WO2004111864A1 - インターネットセキュア通信装置及び通信方法 - Google Patents
インターネットセキュア通信装置及び通信方法 Download PDFInfo
- Publication number
- WO2004111864A1 WO2004111864A1 PCT/JP2004/008183 JP2004008183W WO2004111864A1 WO 2004111864 A1 WO2004111864 A1 WO 2004111864A1 JP 2004008183 W JP2004008183 W JP 2004008183W WO 2004111864 A1 WO2004111864 A1 WO 2004111864A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- computer
- message
- bridge
- internet
- firewall
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Description
明細書 インターネットセキュア通信装置及び通信方法 技術分野
本発明は、 アプリケーションサービス · コンピューターがファイアウォールのよう なセキュリティ装置によって通常のインターネット ■アクセスから一般に保護される インターネットの使用において、 クライアント ■ コンピューターと、 アプリケーショ ンサービス . コンピューターとの間のインターネットセキュア通信装置及び通信方法 に関する。 背景技術
ネットワーク通信はファイアウォーノレや、 NAT (Ne t wo r k Ad d r e s s T r a n s l a t o r) のようなネットワークセキュリティ装置が、 常に拡大するコ ンピューターシステム . グノレープのインタ一ネッ トへのインタフェースとして使用さ れる限りにおいて、 複雑度を増してきている。 これらのセキュリティ装置によって明 らかになる重要な難題は、 セキュリティ装置によって NATやファイアウォールの"背 後"にある装置へ到達できないようにするため、 他の正当なユーザーは、 (しばしば、 遠隔手続き呼び出し又は〃 R P C〃通信による) サーバーとクライアントの間の広範囲 のアクセスが、 インターネットの通過に失敗することである。
リモートアクセス (例えば、 制限のない、 インスタントメ ッセージ、 I Pテレフォ ニーや、 セキュリティカメラのトラブル解決等) を必要とするアプリケーションは、 そのような接続性の難題が問題となる。 この点において、 そのようなタイプのアプリ ケ——ンョンに対するアプリケーション■サーバーは、 しばしばリモートマネジメント に対して、 Hy p e r T e x t T r a n s f e r P r o t o c o l (HT T P)のィ ンタフェースを実装する。 不幸にも、 そのようなアプリケーション ·サーバーは、 中 央のコンピューターメンテナンスグループから遠隔地に、 重要な企業アプリケーショ ンを実装しており、 それらのインターネットを用いたメンテナンスのインタフェース は、 対応するファイアウォールのため、 メンテナンス部門によって利用できないよう
になっている。 マネジメントインタフェースを使用する必要があるとき (そして皮肉 にも、 リモートマネジメントインタフェースは、 NA T /ファイアウォールによって プロックすること以外に使用される時) 、 企業の職員は、 それゆえにしばしば、 重要 な調整手続きを、 作用させるコンピューターのある場所に物理的に輸送する必要があ る。 もちろんこの点において、 ネットワークセキュリティは、 システムに実装された 調整基準として継続する必要がある。 しかし、 この継続したセキュリティのコストと お金は重要である。
(共にファイアウォールの背後にある) 2つのドメインの間の接続性が必要な時、 2つのドメイン上のアプリケーション間でメッセージを交換できるように、 システム 管理者はそのファイアウォールに、 あるポートを空ける必要がある。 このことは不幸 にも、 セキュリティの特徴を侵害するため、 大多数の客にとって容認できる解ではな い。
ファイアウォールと NA Tを通過する接続性は、 コストとセキュリティの観点から 強く望まれているにも関わらず、 そのような通信の中でもセキュリティが継続するよ うに、 それらの特定のプロトコルの要求に従ってそれらのセキュリティ装置にァクセ スするいまだ唯一の手段である必要がある。 必要なのは、 インターネットからフアイ ァウォールを通過するセキュリティアクセス ·アプリケーシヨンサーバーへの通り道 であり、 そのような便利で、 低コストのファイアウォール保護された L ANは、 イン ターネットを横切り、 ファイアウォールが許可された周りの、 セキュアな広く双方向 の通信を行うと認識されているそれらのアプリケーション■サーバーが必要な時に接 続される。 また、 インターネッ トを横断する広く双方向の通信の性能を可能にするた めにファイアゥォールを再構成する必要がないことが、 強く望まれる。
従来のネットワークシステムおよび方法は、 図 4に示すように、 H T T Pプロトコ ルに従うリクエストにデータを添付して送信するための H T T Pクライアン 1、機能 4 1 1が搭載された通信対象機器 4 1 0と、 それを操作しあるいは監視する管理装置と してのパソコン 4 2 0で構成され、 パソコン 4 2 0はインターネット 4 0 1に接続さ れ、 通信対象機器 4 1 0は企業のファイアウォール 4 3 0の内側に設置されている。 一般にファイアウォール 4 3 0は、 内側から外側に向けた H T T Pリクエス トのパケ ットと、 この H T T Pリクエストに対応する H T T Pレスポンスのバケツトを通過さ
れるように設定されている。 前述のように通信対象機器 410は HTTPクライアン ト機能 41 1を有しており、 HTTPリクエストとして GET又は PO STメソッド に送信したいデータを添付してパソコン 420に送信する。 この HTTPリクエス ト に対してパソコン 420が HTTPリクエストを返信すると、 前述のように HTT P レスポンスはファイアウォール 430を通過することができるので、 通信対象機器 4 10は、 パソコン 420からのレスポンスを受信することができる。 例えば、 特開 2 001 - 1 54953号公報 (第 4一 5頁、 第 3図) 。 解決課題
しかしながら、 従来のネットワークシステムおよび方法では、 ファイアウォールや NATを通過させたいアプリケーションを全て HTT Pプロ トコルに従ったアプリケ ーシヨンとして実装する必要があり、 すでに企業内に資産として保有する膨大なアブ リケーシヨンソフトウェアの資産を廃棄しなければならないという問題があった。 発明の開示
本発明は、 従来の問題を解決するためになされたものであり、 資産として存在する 膨大なアプリケーションを変更することなく、 ファイアウォールや NATを通過させ ることを可能とするインターネットセキュア通信装置、 および方法を提供することを 目的とする。 本発明の第 1の態様では、 メッセージ■ァドレス確認コンピューターに対する第 1 の任意のメッセージ、 およびアプリケーションサービス ■ コンピュータヘインターネ ットへのインタフェースおよび前記メッセージ ·ァドレス確認コンピューターへの前 記インターネッ トへのインタフェースを提供するファイアウォールトンネル · コンビ ユーターに対する第 2の任意のメッセージ、 に対して前記クライアント ■ コンビユー ターと前記アプリケーションサービス · コンピュータ一間の各コンピューター ·メッ セージ ·インスタンスを有効にする手段で構成され、 前記インターネットの使用を通 じて、 前記クライアント ■ コンピューターから前記アプリケーションサービス ■ コン ピューターにアクセスすることを特徴とする。
本発明の第 2の態様では、 前記第 1の任意のメッセージは、 前記クライアント - コ ンピューターの識別子に関連する前記ファイアウォールトンネル · コンピューターの 識別子で構成されることを特徴とする。 本発明の第 3の態様では、 前記第 1の任意のメッセージは、 さらに前記ファイアゥ オールトンネル · コンピューターの前記識別子と前記クライアント ' コンピューター の前記識別子に関連する前記アプリケーションサービス . コンピュータの識別子で構 成されることを特徴とする。 本発明の第 4の態様では、 前記識別子は、 前記アプリケーションサービス · コンビ ユーターの論理識別子で構成されることを特徴とする。 本発明の第 5の態様では、 前記識別子は、 前記アプリケーションサービス · コンビ ユーターのアプリケーションの論理識別子で構成されることを特徴とする。 本発明の第 6の態様では、 前記第 2の任意のメッセージは、 前記アプリケーション サービス · コンピューターの識別子で構成されることを特徴とする。 本発明の第 7の態様では、 前記第 2の任意のメッセージは、 さらに前記クライアン ト · コンピューターの識別子で構成されることを特徴とする。 本発明の第 8の態様では、 前記第 1の任意のメッセージは、 前記ファイアウォール トンネル . コンピューターによって前記メッセージ ·ァドレス確認コンピューター内 に定義されることを特徴とする。 本発明の第 9の態様では、 さらに、 前記アプリケーションサ ^ビス ' コンピュータ 一によつて前記クライアント · コンピューターのパスワードを有効にする手段を有す ることを特徴とする。
本発明の第 1 0の態様では、 さらに、 前記メッセージ ·ァドレス確認コンピュータ 一によつて前記ファイアウォールトンネル · コンピューターのパスヮードを有効にす る手段を有することを特徴とする。 本発明の第 1 1の態様では、 前記メッセージ■ァドレス確認コンピュータ一は、 第 1の所有者に所有される手段を有し、 前記アプリケーションサービス ■ コンピュータ 一と前記ファイアウォールトンネル · コンピュータ一は第 2の所有者に所有される手 段を有するとともに、 前記第 1の所有者と第 2の所有者は、 前記第 1の所有者が前記 第 1の任意のメッセージを編集しないようにすることを合意するように構成する手段 を有することを特徴とする。 本発明の第 1 2の態様では、 前記ファイアウォールトンネル ' コンピュータ一は、 外部への H T T Pプロ トコル通信が通過できるようにファイアウォールによって設定 されたファイアウォールのポートを通じてインターネットに接続するインタフェース を有し、 前記ファイアウォールは、 基本的に恒久的にいかなる内部への通信もブロッ クするように設定され、 前記ファイアウォールを通過する双方向のメッセージを許可 するように前記ファイアウォールのポートを再設定することが必要でないように、 内 部への通信は前記外部への通信と相互的でないことを特徴とする。
この構成により、 アプリケ一ションサービス · コンピューターにアクセスする各々 のクライアント - コンピューターをアプリケーションの論理識別子とクライアント - コンピューターの識別子を対応させてァドレス毎に識別し、 パスワードで管理するこ とができる。 また、 クライアント · コンピューターからアプリケーションサービス ■ コンピューターへのアクセスを H T T Pプロ トコル通信を用いてプリッジするため、 ファイアウォールのセキュリティ設定を損なうことなく、 安全に通信することができ る。 本発明の第 1 3の様態では、 アプリケーションサービス ■ コンピューターとインタ 一ネッ トへのデータ通信を行うファイアウォールトンネル ' コンピューターと、 前記
インターネッ トから前記ファイアウォールトンネル · コンピュータへのデータ通信を 行い、 前記インターネットからクライアント · コンピューターへのデータ通信を行う メッセージ · ァドレス確認コンピューターと、 前記メッセージ■ ァドレス確認コンビ ユーター内の第 1の任意のデータベース、 および前記ファイアウォールトンネル ' コ ンピューター内の第 2の任意のデータベースに対する、 前記クライアント · コンビュ 一ターと前記アプリケーションサービス · コンピュータ一間の前記通信の各コンビュ 一ターメッセージのインスタンスの検証手段で構成され、 前記インターネットの使用 を通じて、 前記クライアント ■ コンピューターから前記アプリケーションサービス ■ コンピューターにアクセスすることを特徴とする。 本発明の第 1 4の様態では、 前記第 1の任意のメッセージのデータベースは、 前記 クライアント ■ コンピューターに対する識別子に関連した、 前記ファイアウォールト ンネル . コンピューターに対する識別子を有するデータレコードで構成し、 前記デー タレコードのァドレスは前記ファイアウォールトンネル · コンピュータから、 前記第 1の任意のデータベースのメッセージの中に定義されることを特徴とする。 本発明の第 1 5の様態では、 前記データレコードは、 さらに前記アプリケーション サービス ■ コンピューターに対する識別子で構成することを特徴とする。 本発明の第 1 6の様態では、 前記第 2の任意のメッセージのデータベースは、 前記 アプリケーションサービス ■ コンピューターに対する識別子を有するデータレコード で構成されることを特徴とする。 本発明の第 1 7の様態では、 前記第 2の任意のメッセージのデータベースは、 さら に前記クライアント · コンピューターに対する識別子を有することを特徴とする。 この構成により、 クライアント ' コンピューターの識別子と、 ファイアウォーノレト ンネル . コンピューターの識別子と、 アプリケーションサービス · コンピューターの 識別子をデータレコードとして持つデータベースで管理し、 各メッセージのィンスタ
ンスを検証する手段を有するようにしたため、 メッセージの有効性を検証することが できる。 本発明の第 1 8の様態では、 アプリケーションサービス · コンピューター、 および ィンターネットとデータ通信を行う、 ファイアウォールトンネル · コンピューターで あって、 前記ファイアウォールトンネル · コンピュータ一は、 クライアント · コンビ ユーターと前記アプリケーションサービス · コンピューターとの間の前記データ通信 の各コンピューターメッセージのインスタンスを有効にするようにプログラムされて おり、 前記インターネットから前記ファイアウォールトンネル · コンピューターへの データ通信と、 前記インターネットから前記クライアント · コンピューターへのデー タ通信を行うメッセージ ·ァドレス確認コンピューターであって、 前記メッセージ - アドレス確認コンピュータ一は、 前記クライアント ■ コンピューターと、 前記アプリ ケーシヨンサービス ■ コンピューターとの間の前記データ通信の各コンピューターメ ッセージのィンスタンスを有効にするようにプログラムされており、 前記ィンターネ ットの使用を通じて、 前記クライアント ■ コンピューターから前記アプリケーション サービス · コンピューターへアクセスすることを特徴とする。 本発明の第 1 9の様態では、 前記メッセージ■ァドレス確認コンピュータ一は、 前 記クライアント · コンピューターに対する識別子と関連した、 前記ファイアウォール トンネル■ コンピューターに対する識別子を有する任意のデータベースを有すること を特徴とする。 本発明の第 2 0の様態では、 前記メッセージ ' アドレス確認コンピューターと、 前 記ファイアウォールトンネル . コンピュータ一は、 前記ファイアウォールトンネル - コンピューターが、 前記メッセージ■アドレス確認コンピューターの中にある、 前記 任意のデータベースを変更することを可能にするようにプログラムされていることを 特徴とする。 この構成により、 本発明をプログラムしたインターネットセキュア通信装置を実現
することができる。 本発明の第 2 1の様態では、 メッセージ ·ァドレス確認コンピューター内の第 1の 任意のメッセージ、 およびファイアウォールトンネル ' コンピューター内の第 2の任 意のメッセージに対する、 クライアント · コンピューターとアプリケーションサービ ス · コンピューターとの間の各コンピューターメッセージのインスタンスを有効にす る手段を有し、 前記ファイアウォールトンネル ' コンピュータ一は、 前記インターネ ットとのインタフェースを有し、 前記メッセージ ·ァドレス確認コンピュータ一は、 前記インターネットとのインタフェースを有し、 前記インターネットの使用を通じて、 前記クライアント · コンピューターから、 前記アプリケーションサービス ■ コンビュ 一ターへアクセスすることを特徴とする。 本発明の第 2 2の様態では、 さらに、 前記ファイアウォールトンネル ' コンビユー ターによって、 前記第 1の任意のメッセージを定義する手段を有することを特徴とす る。 この構成により、 クライアント ■ コンピューターおよびアプリケーションサービス • コンピュータ一は、 ファイアウォールトンネル · コンピューターとメッセージ · 了 ドレス確^ ·コンピューターを経由して、 インターネットにアクセスすることができる。 本発明の第 2 3の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 ブリッジ ' コンピューターのプログラムを実行し、 前記アプリケーションサービス · コンピューターの中のアプリケーション ·プログラムは、 前記メッセージ ·ァドレス 確認コンピューターによって、 H T T Pメッセージ配送メカニズムが生成されるよう に、 前記ブリッジ · コンピューターのプログラムを制御することを特徴とする。 本発明の第 2 4の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 ブリッジ ' コンピューターのプログラムを実行し、 前記ブリッジ · コンピューターの プログラムは、 前記メッセージ ·ァドレス確認コンピューターへの H T T P接続の開
始、 および前記アプリケーションサービス ' コンピューターへの HTTP接続の開始 によって、 プリッジ■ コンピューターのソフトウエアのィンスタンスを生成し、 前記 メッセージ ·ァドレス確認コンピュータ一は前記プリッジ■ コンピューターのソフト ウェアのインスタンスを認証することを特徴とする。 本発明の第 25の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 プリッジ■ コンピューターのプログラムを実行し、 前記ブリッジ · コンピューターの プログラムは、 前記メッセージ■ァドレス確認コンピューターへの HTTP接続の開 始、 および前記アプリケーションサービス ■ コンピューターへの HTT P接続の開始 によって、 プリッジ · コンピューターのソフトウエアのィンスタンスを生成し、 前記 ブリッジ ' コンピューターのプログラムは、 各々の前記 HTTP接続に対して定義さ れた、 送信メッセージ 'バッファと受信メッセージ■バッファからなる一対のメッセ ージ ·バッファを定義し、 前記一対のメッセージ ·バッファは、 メッセージを前記メ ッセージ .アドレス確認コンピューター内で実行されているブリッジサービスのプロ グラムと、 前記アプリケーションサービス · コンピューター内で実行されているプリ ッジサービス ·サーバーのプログラムの間を双方向に転送することを特徴とする。 この構成により、 アプリケーションサービス · コンピューターのアプリケーション は、 ファイアウォールトンネル · コンピューターとメッセージ■ァドレス確認コンビ ユーターが HTTPプロ トコルで接続されるように制御し、 ファイアウォー/レトンネ ル · コンピューターとアプリケーションサービス · コンピューターのアプリケーショ ンは、 HTTPプロ トコルによりブリッジ接続し、 ブリッジ ' コンピューターのプロ グラムは、 送受信メッセージ 'バッファを定義し、 メッセージ 'バッファを用いてメ ッセージ■ ァドレス確認コンピューターとファイアゥォールトンネル · コンピュータ 一を双方向に転送することができる。 本発明の第 26の様態では、 前記ファイアウォールトンネル ' コンピュータ は、 トランスポート層とメッセージ処理層を持つプリッジ · コンピューターのプログラム を実行し、 前記トランスポート層は、 前記メッセージ 'アドレス確認コンピューター
へ第 1の H T T P接続および、 前記アプリケーションサービス ■ コンピューターへ第 2の H T T P接続を開始し、 前記メッセージ処理層は、 各々の前記 H T T P接続に対 して定義された、 送信メッセージ ·バッファと受信メッセ ジ■バッファからなる一 対のメッセージ 'バッファを定義し、 前記トランスポート層は、 前記メッセージ -ァ ドレス確認コンピューターから前記第 1の接続を経由する通信の第 1のメッセージを 検索し、 前記メッセージ処理層は、 前記第 1のメッセージに書かれた許可ルールを実 行し、 前記メッセージ処理層は、 前記第 1のメッセージを前記第 1の接続の受信メッ セージ ·バッファから前記第 2の接続の送信メッセージ ·バッファへ移動し、 前記ト ランスポート層は、 前記第 2の接続を経由して、 前記アプリケーションサービス - コ ンピュータ' ■前記第 1のメッセージを送信し、 前記トランスポート層は、 前記ァプ リケーシヨンサービス · コンピューターから前記第 2の接続を経由する通信の第 2の メッセージを検索し、 前記メッセージ処理層は前記第 2のメッセージに書かれた許可 ルールを実行し、 前記メッセージ処理層は、 前記第 2のメッセージを前記第 2の接続 の受信メッセージ ·バッファから前記第 1の接続の送信メッセージ■バッファへ移動 し、 前記トランスポート層は、 前記第 1の接続を経由して、 前記メッセージ 'ァドレ ス確認コンピューターへ前記第 1のメッセージを送信することを特徴とする。 本発明の第 2 7の様態では、 前記通信中のメッセージは、 異なるアプリケーション に対して、 各々異なるプロ トコルが組み立てられていることを特徴とする。 本発明の第 2 8の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメッセージ処理層を持つブリッジ · コンピューターのプログラム を実行し、 前記トランスポート層は、 前記メッセージ ' アドレス確認コンピューター への多数のメッセージと、 前記アプリケーションサービス · コンピューターベの多数 のメッセージを多重化送信することを特徴とする。 本発明の第 2 9の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメッセージ処理層を持つプリッジ · コンピューターのプログラム を実行し、 前記トランスポート層は、 前記メッセージ ' アドレス確認コンピューター
内のブリッジサービス ·プログラムからの多数のメッセージ、 および前記アプリケー シヨンサービス · コンピューターからの多数のメッセージを多重化受信することを特 徴する。 この構成により、 ファイアウォールトンネル ' コンピュータ一は、 メッセージ 'ァ ドレス確認コンピューターとアプリケーションサービス · コンピュータ一の間に、 プ 口トコルごとに異なるメッセージを生成して 1つの H T T P接続を開始し、 異なるプ 口トコノレ . メッセージを 1つの H T T P接続で多重化通信を行うことができる。 本発明の第 3 0の様態では、 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメッセージ処理層を持つブリッジ · コンピューターのプログラム を実行し、 前記トランスポート層は、 前記メッセージ ' アドレス確認コンピューター と十分な多数の H T T P接続、 および前記アプリケーシヨンサービス · コンピュータ 一と十分な多数の H T T P接続を生成し、 全てのメッセージのレイテンシ一は、 予め 定義されたレイテンシー値の範囲内で持続し、 全てのメッセージのスループットは予 め定義されたスループット値の範囲内で持続することを特徴とする。. この構成により、 メッセージ - ァドレス確認コンピューターとアプリケーションサ 一ビス ■ コンピューターの間の H T T P接続に対して、 メッセージのレイテンシ一と スループットを保証することができる。 本発明の第 3 1の様態では、 多数のファイアウォールトンネル ' コンピュータ一は、 前記メッセージ ·ァドレス確認コンピューターと通信し、 各々のファイアウォールト ンネル . コンピュータ一は、 前記メッセージを可能にするブリッジコンピューター - プログラムを実行することを特徴とする。 本発明の第 3 2の様態では、 多数のファイアウォールトンネル ' コンピュータ一は、 前記メッセージ · ァドレス確認コンピューターと通信し、 各々のファイアウォールト ンネル■ コンピュータ一は、 前記メッセージを可能にするブリッジコンピューター '
プログラムを実行し、 前記メッセージ · アドレス確認コンピュータ一は、 前記多数の ファイアウォールトンネル · コンピュータ一内のブリッジコンピューター ·プログラ ムと通信するプリッジサービス ·プログラムを実行することを特徴とする。 この構成により、 ファイアウォールトンネル · コンピューターおよぴメッセージ■ アドレス確認コンピューターの機能をプログラムで実現することができる。 本発明の第 3 3の様態では、 各コンピューターメッセージのインスタンスを有効に する手段は、 さらに各々の前記ファイアウォールトンネル ' コンピューター内のブリ ッジコンピューター■プログラムと、 前記メッセージ■ァドレス確認コンピューター 内のブリッジサービス ·プログラムで構成され、 前記ブリッジサ一ビス 'プログラム は、 各前記ブリッジコンピューター ·プログラムに対して、 送信メッセージ■パッフ ァを定義し、 前記プリッジサービス■プログラムは、 その各々の前記送信メッセージ •バッファ内の各前記ブリッジコンピューター ·プログラムと通信する各メッセージ
本発明の第 3 4の様態では、 前記プリッジサービス ·プログラムは、 1つのブリッ ジコンピューター ·プログラムから送信された多数のメッセージをバッファすること を特徴とする。 この構成により、 ブリッジサービス 'プログラムは多数のメッセージをバッファし て多重化処理を行うことができる。 本発明の第 3 5の様態では、 各コンピューターメッセージのインスタンスを有効に する手段は、 さらに各々の前記ファイアウォールトンネル ' コンピューター内のブリ ッジコンピューター■プログラムと、 前記メッセージ ·ァドレス確認コンピューター 内のプリッジサービス ■プログラムで構成され、 前記プリッジサービス ■プログラム は、 各プリッジコンピューター ·プログラムによって送信された多数のメッセージを 受け入れることが可能であり、 前記プリッジサービス ·プログラムは、 各前記プリッ
ジコンピューター■プログラムに対して送信メッセージ ·バッファを定義し、 前記ブ リッジサービス ·プログラムは、 その各々の前記送信メッセージ■バッファ内の各前 記ブリッジコンピューター■プログラムと通信する各メッセージ · ィンスタンスをバ ッファし、 前記プリッジサービス ·プログラムは、 各メッセージを同一数のアプリケ ーションメッセージキューに転送することを特徴とする。 この構成により、 ブリッジコンピューター ·プログラムとブリッジサービス■プロ グラムは、 相互にメッセージを交換して通信し、 アプリケ^"シヨンごとにメッセージ キューを保持して処理することができる。 図面の簡単な説明
図 1は、 本発明の実施の形態における、 インターネットの使用を通じたメッセージ
•ィンスタンスを接続するコンピューターネッ トワーク、 メッセージ . ァドレス確認 コンピューターと、 ファイアウォールトンネル ' コンピューターの概略構成を示すブ 口ック図である。
図 2は、 本発明の実施の形態における、 図 1のネットワークに従って登場するメッ セージ管理に対するソフトウェアブリッジ ·アーキテクチャを示すブロック図である。 図 3は、 本発明の実施の形態における、 第 1の情報処理プラットフォ一ム (I P P ) と第 2の情報処理プラットフォーム (I P P ) 間の相互メッセージ詳細を示すブ 口ック図である。
図 4は、 従来のネットワークシステムおよび方法の概略構成を示すブロック図であ る。 発明を実施するための最良の形態
以下、 本発明の実施の形態のインターネットセキュア通信装置、 および方法につい て図面を用いて説明する。
発明の概略としては、 (インターネットに接続する正当なユーザーとして、 メッセ ージ ·ァドレス確認コンピューターに認識されるプリッジコンピューターが走行す る) ファイアウォールトンネル ' コンピュータ一は、 クライアント . コンピューター
とアプリケーションサ—ビス · コンピューターとの間のファイアウォールで保護され た通常のセキュア通信を行うインターネットと (あるいは、 比喩的にいえばトンネル を通過して) インタフェースを取る。 メッセージ ' アドレス確認コンピュータ一は、 正当なインターネット接続ユーザーとしてクライアント ■ コンピューターとファイア ウォールトンネル ' コンピューターに認識されたもののみ、 インターネッ トに接続す る。 クライアント · コンピューター、 ファイアウォールトンネノレ■ コンピューター、 およぴメッセージ .了ドレス確認コンピュータ一は、 グループ内の職員に高く信頼さ れた企業内の機能グループに所属することが望ましい。 そのようなグループの例とし ては、 ある企業内のオペレーション '管理'保守サービス (O A &M) グループとし て任命されたコンピューターグループが挙げられる。
任意のメッセージ■データは、 メッセージ ·ァドレス確認コンピューター内のデー タベースとしてよりも、 ファイアウォールトンネル · コンピューター内のデータべ一 スとして確立される。 クライアント ■ コンピューターからアプリケーションサービス ■ コンピューターへ通信するコンピュータ一メッセージの各々のィンスタンスは、 そ の後、 メッセージ 'アドレス確認コンピューターのデータベース (第 1の任意のデー タベース) に対する確認プロセス (第 1の任意のメッセージの確認) を経て、 アプリ ケーションサービス ■ コンピューターのファイアウォーノレトンネノレ■ コンピューター のデータベース (第 2の任意のデータベース) に対する確認プロセス (第 2の任意の メッセージの確認) を通過して、 そこからアプリケーションサービス ' コンピュータ 一に到達する。 アプリケ一ションサービス ■ コンピューターからクライアント ' コン ピューターへ通信するコンピューターメッセージの各々のィンスタンスは、 アプリケ ーシヨンサービス · コンピューターのデータベースに対する確認プロセスを経て、 メ ッセージ · ァドレス確認コンピューターのデータベースに対する確認プロセスと、 ク ライアント ■ コンピューターのファイアウォーノレトンネノレ · コンピューターのデータ ベースに対する確認プロセスを通過して、 クライアント · コンピューターに到達する, O A &Mセンターのメッセージ · ァドレス確認コンピューターのデータベースは基 本的に、 ファイアウォールトンネル ' コンピューターのシステム管理 (第 1の所有 者) 者の管理下にある。 これらのいかなるシステム管理者も、 かれらのファイアゥォ 一ノレトンネル' · コンピューターから O A &Mセンターへログインし、 (メッセージ ·
アドレス確認、コンピューター内のデータベースに、 ) OA&Mセンター内のメッセ一 ジ -ァドレス確認コンピューターと、 アプリケーションサービス · コンピューター、 ファイアウォールトンネル ' コンピューター、 およびシステム管理者 (第 2の所有 者) の LAN内にあるファイアウォールトンネノレ■ コンピューターとの間をブリッジ する任意のメッセージを生成する。 このことは、 OA&Mセンター内のメッセージ ' ァドレス確 コンピューターからアプリケーションサービス ■ コンピューターへのァ クセス経路を提供する。 接続性が確立された後、 OA&Mクライアント ' コンビユー ターは、 システム管理者によって作られた、 OA&Mセンター内のメッセージ 'アド レス確認コンピューターから、 ファイアウォールトンネル ' コンピューターを経由し て、 アプリケーションサービス ■ コンピューターに続く"トンネル"を用いてアプリケ ーシヨンサービス ■ コンピューターにアクセスする。 システム管理者は又、 ファイア ウォールトンネル · コンピューター内に、 OA&Mセンター内のメッセージ■ァドレ ス確認コンピューターからの任意のメッセージを許可する。 クライアント · コンビュ 一ターとアプリケーションサービス · コンピューターとの間の各々のメッセージ■ィ ンスタンスは、 インターネット接続可能なプリッジ機能を有効にするコンピューター (OA&Mセンター内のファイアウォールトンネ/レ · コンピューターとメッセージ · ァドレス確認コンピューター) の任意のメッセージからの確認を受ける。
図 1はィンターネット 104の使用を通じたメッセージ■インスタンスを接続する コンピューターネットワーク 100、 メッセージ '了ドレス確 コンピューター 10 8と、 ファイアウォーノレトンネノレ■ コンピューター 1 1 2の概略構成を示すプロック 図である。 クライアント ■ コンピューター 1 1 6と、 アプリケーシヨンサービス · コ ンピューター 1 20は、 インターネット 104からのメッセージを交換する。 保護さ れたファイアウォール 124は、 (LAN 1と LAN 2が相互接続された) ローカル エリァネットワーク 1 28をインターネット 104への通常のアクセスから保護する, クライアント ' コンピューター 1 32は、 (1つの実装として、 LAN1 36は企業 イントラネット 1 36である) LAN 1 36を経由して、 メッセージ 'アドレス確認 コンピューター 1 08とインターネット 104に接続している。 ファイアウォール 1 48は、 第 2のクライアント · コンピュータ一 1 32、 メッセージ ·ァドレス確認、コ ンピューター 1 08, および LAN1 36をィンターネット 104への通常のァクセ
スから保護する。 アプリケーションサービス ' コンピューター 1 2 0は、 アプリケー シヨン 1 6 0とアプリケーション 1 5 8を実行する。 アプリケーシヨンサービス - コ ンピューター 1 2 0はまた、 プリッジサービス ·サーバー 1 5 2を実行する。 プリッ ジサービス ·サーバー 1 5 2は、 ファイアウォールトンネル■ コンピューター 1 1 2 (および、 メッセージ ' アドレス確認コンピューター 1 0 8 ) を経由して、 クライア ント (例えば、 クライアント ' コンピューター 1 1 6 ) から受信したメッセージ ·ィ ンスタンスに応答して、 メッセージ ·インスタンスにファイアウォールトンネル■ コ ンピューター 1 1 2への経路を指示する。
メッセージ■ァドレス確認、コンピューター 1 0 8は、 むしろインターネット 1 0 4 の正当なユーザーとして特定のクライアント (例えばクライアント 1 1 6 ) とそのフ アイァウォールトンネル · コンピューター (例えばファイアウォールトンネル · コン ピューター 1 1 2 ) を認識するためだけに、 H T T P S (H T T Pセキュアプロトコ ル) を経由してインターネット 1 0 4に接続する。 これらの H T T Pセキュアプロ ト コルのィンターネッ ト 1 0 4への"トンネノレ"アクセスは、 ファイアウォーノレ 1 2 4の トンネル接続 1 4 0と、 ファイアウォール 1 4 8のトンネル接続 1 4 4に象徴的に図 示される。 関連して、 ファイアウォール 1 2 4のトンネル接続 1 4 0と、 ファイアゥ オール 1 4 8のトンネル接続 1 4 4は、 それらに対応するファイアウォールを物理的 にバイパスし、 この明細書に記述されているように、 メッセージごとのアドレスの任 意の正当な方法論によって、 セキュリティをデータ的に支持する。 H T T Pセキュア プロトコルの代わりに、 別の実装では、 ネットワークの所有者の特定の要望に対して、 喑号のアプローチが適切なセキュリティを提供する。 1つの実装では、 個別にポート の設定が可能なファイアウォールの 1つのポートは、 H T T Pプロ トコル接続のため に空けられ、 メッセージ ' アドレス確認コンピューター 1 0 8および/又は、 フアイ ァウォールトンネル · コンピューター 1 1 2は、 H T T Pプロトコルに設定されたポ 一トに単一の接続を提供する。
ファイアウォーノレトンネノレ■ コンピューター 1 1 2のシステム管理者 1 1 4は、 必 要な認証とプライバシーを満たしてメッセージ ·ァドレス確認コンピューター 1 0 8 にログインした後、 メッセージ . ァドレス確認コンピューター 1 0 8とアプリケーシ ヨンサービス · コンピューター 1 2 0の間に"トンネル を生成する。 システム管理者
は基本的に、 メッセージ 'アドレス確認コンピューター 1 0 8への接続の全てを制御 し、 行動の自由に於いて、 物理的あるいはデータ的な接続を終端する。 接続はフアイ ァウォール 1 2 4のいかなるポートを空けることを要求しないため、 企業ネットヮー ク 1 2 8は、 外部のアタッカーから保護される。 アプリケーションサービス · コンビ ユーター 1 20と、 メッセージ■ァドレス確認コンピューター 1 0 8との間に一度ト ンネルか確立されると、 メッセージ ·ァドレス確認コンピューター 1 0 8のクライア ント (クライアント ■ コンピューター 1 1 6や、 クライアント · コンピューター 1 3 2などの OA&Mクライアント) は、 メッセージ -アドレス確認コンピューター 1 0 8と (ファイアウォールトンネル ' コンピューター 1 1 2によって許可された) ファ ィァウォールトンネル 1 4 0を経由して、 アプリケーションサービス · コンピュータ - 1 2 0にアクセスする。
システム全体のデザィンは、 HTT P上に走行するキューメカニズムがベースとな る。 =v "ユー -ノヽラタづ ムは、 c r e a t e Qu e u e O, r emo v e Qu e u e O, s e n d S y n c h O, s e n dA s y n c h O メッセージといったシンプ/レなプ リミティブを提供する。 〃タイムァゥトにより引き抜く〃と 最大数のメッセージを回復 する"は、 クライアントにメッセージ■インスタンスを突き戻すために使用される。
S e s s i o n l n B o x, Ma x N umb e r u f M s g s , T i m e O u t の優先属性形式の中のプリミティブな g e tMe s s a g e s コマンドは、 アプリケ ーション ·キューにァドレスされたメッセージを回復するために使用される。 1つ又 は (最大限の) 複数のメッセージに含まれる返信メッセージは、 適切なキュー (とそ れらのキューで処理要求を待つアプリケーション) に発送される。
各メッセージは、 メッセージ .ボディとメッセージ ·ヘッダを運ぶ封筒を含んでい る。 ファイアウォールトンネル · コンピューター 1 1 2で実行されるブリッジ · ソフ トウエアは、 一つの実装ではスタンドアロン 'プログラムとして走行する。 別の実装 では、 ブリッジ · ソフトウェアは、 ブラウザ内の署名されたァプレットとして走行す る。 1つの実装では、 ァプレットバージョンのブリッジ ' ソフトウェアは、 インター ネット ·エクスプローラ一内で実行し、 マイクロソフト J VMあるいはサン J a v a プラグインと一緒に機能する。
メッセージ ·ァドレス確認コンピューター 1 0 8のデータベースの任意の構造は、
最小で、 各々のデータレコードがファイアウォールトンネル · コンピューター 1 1 2 とクライアント · コンピューター 1 1 6 (あるいは、 クライアント ■ コンピューター 1 32) を任意の対のァドレスとして区別する 1セットのデータレコードで構成され る。 もう 1つの実装では、 ファイアウォールトンネル . コンピューター 1 1 2とクラ イアント ' コンピューター 1 1 6 (あるいはクライアント . コンピューター 1 32) のァドレスの任意の識別子は、 アプリケーションサービス ■ コンピューター 1 20の 任意のアドレスによって 3つ揃いに拡張される。 さらに別の実装では、 アプリケーシ ョンサービス · コンピューター 1 20の任意のァドレスは、 特定のアプリケーション 160又は、 1 58で任意の識別子に、 さらに拡張される。
ファイアゥォ一ノレトンネノレ■ コンピューター 1 1 2のデータベースの任意の構造は、 最小で、 各々のデータレコードがアプリケーションサービス . コンピューター 1 20 の任意のァドレスとして区別する 1セッ トのデータレコードで構成される。 別の実装 では、 アプリケーションサービス ' コンピューター 1 20の任意の識別子は、 クライ アント ' コンピューター 1 1 6 (あるいは 1 32) のアドレスの任意の識別子によつ て拡張される。 さらに別の実装では、 アプリケーションサービス ' コンピューター 1 20の任意のァドレスは、 特定のアプリケーション 1 60又は 1 58の任意の識別子 によって、 さらに拡張される。
アプリケーションサービス · コンピューター 1 20上のプリッジサービス ·サーバ 一 1 52は、 オプションでパスワード保護、 任意のアドレス識別子確認、 又は特有の アプリケーション (1 58、 1 60) が要求するようなものを実行する。
図 2は、 図 1のネットワークに従って登場するメッセージ管理に対するソフトウェ アブリッジ 'アーキテクチャ 200を示すものである。 トンネル (140, 144) の両側のプリッジ 'サービス 204, 208は、 ィンターネット 1 04への適切な"ト ンネル"を通って送信する前の、 整列した、 あるいは整列していない情報処理プラット フォーム ( I PP: I n f o rma t i o n P r o c e s s i n g P l a t f o r m) のメッセージを重要視する。 整列した、 あるいは整列していない他に、 ブリッジ 'サービス 204と 208は、 同期メッセージと非同期メッセージを送信する能力と、 メッセージを受信する能力を提供する。 ブリッジ · ソフトウェア 2 14は、 メッセ一 ジ -ァドレス確認のソフトウェアを含む。 プリッジ 'サービス 204とブリッジ - ソ
フトウエア 214の間、 およびプリッジ ·サービス 208とブリッジ · ソフトウエア 214の間の HTTP (S) 通信は、 HTTP (S) の中で S S L (S e c u r e S o c k e t L a y e r; XfeTLS (T r a n s p o r t L a y e r S e c u r i t y) を用いることによって守られる。
さらに詳細に説明する。 ブリ ッジ 'サービス 204と 208は J a V a サーブレッ ト技術によって、 好んで実装される。 ブリッジ 'サービス 204と 208は、 (ファ ィァウォールトンネル · コンピューター 1 1 2で実行されるインスタンスに対して) ブリッジ . ソフトウェア 2 14にログイン、 リモートキユーの生成、 そしてメッセー ジの送受信を許可する。 各ログインは適切なサービスのセッションを生成し、 キュー はメッセージ配送に対するそのセッションと連携する。 ブリッジ ·サービス 204と 208と、 ブリッジ . ソフトウェア 214は、 ドメイン間の転送メッセージに対する プリッジ■キューと I P Pキューの間のマッピングを含む。 メッセージは、 別のブリ ッジ .サービス (例えばドメイン Bのブリッジ 'サーバー 208) に送信するために、 ブリッジ .サービス (例えば、 ドメイン Aのブリッジ ·サーバー 204) 内にキュー イングされる。
1つの実装において、 ブリッジ ' ソフトウェア 214は 2つの層を持つ。 第 1の層 は各々のブリッジ 'サービス (204、 および/又は 208) とメッセージを交換す る HTTP接続を提供するトランスポート層である。 第 2の層は、 各々のブリッジ ' サービス 204又は、 208にメッセージ ·インスタンス配送するメッセージ処理層 である。 1つの実装では、 トランスポート層は以下のようなインタフェースを提供す る。
-S e n d (非同期送信)
-S e n dAn dWa i t (同期送信)
一 R e c e i v e (メッセージキューの受信)
-R e c e i v eAn dR e l y (コーノレバック関数のためのメッセージ受信) これらのインタフェースコマンド呼び出しは、 メッセージ処理層および z又は、 ブ リッジ ·サービス 204および Z又は 208を経由してアクセスすることができるァ プリケーシヨンの間の相互作用に対して、 柔軟性を提供する。
(例えばファイアウォールトンネル ' コンピューター 1 1 2で実行されている) ブ
リッジ■ ソフトウェア 214は、 ブリッジ■サービス 204 (例えば、 メッセージ - ァドレス確認コンピューター 108内で走行するブリッジ ·サービス 109) とブリ ッジ 'サービス 208 (例えば、 アプリケーションサービス . コンピューター 1 20 内で走行するプリッジサービス ·サーバー 1 52) への HTTP接続を開始する。 接 続の初期化フェーズは、 メッセージ ·ァドレス確認コンピューター 108によるプリ ッジ ' ソフ トゥェァ接続のィンスタンスの認証を含む。 ブリッジ ' ソフトウェア 2 1 4は、 ユーザ (例えばシステム管理者) によって、 あるいはアプリケーション 'プロ グラムによって、 メッセージ ·ァドレス確^ >コンピューター 108とアプリケーショ ン ·サーバーとの間を直接接続するトンネルを生成するように実行される。 プリッジ - ソフトウエア 214は、 プリッジ■サービス 204への HTTP接続 (第 1の HT TP接続) 、 および Z又はブリッジ ·サービス 208への HTT P接続 (第 2の HT TP接続) に対して、 送信メッセージ 'バッファと受信メッセージ 'バッファのペア を定義する。 ブリッジ ' ソフトウェア 2 14のトランスポート層は、 プリッジ ·サー ビス 204、 および/又は 208からメッセージを引き出す。 ブリッジ - ソフ トゥェ ァ 214のトランスポート層は、 また、 ブリッジ 'サービス 204、 および Z又は 2 08にメッセージを送信する。 プリッジ■ ソフトウェア 214のトランスポート層は また、 必要な時にブリッジ 'サービス 204、 および/又は 208との単一のインタ ラタションの中で複数のメッセージの送受信を行う。 ブリッジ · ソフトウエア 214 のトランスポート層は、 メッセージの順番を保ちながら、 メッセージのレイテンシー を減らし、 メッセージのスループットを増加させるためにブリッジ■サービス 204 および/又は 208との複数の接続を生成する。 メッセージ処理層は、 プリッジ ·サ 一ビス 204、 および 又は 208との各々の接続に対して、 送信メッセージ■バッ ファと受信メッセージ ·バッファを生成する。 ブリッジ - ソフトウェア 2 14のメッ セージ処理層は、 ブリッジ■サービス 204に関連付けられた送信メッセージから、 プリッジ■サービス 208に関連付けられた受信メッセージへ、 メッセージを移動す る。 また、 ブリッジ ' ソフトウェア 214のメッセージ処理層は、 ブリッジ■サービ ス 208に関連付けられた送信メッセージから、 ブリッジ .サービス 204に関連付 けられた受信メッセージへ、 メッセージを移動する。 メッセージの送信に対して、 適 切な許可チェックを実行した後、 各々のメッセージの移動が行われる。 メッセージの
交換は、 通常各々異なるアプリケーションに対して異なるプロトコルに従って構成さ れる。
ブリッジ ·サービス 2 0 4、 および Z又は 2 0 8は、 ブリッジ · ソフトウエア 2 1 4によって許可された各々の接続に対して、 送信メッセージ ·バッファを生成する。 ブリッジ 'サービス 2 0 4、 およひゾ又は 2 0 8は、 送信メッセージ■バッファに関 連付けられた特定のプリッジ ' ソフトウエアのインスタンスに結びつけられたメッセ ージをバッファする。 ブリッジ . ソフトウェア 2 1 4のトランスポート層は、 関連す る送信バッファからメッセージを引き出す。 ブリッジ ·サービス 2 0 4、 および Z又 は 2 0 8は、 必要に応じてプリッジ■ ソフトウエア -プログラムによって引き出し要 求を開始された、 メッセージを同時に処理する。 ブリッジ .サービス 2 0 4、 および /又は 2 0 8は、 ブリッジ - ソフ トウェア ·プログラムによって、 適切なローカル、 あるいはリモートのアプリケーション .キュー (図 3の相互メッセージの詳細 3 0 0 を参照) に送信されたメッセージを転送する。
1つの実装では、 ブリッジ ·サービス · ソフトウェア (サーバー · ソフトウェア 2 0 4又は 2 0 8 ) は、 アプリケーション 'サーバーが走行 ている (この例では、 ァ プリケ——ンョンサービス · コンピューターとファイアウォーノレトンネル■ コンビユー ターは C P Uと可能ならばディスクを共有して、 論理的に分離されたものとして効果 的に構成されたものであるかもしれない) ホス ト · コンピューター上で実行される。 しかしながら、 むしろ、 ファイアウォールトンネル ' ソフトウェアは、 サーバー 1 2 0のような分離されたアプリケーション ·サーバーにアクセスする 1つのホストに置 力れる。
システム管理者 1 1 4は、 インターネット 1 0 4を経由して、 O A &Mセンターの メッセージ■ァドレス確認コンピューター 1 0 8上のブリッジ · ソフトウエア 2 1 4 にアクセスする。 よりよい実装では、 O A &Mセンターのメッセージ . アドレス確認 コンピューター 1 0 8は、 システム管理者 1 1 4をユーザ名とパスヮードによって認 証する。
ここで論じたネットワーキング方法の利点は、 多岐に渡る。 アプリケーション -サ 一バーは N A T ,ファイアウォールの後ろに置くことができ、 アプリケーション ·サ 一バーへの接続性を実現するために、 ネットワーク管理者からのいかなる設定も必要
としない。 N A T /ファイアウォールの内側からインターネット 1 0 4への全ての接 続が空けられており、 〃穴〃は、 特別に N A T /ファイアウォールを通して〃穴を空けら れたガものではない。 このため、 メッセージングは N A Tの特徴 (例えば、 対称あるい は、 双方向の特徴) に依存しない。 システム管理者 1 1 4は、 いつでもブリッジを止 めることができる。 メッセージのトラフィックは S S L又は T L Sによって守られる。 そして、 クライアントは企業イントラネット 1 3 6又は、 インターネット 1 0 4のい ずれにも置くことができる。 ブリッジサービス ·サーバー 1 5 2は、 アプリケーショ ン -サーバー (例えばサーバー 1 2 0 ) にアクセスできる限り、 顧客ネットワークの どこにでも走ることができる。 例えば、 アプリケーション 'サーバーと同じ場所に置 かれたシステム管理者のマシン上でも走ることができ、 インターネット 1 0 4からァ クセスすることができない別のマシンでも走ることができ、 インターネット 1 0 4か らアクセスすることができる別のマシンでも走ることができる。 (プリッジ■サービ スがシステム管理者のマシンで実行される時、 ブリッジ 'サービスは、 メッセージ . ァドレス確認コンピューター 1 0 8と、 アプリケーション■サーバーとの間のプリッ ジを提供することに対して排他的に開始される。 ブリッジサービス ·サーバーが、 ィ ンターネット 1 0 4からアクセス可能なマシン上で走行する時、 システム管理者 1 1 4は、 インターネッ ト 1 0 4からファイアウォーノレトンネノレ · コンピューターに対し プリッジサービス ·サーバーにアクセスすることができるように、 対応するファイア ウォールを設定する。 このような特徴は、 システム管理者 1 1 4に、 ブラウザの使用 により、 インターネット 1 0 4上のどこからもトンネルを確立することを可能にす る。 )
革新の別の利点は、 保護された通信プロトコルが、 インターネットとアプリケーシ ョン · サービス · コンピューターのネッ トワークの間にインス トールされたファイア ウォール ZN A T装置の再構成を必要としないコンピューター · システム .インフラ ストラクチャ内に、 外へ向かう経路を許可できることである。 この点に関して、 ファ ィァウォールトンネル · コンピューター 1 1 2が、 ファイアウォール 1 2 4により外 部への H T T Pプロトコル通信が継続することを可能にするようにファイアウォール のポート接続を設定することで、 インターネット 1 0 4に接続する時、 アプリケーシ ヨン間の双方向のマルチプロ トコルのメッセージング (例えば、 クライアント ■ コン
ピューターとアプリケーション ·サービスの間のメッセージング) を許可するために、 内部への通信に対する特定のファィァウォールのポートの再設定を行う必要がない。
1つの実装では、 ブリッジ · ソフトウェアは、 ウェブ ·ブラウザ内のグラフィカル •ユーザ 'インタフェースを通して、 システム管理者 1 14の制御下にある。 別の実 装では、 ここで論じたような HTT PZHTT P Sのプリッジ · ソフトウエアを経由 して、 インターネットに保護されたアクセスを行うように設定された要望のアプリケ ーシヨン ·プログラムがあるコンピューターのアクセスは、 アプリケーション■プロ グラムの制御下にある。 どちらの場合も、 アプリケーションサービス . コンピュータ 一が走行するネッ トワーク上のファイアゥォール ZN A T装置の再設定は必要でない。
1つの実装では、 アプリケーション 'サービス ' コンピューター 1 20は、 LAN 1 28には接続されておらず、 それゆえにファイアウォールトンネル · コンピュータ — 1 1 2とのポイント ·ツー ·ポイント経由を除いて、 インターネット 104へのァ クセスを行わない。 また別の実装では、 アプリケーション 'サービス ' コンピュータ 一 1 20は LAN 1 28に接続されておらず、 HTTP/HTTP (S) 上で、 双方 向のメッセージングを用いて、 インターネット 1 04に直接アクセスし、 ここで論じ たような、 HTTP/HTTP (S) 上の暗黙に保護された双方向のメッセージング を提供するプリッジ · ソフトウエアを実行する。
1つの実装では、 これまで論じてきた方法は、 複数の企業が、 インターネットの使 用を通じてアプリケーション ·サービス · コンピューターにアクセスしているクライ アント · コンピューターから、 ネットワーク通信を可能にするサービスに加入するこ とを可能にし、 そのインターネットでは、 アプリケーション ·サービス ' コンビユー ターは、 ファイアウォールのようなセキュリティ機器によって、 一般のインターネッ ト -アクセスから保護されており、 メッセージ 'アドレス確認コンピュータ一は、 ト ンネルの保守を可能にするサービスとして利用できる。 この例では、 メッセージ ·ァ ドレス確認コンピューターの所有者は、 アプリケーション■サービス ■ コンピュータ 一および対応するファイアウォールトンネル■ コンピューターの所有者に同意する。 同意では、 例えば、 アプリケーションの加入者の任意のメッセージ識別子を変更しな いという条件があり、 このため、 アプリケーションの所有者のセキュリティの権利は 保護される。
図 3において、 第 1の情報処理プラッ トフォーム ( I PP) 3 1 2と第 2の情報処 理プラットフォーム ( I P P) 302の間の相互メッセージ詳細 300は、 ファイア ウォールトンネルを可能にするネットワークリンクをさらに拡張するアプリケーショ ン間の、 マルチプロトコル通信をサポートするメッセージ指向ミ ドルウェアを示して いる。 この点において、 情報処理プラットフォーム 3 1 2と 302は、 ともにアプリ ケーション■サービス · コンピューター 1 20に類似しており、 コンピューター ·ネ ットワーク 100に対して論じてきた方法、 あるいは地形に従った通信の中でメッセ ージを交換する。 個別メッセージは、 I P P 3 1 2の中の多重化装置 304の中で多 重化され、 I P P 302の中で、 復号されてアプリケーション ·キュー 308に配送 される。 各々のアプリケーション (例として、 相互メッセージ詳細 300に示す、 A PP一 1 1、 AP P— 1N、 APP一 21、 APP— 2N) は、 アプリケーションを 実行する I P Pの復号装置からメッセージを受信するため、 それぞれ自分のアプリケ ーシヨン 'キュー (例の中で、 I P P 302の中の AP P— 1 1に特に関連付けられ たキュー 308) を持つ。 アプリケーション 3 10は、 多重化装置 304内で、 メッ セージを優先的に多重化する特定のメッセージフォーマッ ト (プロ トコル) を定義す る。 そのような専用の受信キューは、 アプリケーション 'サービス · コンピューター のネットワーク 100に、 同期 '非同期にメッセージを配送し、 アプリケーション開 発者に対して、 広範囲で柔軟性のある通信ミ ドルウェアを提供する。 専用のキューは また、 同じ情報処理プラットフォーム (の スレッ ドつ の中で走行するアプリケーシ ヨンの間、 および/また、 異なる情報処理プラッ トフォーム (の プロセスつ の中で 走行するアプリケーションの間で、 柔軟なメッセージ交換の基礎を提供する。
このような発明の実施の形態によれば、 アプリケーションサービス · コンピュータ 一とファイアウォールトンネル . コンピュータ一間、 およびファイアウォールトンネ ル - コンピューターとメッセージ■ァドレス確認コンピュータ一間、 メッセージ ·ァ ドレス確認コンピューターとクライアント · コンピュータ一間にブリッジを行い、 フ アイァウォールと トンネルして HTT P (S) プロ トコルにて接続し、 メッセージ - ァドレス確認コンピュータ一は、 メッセージのァドレスからインターネットの正当な ユーザであるもののみに、 ファイアウォールトンネル ' コンピューターへの経路を指 示することにより、 セキュリティを確保し、 ファイアウォールに特別な設定を行うこ
となくアプリケーションに通信のアクセス経路を提供することが可能となる。 また、 メッセージのキューを設けてアプリケーションごとにキューを設け、 情報処理ブラッ トフオームにて多重化通信を行うようにするため、 効率的に通信を行うことができる。 また、 アプリケーションのプロ トコル通信をブリッジするため、 アプリケーションに 特別な仕組みは不要となる。
発明の説明は本来単に典型的なものに過ぎない。 従って、 発明の要旨からそれるも のでないバリエーションは、 発明の範囲内にあるものと意図する。 そのようなバリエ ーシヨンは、 発明の精神と範囲に背くものであると注意する。
Claims
請求の範囲
1 . メッセージ■ァドレス確認コンピューターに対する第 1の任意のメッセージ、 およびアプリケーションサービス ■ コンピュータヘインターネットへのインタフエ一 スおよび前記メッセージ ·ァドレス確認コンピューターへの前記ィンターネッ トへの インタフェースを提供するファイアウォールトンネル■ コンピューターに対する第 2 の任意のメッセージに対してクライアント ■ コンピューターと前記アプリケーション サービス · コンピュータ一間の各コンピューター ·メッセージ · ィンスタンスを有効 にする手段で構成され、
前記インターネットの使用を通じて、 前記クライアント · コンピューターから前記 アプリケーションサービス · コンピューターにアクセスする
ことを特徴とするインターネットセキュア通信方法。
2 . 前記第 1の任意のメッセージは、 前記クライアント · コンピューターの識別子 に関連する前記ファイアウォールトンネル · コンピューターの識別子で構成される ことを特徴とする請求項 1に記載のインターネットセキュア通信方法。
3 . 前記第 1の任意のメッセージは、 さらに前記ファイアウォールトンネル ' コン ピューターの前記識別子と前記クライアント · コンピューターの前記識別子に関連す る前記アプリケーションサービス ■ コンピュータの識別子で構成される
ことを特徴とする請求項 2に記載のィンターネットセキュァ通信方法。
4 . 前記識別子は、 前記アプリケーションサービス ' コンピューターの論理識別子 で構成される
ことを特徴とする請求項 3に記載のインターネットセキュァ通信方法。
5 . 前記識別子は、 前記アプリケーションサービス ' コンピューターのアプリケー シヨンの論理識別子で構成される
ことを特徴とする請求項 3に記載のインターネットセキュア通信方法。
6 . 前記第 2の任意のメッセージは、 前記アプリケーションサービス ' コンビユー ターの識別子で構成される
ことを特徴とする請求項 1に記載のィンターネットセキュア通信方法。
7 . 前記第 2の任意のメッセージは、 さらに前記クライアント ' コンピューターの 識別子で構成される
ことを特徴とする請求項 6に記載のィンターネットセキュア通信方法。
8 . 前記第 1の任意のメッセージは、 前記ファイアウォールトンネル ' コンビユー ターによって前記メッセージ■ァドレス確認ユンピューター内に定義される
ことを特徴とする請求項 1に記載のインターネットセキュア通信方法。
9 . 前記アプリケーションサービス · コンピューターによって前記クライアント - コンピュータ のパスヮードを有効にする手段を有する
ことを特徴とする請求項 1に記載のインターネットセキュア通信方法。
1 0 . 前記メッセージ ·ァドレス確認コンピューターによって前記ファイアウォー ルトンネル■ コンピュータ一のパスヮードを有効にする手段を有する
ことを特徴とする請求項 1に記載のィンターネットセキュア通信方法。
1 1 . 前記メ ッセージ ' アドレス確認コンピュータ一は、 第 1の所有者に所有され る手段を有し、 前記アプリケーシヨンサービス · コンピューターと前記ファイアゥォ ールトンネル . コンピュータ一は、 第 2の所有者に所有される手段を有するとともに、 前記第 1の所有者と第 2の所有者は、 前記第 1の所有者が前記第 1の任意のメッセ ージを編集しないようにすることを合意するように構成する手段を有する
ことを特徴とする請求項 1に記載のインターネットセキュア通信方法。
2 . 前記ファイアウォールトンネル ' コンピュータ一は、 外部への H T T Pプロ
トコル通信が通過できるようにファイアウォールによって設定されたファイアウォー ルのポートを通じてィンターネットに接続するィンタフェースを有し、
前記ファイアゥォールは、 基本的に恒久的にいかなる内部への通信もブロックする ように設定され、 前記ファイアウォールを通過する双方向のメッセージを許可するよ うに前記ファイアウォールのポートを再設定することが必要でないように、 内部への 通信は前記外部への通信と相互的でない
ことを特徴とする請求項 1に記載のィンターネットセキュァ通信方法。
1 3 . アプリケーションサービス · コンピューターとインターネットへのデータ通 信を行うファイアウォールトンネル' コンピュータ一と、 前記インターネットから前 記ファイアウォーノレトンネノレ ' コンピュータへのデータ通信を行い、 前記インターネ ットからクライアント · コンピューターへのデータ通信を行うメッセージ ·ァドレス 確認コンピューターと、 前記メッセージ■ァドレス確認コンピューター内の第 1の任 意のデータベース、 および前記ファイアウォールトンネル ' コンピューター内の第 2 の任意のデータベースに対する、 前記クライアント · コンピューターと前記アプリケ ーシヨンサービス ■ コンピュータ一間の前記通信の各コンピューターメッセージのィ ンスタンスの検証手段で構成され、
前記インターネッ トの使用を通じて、 前記クライアント · コンピューターから前記 アプリケーションサービス · コンピューターにアクセスする
ことを特徴とするインターネットセキュア通信方法。
1 4 . 前記第 1の任意のメッセージのデータベースは、 前記クライアント ■ コンビ ユーターに対する識別子に関連した、 前記ファイアウォールトンネル ' コンピュータ 一に対する識別子を有するデータレコードで構成し、 前記データレコードのァドレス は前記ファイアウォールトンネル ' コンピュータから、 前記第 1の任意のデータべ一 スのメッセージの中に定義される
ことを特徴とする請求項 1 3に記載のインターネットセキュア通信方法。
1 5 . 前記データレコードは、 さらに前記アプリケーションサービス ' コンビユー
ターに対する識別子で構成する
ことを特徴とする請求項 1 4に記載のインターネットセキュア通信方法。
1 6 . 前記第 2の任意のメッセージのデータベースは、 前記アプリケーションサー ビス · コンピューターに対する識別子を有するデータレコードで構成される
ことを特徴とする請求項 1 3に記載のインターネットセキュア通信方法。
1 7 . 前記第 2の任意のメッセージのデータベースは、 さらに前記クライアント - コンピューターに対する識別子を有する
ことを特徴とする請求項 1 6に記載のインターネットセキュア通信方法。
1 8 . アプリケーションサービス ' コンピューター、 およびインターネットとデ一 タ通信を行う、 ファイアウォーノレトンネル . コンピューターであって、 前記ファイア ウォールトンネル ' コンピュータ一は、 クライアント ■ コンピューターと前記アプリ ケーションサービス · コンピューターとの間の前記データ通信の各コンピューターメ ッセージのインスタンスを有効にするようにプログラムされており、 前記インターネ ッ トから前記ファイアウォールトンネル · コンピューターへのデータ通信と、 前記インターネットから前記クライアント ■ コンピューターへのデータ通信を行う メッセージ ·ァドレス碓認コンピューターであって、 前記メッセージ ·ァドレス確認 コンピュータ一は、 前記クライアント · コンピューターと、 前記アプリケーションサ 一ビス ■ コンピューターとの間の前記データ通信の各コンピューターメッセージのィ ンスタンスを有効にするようにプログラムされており、 前記インターネットの使用を 通じて、 前記クライアント · コンピューターから前記アプリケーシヨンサービス · コ ンピューターへアクセスする
ことを特徴とするインターネットセキュア通信装置。
1 9 . 前記メッセージ ' アドレス確認コンピュータ一は、 前記クライアント . コン ピューターに対する識別子と関連した、 前記ファイアウォールトンネル · コンビユー ターに対する識別子を有する任意のデータベースを有する
ことを特徴とする請求項 1 8に記載のインターネットセキュア通信装置。
2 0 . 前記メッセージ 'アドレス確認コンピューターと、 前記ファイアウォールト ンネル ' コンピュータ一は、 前記ファイアウォールトンネル . コンピューターが、 前 記メッセージ ·ァドレス確認コンピューターの中にある、 前記任意のデータベースを 変更することを可能にするようにプログラムされている
ことを特徴とする請求項 1 9に記載のインターネットセキュア通信装置。
2 1 . メッセージ ' アドレス確認コンピューター内の第 1の任意のメッセージ、 お よびファイアウォールトンネル · コンピューター内の第 2の任意のメッセージに対す る、 クライアント · コンピューターとアプリケーションサービス · コンピューターと の間の各コンピューターメッセージのインスタンスを有効にする手段を有し、 前記ファイアウォールトンネル ' コンピュータ一は、 前記インターネットとのイン タフエースを有し、
前記メッセージ ·ァドレス確認コンピュータ一は、 前記ィンターネットとのインタ フェースを有し、
前記インターネットの使用を通じて、 前記クライアント ' コンピューターから、 前 記アプリケーションサービス · コンピューターへアクセスする
ことを特徴とするインターネットセキュア通信装置。
2 2 . 前記ファイアウォールトンネル ' コンピューターによって、 前記第 1の任意 のメッセージを定義する手段を有する
ことを特徴とする請求項 2 1に記載のインターネッ トセキュア通信装置。
2 3 . 前記ファイアウォールトンネル ' コンピュータ一は、 ブリッジ ' コンビユー ターのプログラムを実行し、
前記アプリケーションサービス ■ コンピューターの中のアプリケーション■プログ ラムは、 前記メッセージ ' アドレス確認コンピューターによって、 H T T Pメッセ一 ジ配送メカニズムが生成されるように、 前記ブリッジ ' コンピューターのプログラム
を制御する
ことを特徴とする請求項 1に記載のインターネットセキュァ通信方法。
24. 前記ファイアウォーノレトンネ /レ ' コンピュータ一は、 ブリッジ ' コンビユー ターのプログラムを実行し、
前記ブリッジ · コンピューターのプログラムは、 前記メッセージ ·ァドレス確認、コ ンピューターへの HTT P接続の開始、 および前記アプリケーションサービス ■ コン ピューターへの HTT P接続の開始によって、 プリッジ · コンピューターのソフトゥ エアのィンスタンスを生成し、
前記メッセージ 'アドレス確認コンピュータ一は、 前記ブリッジ ' コンピューター のソフトウエアのィンスタンスを認証する
ことを特徴とする請求項 12に記載のインターネットセキュア通信方法。
25. 前記ファイアウォールトンネル ' コンピュータ一は、 ブリッジ ' コンビユー ターのプログラムを実行し、
前記プリッジ■ コンピューターのプログラムは、 前記メッセージ■了ドレス確認コ ンピューターへの HTT P接続の開始、 および前記アプリケーションサービス · コン ピューターへの HTT P接続の開始によって、 プリッジ · コンピューターのソフトゥ エアのインスタンスを生成し、
前記ブリッジ . コンピューターのプログラムは、 各々の前記 HTTP接続に対して 定義された、 送信メッセージ 'バッファと受信メッセージ■バッファからなる一対の メッセージ ·バッファを定義し、
前記一対のメッセージ ·ノ ッファは、 メッセージを前記メッセージ■ァドレス確認 コンピューター内で実行されているプリッジサービスのプログラムと、 前記アプリケ ーシヨンサービス · コンピューター内で実行されているブリッジサービス ■サーバー のプログラムの間を双方向に転送する
ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
26. 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメ
ッセージ処理層を持つブリッジ■ コンピューターのプログラムを実行し、 前記トランスポート層は、 前記メッセージ · ァドレス確認コンピューターへ第 1の H T T P接続および、 前記アプリケーションサービス · コンピュータ一^■第 2の H T T P接続を開始し、
前記メッセージ処理層は、 各々の前記 H T T P接続に対して定義された、 送信メッ セージ .バッファと受信メッセージ · ノ ッファからなる一対のメッセージ ·バッファ を定義し、
前記トランスポート層は、 前記メッセージ ·ァドレス確認コンピューターから前記 第 1の接続を経由する通信の第 1のメッセージを検索し、
前記メッセージ処理層は、 前記第 1のメッセージに書かれた許可ルールを実行し、 前記メッセージ処理層は、 前記第 1のメッセージを前記第 1の接続の受信メッセー ジ ·バッファから前記第 2の接続の送信メッセージ ·バッファへ移動し、
前記トランスポート層は、 前記第 2の接続を経由して、 前記アプリケーションサー ビス · コンピューターへ前記第 1のメッセージを送信し、
前記トランスポート層は、 前記アプリケーションサービス · コンピューターから前 記第 2の接続を経由する通信の第 2のメッセージを検索し、
前記メッセージ処理層は前記第 2のメッセージに書かれた許可ルールを実行し、 前記メッセージ処理層は、 前記第 2のメッセージを前記第 2の接続の受信メッセー ジ .バッファから前記第 1の接続の送信メッセージ ·バッファへ移動し、
前記トランスポート層は、 前記第 1の接続を経由して、 前記メッセージ ' アドレス 確認コンピュータ一^■前記第 1のメッセージを送信する
ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
2 7 . 前記通信中のメッセージは、 異なるアプリケーションに対して、 各々異なる プロトコルが組み立てられている
ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
2 8 . 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメ ッセージ処理層を持つブリッジ■ コンピューターのプログラムを実行し、
前記トランスポート層は、 前記メッセージ ·ァドレス確認コンピューターへの多数 のメッセージと、 前記アプリケーションサービス · コンピューターへの多数のメッセ ージを多重化送信する
ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
2 9 . 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメ ッセージ処理層を持つプリッジ ' コンピューターのプログラムを実行し、
前記トランスポート層は、 前記メッセージ ·ァドレス確認コンピューター内のブリ ッジサービス ·プログラムからの多数のメッセージ、 および前記アプリケーションサ 一ビス . コンピューターからの多数のメッセージを多重化受信する
ことを特徴する請求項 1 2に記載のインターネットセキュア通信方法。
3 0 . 前記ファイアウォールトンネル ' コンピュータ一は、 トランスポート層とメ ッセージ処理層を持つプリッジ ' コンピューターのプログラムを実行し、
前記トランスポート層は、 前記メッセージ ·ァドレス確認コンピューターと十分な 多数の H T T P接続、 および前記アプリケーションサービス · コンピューターと十分 な多数の H T T P接続を生成し、
全てのメッセージのレイテンシ一は、 予め定義されたレイテンシー値の範囲内で持 続し、 .
全てのメッセージのスループットは予め定義されたスループット値の範囲内で持続 する . ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
3 1 . 多数のファイアウォールトンネル ' コンピュータ一は、 前記メッセージ - ァ ドレス確認コンピューターと通信し、
各々のファイアウォールトンネル ' コンピュータ一は、 前記メッセージを可能にす るブリッジコンピューター -プログラムを実行する
ことを特徴とする請求項 1 2に記載のインターネットセキュア通信方法。
3 2 . 多数のファイアウォールトンネル ' コンピュータ一は、 前記メッセージ 'ァ ドレス確認コンピューターと通信し、
各々のファイアウォールトンネル ' コンピュータ一は、 前記メッセージを可能にす るブリ ッジコンピューター■プログラムを実行し、
前記メッセージ ·ァドレス確認コンピュータ一は、 前記多数のファイアウォールト ンネノレ■ コンピューター内のプリッジコンピューター 'プログラムと通信するブリッ ジサービス ■プログラムを実行する
ことを特徴とする請求項 1に記載のインターネットセキユア通信方法。
3 3 . 各コンピューターメッセージのインスタンスを有効にする手段は、 さらに各 々の前記ファイアウォールトンネノレ · コンピューター内のブリッジコンピューター · プログラムと、 前記メッセージ ' アドレス確認コンピューター内のプリッジサ一ビス -プログラムで構成され、
前記プリッジサービス ·プログラムは、 各前記プリッジコンピューター■プログラ ムに対して、 送信メッセージ 'バッファを定義し、
前記プリッジサービス ·プログラムは、 その各々の前記送信メッセージ 'バッファ 内の各前記プリッジコンピューター■プログラムと通信する各メッセージ ' インスタ ンスをバッファする
ことを特徴とする請求項 2 1に記載のインターネットセキュア通信装置。
3 4 . 前記ブリッジサービス 'プログラムは、 1つのブリッジコンピューター 'プ ログラムから送信された多数のメッセージをバッファする
ことを特徴とする請求項 3 3に記載のインターネットセキュア通信装置。
3 5 . 各コンピューターメッセージのインスタンスを有効にする手段は、 さらに各 々の前記ファイアウォールトンネル · コンピューター内のブリッジコンピューター · プログラムと、 前記メッセージ■ァドレス確認コンピューター内のプリッジサービス -プログラムで構成され、
前記ブリッジサービス ·プログラムは、 各プリッジコンピューター ·プログラムに
よって送信された多数のメッセ一ジを受け入れることが可能であり、
前記プリッジサービス ■プログラムは、 各前記ブリッジコンピューター ·プロダラ ムに対して送信メッセージ ·バッファを定義し、
前記プリッジサービス ·プログラムは、 その各々の前記送信メッセージ ·バッファ 内の各前記ブリッジコンピューター ·プログラムと通信する各メッセージ · インスタ ンスをバッファし、
前記プリッジサービス ·プログラムは、 各メッセージを同一数のアプリケーション メッセージキューに転送する
ことを特徴とする請求項 2 1に記載のインターネットセキュア通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005506926A JPWO2004111864A1 (ja) | 2003-06-04 | 2004-06-04 | インターネットセキュア通信装置及び通信方法 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/454,336 | 2003-06-04 | ||
| US10/454,336 US20040249958A1 (en) | 2003-06-04 | 2003-06-04 | Method and apparatus for secure internet communications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2004111864A1 true WO2004111864A1 (ja) | 2004-12-23 |
Family
ID=33489717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2004/008183 WO2004111864A1 (ja) | 2003-06-04 | 2004-06-04 | インターネットセキュア通信装置及び通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20040249958A1 (ja) |
| JP (1) | JPWO2004111864A1 (ja) |
| CN (1) | CN1759381A (ja) |
| WO (1) | WO2004111864A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104793506A (zh) * | 2015-04-13 | 2015-07-22 | 卢军 | 面向物联网智能家庭设备控制的可移植控制方法及系统 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7814208B2 (en) * | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
| US7363378B2 (en) * | 2003-07-01 | 2008-04-22 | Microsoft Corporation | Transport system for instant messaging |
| NO318887B1 (no) * | 2003-09-05 | 2005-05-18 | Paradial As | Sanntidsproxyer |
| US7360243B2 (en) | 2003-10-02 | 2008-04-15 | Adria Comm Llc | Standard based firewall adapter for communication systems and method |
| US7478424B2 (en) * | 2004-11-30 | 2009-01-13 | Cymtec Systems, Inc. | Propagation protection within a network |
| US7565395B2 (en) * | 2005-02-01 | 2009-07-21 | Microsoft Corporation | Mechanism for preserving session state when using an access-limited buffer |
| US7853956B2 (en) * | 2005-04-29 | 2010-12-14 | International Business Machines Corporation | Message system and method |
| US7983254B2 (en) * | 2005-07-20 | 2011-07-19 | Verizon Business Global Llc | Method and system for securing real-time media streams in support of interdomain traversal |
| US7706373B2 (en) * | 2006-11-01 | 2010-04-27 | Nuvoiz, Inc. | Session initiation and maintenance while roaming |
| KR101323852B1 (ko) * | 2007-07-12 | 2013-10-31 | 삼성전자주식회사 | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 |
| US9390172B2 (en) * | 2009-12-03 | 2016-07-12 | Microsoft Technology Licensing, Llc | Communication channel between web application and process outside browser |
| CN102375865B (zh) * | 2010-08-24 | 2016-08-03 | 腾讯科技(深圳)有限公司 | 一种消息客户端的消息更新方法及消息客户端 |
| CN102571751B (zh) * | 2010-12-24 | 2014-12-31 | 佳能It解决方案株式会社 | 中继处理装置及其控制方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
| JPH10154118A (ja) * | 1996-11-22 | 1998-06-09 | Hitachi Ltd | ネットワーク通信システム |
| JP2000207320A (ja) * | 1998-06-30 | 2000-07-28 | Sun Microsyst Inc | リモ―トアクセス方法 |
| JP2000216780A (ja) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | ネットワ―ク管理システム |
| JP2002190821A (ja) * | 2000-12-21 | 2002-07-05 | Fujitsu Ltd | 通信振り分け制御方法および制御装置 |
| JP2002271396A (ja) * | 2000-04-13 | 2002-09-20 | Internatl Business Mach Corp <Ibm> | ネットワーク・データ・パケット分類及び逆多重化 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2373418A (en) * | 2001-03-16 | 2002-09-18 | Kleinwort Benson Ltd | Method and system to provide and manage secure access to internal computer systems from an external client |
| US20030046587A1 (en) * | 2001-09-05 | 2003-03-06 | Satyam Bheemarasetti | Secure remote access using enterprise peer networks |
| US20030217149A1 (en) * | 2002-05-20 | 2003-11-20 | International Business Machines Corporation | Method and apparatus for tunneling TCP/IP over HTTP and HTTPS |
-
2003
- 2003-06-04 US US10/454,336 patent/US20040249958A1/en not_active Abandoned
-
2004
- 2004-06-04 JP JP2005506926A patent/JPWO2004111864A1/ja active Pending
- 2004-06-04 WO PCT/JP2004/008183 patent/WO2004111864A1/ja active Application Filing
- 2004-06-04 CN CN200480006358.XA patent/CN1759381A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
| JPH10154118A (ja) * | 1996-11-22 | 1998-06-09 | Hitachi Ltd | ネットワーク通信システム |
| JP2000216780A (ja) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | ネットワ―ク管理システム |
| JP2000207320A (ja) * | 1998-06-30 | 2000-07-28 | Sun Microsyst Inc | リモ―トアクセス方法 |
| JP2002271396A (ja) * | 2000-04-13 | 2002-09-20 | Internatl Business Mach Corp <Ibm> | ネットワーク・データ・パケット分類及び逆多重化 |
| JP2002190821A (ja) * | 2000-12-21 | 2002-07-05 | Fujitsu Ltd | 通信振り分け制御方法および制御装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104793506A (zh) * | 2015-04-13 | 2015-07-22 | 卢军 | 面向物联网智能家庭设备控制的可移植控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20040249958A1 (en) | 2004-12-09 |
| JPWO2004111864A1 (ja) | 2006-07-20 |
| CN1759381A (zh) | 2006-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8340103B2 (en) | System and method for creating a secure tunnel for communications over a network | |
| CN101416171B (zh) | 用于建立虚拟专用网络的系统和方法 | |
| CN106375493B (zh) | 一种跨网络通信的方法以及代理服务器 | |
| EP3241312B1 (en) | Load balancing internet protocol security tunnels | |
| US11190489B2 (en) | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter | |
| US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
| RU2533063C2 (ru) | Способ установления соединения (варианты), способ передачи пакета данных и система удаленного доступа | |
| EP1413094B1 (en) | Distributed server functionality for emulated lan | |
| US20080123536A1 (en) | Virtual network testing and deployment using network stack instances and containers | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| WO2004111864A1 (ja) | インターネットセキュア通信装置及び通信方法 | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及系统 | |
| JP2004528609A (ja) | フィルタリングのなされたアプリケーション間通信 | |
| WO2009132594A1 (zh) | 实现私网之间转发数据的方法和系统 | |
| US7316030B2 (en) | Method and system for authenticating a personal security device vis-à-vis at least one remote computer system | |
| WO2014079335A1 (zh) | Ip报文处理方法、装置及网络系统 | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN101471839B (zh) | 多核异步实现IPSec vpn的方法 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| JP5345651B2 (ja) | セキュアトンネリングプラットフォームシステム及び方法 | |
| CN100583891C (zh) | 一种通讯加密的方法与系统 | |
| CN117678197A (zh) | 用于装置配置和可操作性自动化的系统和方法 | |
| CN111107091B (zh) | 一种安全通信方法和系统 | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 2005506926 Country of ref document: JP |
|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 2004806358X Country of ref document: CN |
|
| 122 | Ep: pct application non-entry in european phase |