JPH1070576A - Fire wall dynamic control method - Google Patents
Fire wall dynamic control methodInfo
- Publication number
- JPH1070576A JPH1070576A JP22796996A JP22796996A JPH1070576A JP H1070576 A JPH1070576 A JP H1070576A JP 22796996 A JP22796996 A JP 22796996A JP 22796996 A JP22796996 A JP 22796996A JP H1070576 A JPH1070576 A JP H1070576A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- firewall
- internal network
- mobile terminal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はファイウォールを動
的に制御する方法に関する。The present invention relates to a method for dynamically controlling a firewall.
【0002】[0002]
【従来の技術】社内ネットワークをインターネットに接
続している場合、インターネットからの不正アクセスを
防ぐ必要がある。但し、外部ネットワークと内部ネット
ワーク間の通信を完全に遮断すると、ユーザが外出先か
らインターネット経由でホームネットワークにアクセス
しようとしても、これが不可能になる。2. Description of the Related Art When an in-house network is connected to the Internet, it is necessary to prevent unauthorized access from the Internet. However, if the communication between the external network and the internal network is completely cut off, even if the user tries to access the home network from the outside via the Internet, this becomes impossible.
【0003】(ファイアウォールとフィルタ処理)その
ため、インターネットを経由した外部からの通信を選択
的に通過させるファイアウォール(防火壁)の構築が必
須となっている。(Firewall and Filtering Process) For this reason, it is essential to construct a firewall (firewall) for selectively passing external communication via the Internet.
【0004】従来、ファイアウォールでは、内部ネット
ワークと外部ネットワークの間で通信されるデータパケ
ットの内、予め許可されているパケットのみを通し、そ
れ以外のパケットを遮断するというフィルタ処理が行わ
れている。[0004] Conventionally, a firewall performs a filtering process of passing only a packet permitted in advance among data packets communicated between an internal network and an external network, and blocking other packets.
【0005】フィルタの設定は、通常、送信元端末のI
P(Internet Protocol:インターネット通信規約)アド
レス、送信先端末のIPアドレス、使用プロトコルの種
類、及び、ポート番号等を指定することにより行われ
る。例えば、外部の特定IPアドレスから内部の任意ホ
スト(端末)へのTCP(Transmission Control Proto
col:伝送制御通信規約)プロトコルによる通信を行う場
合、或るポート番号(例えば110)を使用しているも
のに限って許可するといった設定がなされる。[0005] Usually, the filter is set by the I of the source terminal.
This is performed by specifying a P (Internet Protocol) address, an IP address of a transmission destination terminal, a type of a used protocol, a port number, and the like. For example, TCP (Transmission Control Protocol) from an external specific IP address to an internal arbitrary host (terminal)
(col: transmission control protocol) When communication is performed by the protocol, a setting is made such that only those using a certain port number (for example, 110) are permitted.
【0006】なお、ポート番号とは、TCP、UDP
(User Datagram Protocol)において上位層のプロセス
を特定するために使用する識別子である。The port numbers are TCP, UDP
(User Datagram Protocol) is an identifier used to specify a process of an upper layer.
【0007】しかし、ノート型パソコン等の携帯型コン
ピュータをユーザが持ち歩き、移動先でインターネット
サービスプロバイダ(ISP(Internet Service Provi
der)と略記する)経由のダイヤルアップ接続(PPP接
続とも称される)によりインターネットに接続して、ホ
ームネットワークへのアクセスを行う場合は、適切なフ
ィルタ処理を行うことが難しい。[0007] However, a user carries a portable computer such as a notebook personal computer, and moves to an Internet service provider (ISP).
der)), it is difficult to perform appropriate filtering when connecting to the Internet via a dial-up connection (also referred to as a PPP connection) to access a home network.
【0008】これは、インターネットの通信に用いられ
るIPアドレスは4バイトの数値で表されるが、その上
位桁部分は端末が接続されているネットワークを表し、
下位部分がそのネットワーク内での当該端末の識別番号
になっているためである。つまり、ホームネットワーク
から移動した端末(モーバイルホスト:MH(MobileHo
st)と略記する)でダイヤルアップ接続を行う場合は、
その移動端末に割り当てられるIPアドレスが接続の度
に変わり、ホームネットワークでのIPアドレスをその
まま使用して通信を行うことができない。このようにダ
イヤルアップ接続の場合は移動端末のIPアドレスが一
定しないことから、、ファイアウォールにおいてデータ
パケットの送信元端末のIPアドレス及び送信先端末の
IPアドレスを特定してフィルタを設定することが不可
能になる。[0008] The IP address used for Internet communication is represented by a 4-byte numerical value, and the high-order part of the IP address represents the network to which the terminal is connected.
This is because the lower part is the identification number of the terminal in the network. In other words, a terminal (mobile host: MH (MobileHo
abbreviated as st)),
The IP address assigned to the mobile terminal changes each time it is connected, and communication cannot be performed using the IP address in the home network as it is. As described above, in the case of dial-up connection, since the IP address of the mobile terminal is not constant, it is not possible to specify the IP address of the source terminal of the data packet and the IP address of the destination terminal in the firewall and set a filter. Will be possible.
【0009】しかも、仮にファイアウォールのフィルタ
設定を適切に行い、権限を持つ移動端末及びそのユーザ
による外部から内部へのアクセスのみを許可することが
可能になったとしても、同ユーザが普段ホームネットワ
ークでアクセスしている共有ディスク、社内データベー
ス、及び、WWW(World Wide Webの略 )の社内向けペ
ージといった各種内部ネットワーク資源の利用が可能に
なるとは限らない。[0009] Even if it is possible to appropriately set the filter of the firewall and allow only authorized mobile terminals and their users to access from outside to inside, the user is usually allowed to use the home terminal on the home network. It is not always possible to use various internal network resources such as a shared disk being accessed, an in-house database, and an in-house page of the World Wide Web (WWW).
【0010】何故ならば、これら内部ネットワーク資源
には個別にアクセス制限が行われている場合があり、そ
の際、クライアント端末のIPアドレスに基づいてアク
セスの許可及び不許可を決める場合が多いからである。[0010] This is because access to these internal network resources may be individually restricted, and in that case, access permission and non-permission are often determined based on the IP address of the client terminal. is there.
【0011】(モーバイルIP)次に、現在標準化が進
められているモーバイルIP(Mobile-IP)を、図3を参
照して説明する。モーバイルIPとは、端末が何処に移
動してインターネットに接続しても、他の端末が当該移
動端末に対して、常に同じIPアドレスを用いて通信を
行うことを可能にする技術である。但し、現状のモーバ
イルIPは仕様上、ファイアウォールを持つネットワー
クには未対応である。(Mobile IP) Next, a mobile IP (Mobile-IP) currently being standardized will be described with reference to FIG. Mobile IP is a technology that enables other terminals to always communicate with the mobile terminal using the same IP address, no matter where the terminal moves and connects to the Internet. However, the current mobile IP is not compatible with a network having a firewall due to specifications.
【0012】図3において、100はインターネット、
200は移動端末201のホームネットワーク、202
はホームネットワーク200上のホームエージェント
(HA(Home Agent)と略記する)、203はルータ、
300はISP、400は他のネットワーク、401は
他のネットワーク400上の端末をそれぞれ示す。In FIG. 3, 100 is the Internet,
200 is the home network of the mobile terminal 201, 202
Is a home agent (abbreviated as HA (Home Agent)) on the home network 200, 203 is a router,
Reference numeral 300 denotes an ISP, 400 denotes another network, and 401 denotes a terminal on another network 400.
【0013】ここでは、移動端末201が通常接続され
ているホームネットワーク200のIPアドレスを[13
3.128.8.0]とし、同ホームネットワーク200における
移動端末201のIPアドレスを[133.128.8.81]と
し、ホームエージェント202のIPアドレスを[133.
128.8.100]とし、移動端末201がISP300にダイ
アルアップ接続した時に割り当てられるIPアドレスを
[130.54.20.199]としている。Here, the IP address of the home network 200 to which the mobile terminal 201 is normally connected is [13
3.128.8.0], the IP address of the mobile terminal 201 in the home network 200 is [133.128.8.81], and the IP address of the home agent 202 is [133.128.8.0].
128.8.100], and the IP address assigned when the mobile terminal 201 makes a dial-up connection to the ISP 300 is [130.54.20.199].
【0014】一般に、或るネットワーク400の端末4
01から端末201宛にパケットが送出されると、図3
中に符号501で示す経路のように、端末201が通常
接続されているホームネットワーク200に配送され
る。そのため、端末201が別のネットワーク例えばI
SP300に移動している場合には、パケットを移動先
のネットワーク300に転送する必要がある。Generally, a terminal 4 of a certain network 400
When a packet is sent from the terminal 01 to the terminal 201,
The terminal 201 is delivered to the home network 200 to which the terminal 201 is normally connected, as indicated by a route indicated by reference numeral 501 in FIG. Therefore, the terminal 201 is connected to another network such as I
When moving to the SP 300, it is necessary to transfer the packet to the destination network 300.
【0015】この転送を行うため、モーバイルIPで
は、移動元のネットワークと移動先のネットワークにそ
れぞれエージェントホストが設置される。移動元ネット
ワークに設置されるエージェントホストはホームエージ
ェントと呼ばれる。移動先のネットワークに設置される
エージェントホストはフォーリンエージェント(FA
(Foregin Agent)と略記する)と呼ばれる。移動端末自
身がフォーリンエージェントの役割を果たすことも可能
である。図3では、移動端末201がフォーリンエージ
ェントの機能を有するものとしている。In order to perform this transfer, in the mobile IP, an agent host is installed in each of a source network and a destination network. An agent host installed in a source network is called a home agent. The agent host installed on the destination network is a foreign agent (FA
(Abbreviated as Foregin Agent). The mobile terminal itself can also play the role of a foreign agent. In FIG. 3, it is assumed that the mobile terminal 201 has a foreign agent function.
【0016】端末201がホームネットワーク200か
ら移動してISP300にダイアルアップ接続301を
行うと、ISP300から一時的なIPアドレス[130.
54.20.199]が割り当てられる。When the terminal 201 moves from the home network 200 and makes a dial-up connection 301 to the ISP 300, the temporary IP address [130.
54.20.199] is assigned.
【0017】そこで、移動端末201はこのIPアドレ
スと、通常接続しているホームネットワーク200にお
けるIPアドレス[133.128.8.81]とをISP300及
びインターネット100を経由してホームネットワーク
200のホームエージェント202に通知しておく。こ
れにより、ホームエージェント202はIPアドレス
[133.128.8.81]を持つ端末201が移動中であり、そ
れが一時的に取得したIPアドレスが[130.54.20.199]
であることを知るので、データベースに記録しておく。The mobile terminal 201 notifies the home agent 202 of the home network 200 of this IP address and the IP address [133.128.8.81] of the home network 200 to which the mobile terminal 201 is normally connected via the ISP 300 and the Internet 100. Keep it. As a result, the terminal 201 having the IP address [133.128.8.81] is moving and the IP address temporarily acquired by the home agent 202 is [130.54.20.199].
Since it is known, it is recorded in the database.
【0018】そして、或るネットワーク400内の端末
401から通常のIPアドレス[133.128.8.81]を用い
て端末201宛のパケットが届くと、端末201の代わ
りにホームエージェント202が受け取る(経路502
参照)。ホームエージェント202は、端末401から
移動端末201宛の前記パケットを、一時的に取得した
IPアドレス[130.54.20.199]向けのパケットに埋め込
み、インターネット100及びISP300を経由して
移動端末201に転送する(経路503参照)。移動端
末201は受け取ったパケットから元のパケットを取り
出し、必要に応じて送信元の端末401宛にISP30
0及びインターネット100を経由してパケットを送る
(経路504参照)。When a packet addressed to the terminal 201 arrives from the terminal 401 in a certain network 400 using the normal IP address [133.128.8.81], the home agent 202 receives the packet instead of the terminal 201 (path 502).
reference). The home agent 202 embeds the packet addressed to the mobile terminal 201 from the terminal 401 into the temporarily acquired packet for the IP address [130.54.20.199], and transfers the packet to the mobile terminal 201 via the Internet 100 and the ISP 300 ( See path 503). The mobile terminal 201 extracts the original packet from the received packet and, if necessary, sends the ISP 30
0 and the packet is sent via the Internet 100 (see path 504).
【0019】上述の如く、モーバイルIPによれば、端
末401からは移動中の端末201に、それの通常のI
Pアドレス[133.128.8.81]を用いてパケットを送るこ
とができる。As described above, according to the mobile IP, the terminal 401 gives the moving terminal 201 its normal I
Packets can be sent using the P address [133.128.8.81].
【0020】しかし、移動端末201とホームエージェ
ント202との間では、一時的に取得したIPアドレス
[130.54.20.199]を用いて通信が行われる。However, communication is performed between the mobile terminal 201 and the home agent 202 using the temporarily acquired IP address [130.54.20.199].
【0021】つまり、現状のモーバイルIPでは、移動
端末201が送出するパケットには一時的に取得したI
Pアドレスを用いて何らの処理も加えないため、通常通
りルーティングされる。従って、前述したフィルタ処理
によるファイアウォールの設定では、移動端末201と
ホームエージェント202間の通信のみを許可するの
で、移動端末201がホームエージェント202以外の
ホームネットワーク200内の内部ホスト(端末)と通
信を行うことができない。これは、各種内部ネットワー
ク資源への移動端末201のアクセスが制限されること
を意味する。That is, in the current mobile IP, the packet transmitted from the mobile terminal 201 includes the temporarily acquired I
Since no processing is performed using the P address, routing is performed as usual. Accordingly, in the above-described setting of the firewall by the filter processing, only communication between the mobile terminal 201 and the home agent 202 is permitted, so that the mobile terminal 201 communicates with an internal host (terminal) in the home network 200 other than the home agent 202. Can't do it. This means that access of the mobile terminal 201 to various internal network resources is restricted.
【0022】[0022]
【発明が解決しようとする課題】本発明は上記問題点に
鑑み、インターネットサービスプロバイダ(ISP)に
ダイヤルアップ接続中の移動端末及びそのユーザに対し
て適切なフィルタ設定を行うことができるファイアウォ
ール動的制御方法、並びに、同端末及びユーザが外部か
らホームネットワーク資源へアクセスすることを適切に
許可することができるファイアウォール動的制御方法を
提供することを目的とする。SUMMARY OF THE INVENTION In view of the above-mentioned problems, the present invention provides a dynamic firewall capable of performing appropriate filter settings for a mobile terminal and its user who are dial-up connected to an Internet service provider (ISP). It is an object of the present invention to provide a control method and a firewall dynamic control method capable of appropriately permitting the terminal and a user to access a home network resource from outside.
【0023】[0023]
【課題を解決するための手段】まず本発明では、インタ
ーネットサービスプロバイダからユーザ情報を得ること
により、このユーザ情報を基にフィルタの設定を適切に
行うことを可能にする。また本発明では、このフィルタ
設定に、現在標準化が進められているモーバイルIPの
技術を改良して組み合わせることにより、ホームネット
ワーク資源へのアクセス制限の問題を解決する。According to the present invention, first, by obtaining user information from an Internet service provider, it is possible to appropriately set a filter based on the user information. Further, the present invention solves the problem of access restriction to home network resources by improving and combining the filter setting with the mobile IP technology currently being standardized.
【0024】即ち、本発明のファイアウォール動的制御
方法は、インターネットサービスプロバイダにダイアル
アップにより接続中の端末がインターネットを経由して
ファイアウォール内の内部ネットワークにアクセスする
際に、前記インターネットサービスプロバイダから前記
内部ネットワークに前記端末のユーザ情報を送ること、
前記内部ネットワークはこのユーザ情報を基に前記端末
が同内部ネットワークから移動した移動端末か否かを判
断すること、前記端末が移動端末である場合に同端末と
内部ネットワークとの通信を許可するようにファイアウ
ォールのフィルタを設定することを特徴とする。That is, the firewall dynamic control method according to the present invention is characterized in that the terminal connected to the Internet service provider by dial-up accesses the internal network inside the firewall via the Internet from the Internet service provider. Sending the terminal user information to
The internal network determines whether or not the terminal is a mobile terminal that has moved from the internal network based on the user information, and when the terminal is a mobile terminal, permits communication between the terminal and the internal network. It is characterized by setting a firewall filter.
【0025】また、本発明のファイアウォール動的制御
方法は、前記フィルタの設定後、端末と内部ネットワー
クとの通信をIPトンネルにより行うことを特徴とし、
或いは、更に前記端末のユーザ情報の送信をインターネ
ットサービスプロバイダに設けたエージェントホストと
内部ネットワークに設けたファイアウォールのフィルタ
の設定を行うファイアウォール管理用ホストとの間で行
うこと、前記IPトンネルによる通信を前記端末と内部
ネットワークに設けたホームエージェントとの間で行う
ことを特徴とする。Further, the firewall dynamic control method according to the present invention is characterized in that, after setting the filter, communication between the terminal and the internal network is performed by an IP tunnel,
Alternatively, transmission of the user information of the terminal is further performed between an agent host provided in an Internet service provider and a firewall management host which sets a firewall filter provided in an internal network. It is performed between a terminal and a home agent provided in an internal network.
【0026】[0026]
【発明の実施の形態】以下、図1と図2を参照して本発
明の実施の形態を説明する。図1は本発明のファイアウ
ォール動的制御方法を適用したシステム構成例を示す
図、図2はファイアウォールに対応したモーバイルIP
の説明図である。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of the present invention will be described below with reference to FIGS. FIG. 1 is a diagram showing an example of a system configuration to which a firewall dynamic control method according to the present invention is applied, and FIG. 2 is a mobile IP corresponding to a firewall.
FIG.
【0027】図1において、10はインターネット、2
0は複数のホームネットワーク20A、20B、20C
を有する或る内部ネットワーク、21は通常内部ネット
ワーク20に接続されている移動端末、22はファイア
ウォール、23はファイアウォール管理用ホスト、24
は各ホームネットワーク20A、20B、20Cに設け
たホームエージェント、30はISP(インターネット
サービスプロバイダ)、31はISP30のプロバイダ
認証サーバ、32はISP30のエージェントホストを
それぞれ示す。In FIG. 1, reference numeral 10 denotes the Internet, 2
0 indicates a plurality of home networks 20A, 20B, 20C
, A mobile terminal normally connected to the internal network 20, 22 a firewall, 23 a host for firewall management, 24
Denotes a home agent provided in each of the home networks 20A, 20B, 20C, 30 denotes an ISP (Internet service provider), 31 denotes a provider authentication server of the ISP 30, and 32 denotes an agent host of the ISP 30.
【0028】移動端末21はモーバイルIP用のフォー
リンエージェント機能を有し、移動先でISP30にダ
イアルアップ接続し、インターネット10を介して内部
ネットワーク20に接続しようとしているものとする。It is assumed that the mobile terminal 21 has a foreign agent function for mobile IP, dials up with the ISP 30 at the destination, and tries to connect to the internal network 20 via the Internet 10.
【0029】本実施例では、以下のようにして、ISP
30から得るユーザ情報を基にファイアウォールの制御
を行う機構と、ファイアウォール22に対応させたモー
バイルIPの機構を用意している。In the present embodiment, the ISP
A mechanism for controlling the firewall based on the user information obtained from 30 and a mobile IP mechanism corresponding to the firewall 22 are provided.
【0030】(ファイアウォールの動的制御機構)ま
ず、図1を参照して、ISP30から得るユーザ情報を
基にファイアウォール22の制御を行うファイアウォー
ルの動的制御機構の構成を説明する。(Dynamic Control Mechanism of Firewall) First, a configuration of a dynamic control mechanism of a firewall that controls the firewall 22 based on user information obtained from the ISP 30 will be described with reference to FIG.
【0031】移動端末21のユーザがISP30へダイ
アルアップ接続する際には、ユーザアカウント(ID)
とパスワードを入力する。ISP30では、ユーザの入
力データが適正か否かをプロバイダ認証サーバ31によ
り判定し、適正な場合にのみ、移動端末21にIPアド
レスを割り当ててインターネット100に接続する。そ
のため、ISP30側では、ユーザアカウントとパスワ
ードを基にどのようなユーザが現在ダイアルアップで接
続中であるか、また、その移動端末21にはどのIPア
ドレスを割り当てたかというユーザ情報を常に把握でき
てている。When the user of the mobile terminal 21 makes a dial-up connection to the ISP 30, a user account (ID)
And password. In the ISP 30, the provider authentication server 31 determines whether or not the user input data is appropriate. Only when the data is appropriate, the ISP 30 assigns an IP address to the mobile terminal 21 and connects to the Internet 100. Therefore, the ISP 30 can always grasp the user information as to which user is currently connected by dial-up and which IP address has been assigned to the mobile terminal 21 based on the user account and the password. I have.
【0032】そのため、このユーザ情報をISP30側
から内部ネットワーク20が取得して、現在どのユーザ
がどのIPアドレスを使っているかが判れば、前述のフ
ィルタの設定を適切に行うことが可能になる。これによ
り、内部ネットワーク20へのアクセスが予め許された
ユーザからの通信のみを許可し、内部へのアクセス権限
のないユーザからのアクセスを排除することができる。Therefore, if the internal network 20 obtains this user information from the ISP 30 and knows which user is currently using which IP address, it is possible to appropriately perform the above-described filter setting. As a result, only communication from a user who is allowed to access the internal network 20 in advance can be permitted, and access from a user who does not have access to the inside can be excluded.
【0033】そこで、図1に示すように、ファイアウォ
ール管理用ホスト23を内部ネットワーク20に設ける
ことにより、フィルタの追加・削除を行う機構を用意す
る。また、ISP30側にエージェントホスト32を設
け、このエージェントホスト32とファイアウォール管
理用ホスト23間の通信のみを許可しておく。この通信
には、ファイアウォール管理用ホスト23もエージェン
トホスト32も固定したIPアドレスを用いることがで
きるので、ファイアウォール用フィルタ設定に何の障害
もない。具体的には、下記(1)〜(7)の手順が採ら
れる。なお、下記手順(n)は図1中の同記号(n)に
対応している。Therefore, as shown in FIG. 1, by providing a firewall management host 23 in the internal network 20, a mechanism for adding / deleting a filter is prepared. Further, an agent host 32 is provided on the ISP 30 side, and only communication between the agent host 32 and the firewall management host 23 is permitted. In this communication, both the firewall management host 23 and the agent host 32 can use fixed IP addresses, so that there is no obstacle to the firewall filter setting. Specifically, the following procedures (1) to (7) are employed. The following procedure (n) corresponds to the same symbol (n) in FIG.
【0034】(1)外部から内部へのアクセスを行う移
動端末21は、ISP30のエージェントホスト32経
由で、内部ネットワーク20とのコネクション確立要求
を行う。 (2)エージェントホスト32は、移動端末21のIP
アドレスとダイアルアップ接続時のアカウントを調べ
る。 (3)エージェントホスト32は、移動端末21がファ
イアウォール22内部へのアクセスを許可された特定ア
カウントで接続されている場合のみ、移動端末21から
のメッセージをファイアウォール管理用ホスト23に中
継する。 (4)モーバイルIPでは移動端末とホームエージェン
トとの間でエンド・ツー・エンドの認証を行うことにな
っているので、ファイアウォール管理用ホスト23を通
して移動端末21とホームエージェント24との間でエ
ンド・ツー・エンドの認証を行う。 (5)この認証が成功すれば、その旨のメッセージをホ
ームエージェント24がファイアウォール管理用ホスト
23に送る。 (6)この結果、ファイアウォール管理用ホスト23は
移動端末21とホームエージェント24間の通信を通過
させるように、ファイアウォール22のフィルタ設定を
変更する。 (7)ファイアウォール22の設定を変更して移動端末
21とホームエージェント24間の通信を可能にした時
点で、ファイアウォール管理用ホスト23はその旨をホ
ームエージェント24へ通知するとともに、エージェン
トホスト32経由で移動端末21へも通知する。この通
知を受けて、ホームエージェント24が移動端末21へ
のIPトンネルを設定し、また、移動端末21がホーム
エージェント24へのIPトンネルを設定することで、
双方向IPトンネル40が設定される。(1) The mobile terminal 21 which accesses the inside from the outside issues a connection establishment request with the internal network 20 via the agent host 32 of the ISP 30. (2) The agent host 32 transmits the IP address of the mobile terminal 21
Look up the address and account at dial-up connection. (3) The agent host 32 relays the message from the mobile terminal 21 to the firewall management host 23 only when the mobile terminal 21 is connected with a specific account permitted to access the inside of the firewall 22. (4) In mobile IP, end-to-end authentication is performed between the mobile terminal and the home agent. Therefore, end-to-end authentication is performed between the mobile terminal 21 and the home agent 24 through the firewall management host 23. Perform two-end authentication. (5) If the authentication is successful, the home agent 24 sends a message to that effect to the firewall management host 23. (6) As a result, the firewall management host 23 changes the filter setting of the firewall 22 so that the communication between the mobile terminal 21 and the home agent 24 is passed. (7) When the communication between the mobile terminal 21 and the home agent 24 is enabled by changing the settings of the firewall 22, the firewall management host 23 notifies the home agent 24 of the fact and via the agent host 32 The mobile terminal 21 is also notified. Upon receiving this notification, the home agent 24 sets an IP tunnel to the mobile terminal 21, and the mobile terminal 21 sets an IP tunnel to the home agent 24.
A bidirectional IP tunnel 40 is set.
【0035】このIPトンネル40を用いて、移動端末
21が内部ネットワーク20の各端末との通信を行う。
ただし、移動端末21はコネクションの継続のためのメ
ッセージをファイアウォール管理用ホスト23へ定期的
に送るものとし、継続要求の途絶えたホスト向けのフィ
ルタ設定は、ファイアウォール管理用ホスト23が自動
的に削除するものとしている。The mobile terminal 21 communicates with each terminal of the internal network 20 using the IP tunnel 40.
However, it is assumed that the mobile terminal 21 periodically sends a message for continuation of the connection to the firewall management host 23, and the firewall management host 23 automatically deletes the filter setting for the host whose continuation request has been interrupted. It is assumed.
【0036】以上により、必要な期間のみ、始点と終点
が明確に限定された通信のみを許可するファイアウォー
ル22の設定が可能である。また、双方向IPトンネル
40の設定が可能である。As described above, it is possible to set the firewall 22 that permits only the communication whose start point and end point are clearly limited only during a necessary period. Further, the setting of the bidirectional IP tunnel 40 is possible.
【0037】前述の如く、現在標準化が進められている
モーバイルIPの仕様は、ファイアウォール22の有る
ネットワーク20には対応していない。そのため、モー
バイルIPをファイアウォール22に対応するように、
下記の如く改良し、前述のフィルタの設定法と組み合わ
せて用いる。As described above, the mobile IP specifications currently being standardized do not correspond to the network 20 having the firewall 22. Therefore, to make the mobile IP compatible with the firewall 22,
It is improved as described below and used in combination with the above-described filter setting method.
【0038】(ファイアウォール対応モーバイルIP)
図2を参照して、モーバイルIPとファイアウォール動
的制御との組み合わせ方について説明する。(Mobile IP for Firewall)
With reference to FIG. 2, a method of combining mobile IP and firewall dynamic control will be described.
【0039】移動端末21からファイアウォール22内
部の端末25へ送信するパケットは、図2中の経路52
のように、ホームエージェント24宛のパケットに埋め
込んで送出す。ホームエージェント24は、受け取った
パケットから元のパケットを取り出す。そして、ホーム
エージェント24は図2中の経路53のように、元のパ
ケットを再びネットワーク20に送出することで、本来
の宛て先である内部端末25に配送する。図2中の符号
26はルータを示す。なお、ネットワーク20内に居る
場合には、移動端末21は経路51で端末25と通信す
る。A packet transmitted from the mobile terminal 21 to the terminal 25 inside the firewall 22 is transmitted through a route 52 shown in FIG.
Embedded in the packet addressed to the home agent 24 and transmitted. Home agent 24 extracts the original packet from the received packet. Then, the home agent 24 delivers the original packet to the network 20 again, as shown by a route 53 in FIG. 2, to deliver the packet to the internal terminal 25 which is the original destination. Reference numeral 26 in FIG. 2 indicates a router. When the mobile terminal 21 is in the network 20, the mobile terminal 21 communicates with the terminal 25 via the route 51.
【0040】このように、移動端末21とホームエージ
ェント24間で双方向にカプセル化(トンネリング)を
行うことにより、ネットワーク20内で個別にアクセス
制限が行われている場合でも、移動端末21がネットワ
ーク20に通常接続されている場合のIPアドレスに基
づいてアクセスを許可できるから、移動端末21とファ
イアウォール22内部の端末25との通信が可能であ
る。As described above, by performing bidirectional encapsulation (tunneling) between the mobile terminal 21 and the home agent 24, even when access is individually restricted in the network 20, the mobile terminal 21 Since the access can be permitted based on the IP address when the mobile terminal 21 is normally connected to the mobile terminal 20, communication between the mobile terminal 21 and the terminal 25 inside the firewall 22 is possible.
【0041】[0041]
【発明の効果】本発明によれば、ダイアルアップ接続中
の特定ユーザからの通信のみを通過させるようなファイ
アウォールの設定が、ISPとの連携により可能であ
る。According to the present invention, it is possible to set a firewall that allows only communication from a specific user during a dial-up connection in cooperation with an ISP.
【0042】また、本発明によれば、モーバイルIPを
改良して組み合わせることにより、外部からでも、内部
ネットワークに接続している時と全く同じ権限で、普段
利用している内部ネットワーク資源へアクセスすること
が可能である。Further, according to the present invention, by improving and combining the mobile IP, even from the outside, it is possible to access the commonly used internal network resources with exactly the same authority as when connecting to the internal network. It is possible.
【図1】本発明のファイアウォール動的制御方法を適用
したシステム構成例を示す図。FIG. 1 is a diagram showing an example of a system configuration to which a firewall dynamic control method according to the present invention is applied.
【図2】ファイアウォールに対応したモーバイルIPの
説明図。FIG. 2 is an explanatory diagram of a mobile IP corresponding to a firewall.
【図3】ファイアウォールに未対応の従来のモーバイル
IPの説明図。FIG. 3 is an explanatory diagram of a conventional mobile IP that does not support a firewall.
10 インターネット 20 内部ネットワーク 20A、20B、20C ホームネットワーク 21 フォーリンエージェント機能を有する移動端末 22 ファイアウォール 23 ファイアウォール管理用ホスト 24 ホームエージェント 25 内部端末 26 ルータ 30 ISP(インターネットサービスプロバイダ) 31 プロバイダ認証サーバ 32 エージェントホスト 40 双方向IPトンネル 51 移動前の通信経路 52、53 移動後の通信経路 DESCRIPTION OF SYMBOLS 10 Internet 20 Internal network 20A, 20B, 20C Home network 21 Mobile terminal with foreign agent function 22 Firewall 23 Firewall management host 24 Home agent 25 Internal terminal 26 Router 30 ISP (Internet service provider) 31 Provider authentication server 32 Agent host 40 Two-way IP tunnel 51 Communication route before moving 52, 53 Communication route after moving
Claims (3)
イアルアップにより接続中の端末がインターネットを経
由してファイアウォール内の内部ネットワークにアクセ
スする際に、前記インターネットサービスプロバイダか
ら前記内部ネットワークに前記端末のユーザ情報を送る
こと、前記内部ネットワークはこのユーザ情報を基に前
記端末が同内部ネットワークから移動した移動端末か否
かを判断すること、前記端末が移動端末である場合に同
端末と内部ネットワークとの通信を許可するようにファ
イアウォールのフィルタを設定することを特徴とするフ
ァイアウォール動的制御方法。When a terminal connected to an Internet service provider by dial-up accesses an internal network inside a firewall via the Internet, sending user information of the terminal from the Internet service provider to the internal network; The internal network determines whether or not the terminal is a mobile terminal that has moved from the internal network based on the user information, and when the terminal is a mobile terminal, permits communication between the terminal and the internal network. A firewall dynamic control method, wherein a firewall filter is set in the firewall.
ネットワークとの通信をIPトンネルにより行うことを
特徴とする請求項1に記載のファイアウォール動的制御
方法。2. The dynamic firewall control method according to claim 1, wherein, after setting the filter, communication between the terminal and an internal network is performed by an IP tunnel.
ネットサービスプロバイダに設けたエージェントホスト
と内部ネットワークに設けたファイアウォールのフィル
タの設定を行うファイアウォール管理用ホストとの間で
行うこと、前記IPトンネルによる通信を前記端末と内
部ネットワークに設けたホームエージェントとの間で行
うことを特徴とする請求項2に記載のファイアウォール
動的制御方法。3. Transmission of user information of the terminal between an agent host provided in an Internet service provider and a firewall management host provided in an internal network for setting a filter of a firewall, and communication by the IP tunnel. 3. The dynamic firewall control method according to claim 2, wherein the method is performed between the terminal and a home agent provided in an internal network.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22796996A JP3662080B2 (en) | 1996-08-29 | 1996-08-29 | Firewall dynamic control method |
| GB9718374A GB2316841B (en) | 1996-08-29 | 1997-08-29 | Method for dynamically controlling a firewall |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP22796996A JP3662080B2 (en) | 1996-08-29 | 1996-08-29 | Firewall dynamic control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1070576A true JPH1070576A (en) | 1998-03-10 |
| JP3662080B2 JP3662080B2 (en) | 2005-06-22 |
Family
ID=16869102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP22796996A Expired - Fee Related JP3662080B2 (en) | 1996-08-29 | 1996-08-29 | Firewall dynamic control method |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP3662080B2 (en) |
| GB (1) | GB2316841B (en) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002077277A (en) * | 2000-06-08 | 2002-03-15 | Alcatel | Method of providing access control for and/or in relation to users accessing the internet from terminals via private access node, and apparatus for carring out such method |
| WO2002035816A1 (en) * | 2000-10-26 | 2002-05-02 | Mitsubishi Denki Kabushiki Kaisha | Internet telephone network system, network access method and talking device adapter |
| JP2003108517A (en) * | 2001-09-27 | 2003-04-11 | Tadashi Yokoyama | User information possessing provider system and method |
| JP2003209561A (en) * | 2002-01-11 | 2003-07-25 | Nec Corp | Method for strengthening security by transmission source ip address |
| US6668282B1 (en) | 2000-08-02 | 2003-12-23 | International Business Machines Corporation | System and method to monitor and determine if an active IPSec tunnel has become disabled |
| KR100452143B1 (en) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | apparatus and method for web filtering using asymmetry traffic flow mode |
| US6915436B1 (en) | 2000-08-02 | 2005-07-05 | International Business Machines Corporation | System and method to verify availability of a back-up secure tunnel |
| JP2006020266A (en) * | 2004-06-03 | 2006-01-19 | Ricoh Co Ltd | Communication method, communication permission server, and printing method |
| JP2006121209A (en) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | Gateway unit |
| EP1686755A1 (en) | 2005-01-27 | 2006-08-02 | NEC Corporation | Filtering method and firewall system |
| EP1865685A1 (en) | 2002-11-28 | 2007-12-12 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| US7337217B2 (en) | 2000-07-21 | 2008-02-26 | Samsung Electronics Co., Ltd. | Architecture for home network on world wide web |
| JP2010140494A (en) * | 2010-01-05 | 2010-06-24 | Interlink:Kk | User information using system |
| JP2010220252A (en) * | 2010-06-09 | 2010-09-30 | Nec Corp | Mobile management system, mobile management server, mobile management method used therefor and program therefor |
| US7950053B2 (en) | 2004-10-12 | 2011-05-24 | Panasonic Corporation | Firewall system and firewall control method |
| JP4715920B2 (en) * | 2006-03-29 | 2011-07-06 | 富士通株式会社 | Setting method and management apparatus |
| JP2013192160A (en) * | 2012-03-15 | 2013-09-26 | Nippon Telegraph & Telephone West Corp | Port opening closing control method by detecting presence of portable terminal within service area |
| US8843643B2 (en) | 1998-10-30 | 2014-09-23 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US8874771B2 (en) | 1998-10-30 | 2014-10-28 | Virnetx, Inc. | Agile network protocol for secure communications with assured system availability |
| US8943201B2 (en) | 1998-10-30 | 2015-01-27 | Virnetx, Inc. | Method for establishing encrypted channel |
| JP2016525838A (en) * | 2013-07-24 | 2016-08-25 | 牟大同 | ENCRYPTED COMMUNICATION METHOD AND ENCRYPTED COMMUNICATION SYSTEM |
| US9860283B2 (en) | 1998-10-30 | 2018-01-02 | Virnetx, Inc. | Agile network protocol for secure video communications with assured system availability |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779118B1 (en) | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
| AUPP776498A0 (en) | 1998-12-17 | 1999-01-21 | Portus Pty Ltd | Local and remote monitoring using a standard web browser |
| US6662228B1 (en) | 2000-02-01 | 2003-12-09 | Sun Microsystems, Inc. | Internet server authentication client |
| WO2002027503A1 (en) * | 2000-09-27 | 2002-04-04 | Sony Corporation | Home network system |
| GB2373418A (en) * | 2001-03-16 | 2002-09-18 | Kleinwort Benson Ltd | Method and system to provide and manage secure access to internal computer systems from an external client |
| EP1378093B1 (en) * | 2001-04-09 | 2012-08-08 | Hewlett-Packard Development Company, L.P. | Authentication and encryption method and apparatus for a wireless local access network |
| DE10201627B4 (en) * | 2002-01-16 | 2006-05-04 | Orga Systems Enabling Services Gmbh | Method and digital network component for protection against unwanted data |
| FI20021802A (en) * | 2002-10-09 | 2004-04-10 | Tycho Technologies Oy | Distributed firewall management |
| US7616597B2 (en) * | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
| DE10336108B3 (en) * | 2003-08-06 | 2005-05-25 | Siemens Ag | Method and device for preventing packet attacks on mobile subscribers |
-
1996
- 1996-08-29 JP JP22796996A patent/JP3662080B2/en not_active Expired - Fee Related
-
1997
- 1997-08-29 GB GB9718374A patent/GB2316841B/en not_active Expired - Fee Related
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9100375B2 (en) | 1998-10-30 | 2015-08-04 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US8850009B2 (en) | 1998-10-30 | 2014-09-30 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US8843643B2 (en) | 1998-10-30 | 2014-09-23 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US9967240B2 (en) | 1998-10-30 | 2018-05-08 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9860283B2 (en) | 1998-10-30 | 2018-01-02 | Virnetx, Inc. | Agile network protocol for secure video communications with assured system availability |
| US9819649B2 (en) | 1998-10-30 | 2017-11-14 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US9479426B2 (en) | 1998-10-30 | 2016-10-25 | Virnetz, Inc. | Agile network protocol for secure communications with assured system availability |
| US9413766B2 (en) | 1998-10-30 | 2016-08-09 | Virnetx, Inc. | Method for establishing connection between devices |
| US9386000B2 (en) | 1998-10-30 | 2016-07-05 | Virnetx, Inc. | System and method for establishing a communication link |
| US9094399B2 (en) | 1998-10-30 | 2015-07-28 | Virnetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US10187387B2 (en) | 1998-10-30 | 2019-01-22 | Virnetx, Inc. | Method for establishing connection between devices |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9374346B2 (en) | 1998-10-30 | 2016-06-21 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9077695B2 (en) | 1998-10-30 | 2015-07-07 | Virnetx, Inc. | System and method for establishing an encrypted communication link based on IP address lookup requests |
| US9077694B2 (en) | 1998-10-30 | 2015-07-07 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9038163B2 (en) | 1998-10-30 | 2015-05-19 | Virnetx, Inc. | Systems and methods for connecting network devices over communication network |
| US9037713B2 (en) | 1998-10-30 | 2015-05-19 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US9027115B2 (en) | 1998-10-30 | 2015-05-05 | Virnetx, Inc. | System and method for using a registered name to connect network devices with a link that uses encryption |
| US8943201B2 (en) | 1998-10-30 | 2015-01-27 | Virnetx, Inc. | Method for establishing encrypted channel |
| US8904516B2 (en) | 1998-10-30 | 2014-12-02 | Virnetx, Inc. | System and method employing an agile network protocol for secure communications using secure domain names |
| US8874771B2 (en) | 1998-10-30 | 2014-10-28 | Virnetx, Inc. | Agile network protocol for secure communications with assured system availability |
| US8868705B2 (en) | 1998-10-30 | 2014-10-21 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| JP2002077277A (en) * | 2000-06-08 | 2002-03-15 | Alcatel | Method of providing access control for and/or in relation to users accessing the internet from terminals via private access node, and apparatus for carring out such method |
| US7337217B2 (en) | 2000-07-21 | 2008-02-26 | Samsung Electronics Co., Ltd. | Architecture for home network on world wide web |
| US6668282B1 (en) | 2000-08-02 | 2003-12-23 | International Business Machines Corporation | System and method to monitor and determine if an active IPSec tunnel has become disabled |
| US6915436B1 (en) | 2000-08-02 | 2005-07-05 | International Business Machines Corporation | System and method to verify availability of a back-up secure tunnel |
| WO2002035816A1 (en) * | 2000-10-26 | 2002-05-02 | Mitsubishi Denki Kabushiki Kaisha | Internet telephone network system, network access method and talking device adapter |
| JP2003108517A (en) * | 2001-09-27 | 2003-04-11 | Tadashi Yokoyama | User information possessing provider system and method |
| JP4497443B2 (en) * | 2001-09-27 | 2010-07-07 | 株式会社インターリンク | User information utilization system |
| KR100452143B1 (en) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | apparatus and method for web filtering using asymmetry traffic flow mode |
| JP2003209561A (en) * | 2002-01-11 | 2003-07-25 | Nec Corp | Method for strengthening security by transmission source ip address |
| EP2086201A1 (en) | 2002-11-28 | 2009-08-05 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| EP2088740A1 (en) | 2002-11-28 | 2009-08-12 | NTT DoCoMo, Inc. | Communication Control Apparatus, Firewall Apparatus, and Data Communication Method |
| EP2086200A1 (en) | 2002-11-28 | 2009-08-05 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| EP1865685A1 (en) | 2002-11-28 | 2007-12-12 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| US8745719B2 (en) | 2002-11-28 | 2014-06-03 | Ntt Docomo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
| JP2006020266A (en) * | 2004-06-03 | 2006-01-19 | Ricoh Co Ltd | Communication method, communication permission server, and printing method |
| US7950053B2 (en) | 2004-10-12 | 2011-05-24 | Panasonic Corporation | Firewall system and firewall control method |
| JP4563135B2 (en) * | 2004-10-19 | 2010-10-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Gateway device |
| JP2006121209A (en) * | 2004-10-19 | 2006-05-11 | Ntt Communications Kk | Gateway unit |
| EP1686755A1 (en) | 2005-01-27 | 2006-08-02 | NEC Corporation | Filtering method and firewall system |
| JP4715920B2 (en) * | 2006-03-29 | 2011-07-06 | 富士通株式会社 | Setting method and management apparatus |
| JP2010140494A (en) * | 2010-01-05 | 2010-06-24 | Interlink:Kk | User information using system |
| JP2010220252A (en) * | 2010-06-09 | 2010-09-30 | Nec Corp | Mobile management system, mobile management server, mobile management method used therefor and program therefor |
| JP2013192160A (en) * | 2012-03-15 | 2013-09-26 | Nippon Telegraph & Telephone West Corp | Port opening closing control method by detecting presence of portable terminal within service area |
| JP2016525838A (en) * | 2013-07-24 | 2016-08-25 | 牟大同 | ENCRYPTED COMMUNICATION METHOD AND ENCRYPTED COMMUNICATION SYSTEM |
Also Published As
| Publication number | Publication date |
|---|---|
| GB9718374D0 (en) | 1997-11-05 |
| GB2316841A (en) | 1998-03-04 |
| GB2316841B (en) | 2001-03-28 |
| JP3662080B2 (en) | 2005-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3662080B2 (en) | Firewall dynamic control method | |
| JP3492865B2 (en) | Mobile computer device and packet encryption authentication method | |
| JP4349365B2 (en) | Control information transmission method, relay server, and controlled device | |
| US7743158B2 (en) | Access network dynamic firewall | |
| RU2270531C2 (en) | System and method for using ip-address as an identifier of wireless device | |
| US6591306B1 (en) | IP network access for portable devices | |
| US6507908B1 (en) | Secure communication with mobile hosts | |
| JP3855595B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION DEVICE | |
| US7925693B2 (en) | NAT access control with IPSec | |
| RU2316129C2 (en) | Safety in networks of arbitrary localization level | |
| US20060233144A1 (en) | Mobility support apparatus for mobile terminal | |
| JP2001356973A (en) | Network system | |
| JP2004180155A (en) | Communication control apparatus, firewall device, communication control system and data communication method | |
| JP2005518117A (en) | How to initiate a connection through a firewall and NAT | |
| JP2002514802A (en) | Automatic data redirection system exclusively for users | |
| KR20070117503A (en) | Method and system for remote access to universal plug and play devices | |
| JPH10136014A (en) | Packet inspection device, movable computer device and packet transfer method | |
| EP1244271A2 (en) | Key distribution system for protection of route-update notifications in micromobility networks | |
| JP4253569B2 (en) | Connection control system, connection control device, and connection management device | |
| EP1422909B1 (en) | Service control network system | |
| JP4429059B2 (en) | Communication control method and program, communication control system, and communication control related apparatus | |
| JP4495049B2 (en) | Packet communication service system, packet communication service method, edge side gateway device, and center side gateway device | |
| WO2003045034A1 (en) | Security of data through wireless access points supporting roaming | |
| US7827309B2 (en) | Information processing apparatus for concealing the identity of internet protocol addresses | |
| JP2005518762A (en) | Network connection blocking system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050322 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |