JPWO2013042412A1 - 通信システム、通信方法、及びプログラム - Google Patents

通信システム、通信方法、及びプログラム Download PDF

Info

Publication number
JPWO2013042412A1
JPWO2013042412A1 JP2013534614A JP2013534614A JPWO2013042412A1 JP WO2013042412 A1 JPWO2013042412 A1 JP WO2013042412A1 JP 2013534614 A JP2013534614 A JP 2013534614A JP 2013534614 A JP2013534614 A JP 2013534614A JP WO2013042412 A1 JPWO2013042412 A1 JP WO2013042412A1
Authority
JP
Japan
Prior art keywords
request
relay device
http
authentication
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013534614A
Other languages
English (en)
Inventor
伸介 吉垣
伸介 吉垣
幸治 塩谷
幸治 塩谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solution Innovators Ltd filed Critical NEC Solution Innovators Ltd
Priority to JP2013534614A priority Critical patent/JPWO2013042412A1/ja
Publication of JPWO2013042412A1 publication Critical patent/JPWO2013042412A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

通信システム100は、外部ネットワーク11に接続され、且つ、httpサーバとして機能する中継装置20と、LAN及び中継装置20に接続され、且つ、中継装置20に対して定期的にhttpリクエストを送信する中継装置30とを備えている。中継装置20は、端末10から要求を受け付けると、中継装置30からのhttpリクエストに対するhttpレスポンスに要求を含ませ、要求を含むhttpレスポンスを、中継装置30に送信する。中継装置30は、送信されてきたhttpレスポンスに含まれる要求を、LANに送信し、要求に対する応答データを受け取ると、応答データを含むhttpリクエストを作成し、作成したhttpリクエストを中継装置20に送信する。

Description

本発明は、LAN(Local Area Network)と外部ネットワークとの通信を行なうための通信システム、通信方法、及びこれらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。
近年、企業等においては、出張先又は自宅等にいる社員からの社内LANへのアクセスを許可するため、VPN(Virtual Private Network)を利用したシステムを導入している。このようなシステムは、社内LANとインターネットとの間に設置されたファイアウォールの設定を一部変更し、VPNパケットが一時的に通過できるようにして、アクセスを許可している。
また、特許文献1は、VPNを利用したシステムにおいて、セキュリティの向上を図る技術の一例を開示している。具体的には、特許文献1は、社内LAN以外のネットワークに接続されたときに、自動的に社内LANに対して、VPN接続を行なう端末装置を開示している。特許文献1に開示された端末では、VPN接続中は、VPN以外の通信路の使用が禁止されるため、当該端末と接続された別の端末が社内LANにアクセスできる事態が回避される。結果、セキュリティの向上が図られることになる。
特開2006−20089号公報
しかしながら、特許文献1に開示された技術を利用した場合であっても、ファイアウォールの設定の一部変更が必要となる。このため、管理者において、大きな負担となっている。また、特許文献1に開示された技術では、ファイアウォールの変更の際に予期せぬミスが発生すると、攻撃パケットが社内LANに浸入することが容易となるため、不正に認証情報等が取得されてしまう危険性が極めて高くなってしまう。
本発明の目的の一例は、上記問題を解消し、外部ネットワークからLANへの不正アクセスを防ぎ、情報の漏洩を抑制し得る、通信システム、通信方法、及びプログラム提供することにある。
上記目的を達成するため、本発明の一側面における通信システムは、ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
前記外部ネットワークに接続され、且つ、httpサーバとして機能する、第1の中継装置と、
前記ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する、第2の中継装置と、
を備え、
前記第1の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信し、
前記第2の中継装置は、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における通信方法は、外部ネットワークに接続され、且つ、httpサーバとして機能する第1の中継装置と、ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する第2の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
(a)前記第1の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信する、ステップと、
(b)前記第2の中継装置によって、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、ステップと、
を有することを特徴とする。
また、上記目的を達成するため、本発明の一側面における第1のコンピュータ読み取り可能な記録媒体は、ローカルエリアネットワークに接続されたhttpクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
(a)前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
(b)前記httpクライアントからのhttpリクエストを受信する、ステップと、
(c)前記(c)のステップで受信したhttpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記httpクライアントに送信する、ステップと、
を実行させる、命令を含むプログラムを記録していることを特徴とする。
更に、上記目的を達成するため、本発明の一側面における第2のコンピュータ読み取り可能な記録媒体は、外部ネットワークに接続されたhttpサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
(a)前記httpサーバに対して定期的にhttpリクエストを送信する、ステップと、
(b)前記httpサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記(a)のステップで送信した前記httpリクエストに対するhttpレスポンスに、前記要求を含ませ、前記要求を含む前記httpレスポンスを、送信した場合に、
送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
(c)前記(b)のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記(a)のステップで送信される前記httpリクエストに、前記応答データを含ませる、ステップと、
を実行させる、命令を含むプログラムを記録していることを特徴とする。
以上のように、本発明によれば、外部ネットワークからLANへの不正アクセスを防ぎ、情報の漏洩を抑制することができる。
図1は、本発明の実施の形態における通信システムの構成を示すブロック図である。 図2は、本発明の実施の形態における通信システムの動作を示すシーケンス図である。 図3は、本発明の実施の形態で用いられる中継装置を実現するコンピュータの一例を示すブロック図である。
(実施の形態)
以下、本発明の実施の形態における通信システム、通信方法、及びプログラムについて、図1〜図3を参照しながら説明する。
[システム構成]
最初に、本実施の形態における通信システム100の構成について説明する。図2は、本発明の実施の形態における通信システムの動作を示すフロー図である。
図1に示す本実施の形態における通信システム100は、LAN(Local Area Network)と外部ネットワークとの間の通信を行なうためのシステムである。図1に示すように、通信システム100は、中継装置20と、中継装置30とを備えている。
このうち、中継装置20は、インターネッド等の外部ネットワーク11に接続されており、外部ネットワーク11上の端末10(httpクライアント)に対して、httpサーバとして機能する。また、中継装置20は、中継装置30にも接続されており、中継装置30に対してもhttpサーバとして機能する。一方、中継装置30は、中継装置20だけでなく、企業の社内のLAN40にも接続されており、中継装置20に対して定期的にhttpリクエストを送信する、中継装置30も、中継装置20に対してはhttpクライアントとして機能する。
また、図1に示すように、中継装置20は、要求受付部21と、データ中継部22とを備えている。要求受付部21は、外部ネットワーク11上の端末10から要求を受け付ける。また、データ中継部22は、中継装置30からのhttpリクエストを受け取り、これに対するhttpレスポンスに、端末10からの要求を含ませる。そして、データ中継部22は、端末10からの要求を含むhttpレスポンスを、中継装置30に送信する。
更に、図1に示すように、中継装置30は、データ中継部31と、処理代理実行部32とを備えている。データ中継部31は、中継装置20からhttpレスポンスが送信されてくると、送信されてきたhttpレスポンスに含まれる要求を取り出し、これを処理代理実行部32に出力する。
処理代理実行部32は、出力されてきた要求を、LAN40に送信する。その後、処理代理実行部32は、LAN40から、要求に対する応答データを受け取ると、応答データを含むhttpリクエストを作成し、作成したhttpリクエストを中継装置20に送信する。
このように、本実施の形態では、外部ネットワーク11上の端末10とLAN40とのデータのやり取りは、中継装置20によって仲介されるhttpリクエストとhttpレスポンスとによってのみ行なわれる。このため、本実施の形態によれば、外部ネットワーク11からLAN40へのアクセスを一時的にでも許可する必要がなく、外部ネットワーク11からLAN40への不正アクセスを防ぐことができる。結果、従来のVPNシステムに比べて、いっそうの情報漏洩の抑制が図られる。
ここで、本実施の形態における通信システム10の構成について更に具体的に説明する。本実施の形態では、図1に示すように、中継装置20と中継装置30との間には、企業内LAN40のセキュリティを守るため、ファイアウォール50とプロキシサーバ60とが配置されている。本実施の形態では、上述したように、外部ネットワーク11からLAN40へのアクセスを一時的にでも許可する必要がなく、ファイアウォールの設定を変更する必要がない。
また、本実施の形態では、中継装置30は、中継装置20へのhttpリクエストの送信を一定時間毎に繰り返し実行する。そして、中継装置20は、中継装置30からhttpリクエストを受信すると、一旦、httpリクエストをプールし、設定時間が経過した場合に、httpレスポンスを返信する。このような処理とすることにより、中継装置20と中継装置30との通信処理を簡略化でき、両者における負荷を低減できる。
そして、端末10からきた要求は、中継装置30からのhttpリクエストの受信時を起点とする設定時間が経過するまでに受付けられると、中継装置20によって、このhttpリクエストに対するhttpレスポンスに含まされ、中継装置30に送られる。
また、本実施の形態では、図1に示すように、中継装置30は、端末10からの認証要求に対して認証処理を行なう認証処理部33と、認証情報データベース34とを備えている。認証処理部33と認証情報データベース34は、外部ネットワーク11上の端末10が、認証情報の送信によって認証を要求している場合に利用される。
具体的には、端末10が、認証の要求のため、認証情報を含むhttpレスポンスを中継装置20に送信すると、中継装置20が、この認証情報を含むhttpレスポンスを、中継装置30に送信する。
この場合、中継装置30において、認証処理部33は、送信されてきたhttpレスポンスに含まれる認証情報に基づいて認証を行なう。具体的には、認証処理部33は、認証情報データベース34にアクセスして、一致する認証情報が登録されているかどうかを判断する。登録されている場合、認証処理部33は、認証が成功であると判断する。
また、認証処理部33は、認証が成功していると判断する場合は、認証が成功したことを示す認証チケット35を作成する。この場合、データ中継部31は、認証チケット35を含むhttpリクエストを中継装置20に送信する。
また、この場合、認証処理部33は、作成した認証チケット35を公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された認証チケット35を含むhttpリクエストを中継装置20に送信しても良い。これにより、セキュリティの確保がよりいっそう確実となる。更に、本実施の形態では、認証チケット35には、セキュリティの低下を防ぐため、有効期限が設定されているのが好ましい。
そして、中継装置20において、データ中継部22は、認証チケット35を含むhttpリクエストが送信されてくると、これを取り出し、取り出した認証チケット35を、端末10からのhttpリクエストに対するhttpレスポンスに含ませ、これを送信する。これにより、端末30は、認証チケット35を取得する。
また、端末10は、認証チケット35を取得した場合は、これを提示して、LAN40に対して要求を行なうことができる。この場合、中継装置20において、データ中継部21は、認証チケット35とLAN40に対する処理要求とを含むhttpレスポンスを、中継装置30に送信する。
次に、中継装置30において、処理代理実行部32は、端末10が提示した認証チケット35と、中継装置30自体が先に送信した認証チケット35とが一致するかどうかを判定する。そして、処理代理実行部32は、一致すると判定する場合に、送信されてきたhttpレスポンスに含まれる処理要求を、LAN40に送信する。
このように、認証チケットが発行されると、端末30は、認証処理を行なうことなく、LAN40との間でデータをやり取りすることができるようになる。また、この場合においても、外部ネットワーク11からLAN40へのアクセスは一時的にでも許可されないので、外部ネットワーク11からLAN40への不正アクセスは防がれる。
[システム動作]
次に、本発明の実施の形態における通信システム100の動作について図2を用いて説明する。図2は、本発明の実施の形態における通信システムの動作を示すシーケンス図である。以下の説明においては、適宜図1を参酌する。また、本実施の形態1では、通信システム100を動作させることによって、通信方法法が実施される。よって、本実施の形態における通信方法の説明は、以下の通信システム100の動作説明に代える。
図2に示すように、先ず、中継装置30において、データ中継部31は、httpリクエストを中継装置20に送信する(ステップA1)。次に、中継装置20において、データ中継部22は、httpリクエストを受け取り、設定時間の間、これを保持する。そして、データ中継部22は、端末10から要求がなかった場合は、そのままhttpレスポンスを作成し、これを中継装置30に送信する(ステップA2)。
次に、中継装置30から中継装置20へとhttpレスポンスが送信された後に、外部ネットワーク11上の端末から、中継装置20へとhttpリクエストが送信されると、要求受付部21はこれを受信する(ステップA3)。
ステップA3において、このhttpリクエストには、端末10の利用者が入力した認証情報(ユーザID及びパスワード)が含まれている。よって、要求受付部21は、認証情報をデータ中継部22に送信する(ステップA4)。
また、ステップA2の実行後に、データ中継部31は、定期的にhttpリクエストを中継装置20に送信する(ステップA5)。よって、ステップA4が実行された時点で、データ中継部22は、httpリクエストを受信して待機している状態、又はhttpリクエストの受信を待っている状態にある。
次に、データ中継部22は、中継装置30のデータ中継部31が送信したhttpリクエストに対するhttpレスポンスに、認証情報を含ませ、これをデータ中継部31に送信する(ステップA6)。データ中継部31は、httpレスポンスを受信すると、認証情報を認証処理部33に送信する(ステップA7)。
次に、認証処理部33は、認証情報データベース34にアクセスする(ステップA8)。これにより、認証情報データベース34は、登録している情報を認証処理部33に送信する(ステップA9)。続いて、認証処理部33は、ステップA7で送信されてきた認証情報と、認証情報データベース34に登録されている情報とを比較し、両者が一致する場合は、認証すべきと判定する(ステップA10)。
ステップA10において認証すべきと判定する場合は、認証処理部33は、認証チケット35を発行し、これをデータ中継部31に送信する(ステップA11)。ステップA11では、認証処理部33は、認証チケット35を、公開鍵で復号化できるように秘密鍵で暗号化する。
次に、データ中継部31は、定期的に送信するhttpリクエストに、暗号化された認証チケットを含ませ、これを中継装置20に送信する(ステップA12)。
次に、データ中継部22は、データ中継部31からhttpリクエストを受信すると、それから認証チケットを取り出し、これを要求受付部21に送信する(ステップA13)。
次に、要求受付部21は、ステップA3で端末から送信さてきたhttpリクエストに対するhttpレスポンスに、認証チケットを含ませて、このhttpレスポンスを端末10に送信する(ステップA14)。その後、端末は、認証チケットを公開鍵で復号化し、復号化された認証チケットを保持する。
続いて、端末10のユーザがLAN40に対して処理要求を行なう場面を想定する。例えば、ユーザが、LAN40に接続されているデータベースから顧客情報等を取得したいと考えているとする。この場合、端末10は、ユーザの指示に応じて、処理要求と認証チケットとを含むhttpリクエストを中継装置20に送信する(ステップA15)。
次に、中継装置20において、要求受付部10は、端末10からhttpリクエストを受け取ると、認証チケットと処理要求とを取り出し、これらをデータ中継部22に送信する(ステップA16)。
データ中継部31、上述したように、定期的にhttpリクエストを中継装置20に送信している(ステップA17)。よって、ステップA16が実行された時点でも、データ中継部22は、httpリクエストを受信して待機している状態、又はhttpリクエストの受信を待っている状態にある。
従って、データ中継部22は、中継装置30のデータ中継部31が送信したhttpリクエストに対するhttpレスポンスに、認証チケットと処理要求とを含ませ、これをデータ中継部31に送信する(ステップA18)。
次に、データ中継部31は、httpレスポンスを受信すると、認証チケットと処理要求とを処理代理実行部32に送信する(ステップA19)。
次に、処理代理実行部32は、送信されてきた認証チケットと、認証処理部33がステップA10で発行した認証チケット35とが一致するかどうかを判定する。そして、処理代理実行部32は、一致すると判定する場合に、送信されてきたhttpレスポンスに含まれる処理要求を、LAN40に送信する(ステップA20)。
その後、LAN40内の処理が要求された装置から、処理結果(応答データ)が処理代理実行部32に送信される(ステップA21)。続いて、処理代理実行部32は、処理結果をデータ中継部31に送信する(ステップA22)。
次に、データ中継部31は、定期的に送信するhttpリクエストに、処理結果を含ませ、これを中継装置20に送信する(ステップA23)。
次に、データ中継部22は、データ中継部31からhttpリクエストを受信すると、それから処理結果を取り出し、これを要求受付部21に送信する(ステップA24)。
次に、要求受付部21は、ステップA15で端末から送信さてきたhttpリクエストに対するhttpレスポンスに、処理結果を含ませて、このhttpレスポンスを端末10に送信する(ステップA25)。その後、端末は、処理結果をユーザに提示する。
以上のように、本実施の形態では、外部ネットワーク11からLAN40へのアクセスは一時的にでも許可されないので、外部ネットワーク11からLAN40への不正アクセスを防ぐことができる。また、認証チケット35は、暗号化されて送信されるため、中継装置20から端末へのhttpレスポンスが不正に取得された場合にも対応できる。本実施の形態によれば、従来のVPNシステムに比べて、いっそうの情報漏洩の抑制が図られる。
また、上述の例では、認証情報として、ユーザIDとパスワードとが用いられているが、本実施の形態は、この例に限定されるものではない。認証情報としては、例えば、ワンタイムパスワード、ハッシュ値等を利用することもできる。
本実施の形態における第1のプログラムは、コンピュータに、図2に示すステップA2、A4、A6、A13、A14、A16、A18、A24、A25を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における中継装置20を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、要求受付部21、及びデータ中継部22として機能し、処理を行なう。
また、本実施の形態における第2のプログラムは、コンピュータに、図2に示すステップA1、A5、A7〜A12、A17、A19〜A23を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における中継装置30を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、データ中継部31、処理代理実行部32、及び認証処理部33として機能し、処理を行なう。また、コンピュータに備えられた記憶装置の記憶領域に、認証情報データベース34が構築される。
ここで、実施の形態における第1のプログラムを実行することによって中継装置20を実現するコンピュータと、第2のプログラムを実行することによって中継装置30を実現するコンピュータとについて図3を用いて説明する。図3は、本発明の実施の形態で用いられる中継装置を実現するコンピュータの一例を示すブロック図である。
図3に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記11)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
前記外部ネットワークに接続され、且つ、httpサーバとして機能する、第1の中継装置と、
前記ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する、第2の中継装置と、
を備え、
前記第1の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信し、
前記第2の中継装置は、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、
ことを特徴とする通信システム。
(付記2)
前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
前記第1の中継装置が、前記認証情報を含む前記httpレスポンスを、前記第2の中継装置に送信し、
前記第2の中継装置が、前記httpレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信し、
更に、前記第1の中継装置は、前記認証チケットを含む前記httpリクエストが送信されてくると、前記認証チケットを前記端末に送信する、
付記1に記載の通信システム。
(付記3)
前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
前記第1の中継装置が、前記認証チケットと前記要求とを含む前記httpレスポンスを、前記第2の中継装置に送信し、
前記第2の中継装置が、前記端末が提示した前記認証チケットと、当該第2の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記httpレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
付記2に記載の通信システム。
(付記4)
前記第2の中継装置が、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信する、
付記2または3に記載の通信システム。
(付記5)
前記第1の中継装置が、前記第2の中継装置からの前記httpリクエストの受信時を起点とする設定時間が経過するまでに受け付けた前記要求を、当該httpリクエストに対するhttpレスポンスに含ませる、付記1〜4のいずれかに記載の通信システム。
(付記6)
外部ネットワークに接続され、且つ、httpサーバとして機能する第1の中継装置と、ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する第2の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
(a)前記第1の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信する、ステップと、
(b)前記第2の中継装置によって、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、ステップと、
を有することを特徴とする通信方法。
(付記7)
前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
前記(a)のステップにおいて、前記第1の中継装置によって、前記認証情報を含む前記httpレスポンスを、前記第2の中継装置に送信し、更に、
(c)前記第2の中継装置によって、前記httpレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信する、ステップと、
(d)前記認証チケットを含む前記httpリクエストが送信されてくると、前記第1の中継装置によって、前記認証チケットを前記端末に送信する、ステップと、
を有する、付記6に記載の通信方法。
(付記8)
前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
前記(a)のステップで、前記第1の中継装置によって、前記認証チケットと前記要求とを含む前記httpレスポンスを、前記第2の中継装置に送信し、
前記(b)のステップで、前記第2の中継装置によって、前記端末が提示した前記認証チケットと、当該第2の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記httpレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
付記7に記載の通信方法。
(付記9)
前記(d)のステップにおいて、前記第2の中継装置によって、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信する、
付記7または8に記載の通信方法。
(付記10)
ローカルエリアネットワークに接続されたhttpクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
(a)前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
(b)前記httpクライアントからのhttpリクエストを受信する、ステップと、
(c)前記(c)のステップで受信したhttpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記httpクライアントに送信する、ステップと、
を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。
(付記11)
外部ネットワークに接続されたhttpサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
(a)前記httpサーバに対して定期的にhttpリクエストを送信する、ステップと、
(b)前記httpサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記(a)のステップで送信した前記httpリクエストに対するhttpレスポンスに、前記要求を含ませ、前記要求を含む前記httpレスポンスを、送信した場合に、
送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
(c)前記(b)のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記(a)のステップで送信される前記httpリクエストに、前記応答データを含ませる、ステップと、
を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年9月22日に出願された日本出願特願2011−207407を基礎とする優先権を主張し、その開示の全てをここに取り込む。
以上のように、本発明によれば、外部ネットワークからLANへの不正アクセスを防ぎ、情報の漏洩を抑制することができる。本発明は、携帯端末との間でのデータ通信が必要となる企業等のコンピュータシステムに有用である。
10 端末
11 外部ネットワーク
20 第1の中継装置
21 要求受付部
22 データ中継部
30 第2の中継装置
31 データ中継部
32 処理代理実行部
33 認証処理部
34 認証情報データベース
35 認証チケット
40 LAN
100 通信システム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
本発明は、LAN(Local Area Network)と外部ネットワークとの通信を行なうための通信システム、通信方法、及びこれらを実現するためのプログラムに関する。
また、上記目的を達成するため、本発明の一側面における第1のプログラムは、ローカルエリアネットワークに接続されたhttpクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムであって、
前記コンピュータに、
(a)前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
(b)前記httpクライアントからのhttpリクエストを受信する、ステップと、
(c)前記(c)のステップで受信したhttpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記httpクライアントに送信する、ステップと、
を実行させる、ことを特徴とする。
更に、上記目的を達成するため、本発明の一側面における第2のプログラムは、外部ネットワークに接続されたhttpサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムであって、
前記コンピュータに、
(a)前記httpサーバに対して定期的にhttpリクエストを送信する、ステップと、
(b)前記httpサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記(a)のステップで送信した前記httpリクエストに対するhttpレスポンスに、前記要求を含ませ、前記要求を含む前記httpレスポンスを、送信した場合に、
送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
(c)前記(b)のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記(a)のステップで送信される前記httpリクエストに、前記応答データを含ませる、ステップと、
を実行させる、ことを特徴とする。
(付記10)
ローカルエリアネットワークに接続されたhttpクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムであって、
前記コンピュータに、
(a)前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
(b)前記httpクライアントからのhttpリクエストを受信する、ステップと、
(c)前記(c)のステップで受信したhttpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記httpクライアントに送信する、ステップと、
を実行させる、プログラム。
(付記11)
外部ネットワークに接続されたhttpサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムであって、
前記コンピュータに、
(a)前記httpサーバに対して定期的にhttpリクエストを送信する、ステップと、
(b)前記httpサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記(a)のステップで送信した前記httpリクエストに対するhttpレスポンスに、前記要求を含ませ、前記要求を含む前記httpレスポンスを、送信した場合に、
送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
(c)前記(b)のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記(a)のステップで送信される前記httpリクエストに、前記応答データを含ませる、ステップと、
を実行させる、プログラム。

Claims (8)

  1. ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
    前記外部ネットワークに接続され、且つ、httpサーバとして機能する、第1の中継装置と、
    前記ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する、第2の中継装置と、
    を備え、
    前記第1の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信し、
    前記第2の中継装置は、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、
    ことを特徴とする通信システム。
  2. 前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
    前記第1の中継装置が、前記認証情報を含む前記httpレスポンスを、前記第2の中継装置に送信し、
    前記第2の中継装置が、前記httpレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信し、
    更に、前記第1の中継装置は、前記認証チケットを含む前記httpリクエストが送信されてくると、前記認証チケットを前記端末に送信する、
    請求項1に記載の通信システム。
  3. 前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
    前記第1の中継装置が、前記認証チケットと前記要求とを含む前記httpレスポンスを、前記第2の中継装置に送信し、
    前記第2の中継装置が、前記端末が提示した前記認証チケットと、当該第2の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記httpレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
    請求項2に記載の通信システム。
  4. 前記第2の中継装置が、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記httpリクエストを前記第1の中継装置に送信する、
    請求項2または3に記載の通信システム。
  5. 前記第1の中継装置が、前記第2の中継装置からの前記httpリクエストの受信時を起点とする設定時間が経過するまでに受け付けた前記要求を、当該httpリクエストに対するhttpレスポンスに含ませる、請求項1〜4のいずれかに記載の通信システム。
  6. 外部ネットワークに接続され、且つ、httpサーバとして機能する第1の中継装置と、ローカルエリアネットワーク及び前記第1の中継装置に接続され、且つ、前記第1の中継装置に対して定期的にhttpリクエストを送信する第2の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
    (a)前記第1の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第2の中継装置からの前記httpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記第2の中継装置に送信する、ステップと、
    (b)前記第2の中継装置によって、送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記httpリクエストを作成し、作成した前記httpリクエストを前記第1の中継装置に送信する、ステップと、
    を有することを特徴とする通信方法。
  7. ローカルエリアネットワークに接続されたhttpクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
    前記コンピュータに、
    (a)前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
    (b)前記httpクライアントからのhttpリクエストを受信する、ステップと、
    (c)前記(c)のステップで受信したhttpリクエストに対するhttpレスポンスに前記要求を含ませ、前記要求を含む前記httpレスポンスを、前記httpクライアントに送信する、ステップと、
    を実行させる命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。
  8. 外部ネットワークに接続されたhttpサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
    前記コンピュータに、
    (a)前記httpサーバに対して定期的にhttpリクエストを送信する、ステップと、
    (b)前記httpサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記(a)のステップで送信した前記httpリクエストに対するhttpレスポンスに、前記要求を含ませ、前記要求を含む前記httpレスポンスを、送信した場合に、
    送信されてきた前記httpレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
    (c)前記(b)のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記(a)のステップで送信される前記httpリクエストに、前記応答データを含ませる、ステップと、
    を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。
JP2013534614A 2011-09-22 2012-06-20 通信システム、通信方法、及びプログラム Pending JPWO2013042412A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013534614A JPWO2013042412A1 (ja) 2011-09-22 2012-06-20 通信システム、通信方法、及びプログラム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011207407 2011-09-22
JP2011207407 2011-09-22
JP2013534614A JPWO2013042412A1 (ja) 2011-09-22 2012-06-20 通信システム、通信方法、及びプログラム

Publications (1)

Publication Number Publication Date
JPWO2013042412A1 true JPWO2013042412A1 (ja) 2015-03-26

Family

ID=47914193

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013534614A Pending JPWO2013042412A1 (ja) 2011-09-22 2012-06-20 通信システム、通信方法、及びプログラム

Country Status (2)

Country Link
JP (1) JPWO2013042412A1 (ja)
WO (1) WO2013042412A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9306915B2 (en) * 2013-11-05 2016-04-05 General Electric Company Systems and methods for secure file transfers
JP6221803B2 (ja) * 2014-02-13 2017-11-01 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP7015498B2 (ja) * 2019-04-01 2022-02-03 e-Janネットワークス株式会社 通信システム、情報提供装置、プログラム及び情報提供方法
JP7304039B2 (ja) * 2019-04-01 2023-07-06 e-Janネットワークス株式会社 通信システム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003050756A (ja) * 2001-04-30 2003-02-21 Xerox Corp リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法
JP2005242740A (ja) * 2004-02-27 2005-09-08 Open Loop:Kk 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置
JP2005278144A (ja) * 2004-02-26 2005-10-06 Ricoh Co Ltd 通信装置、サービス提供方法、サービス提供プログラム及び記録媒体
WO2007039942A1 (ja) * 2005-10-06 2007-04-12 Mitsubishi Denki Kabushiki Kaisha 端末装置及びサーバ装置及び指令装置
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003050756A (ja) * 2001-04-30 2003-02-21 Xerox Corp リバースプロキシネットワーク通信方式及び内部ネットワーク装置にアクセスする方法
JP2005278144A (ja) * 2004-02-26 2005-10-06 Ricoh Co Ltd 通信装置、サービス提供方法、サービス提供プログラム及び記録媒体
JP2005242740A (ja) * 2004-02-27 2005-09-08 Open Loop:Kk 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置
WO2007039942A1 (ja) * 2005-10-06 2007-04-12 Mitsubishi Denki Kabushiki Kaisha 端末装置及びサーバ装置及び指令装置
JP2011186912A (ja) * 2010-03-10 2011-09-22 Fujitsu Ltd 中継処理方法、プログラム及び装置

Also Published As

Publication number Publication date
WO2013042412A1 (ja) 2013-03-28

Similar Documents

Publication Publication Date Title
US10958656B2 (en) Cloud-based device information storage
EP3420677B1 (en) System and method for service assisted mobile pairing of password-less computer login
US9769266B2 (en) Controlling access to resources on a network
US10003587B2 (en) Authority transfer system, method, and authentication server system by determining whether endpoints are in same or in different web domain
US9288213B2 (en) System and service providing apparatus
JP6098636B2 (ja) 情報処理装置、情報処理システム、情報処理方法及びプログラム
JP5429912B2 (ja) 認証システム、認証サーバ、サービス提供サーバ、認証方法、及びプログラム
US9762567B2 (en) Wireless communication of a user identifier and encrypted time-sensitive data
JP5831480B2 (ja) 携帯型情報端末装置、プログラム及びサービス利用システム
CN109510802B (zh) 鉴权方法、装置及系统
KR101541591B1 (ko) Vdi 환경에서의 싱글 사인온 시스템 및 방법
JP2007325274A (ja) プロセス間データ通信システムおよびプロセス間データ通信方法
JP2009032070A (ja) 認証システム及び認証方法
TW201337631A (zh) 機密資訊洩漏防止系統、機密資訊洩漏防止方法、及電腦可讀取之記錄媒體
JP6089111B2 (ja) 仮想フォルダを用いる保安コンテンツ管理装置及び方法
US20150271170A1 (en) Information processing apparatus, information processing system, information processing method, and recording medium
WO2013042412A1 (ja) 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体
US9716701B1 (en) Software as a service scanning system and method for scanning web traffic
JP5678150B2 (ja) ユーザ端末、鍵管理システム、及びプログラム
US20180013853A1 (en) Information processing device, information processing system, non-transitory computer-readable storage medium, and information processing method
JP2011100411A (ja) 認証代行サーバ装置、認証代行方法及びプログラム
JP2017183930A (ja) サーバ管理システム、サーバ装置、サーバ管理方法、及びプログラム
US20160028705A1 (en) Communication system and router
JPWO2020166066A1 (ja) トークン保護方法、認可システム、装置、及び、プログラム記録媒体
EP3289505B1 (en) Resumption of logon across reboots

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150121

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20150123

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150526