備え、端末からの制御命令実行可否の判定を行うことに加えて、セッション管理サーバが、その接続ポリシー制御機能を用いて、端末間の接続可否の判定を行ってもよい。
さて、ファイアウォール装置が図15のような制御許可拒否データベース34を備え、端末からの制御命令実行可否の判定を行うことに加えて、セッション管理サーバが、その接続ポリシー制御機能を用いて、端末間の接続可否の判定を行ってもよい。
この場合、セッション制御サーバは、図17に示すようなデータベースを備える。そして、セッション制御サーバは、制御主体の端末から、ファイアウォール装置宛の制御命令(具体例1の場合)もしくは接続要求(具体例2の場合)をセキュアシグナリングチャネルを介して受け取ったときに、図17のデータベースを参照して端末間の接続許可拒否の判定を行う。なお、制御命令及び接続要求は、接続端末と被接続端末の名前を含むものとする。
図17に示す例では、被接続端末a@aaa.comは、接続端末b@aaa.comとc@aaa.comからのアクセスのみを許容することを示し、b@aaa.comは、y@aaa.comとz@aaa.com以外からのアクセスであれば許容することを示している。
セッション管理サーバで接続拒否の判定がなされれば、ファイアウォール装置へ制御命令もしくは接続要求が送られることなく、制御命令もしくは接続要求を送信した端末に、接続拒否を示す応答が返される。セッション管理サーバで接続許可の判定がなされれば、ファイアウォール装置にて、図15のデータベースを参照したより詳細な判定がなされることになる。
また、ファイアウォールが複数のファイアウォール装置から構成されている場合、端末のファイアウォールデータベース23には複数のファイアウォール装置に対応する1つの名前を登録しておき、セッション管理サーバには、その名前に対応する複数のファイアウォール装置の実際の名前を登録しておいてもよい。この場合、その名前を含む制御命令もしくは接続要求を端末からセッション管理サーバに送信したときに、セッション管理サーバは、その名前に対応する複数のファイアウォール装置に制御命令もしくは接続要求を送信することが可能となり、複数のファイアウォール装置への制御を一括して行うことが可能となる。
上述したように本実施の形態で説明したファイアウォール装置制御技術を用いることにより、ファイアウォール装置に対する動的な制御が可能となる。従来であれば、ファイアウォール装置配下にあるユーザAが、ファイアウォール装置配下外のユーザBとの通信を希望する場合、ユーザAがネットワーク管理者等にユーザBとの通信を許可するよう要求し、ネットワーク管理者が当該ファイアウォール装置の設定をするのが一般的であったところ、本ファイアウォール装置制御技術によれば、ユーザAをファイアウォール制御権限有りとして、ファイアウォール装置のデータベースに登録しておきさえすれば、ユーザA及びユーザBが意識することなくファイアウォール装置制御が実行され、ユーザAとユーザB間の通信が可能となる。このように、希望する通信を実行するときだけファイアウォール装置を設定するという動的な制御が可能となる。また、セキュアシグナリングチャネルを確立できる端末及びファイアウォール装置間であれば、それらが互いに離れたネットワークにある場合でも、端末からファイアウォール装置の制御をセキュアに行うことが可能である。
本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
1、2、11、13、20 端末
3、15 セッション管理サーバ
10、12、30 ファイアウォール装置
21 アプリケーション部
22 セキュアシグナリング機能部
23 ファイアウォールデータベース
221 ファイアウォール制御通信部
31 ファイアウォール部
32 セキュアシグナリング機能部
33 API
34 接続許可拒否データベース
3、15 セッション管理サーバ
10、12、30 ファイアウォール装置
21 アプリケーション部
22 セキュアシグナリング機能部
23 ファイアウォールデータベース
221 ファイアウォール制御通信部
31 ファイアウォール部
32 セキュアシグナリング機能部
33 API
34 接続許可拒否データベース
Claims (11)
- 端末装置からの制御命令に基づき通信可否設定を行うファイアウォール装置であって、
端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースと、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手段と、
通信相手装置から送信された接続要求を受信した前記端末装置により送信され、前記セッション管理装置が受信したファイアウォール装置制御命令を、前記セッション管理装置から、前記暗号化通信チャネルを介して受信する受信手段と、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手段と、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行い、制御受入応答を前記端末装置に向けて送信する通信可否設定応答手段と
を有することを特徴とするファイアウォール装置。 - 端末装置からの制御命令に基づき通信可否設定を行うファイアウォール装置であって、
端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースと、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手段と、
前記端末装置から送信された、暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して受信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記端末装置に向けて送信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手段と、
前記端末装置から送信されたファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して受信する受信手段と、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手段と、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行う通信可否設定手段と
を有することを特徴とするファイアウォール装置。 - ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する端末装置であって、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手段と、
前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を含む接続要求を、前記暗号化通信チャネルを介して受信する受信手段と、
前記接続要求に含まれる前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記暗号化通信チャネルを介して前記ファイアウォール装置に向けて送信する制御命令送信手段と、
前記ファイアウォール装置から送信され、前記セッション管理装置により受信された前記ファイアウォール装置制御命令に対する制御受入応答を、前記セッション管理装置から前記暗号化通信チャネルを介して受信した後に、前記接続要求に対する要求受入応答を前記通信相手装置に向けて送信する応答送信手段と、
を有することを特徴とする端末装置。 - ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する端末装置であって、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手段と、
前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を、前記第1の暗号化通信チャネルを介して受信する受信手段と、
暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置に向けて送信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置から受信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手段と、
前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して前記ファイアウォール装置に送信する制御命令送信手段と
を有することを特徴とする端末装置。 - 前記端末装置は、前記通信相手装置との通信のために通信可否設定を必要とするファイアウォール装置の情報を格納したデータベースを有し、
前記制御命令送信手段は、前記データベースを参照することにより検出したファイアウォール装置に対して前記ファイアウォール装置制御命令を送信する請求項3又は4に記載の端末装置。 - ファイアウォール装置が、端末装置からの制御命令に基づき通信可否設定を実行するための方法であって、
前記ファイアウォール装置は、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースを備えており、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立ステップと、
通信相手装置から送信された接続要求を受信した前記端末装置により送信され、前記セッション管理装置が受信したファイアウォール装置制御命令を、前記セッション管理装置から、前記暗号化通信チャネルを介して受信する受信ステップと、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定ステップと、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行い、制御受入応答を前記端末装置に向けて送信する通信可否設定応答ステップと
を有することを特徴とする方法。 - ファイアウォール装置が、端末装置からの制御命令に基づき通信可否設定を実行するための方法であって、
前記ファイアウォール装置は、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースを備えており、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立ステップと、
前記端末装置から送信された、暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して受信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記端末装置に向けて送信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立ステップと、
前記端末装置から送信されたファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して受信する受信ステップと、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定ステップと、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行う通信可否設定ステップと
を有することを特徴とする方法。 - ファイアウォール装置に、端末装置からの制御命令に基づき通信可否設定を行う処理を実行させるプログラムであって、
前記ファイアウォール装置は、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースを備えており、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手順と、
通信相手装置から送信された接続要求を受信した前記端末装置により送信され、前記セッション管理装置が受信したファイアウォール装置制御命令を、前記セッション管理装置から、前記暗号化通信チャネルを介して受信する受信手順と、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手順と、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行い、制御受入応答を前記端末装置に向けて送信する通信可否設定手順と
を前記ファイアウォール装置に実行させるプログラム。 - ファイアウォール機能に、端末装置からの制御命令に基づき通信可否設定を行う処理を実行させるプログラムであって、
前記ファイアウォール装置は、端末装置毎に、ファイアウォール装置制御命令を許可するか否かを示す情報を格納したデータベースを備えており、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手順と、
前記端末装置から送信された、暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して受信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記端末装置に向けて送信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手順と、
前記端末装置から送信されたファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して受信する受信手順と、
前記データベースを参照することにより、前記ファイアウォール装置制御命令を許可するか否かを判定する判定手順と、
前記ファイアウォール装置制御命令を許可する場合に、当該ファイアウォール装置制御命令に基づく通信可否設定を行う通信可否設定手順と
をファイアウォール装置に実行させるプログラム。 - 端末装置に、ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する処理を実行させるプログラムであって、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で暗号化通信チャネルを確立する暗号化通信チャネル確立手順と、
前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を含む接続要求を、前記暗号化通信チャネルを介して受信する受信手順と、
前記接続要求に含まれる前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記暗号化通信チャネルを介して前記ファイアウォール装置に向けて送信する制御命令送信手順と、
前記ファイアウォール装置から送信され、前記セッション管理装置により受信された前記ファイアウォール装置制御命令に対する制御受入応答を、前記セッション管理装置から前記暗号化通信チャネルを介して受信した後に、前記接続要求に対する要求受入応答を前記通信相手装置に向けて送信する応答送信手順と
を前記端末装置に実行させるプログラム。 - 端末装置に、ファイアウォール装置に通信可否設定を実行させるための制御命令を送信する処理を実行させるプログラムであって、
シグナリング情報を中継する機能を持つセッション管理装置との間で暗号化通信のための鍵情報を交換し、相互認証を行うことにより、前記セッション管理装置との間で第1の暗号化通信チャネルを確立する第1の暗号化通信チャネル確立手順と、
前記端末装置の通信相手装置から送信された当該通信相手装置のネットワーク情報を、前記第1の暗号化通信チャネルを介して受信する受信手順と、
暗号化通信のための鍵情報を含む接続要求メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置に送信し、暗号化通信のための鍵情報を含む応答メッセージを、前記第1の暗号化通信チャネルを介して前記ファイアウォール装置から受信することにより、前記ファイアウォール装置と前記端末装置間で第2の暗号化通信チャネルを確立する第2の暗号化通信チャネル確立手順と、
前記ネットワーク情報に基づくファイアウォール装置制御命令を、前記第2の暗号化通信チャネルを介して前記ファイアウォール装置に送信する制御命令送信手順と
を端末装置に実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004235587A JP4619059B2 (ja) | 2004-08-12 | 2004-08-12 | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004235587A JP4619059B2 (ja) | 2004-08-12 | 2004-08-12 | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006053799A JP2006053799A (ja) | 2006-02-23 |
| JP4619059B2 true JP4619059B2 (ja) | 2011-01-26 |
Family
ID=36031234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004235587A Expired - Lifetime JP4619059B2 (ja) | 2004-08-12 | 2004-08-12 | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4619059B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5325286B2 (ja) * | 2008-05-13 | 2013-10-23 | サイアンディア インコーポレイテッド | 複数種類のコンピューティングデバイス間で複数の情報形態に対話する装置および方法 |
| US9485217B2 (en) * | 2012-08-02 | 2016-11-01 | Deutsche Telekom Ag | Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product |
| DE102014015443B4 (de) * | 2014-10-21 | 2016-05-04 | Unify Gmbh & Co. Kg | Telekommunikationsanordnung und Verfahren zum Traversieren einer Application-Layer-Gateway-Firewall beim Aufbau einer RTC-Kommunikationsverbindung zwischen einem RTC-Client und einem RTC-Server |
| CN107006052B (zh) * | 2014-11-27 | 2021-03-30 | 皇家Kpn公司 | 用于连接建立的方法、存储介质、节点、设备和系统 |
| JP2016167293A (ja) * | 2016-04-26 | 2016-09-15 | 船井電機株式会社 | 通信方法、及び情報装置 |
| JP7203297B2 (ja) * | 2017-09-27 | 2023-01-13 | 有限会社シモウサ・システムズ | エンドツーエンド暗号化通信システム |
| KR102463051B1 (ko) * | 2021-11-23 | 2022-11-03 | 펜타시큐리티시스템 주식회사 | 선박 네트워크 접근제어 방법 및 장치 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005333256A (ja) * | 2004-05-18 | 2005-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 転送系制御システムおよび方法ならびに転送系制御用プログラム |
-
2004
- 2004-08-12 JP JP2004235587A patent/JP4619059B2/ja not_active Expired - Lifetime
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005333256A (ja) * | 2004-05-18 | 2005-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 転送系制御システムおよび方法ならびに転送系制御用プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006053799A (ja) | 2006-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8515066B2 (en) | Method, apparatus and program for establishing encrypted communication channel between apparatuses | |
| US7890759B2 (en) | Connection assistance apparatus and gateway apparatus | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| RU2439692C2 (ru) | Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам | |
| JP4362132B2 (ja) | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 | |
| JP4750761B2 (ja) | 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置 | |
| KR101093902B1 (ko) | 사용자가 ip 망에 접속시 로컬 관리 도메인에서 사용자를 위한 접속 인증을 관리하는 방법 및 시스템 | |
| RU2554532C2 (ru) | Способ и устройство для безопасной передачи данных | |
| JP4130809B2 (ja) | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム | |
| US20070255784A1 (en) | Communication System for Use in Communication Between Communication Equipment by Using Ip Protocol | |
| CN107147611B (zh) | 传输层安全tls建链的方法、用户设备、服务器和系统 | |
| RU2002131451A (ru) | Управление защищенной линией связи в динамических сетях | |
| KR20090067155A (ko) | 보안 연결 확립 방법, 보안 핸드쉐이크 서비스 확립 방법 및 컴퓨터 판독가능 매체 | |
| JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
| US20080267395A1 (en) | Apparatus and method for encrypted communication processing | |
| JP4870427B2 (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| JP4619059B2 (ja) | 端末装置、ファイアウォール装置、及びファイアウォール装置制御のための方法、並びにプログラム | |
| JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
| JP4472566B2 (ja) | 通信システム、及び呼制御方法 | |
| US20090144436A1 (en) | Reverse network authentication for nonstandard threat profiles | |
| JP4025734B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
| JP4555311B2 (ja) | トンネル通信システム、制御装置およびトンネル通信装置 | |
| JP2004524601A (ja) | データネットワークに基づくシステム | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070726 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100223 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100426 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101026 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101026 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131105 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4619059 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |