JPH0738599A - Lan間接続装置 - Google Patents
Lan間接続装置Info
- Publication number
- JPH0738599A JPH0738599A JP5179404A JP17940493A JPH0738599A JP H0738599 A JPH0738599 A JP H0738599A JP 5179404 A JP5179404 A JP 5179404A JP 17940493 A JP17940493 A JP 17940493A JP H0738599 A JPH0738599 A JP H0738599A
- Authority
- JP
- Japan
- Prior art keywords
- lan
- layer
- connection request
- terminal device
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Multi Processors (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【目的】 本発明はセキュリティレベルが異なるLAN
間を接続するとき、低セキュリティレベル側のLANか
ら高セキュリティレベル側のLANに対する不正なデー
タアクセスを防止する。 【構成】 セキュリティレベルが高い第2LAN6を構
成する各端末装置5からセキュリティレベルが低い第1
LAN3を構成する各端末装置2に対するデータアクセ
スがあったとき、LAN間接続装置7のトランスポート
層23によってこれを検出してこれらの各端末装置2、
5間のデータアクセスをサポートし、逆に前記各端末装
置2から前記各端末装置5に対するデータアクセスがあ
ったとき、LAN間接続装置7のトランスポート層23
によってこれを検出してこれらの各端末装置2、5間の
データアクセスを禁止する。
間を接続するとき、低セキュリティレベル側のLANか
ら高セキュリティレベル側のLANに対する不正なデー
タアクセスを防止する。 【構成】 セキュリティレベルが高い第2LAN6を構
成する各端末装置5からセキュリティレベルが低い第1
LAN3を構成する各端末装置2に対するデータアクセ
スがあったとき、LAN間接続装置7のトランスポート
層23によってこれを検出してこれらの各端末装置2、
5間のデータアクセスをサポートし、逆に前記各端末装
置2から前記各端末装置5に対するデータアクセスがあ
ったとき、LAN間接続装置7のトランスポート層23
によってこれを検出してこれらの各端末装置2、5間の
データアクセスを禁止する。
Description
【0001】
【産業上の利用分野】本発明は複数のLANを接続して
情報処理ネットワークシステムを構築するとき使用され
るLAN間接続装置に関する。
情報処理ネットワークシステムを構築するとき使用され
るLAN間接続装置に関する。
【0002】
【従来の技術】LAN間接続装置を使用して複数のLA
Nを相互に接続した情報処理ネットワークシステムとし
て、従来、図5に示すシステムが知られている。
Nを相互に接続した情報処理ネットワークシステムとし
て、従来、図5に示すシステムが知られている。
【0003】この図に示す情報処理ネットワークシステ
ムは1つのケーブル101およびこのケーブル101に
接続される複数の端末装置102によって構成される第
1LAN103と、1つのケーブル104およびこのケ
ーブル104に接続される複数の端末装置105によっ
て構成される第2LAN106と、これら第1、第2L
AN103、106を相互に接続するLAN間接続装置
107とを備えており、第1、第2LAN103、10
6に接続されている各端末装置102、105間でデー
タの授受を行なって各種のデータ処理を行なう。
ムは1つのケーブル101およびこのケーブル101に
接続される複数の端末装置102によって構成される第
1LAN103と、1つのケーブル104およびこのケ
ーブル104に接続される複数の端末装置105によっ
て構成される第2LAN106と、これら第1、第2L
AN103、106を相互に接続するLAN間接続装置
107とを備えており、第1、第2LAN103、10
6に接続されている各端末装置102、105間でデー
タの授受を行なって各種のデータ処理を行なう。
【0004】前記第1、第2LAN103、106は各
々、図6に示す如くOSI規格によって物理層110、
データリンク層111、ネットワーク層112、トラン
スポート層113、セション層114、プレゼンテーシ
ョン層115、応用層116の7層によって構成されて
おり、このOSI規格によって異機種のコンピュータ動
作を自由に、かつ相互に接続し得るようにされている。
々、図6に示す如くOSI規格によって物理層110、
データリンク層111、ネットワーク層112、トラン
スポート層113、セション層114、プレゼンテーシ
ョン層115、応用層116の7層によって構成されて
おり、このOSI規格によって異機種のコンピュータ動
作を自由に、かつ相互に接続し得るようにされている。
【0005】また、LAN間接続装置107は物理層1
20、データリンク層121、ネットワーク層122の
3層によって構成されており、これらの物理層120〜
ネットワーク層122によって第1LAN103の各端
末装置102と、第2LAN106の各端末装置105
とのデータ通信を相互にサポートする。
20、データリンク層121、ネットワーク層122の
3層によって構成されており、これらの物理層120〜
ネットワーク層122によって第1LAN103の各端
末装置102と、第2LAN106の各端末装置105
とのデータ通信を相互にサポートする。
【0006】そして、第1LAN103を構成する端末
装置102の1つから第2LAN106を構成する端末
装置105に対して接続要求を出したとき、図7に示す
如くLAN間接続装置107によってこれを取り込んで
接続要求を出した端末装置102と、接続先として指定
された端末装置105との間のコネクションを確立して
データ通信を行なわせる。
装置102の1つから第2LAN106を構成する端末
装置105に対して接続要求を出したとき、図7に示す
如くLAN間接続装置107によってこれを取り込んで
接続要求を出した端末装置102と、接続先として指定
された端末装置105との間のコネクションを確立して
データ通信を行なわせる。
【0007】同様に、第2LAN106を構成する端末
装置105の1つから第1LAN103を構成する端末
装置102に対して接続要求を出したとき、LAN間接
続装置107によってこれを取り込んで接続要求を出し
た端末装置105と、接続先として指定された端末装置
102との間のコネクションを確立してデータ通信を行
なわせる。
装置105の1つから第1LAN103を構成する端末
装置102に対して接続要求を出したとき、LAN間接
続装置107によってこれを取り込んで接続要求を出し
た端末装置105と、接続先として指定された端末装置
102との間のコネクションを確立してデータ通信を行
なわせる。
【0008】これによって、第1、第2LAN103、
106の各端末装置102、105によって第1、第2
LAN103、106を構成する他の各端末装置10
2、105内のデータを参照したり、より大規模なデー
タ処理を可能にしたりしている。
106の各端末装置102、105によって第1、第2
LAN103、106を構成する他の各端末装置10
2、105内のデータを参照したり、より大規模なデー
タ処理を可能にしたりしている。
【0009】
【発明が解決しようとする課題】しかしながら、上述し
た従来のLAN間接続装置107を使用した情報処理ネ
ットワークシステムにおいては、次に述べるような問題
があった。
た従来のLAN間接続装置107を使用した情報処理ネ
ットワークシステムにおいては、次に述べるような問題
があった。
【0010】すなわち、第1LAN103または第2L
AN106の各セキュリティレベルを異なった値にして
いる場合、例えば第1LAN103のセキュリティレベ
ルを低くし、第2LAN106のセキュリティレベルを
高くしているとき、第2LAN106自体のセキュリテ
ィレベルを高くし、この第2LAN106を構成する各
端末装置105間のデータ通信を制限していても、第1
LAN103を構成する各端末装置102によって第2
LAN106を構成する各端末装置105内のデータが
取り込まれて第2LAN106のセキュリティが破られ
てしまうという保管管理上の問題があった。
AN106の各セキュリティレベルを異なった値にして
いる場合、例えば第1LAN103のセキュリティレベ
ルを低くし、第2LAN106のセキュリティレベルを
高くしているとき、第2LAN106自体のセキュリテ
ィレベルを高くし、この第2LAN106を構成する各
端末装置105間のデータ通信を制限していても、第1
LAN103を構成する各端末装置102によって第2
LAN106を構成する各端末装置105内のデータが
取り込まれて第2LAN106のセキュリティが破られ
てしまうという保管管理上の問題があった。
【0011】そこで、このような問題を解決する方法と
して、LAN間接続装置107によって送信元アドレス
と、宛先アドレスとを確認して第1LAN103と第2
LAN106との間のデータ中継を制限する方法も試み
られているが、このような方法では、アドレスが不正に
改ざんされたとき、セキュリティが破られてしまうとい
う問題があり、決定的な解決には至っていないのが現状
である。
して、LAN間接続装置107によって送信元アドレス
と、宛先アドレスとを確認して第1LAN103と第2
LAN106との間のデータ中継を制限する方法も試み
られているが、このような方法では、アドレスが不正に
改ざんされたとき、セキュリティが破られてしまうとい
う問題があり、決定的な解決には至っていないのが現状
である。
【0012】本発明は上記の事情に鑑み、セキュリティ
レベルが異なるLAN間を接続するとき、セキュリティ
レベルが低い方のLANからセキュリティレベルが高い
方のLANに対する不正なデータアクセスを防止し、こ
れによってセキュリティレベルが高く設定されているL
ANのデータが外部に漏れないようにすることができる
LAN間接続装置を提供することを目的としている。
レベルが異なるLAN間を接続するとき、セキュリティ
レベルが低い方のLANからセキュリティレベルが高い
方のLANに対する不正なデータアクセスを防止し、こ
れによってセキュリティレベルが高く設定されているL
ANのデータが外部に漏れないようにすることができる
LAN間接続装置を提供することを目的としている。
【0013】
【課題を解決するための手段】上記の目的を達成するた
めに本発明は、OSI規格によって指定された複数の層
を有し、セキュリティが高く設定された高セキュリティ
LANと、OSI規格によって指定された複数の層を有
し、セキュリティが低く設定された低セキュリティLA
Nとを接続するLAN間接続装置において、処理層とし
てOSI規格の物理層、データリンク層、ネットワーク
層、トランスポート層を備え、低セキュリティLANを
構成する端末装置の1つから高セキュリティLANを構
成する端末装置に対して接続要求が出されたとき、前記
トランスポート層によってこれを取り込んで接続要求の
TCPフォーマットおよびこのTCPフォーマット中の
確立要求フラグの有無を確認し、接続要求を出した端末
装置と、接続先として指定された端末装置との間のコネ
クションを禁止し、高セキュリティLANを構成する端
末装置の1つから低セキュリティLANを構成する端末
装置に対して接続要求が出されたとき、前記トランスポ
ート層によってこれを取り込んで接続要求のTCPフォ
ーマットおよびこのTCPフォーマット中の確立要求フ
ラグの有無を確認し、正しい接続要求であれば、接続要
求を出した端末装置と、接続先として指定された端末装
置との間のコネクションを確立してデータ通信を行なわ
せることを特徴としている。
めに本発明は、OSI規格によって指定された複数の層
を有し、セキュリティが高く設定された高セキュリティ
LANと、OSI規格によって指定された複数の層を有
し、セキュリティが低く設定された低セキュリティLA
Nとを接続するLAN間接続装置において、処理層とし
てOSI規格の物理層、データリンク層、ネットワーク
層、トランスポート層を備え、低セキュリティLANを
構成する端末装置の1つから高セキュリティLANを構
成する端末装置に対して接続要求が出されたとき、前記
トランスポート層によってこれを取り込んで接続要求の
TCPフォーマットおよびこのTCPフォーマット中の
確立要求フラグの有無を確認し、接続要求を出した端末
装置と、接続先として指定された端末装置との間のコネ
クションを禁止し、高セキュリティLANを構成する端
末装置の1つから低セキュリティLANを構成する端末
装置に対して接続要求が出されたとき、前記トランスポ
ート層によってこれを取り込んで接続要求のTCPフォ
ーマットおよびこのTCPフォーマット中の確立要求フ
ラグの有無を確認し、正しい接続要求であれば、接続要
求を出した端末装置と、接続先として指定された端末装
置との間のコネクションを確立してデータ通信を行なわ
せることを特徴としている。
【0014】
【作用】上記の構成において、処理層としてOSI規格
の物理層、データリンク層、ネットワーク層、トランス
ポート層を備え、低セキュリティLANを構成する端末
装置の1つから高セキュリティLANを構成する端末装
置に対して接続要求が出されたとき、前記トランスポー
ト層によってこれを取り込んで接続要求のTCPフォー
マットおよびこのTCPフォーマット中の確立要求フラ
グの有無を確認し、接続要求を出した端末装置と、接続
先として指定された端末装置との間のコネクションを禁
止し、高セキュリティLANを構成する端末装置の1つ
から低セキュリティLANを構成する端末装置に対して
接続要求が出されたとき、前記トランスポート層によっ
てこれを取り込んで接続要求のTCPフォーマットおよ
びこのTCPフォーマット中の確立要求フラグの有無を
確認し、正しい接続要求であれば、接続要求を出した端
末装置と、接続先として指定された端末装置との間のコ
ネクションを確立してデータ通信を行なわせることによ
り、セキュリティレベルが異なるLAN間を接続すると
き、セキュリティレベルが低い方のLANからセキュリ
ティレベルが高い方のLANに対する不正なデータアク
セスを防止し、これによってセキュリティレベルが高く
設定されているLANのデータが外部に漏れないように
する。
の物理層、データリンク層、ネットワーク層、トランス
ポート層を備え、低セキュリティLANを構成する端末
装置の1つから高セキュリティLANを構成する端末装
置に対して接続要求が出されたとき、前記トランスポー
ト層によってこれを取り込んで接続要求のTCPフォー
マットおよびこのTCPフォーマット中の確立要求フラ
グの有無を確認し、接続要求を出した端末装置と、接続
先として指定された端末装置との間のコネクションを禁
止し、高セキュリティLANを構成する端末装置の1つ
から低セキュリティLANを構成する端末装置に対して
接続要求が出されたとき、前記トランスポート層によっ
てこれを取り込んで接続要求のTCPフォーマットおよ
びこのTCPフォーマット中の確立要求フラグの有無を
確認し、正しい接続要求であれば、接続要求を出した端
末装置と、接続先として指定された端末装置との間のコ
ネクションを確立してデータ通信を行なわせることによ
り、セキュリティレベルが異なるLAN間を接続すると
き、セキュリティレベルが低い方のLANからセキュリ
ティレベルが高い方のLANに対する不正なデータアク
セスを防止し、これによってセキュリティレベルが高く
設定されているLANのデータが外部に漏れないように
する。
【0015】
【実施例】図1は本発明によるLAN間接続装置の一実
施例を使用した情報処理ネットワークシステムの一例を
示すブロック図である。
施例を使用した情報処理ネットワークシステムの一例を
示すブロック図である。
【0016】この図に示す情報処理ネットワークシステ
ムは1つのケーブル1およびこのケーブル1に接続され
る複数の端末装置2によって構成され、セキュリティレ
ベルが低く設定される第1LAN3と、1つのケーブル
4およびこのケーブル4に接続される複数の端末装置5
によって構成され、セキュリティレベルが高く設定され
る第2LAN6と、これら第1、第2LAN3、6を相
互に接続するLAN間接続装置7とを備えており、第1
LAN3を構成する端末装置2間でデータの授受を行な
って各種のデータ処理を行なうとともに、第2LAN6
を構成する端末装置5間でデータの授受を行なって各種
のデータ処理を行ない、さらに第2LAN6を構成する
各端末装置5から第1LAN3を構成する各端末装置2
に対するデータアクセスをサポートし、逆に第1LAN
3を構成する各端末装置2から第2LAN6を構成する
各端末装置5に対するデータアクセスを禁止する。
ムは1つのケーブル1およびこのケーブル1に接続され
る複数の端末装置2によって構成され、セキュリティレ
ベルが低く設定される第1LAN3と、1つのケーブル
4およびこのケーブル4に接続される複数の端末装置5
によって構成され、セキュリティレベルが高く設定され
る第2LAN6と、これら第1、第2LAN3、6を相
互に接続するLAN間接続装置7とを備えており、第1
LAN3を構成する端末装置2間でデータの授受を行な
って各種のデータ処理を行なうとともに、第2LAN6
を構成する端末装置5間でデータの授受を行なって各種
のデータ処理を行ない、さらに第2LAN6を構成する
各端末装置5から第1LAN3を構成する各端末装置2
に対するデータアクセスをサポートし、逆に第1LAN
3を構成する各端末装置2から第2LAN6を構成する
各端末装置5に対するデータアクセスを禁止する。
【0017】前記第1、第2LAN3、6は各々、図2
に示す如くOSI規格によって物理層10、データリン
ク層11、ネットワーク層12、トランスポート層1
3、セション層14、プレゼンテーション層15、応用
層16の7層によって構成されており、このOSI規格
によって異機種のコンピュータ動作を自由に、かつ相互
に接続し得るようにされている。
に示す如くOSI規格によって物理層10、データリン
ク層11、ネットワーク層12、トランスポート層1
3、セション層14、プレゼンテーション層15、応用
層16の7層によって構成されており、このOSI規格
によって異機種のコンピュータ動作を自由に、かつ相互
に接続し得るようにされている。
【0018】また、LAN間接続装置7は物理層20、
データリンク層21、ネットワーク層(IP層)22、
トランスポート層(TCP層)23の4層によって構成
されており、これらの物理層20〜トランスポート層2
3によって第2LAN6の各端末装置5から第1LAN
3の各端末装置2に対するデータアクセスをサポートし
ている。
データリンク層21、ネットワーク層(IP層)22、
トランスポート層(TCP層)23の4層によって構成
されており、これらの物理層20〜トランスポート層2
3によって第2LAN6の各端末装置5から第1LAN
3の各端末装置2に対するデータアクセスをサポートし
ている。
【0019】この場合、図3に示す如くこれら第1、第
2LAN3、6およびLAN間接続装置7を構成する各
物理層10、20はOSI参照モデルの第1層を構成す
る層であり、同軸ケーブルや光ファイバ、通信衛星の採
用、アナログ伝送方式に加え、デジタル伝送の導入など
により、データの伝送路、すなわち通信媒体の多様化が
進んでいることから、この多様な通信媒体の制御機能を
物理層として分離して、通信媒体の選択の自由度を増す
ために設けられている。
2LAN3、6およびLAN間接続装置7を構成する各
物理層10、20はOSI参照モデルの第1層を構成す
る層であり、同軸ケーブルや光ファイバ、通信衛星の採
用、アナログ伝送方式に加え、デジタル伝送の導入など
により、データの伝送路、すなわち通信媒体の多様化が
進んでいることから、この多様な通信媒体の制御機能を
物理層として分離して、通信媒体の選択の自由度を増す
ために設けられている。
【0020】また、データリンク層11、21はOSI
参照モデルの第2層にあたる層であり、1本の通信媒体
上で単位データを転送する際、通信媒体の誤り品質や形
状(直通、分岐、ルーブなど)などに対して特別の制御
技術が必要になることから、今後、光ファイバや通信衛
星の普及に対応して、従来のデータリンク制御手順(H
DLCやベーシック手順など)に代わり、特有の最適な
データリンク制御手順が開発される可能性があり、通信
媒体の制御(物理層)とその上のデータリンク転送制御
を別々の機能層としておくことが適切であることから設
けられている。
参照モデルの第2層にあたる層であり、1本の通信媒体
上で単位データを転送する際、通信媒体の誤り品質や形
状(直通、分岐、ルーブなど)などに対して特別の制御
技術が必要になることから、今後、光ファイバや通信衛
星の普及に対応して、従来のデータリンク制御手順(H
DLCやベーシック手順など)に代わり、特有の最適な
データリンク制御手順が開発される可能性があり、通信
媒体の制御(物理層)とその上のデータリンク転送制御
を別々の機能層としておくことが適切であることから設
けられている。
【0021】また、ネットワーク層12、22はOSI
参照モデルの第3層にあたる層であり、一般に大規模で
複雑な構成のコンピュータネットワークにおいては、通
信の終端として動作する開放型システム(すなわち、応
用プロセスが存在する開放型システム)間には、並列あ
るいは直列に使用されている通信回線網や、通信の中継
の役割を果たす開放型システムが存在し、またある開放
型システムが終端開放型システムとしても、中間開放型
システムとしても動作する場合があることから、このと
き必要となるデータ転送中継の機能を、直結された開放
型システム間データを転送する機能(データリンク層)
と独立させ、その上位に位置づけておくのが適切である
ことから設けられている。
参照モデルの第3層にあたる層であり、一般に大規模で
複雑な構成のコンピュータネットワークにおいては、通
信の終端として動作する開放型システム(すなわち、応
用プロセスが存在する開放型システム)間には、並列あ
るいは直列に使用されている通信回線網や、通信の中継
の役割を果たす開放型システムが存在し、またある開放
型システムが終端開放型システムとしても、中間開放型
システムとしても動作する場合があることから、このと
き必要となるデータ転送中継の機能を、直結された開放
型システム間データを転送する機能(データリンク層)
と独立させ、その上位に位置づけておくのが適切である
ことから設けられている。
【0022】また、トランスポート層13、23はOS
I参照モデルの第4層にあたる層であり、ネットワーク
層12、22によって構成の複雑なコンピュータネット
ワークにおいても、終端開放型システムでも、そのネッ
トワークを意識することなく通信を行うことが可能であ
るものの、通信回線網によっては、転送誤り率やスルー
プットなどサービス品質にばらつきがあるため、そのま
までは適用業務が必要とする品質のサービスを提供でき
ないことがあることから、これを補完し、かつ種々の通
信網を利用して開放型システム間接続を可能にするため
には、ネットワーク層12、22の上位に終端開放型シ
ステム間でのデータ転送制御を実現する機能層が必要に
なることから設けられている。
I参照モデルの第4層にあたる層であり、ネットワーク
層12、22によって構成の複雑なコンピュータネット
ワークにおいても、終端開放型システムでも、そのネッ
トワークを意識することなく通信を行うことが可能であ
るものの、通信回線網によっては、転送誤り率やスルー
プットなどサービス品質にばらつきがあるため、そのま
までは適用業務が必要とする品質のサービスを提供でき
ないことがあることから、これを補完し、かつ種々の通
信網を利用して開放型システム間接続を可能にするため
には、ネットワーク層12、22の上位に終端開放型シ
ステム間でのデータ転送制御を実現する機能層が必要に
なることから設けられている。
【0023】また、セション層14はOSI参照モデル
の第5層にあたる層であり、トランスポート層13以下
の機能によって開放型システム間の効率の良いデータ転
送が可能であるものの、応用プロセスが意味のある通信
を行うためにはさらに、応用プロセス間で合意された一
定のルールに従って秩序正しくデータを送受信する機
構、すなわちトランスポート層13の上位に、業務の目
的に合わせて応用プロセス間で種々の形態の対話を可能
する機能が必要になることから設けられている。
の第5層にあたる層であり、トランスポート層13以下
の機能によって開放型システム間の効率の良いデータ転
送が可能であるものの、応用プロセスが意味のある通信
を行うためにはさらに、応用プロセス間で合意された一
定のルールに従って秩序正しくデータを送受信する機
構、すなわちトランスポート層13の上位に、業務の目
的に合わせて応用プロセス間で種々の形態の対話を可能
する機能が必要になることから設けられている。
【0024】また、プレゼンテーション層15はOSI
参照モデルの第6層にあたる層であり、セション層14
を利用すれば応用プロセス間でのデータの送受信は可能
になるものの、応用プロセスがそのデータを正しく処理
するためには、データの表現形式(符号・キャラクタセ
ット、データ圧縮、暗号など)に対する解釈の相違が発
生しないようにする必要、すなわちセション層14の上
位の機能層として、データの表現形式の折衝・識別・解
釈などを行い、必要に応じて表現形式の変換も行う機構
を設定しておく必要があることから、このデータ表現形
式制御の機能として、データの意味内容を扱う機能と切
り離しておくのが適当であり、これによってデータの意
味内容を変更することなく、適切な表現形式を採択して
データを送受信することが可能になることから設けられ
ている。
参照モデルの第6層にあたる層であり、セション層14
を利用すれば応用プロセス間でのデータの送受信は可能
になるものの、応用プロセスがそのデータを正しく処理
するためには、データの表現形式(符号・キャラクタセ
ット、データ圧縮、暗号など)に対する解釈の相違が発
生しないようにする必要、すなわちセション層14の上
位の機能層として、データの表現形式の折衝・識別・解
釈などを行い、必要に応じて表現形式の変換も行う機構
を設定しておく必要があることから、このデータ表現形
式制御の機能として、データの意味内容を扱う機能と切
り離しておくのが適当であり、これによってデータの意
味内容を変更することなく、適切な表現形式を採択して
データを送受信することが可能になることから設けられ
ている。
【0025】また、応用層16はOSI参照モデルの第
7層にあたる層であり、応用プロセス間で送受信される
データの意味内容に対応した通信処理機能を行うのみな
らず、通常の適用業務では、資源利用機能(例えばファ
イル転送・アクセス、データベースアクセス、仮想端末
アクセス、メールボックスアクセスなど)と、コンピュ
ータネットワークの運転制御に必要なネットワーク管理
機能(開放型システムや物理媒体などに対する障害管
理、構成管理など)とを必要とすることから、応用プロ
セスの処理内容に対応した通信処理機能として、データ
の意味内容にかかわらないプレゼンテーション層15以
下の層に対し、別の機能層として設定しておく必要があ
ることから設けられている。
7層にあたる層であり、応用プロセス間で送受信される
データの意味内容に対応した通信処理機能を行うのみな
らず、通常の適用業務では、資源利用機能(例えばファ
イル転送・アクセス、データベースアクセス、仮想端末
アクセス、メールボックスアクセスなど)と、コンピュ
ータネットワークの運転制御に必要なネットワーク管理
機能(開放型システムや物理媒体などに対する障害管
理、構成管理など)とを必要とすることから、応用プロ
セスの処理内容に対応した通信処理機能として、データ
の意味内容にかかわらないプレゼンテーション層15以
下の層に対し、別の機能層として設定しておく必要があ
ることから設けられている。
【0026】そして、セキュリティレベルが低い第1L
AN3を構成する端末装置2の1つからセキュリティレ
ベルが高い第2LAN6を構成する端末装置5に対して
接続要求を出したとき、図4に示す如くLAN間接続装
置7のトランスポート層23によってこれを取り込んで
接続要求のTCPフォーマットおよびこのTCPフォー
マット中の確立要求フラグの有無を確認するとともに、
この確認結果に関わらず接続要求を出した端末装置2
と、接続先として指定された端末装置5との間のコネク
ションを禁止する。
AN3を構成する端末装置2の1つからセキュリティレ
ベルが高い第2LAN6を構成する端末装置5に対して
接続要求を出したとき、図4に示す如くLAN間接続装
置7のトランスポート層23によってこれを取り込んで
接続要求のTCPフォーマットおよびこのTCPフォー
マット中の確立要求フラグの有無を確認するとともに、
この確認結果に関わらず接続要求を出した端末装置2
と、接続先として指定された端末装置5との間のコネク
ションを禁止する。
【0027】逆に、セキュリティレベルが高い第2LA
N6を構成する端末装置5の1つからセキュリティレベ
ルが低い第1LAN3を構成する端末装置2に対して接
続要求を出したとき、LAN間接続装置7のトランスポ
ート層23によってこれを取り込んで接続要求のTCP
フォーマットおよびこのTCPフォーマット中の確立要
求フラグの有無を確認し、正しい接続要求であれば、接
続要求を出した端末装置5と、接続先として指定された
端末装置2との間のコネクションを確立してデータ通信
を行なわせる。
N6を構成する端末装置5の1つからセキュリティレベ
ルが低い第1LAN3を構成する端末装置2に対して接
続要求を出したとき、LAN間接続装置7のトランスポ
ート層23によってこれを取り込んで接続要求のTCP
フォーマットおよびこのTCPフォーマット中の確立要
求フラグの有無を確認し、正しい接続要求であれば、接
続要求を出した端末装置5と、接続先として指定された
端末装置2との間のコネクションを確立してデータ通信
を行なわせる。
【0028】これによって、第2LAN6の各端末装置
5によって第1LAN3を構成する他の各端末装置2内
のデータを参照したり、より大規模なデータ処理を可能
にしたりする。
5によって第1LAN3を構成する他の各端末装置2内
のデータを参照したり、より大規模なデータ処理を可能
にしたりする。
【0029】このようにこの実施例においては、セキュ
リティレベルが高い第2LAN6を構成する各端末装置
5からセキュリティレベルが低い第1LAN3を構成す
る各端末装置2に対するデータアクセスがあったとき、
LAN間接続装置7のトランスポート層23によってこ
れを検出してこれらの各端末装置2、5間のデータアク
セスをサポートし、逆にセキュリティレベルが低い第1
LAN3を構成する各端末装置2からセキュリティレベ
ルが高い第2LAN6を構成する各端末装置5に対する
データアクセスがあったとき、LAN間接続装置7のト
ランスポート層23によってこれを検出してこれらの各
端末装置2、5間のデータアクセスを禁止するようにし
たので、セキュリティレベルが異なるLAN間を接続す
るとき、セキュリティレベルが低い方のLANからセキ
ュリティレベルが高い方のLANに対する不正なデータ
アクセスを防止し、これによってセキュリティレベルが
高く設定されているLANのデータが外部に漏れないよ
うにすることができる。
リティレベルが高い第2LAN6を構成する各端末装置
5からセキュリティレベルが低い第1LAN3を構成す
る各端末装置2に対するデータアクセスがあったとき、
LAN間接続装置7のトランスポート層23によってこ
れを検出してこれらの各端末装置2、5間のデータアク
セスをサポートし、逆にセキュリティレベルが低い第1
LAN3を構成する各端末装置2からセキュリティレベ
ルが高い第2LAN6を構成する各端末装置5に対する
データアクセスがあったとき、LAN間接続装置7のト
ランスポート層23によってこれを検出してこれらの各
端末装置2、5間のデータアクセスを禁止するようにし
たので、セキュリティレベルが異なるLAN間を接続す
るとき、セキュリティレベルが低い方のLANからセキ
ュリティレベルが高い方のLANに対する不正なデータ
アクセスを防止し、これによってセキュリティレベルが
高く設定されているLANのデータが外部に漏れないよ
うにすることができる。
【0030】
【発明の効果】以上説明したように本発明によれば、セ
キュリティレベルが異なるLAN間を接続するとき、セ
キュリティレベルが低い方のLANからセキュリティレ
ベルが高い方のLANに対する不正なデータアクセスを
防止し、これによってセキュリティレベルが高く設定さ
れているLANのデータが外部に漏れないようにするこ
とができる。
キュリティレベルが異なるLAN間を接続するとき、セ
キュリティレベルが低い方のLANからセキュリティレ
ベルが高い方のLANに対する不正なデータアクセスを
防止し、これによってセキュリティレベルが高く設定さ
れているLANのデータが外部に漏れないようにするこ
とができる。
【図1】本発明によるLAN間接続装置の一実施例を使
用した情報処理ネットワークシステムの一例を示すブロ
ック図である。
用した情報処理ネットワークシステムの一例を示すブロ
ック図である。
【図2】図1に示す第1、第2LANおよびLAN間接
続装置の構成例を示す模式図である。
続装置の構成例を示す模式図である。
【図3】図1に示す第1、第2LANおよびLAN間接
続装置の各層を説明するための模式図である。
続装置の各層を説明するための模式図である。
【図4】図1に示す情報処理ネットワークシステムの動
作例を示す模式図である。
作例を示す模式図である。
【図5】従来から知られているLAN間接続装置を使用
した情報処理ネットワークシステムの一例を示すブロッ
ク図である。
した情報処理ネットワークシステムの一例を示すブロッ
ク図である。
【図6】図5に示す第1、第2LANおよびLAN間接
続装置の構成例を示す模式図である。
続装置の構成例を示す模式図である。
【図7】図5に示す情報処理ネットワークシステムの動
作例を示す模式図である。
作例を示す模式図である。
1 ケーブル 2 端末装置 3 第1LAN(低セキュリティLAN) 4 ケーブル 5 端末装置 6 第2LAN(高セキュリティLAN) 7 LAN間接続装置 10、20 物理層 11、21 データリンク層 12、22 ネットワーク層 13、23 トランスポート層 14 セション層 15 プレゼンテーション層 16 応用層
Claims (1)
- 【請求項1】 OSI規格によって指定された複数の層
を有し、セキュリティが高く設定された高セキュリティ
LANと、OSI規格によって指定された複数の層を有
し、セキュリティが低く設定された低セキュリティLA
Nとを接続するLAN間接続装置において、 処理層としてOSI規格の物理層、データリンク層、ネ
ットワーク層、トランスポート層を備え、 低セキュリティLANを構成する端末装置の1つから高
セキュリティLANを構成する端末装置に対して接続要
求が出されたとき、前記トランスポート層によってこれ
を取り込んで接続要求のTCPフォーマットおよびこの
TCPフォーマット中の確立要求フラグの有無を確認
し、接続要求を出した端末装置と、接続先として指定さ
れた端末装置との間のコネクションを禁止し、 高セキュリティLANを構成する端末装置の1つから低
セキュリティLANを構成する端末装置に対して接続要
求が出されたとき、前記トランスポート層によってこれ
を取り込んで接続要求のTCPフォーマットおよびこの
TCPフォーマット中の確立要求フラグの有無を確認
し、正しい接続要求であれば、接続要求を出した端末装
置と、接続先として指定された端末装置との間のコネク
ションを確立してデータ通信を行なわせる、 ことを特徴とするLAN間接続装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5179404A JPH0738599A (ja) | 1993-07-20 | 1993-07-20 | Lan間接続装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5179404A JPH0738599A (ja) | 1993-07-20 | 1993-07-20 | Lan間接続装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0738599A true JPH0738599A (ja) | 1995-02-07 |
Family
ID=16065281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5179404A Pending JPH0738599A (ja) | 1993-07-20 | 1993-07-20 | Lan間接続装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0738599A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU691102B2 (en) * | 1995-03-31 | 1998-05-07 | Commonwealth Of Australia, The | Method and means for interconnecting different security level networks |
| WO2000028700A1 (fr) * | 1998-11-05 | 2000-05-18 | Seiko Instruments Inc. | Systeme de reseau |
| JP2017147728A (ja) * | 2016-02-17 | 2017-08-24 | ソニー株式会社 | モノのインターネットのためのネットワークセキュリティ |
-
1993
- 1993-07-20 JP JP5179404A patent/JPH0738599A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU691102B2 (en) * | 1995-03-31 | 1998-05-07 | Commonwealth Of Australia, The | Method and means for interconnecting different security level networks |
| WO2000028700A1 (fr) * | 1998-11-05 | 2000-05-18 | Seiko Instruments Inc. | Systeme de reseau |
| JP2017147728A (ja) * | 2016-02-17 | 2017-08-24 | ソニー株式会社 | モノのインターネットのためのネットワークセキュリティ |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4648061A (en) | Electronic document distribution network with dynamic document interchange protocol generation | |
| US6717943B1 (en) | System and method for routing and processing data packets | |
| JPH0612532B2 (ja) | Lanにおける無許可サービス防止方法及びシステム | |
| CN104639596A (zh) | 用于使用rdma的低等待时间fifo消息收发中支持多个发送器的系统和方法 | |
| CN110868278B (zh) | 一种轨道交通综合监控系统通信前置机双机冗余的方法 | |
| CN110389935A (zh) | 一种启动小程序的方法、设备和计算机存储介质 | |
| CN102137161B (zh) | 基于光纤通道的文件级数据共享存储系统 | |
| CN102497446A (zh) | 一种穿越nat设备的业务流传输方法及装置 | |
| Saxena | OSI reference model–a seven layered architecture of OSI model | |
| CA1196424A (en) | Electronic document distribution network with dynamic document interchange protocol generation | |
| JPH0738599A (ja) | Lan間接続装置 | |
| US6173319B1 (en) | Using a systems network architecture logical unit activation request unit as a dynamic configuration definition in a gateway | |
| Sundstrom et al. | SNA: Current requirements and direction | |
| US6904467B1 (en) | Network system, network control method, and signal sender/receiver | |
| CN1388678A (zh) | 在虚拟网络环境下分离公共访问的方法 | |
| Ciccarelli et al. | Networking foundations: Technology fundamentals for IT success | |
| Jasud | The OSI Model: Overview on the Seven Layers of Computer Networks | |
| JP2000090024A (ja) | Wwwゲートウェイ及びwww通信システム | |
| KR100263386B1 (ko) | 망관리 지역센터에서 트랜잭션 랭귀지 1 파싱 처리방법 | |
| Melendez et al. | The upper layers of the ISO/OSI reference model (part II) | |
| Ebersole | Local area network architectures for distributed processing | |
| Ebersole | Lehigh Preserve Institutional Repository | |
| CN116962547A (zh) | 基于mq的动态数据网关通信方法 | |
| CN112328682A (zh) | 一种区块链系统及存储介质 | |
| CN117857289A (zh) | 一种适用于租户隔离网络环境下探针的实现方法和系统 |