WO2013042412A1

WO2013042412A1 - 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2013042412A1
Application number: PCT/JP2012/065689
Authority: WO
Inventors: 吉垣伸介; 塩谷幸治
Original assignee: 九州日本電気ソフトウェア株式会社
Priority date: 2011-09-22
Filing date: 2012-06-20
Publication date: 2013-03-28
Also published as: JPWO2013042412A1

Abstract

　通信システム１００は、外部ネットワーク１１に接続され、且つ、ｈｔｔｐサーバとして機能する中継装置２０と、ＬＡＮ及び中継装置２０に接続され、且つ、中継装置２０に対して定期的にｈｔｔｐリクエストを送信する中継装置３０とを備えている。中継装置２０は、端末１０から要求を受け付けると、中継装置３０からのｈｔｔｐリクエストに対するｈｔｔｐレスポンスに要求を含ませ、要求を含むｈｔｔｐレスポンスを、中継装置３０に送信する。中継装置３０は、送信されてきたｈｔｔｐレスポンスに含まれる要求を、ＬＡＮに送信し、要求に対する応答データを受け取ると、応答データを含むｈｔｔｐリクエストを作成し、作成したｈｔｔｐリクエストを中継装置２０に送信する。

Description

通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、ＬＡＮ（Local Area Network）と外部ネットワークとの通信を行なうための通信システム、通信方法、及びこれらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。

　近年、企業等においては、出張先又は自宅等にいる社員からの社内ＬＡＮへのアクセスを許可するため、ＶＰＮ（Virtual Private Network）を利用したシステムを導入している。このようなシステムは、社内ＬＡＮとインターネットとの間に設置されたファイアウォールの設定を一部変更し、ＶＰＮパケットが一時的に通過できるようにして、アクセスを許可している。

　また、特許文献１は、ＶＰＮを利用したシステムにおいて、セキュリティの向上を図る技術の一例を開示している。具体的には、特許文献１は、社内ＬＡＮ以外のネットワークに接続されたときに、自動的に社内ＬＡＮに対して、ＶＰＮ接続を行なう端末装置を開示している。特許文献１に開示された端末では、ＶＰＮ接続中は、ＶＰＮ以外の通信路の使用が禁止されるため、当該端末と接続された別の端末が社内ＬＡＮにアクセスできる事態が回避される。結果、セキュリティの向上が図られることになる。

特開２００６－２００８９号公報

　しかしながら、特許文献１に開示された技術を利用した場合であっても、ファイアウォールの設定の一部変更が必要となる。このため、管理者において、大きな負担となっている。また、特許文献１に開示された技術では、ファイアウォールの変更の際に予期せぬミスが発生すると、攻撃パケットが社内ＬＡＮに浸入することが容易となるため、不正に認証情報等が取得されてしまう危険性が極めて高くなってしまう。

　本発明の目的の一例は、上記問題を解消し、外部ネットワークからＬＡＮへの不正アクセスを防ぎ、情報の漏洩を抑制し得る、通信システム、通信方法、及びプログラム提供することにある。

　上記目的を達成するため、本発明の一側面における通信システムは、ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
　前記外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する、第１の中継装置と、
　前記ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する、第２の中継装置と、
を備え、
　前記第１の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置は、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
ことを特徴とする。

　また、上記目的を達成するため、本発明の一側面における通信方法は、外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する第１の中継装置と、ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する第２の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
（ａ）前記第１の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信する、ステップと、
（ｂ）前記第２の中継装置によって、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、ステップと、
を有することを特徴とする。

　また、上記目的を達成するため、本発明の一側面における第１のコンピュータ読み取り可能な記録媒体は、ローカルエリアネットワークに接続されたｈｔｔｐクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
（ｂ）前記ｈｔｔｐクライアントからのｈｔｔｐリクエストを受信する、ステップと、
（ｃ）前記（ｃ）のステップで受信したｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記ｈｔｔｐクライアントに送信する、ステップと、
を実行させる、命令を含むプログラムを記録していることを特徴とする。

　更に、上記目的を達成するため、本発明の一側面における第２のコンピュータ読み取り可能な記録媒体は、外部ネットワークに接続されたｈｔｔｐサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記ｈｔｔｐサーバに対して定期的にｈｔｔｐリクエストを送信する、ステップと、
（ｂ）前記ｈｔｔｐサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記（ａ）のステップで送信した前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、送信した場合に、
送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
（ｃ）前記（ｂ）のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記（ａ）のステップで送信される前記ｈｔｔｐリクエストに、前記応答データを含ませる、ステップと、
を実行させる、命令を含むプログラムを記録していることを特徴とする。

　以上のように、本発明によれば、外部ネットワークからＬＡＮへの不正アクセスを防ぎ、情報の漏洩を抑制することができる。

図１は、本発明の実施の形態における通信システムの構成を示すブロック図である。図２は、本発明の実施の形態における通信システムの動作を示すシーケンス図である。図３は、本発明の実施の形態で用いられる中継装置を実現するコンピュータの一例を示すブロック図である。

（実施の形態）
　以下、本発明の実施の形態における通信システム、通信方法、及びプログラムについて、図１～図３を参照しながら説明する。

［システム構成］
　最初に、本実施の形態における通信システム１００の構成について説明する。図２は、本発明の実施の形態における通信システムの動作を示すフロー図である。

　図１に示す本実施の形態における通信システム１００は、ＬＡＮ（Local Area Network）と外部ネットワークとの間の通信を行なうためのシステムである。図１に示すように、通信システム１００は、中継装置２０と、中継装置３０とを備えている。

　このうち、中継装置２０は、インターネッド等の外部ネットワーク１１に接続されており、外部ネットワーク１１上の端末１０（ｈｔｔｐクライアント）に対して、ｈｔｔｐサーバとして機能する。また、中継装置２０は、中継装置３０にも接続されており、中継装置３０に対してもｈｔｔｐサーバとして機能する。一方、中継装置３０は、中継装置２０だけでなく、企業の社内のＬＡＮ４０にも接続されており、中継装置２０に対して定期的にｈｔｔｐリクエストを送信する、中継装置３０も、中継装置２０に対してはｈｔｔｐクライアントとして機能する。

　また、図１に示すように、中継装置２０は、要求受付部２１と、データ中継部２２とを備えている。要求受付部２１は、外部ネットワーク１１上の端末１０から要求を受け付ける。また、データ中継部２２は、中継装置３０からのｈｔｔｐリクエストを受け取り、これに対するｈｔｔｐレスポンスに、端末１０からの要求を含ませる。そして、データ中継部２２は、端末１０からの要求を含むｈｔｔｐレスポンスを、中継装置３０に送信する。

　更に、図１に示すように、中継装置３０は、データ中継部３１と、処理代理実行部３２とを備えている。データ中継部３１は、中継装置２０からｈｔｔｐレスポンスが送信されてくると、送信されてきたｈｔｔｐレスポンスに含まれる要求を取り出し、これを処理代理実行部３２に出力する。

　処理代理実行部３２は、出力されてきた要求を、ＬＡＮ４０に送信する。その後、処理代理実行部３２は、ＬＡＮ４０から、要求に対する応答データを受け取ると、応答データを含むｈｔｔｐリクエストを作成し、作成したｈｔｔｐリクエストを中継装置２０に送信する。

　このように、本実施の形態では、外部ネットワーク１１上の端末１０とＬＡＮ４０とのデータのやり取りは、中継装置２０によって仲介されるｈｔｔｐリクエストとｈｔｔｐレスポンスとによってのみ行なわれる。このため、本実施の形態によれば、外部ネットワーク１１からＬＡＮ４０へのアクセスを一時的にでも許可する必要がなく、外部ネットワーク１１からＬＡＮ４０への不正アクセスを防ぐことができる。結果、従来のＶＰＮシステムに比べて、いっそうの情報漏洩の抑制が図られる。

　ここで、本実施の形態における通信システム１０の構成について更に具体的に説明する。本実施の形態では、図１に示すように、中継装置２０と中継装置３０との間には、企業内ＬＡＮ４０のセキュリティを守るため、ファイアウォール５０とプロキシサーバ６０とが配置されている。本実施の形態では、上述したように、外部ネットワーク１１からＬＡＮ４０へのアクセスを一時的にでも許可する必要がなく、ファイアウォールの設定を変更する必要がない。

　また、本実施の形態では、中継装置３０は、中継装置２０へのｈｔｔｐリクエストの送信を一定時間毎に繰り返し実行する。そして、中継装置２０は、中継装置３０からｈｔｔｐリクエストを受信すると、一旦、ｈｔｔｐリクエストをプールし、設定時間が経過した場合に、ｈｔｔｐレスポンスを返信する。このような処理とすることにより、中継装置２０と中継装置３０との通信処理を簡略化でき、両者における負荷を低減できる。

　そして、端末１０からきた要求は、中継装置３０からのｈｔｔｐリクエストの受信時を起点とする設定時間が経過するまでに受付けられると、中継装置２０によって、このｈｔｔｐリクエストに対するｈｔｔｐレスポンスに含まされ、中継装置３０に送られる。

　また、本実施の形態では、図１に示すように、中継装置３０は、端末１０からの認証要求に対して認証処理を行なう認証処理部３３と、認証情報データベース３４とを備えている。認証処理部３３と認証情報データベース３４は、外部ネットワーク１１上の端末１０が、認証情報の送信によって認証を要求している場合に利用される。

　具体的には、端末１０が、認証の要求のため、認証情報を含むｈｔｔｐレスポンスを中継装置２０に送信すると、中継装置２０が、この認証情報を含むｈｔｔｐレスポンスを、中継装置３０に送信する。

　この場合、中継装置３０において、認証処理部３３は、送信されてきたｈｔｔｐレスポンスに含まれる認証情報に基づいて認証を行なう。具体的には、認証処理部３３は、認証情報データベース３４にアクセスして、一致する認証情報が登録されているかどうかを判断する。登録されている場合、認証処理部３３は、認証が成功であると判断する。

　また、認証処理部３３は、認証が成功していると判断する場合は、認証が成功したことを示す認証チケット３５を作成する。この場合、データ中継部３１は、認証チケット３５を含むｈｔｔｐリクエストを中継装置２０に送信する。

　また、この場合、認証処理部３３は、作成した認証チケット３５を公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された認証チケット３５を含むｈｔｔｐリクエストを中継装置２０に送信しても良い。これにより、セキュリティの確保がよりいっそう確実となる。更に、本実施の形態では、認証チケット３５には、セキュリティの低下を防ぐため、有効期限が設定されているのが好ましい。

　そして、中継装置２０において、データ中継部２２は、認証チケット３５を含むｈｔｔｐリクエストが送信されてくると、これを取り出し、取り出した認証チケット３５を、端末１０からのｈｔｔｐリクエストに対するｈｔｔｐレスポンスに含ませ、これを送信する。これにより、端末３０は、認証チケット３５を取得する。

　また、端末１０は、認証チケット３５を取得した場合は、これを提示して、ＬＡＮ４０に対して要求を行なうことができる。この場合、中継装置２０において、データ中継部２１は、認証チケット３５とＬＡＮ４０に対する処理要求とを含むｈｔｔｐレスポンスを、中継装置３０に送信する。

　次に、中継装置３０において、処理代理実行部３２は、端末１０が提示した認証チケット３５と、中継装置３０自体が先に送信した認証チケット３５とが一致するかどうかを判定する。そして、処理代理実行部３２は、一致すると判定する場合に、送信されてきたｈｔｔｐレスポンスに含まれる処理要求を、ＬＡＮ４０に送信する。

　このように、認証チケットが発行されると、端末３０は、認証処理を行なうことなく、ＬＡＮ４０との間でデータをやり取りすることができるようになる。また、この場合においても、外部ネットワーク１１からＬＡＮ４０へのアクセスは一時的にでも許可されないので、外部ネットワーク１１からＬＡＮ４０への不正アクセスは防がれる。

［システム動作］
　次に、本発明の実施の形態における通信システム１００の動作について図２を用いて説明する。図２は、本発明の実施の形態における通信システムの動作を示すシーケンス図である。以下の説明においては、適宜図１を参酌する。また、本実施の形態１では、通信システム１００を動作させることによって、通信方法法が実施される。よって、本実施の形態における通信方法の説明は、以下の通信システム１００の動作説明に代える。

　図２に示すように、先ず、中継装置３０において、データ中継部３１は、ｈｔｔｐリクエストを中継装置２０に送信する（ステップＡ１）。次に、中継装置２０において、データ中継部２２は、ｈｔｔｐリクエストを受け取り、設定時間の間、これを保持する。そして、データ中継部２２は、端末１０から要求がなかった場合は、そのままｈｔｔｐレスポンスを作成し、これを中継装置３０に送信する（ステップＡ２）。

　次に、中継装置３０から中継装置２０へとｈｔｔｐレスポンスが送信された後に、外部ネットワーク１１上の端末から、中継装置２０へとｈｔｔｐリクエストが送信されると、要求受付部２１はこれを受信する（ステップＡ３）。

　ステップＡ３において、このｈｔｔｐリクエストには、端末１０の利用者が入力した認証情報（ユーザＩＤ及びパスワード）が含まれている。よって、要求受付部２１は、認証情報をデータ中継部２２に送信する（ステップＡ４）。

　また、ステップＡ２の実行後に、データ中継部３１は、定期的にｈｔｔｐリクエストを中継装置２０に送信する（ステップＡ５）。よって、ステップＡ４が実行された時点で、データ中継部２２は、ｈｔｔｐリクエストを受信して待機している状態、又はｈｔｔｐリクエストの受信を待っている状態にある。

　次に、データ中継部２２は、中継装置３０のデータ中継部３１が送信したｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、認証情報を含ませ、これをデータ中継部３１に送信する（ステップＡ６）。データ中継部３１は、ｈｔｔｐレスポンスを受信すると、認証情報を認証処理部３３に送信する（ステップＡ７）。

　次に、認証処理部３３は、認証情報データベース３４にアクセスする（ステップＡ８）。これにより、認証情報データベース３４は、登録している情報を認証処理部３３に送信する（ステップＡ９）。続いて、認証処理部３３は、ステップＡ７で送信されてきた認証情報と、認証情報データベース３４に登録されている情報とを比較し、両者が一致する場合は、認証すべきと判定する（ステップＡ１０）。

　ステップＡ１０において認証すべきと判定する場合は、認証処理部３３は、認証チケット３５を発行し、これをデータ中継部３１に送信する（ステップＡ１１）。ステップＡ１１では、認証処理部３３は、認証チケット３５を、公開鍵で復号化できるように秘密鍵で暗号化する。

　次に、データ中継部３１は、定期的に送信するｈｔｔｐリクエストに、暗号化された認証チケットを含ませ、これを中継装置２０に送信する（ステップＡ１２）。

　次に、データ中継部２２は、データ中継部３１からｈｔｔｐリクエストを受信すると、それから認証チケットを取り出し、これを要求受付部２１に送信する（ステップＡ１３）。

　次に、要求受付部２１は、ステップＡ３で端末から送信さてきたｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、認証チケットを含ませて、このｈｔｔｐレスポンスを端末１０に送信する（ステップＡ１４）。その後、端末は、認証チケットを公開鍵で復号化し、復号化された認証チケットを保持する。

　続いて、端末１０のユーザがＬＡＮ４０に対して処理要求を行なう場面を想定する。例えば、ユーザが、ＬＡＮ４０に接続されているデータベースから顧客情報等を取得したいと考えているとする。この場合、端末１０は、ユーザの指示に応じて、処理要求と認証チケットとを含むｈｔｔｐリクエストを中継装置２０に送信する（ステップＡ１５）。

　次に、中継装置２０において、要求受付部１０は、端末１０からｈｔｔｐリクエストを受け取ると、認証チケットと処理要求とを取り出し、これらをデータ中継部２２に送信する（ステップＡ１６）。

　データ中継部３１、上述したように、定期的にｈｔｔｐリクエストを中継装置２０に送信している（ステップＡ１７）。よって、ステップＡ１６が実行された時点でも、データ中継部２２は、ｈｔｔｐリクエストを受信して待機している状態、又はｈｔｔｐリクエストの受信を待っている状態にある。

　従って、データ中継部２２は、中継装置３０のデータ中継部３１が送信したｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、認証チケットと処理要求とを含ませ、これをデータ中継部３１に送信する（ステップＡ１８）。

　次に、データ中継部３１は、ｈｔｔｐレスポンスを受信すると、認証チケットと処理要求とを処理代理実行部３２に送信する（ステップＡ１９）。

　次に、処理代理実行部３２は、送信されてきた認証チケットと、認証処理部３３がステップＡ１０で発行した認証チケット３５とが一致するかどうかを判定する。そして、処理代理実行部３２は、一致すると判定する場合に、送信されてきたｈｔｔｐレスポンスに含まれる処理要求を、ＬＡＮ４０に送信する（ステップＡ２０）。

　その後、ＬＡＮ４０内の処理が要求された装置から、処理結果（応答データ）が処理代理実行部３２に送信される（ステップＡ２１）。続いて、処理代理実行部３２は、処理結果をデータ中継部３１に送信する（ステップＡ２２）。

　次に、データ中継部３１は、定期的に送信するｈｔｔｐリクエストに、処理結果を含ませ、これを中継装置２０に送信する（ステップＡ２３）。

　次に、データ中継部２２は、データ中継部３１からｈｔｔｐリクエストを受信すると、それから処理結果を取り出し、これを要求受付部２１に送信する（ステップＡ２４）。

　次に、要求受付部２１は、ステップＡ１５で端末から送信さてきたｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、処理結果を含ませて、このｈｔｔｐレスポンスを端末１０に送信する（ステップＡ２５）。その後、端末は、処理結果をユーザに提示する。

　以上のように、本実施の形態では、外部ネットワーク１１からＬＡＮ４０へのアクセスは一時的にでも許可されないので、外部ネットワーク１１からＬＡＮ４０への不正アクセスを防ぐことができる。また、認証チケット３５は、暗号化されて送信されるため、中継装置２０から端末へのｈｔｔｐレスポンスが不正に取得された場合にも対応できる。本実施の形態によれば、従来のＶＰＮシステムに比べて、いっそうの情報漏洩の抑制が図られる。

　また、上述の例では、認証情報として、ユーザＩＤとパスワードとが用いられているが、本実施の形態は、この例に限定されるものではない。認証情報としては、例えば、ワンタイムパスワード、ハッシュ値等を利用することもできる。

　本実施の形態における第１のプログラムは、コンピュータに、図２に示すステップＡ２、Ａ４、Ａ６、Ａ１３、Ａ１４、Ａ１６、Ａ１８、Ａ２４、Ａ２５を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における中継装置２０を実現することができる。この場合、コンピュータのＣＰＵ（Central Processing Unit）は、要求受付部２１、及びデータ中継部２２として機能し、処理を行なう。

　また、本実施の形態における第２のプログラムは、コンピュータに、図２に示すステップＡ１、Ａ５、Ａ７～Ａ１２、Ａ１７、Ａ１９～Ａ２３を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における中継装置３０を実現することができる。この場合、コンピュータのＣＰＵ（Central Processing Unit）は、データ中継部３１、処理代理実行部３２、及び認証処理部３３として機能し、処理を行なう。また、コンピュータに備えられた記憶装置の記憶領域に、認証情報データベース３４が構築される。

　ここで、実施の形態における第１のプログラムを実行することによって中継装置２０を実現するコンピュータと、第２のプログラムを実行することによって中継装置３０を実現するコンピュータとについて図３を用いて説明する。図３は、本発明の実施の形態で用いられる中継装置を実現するコンピュータの一例を示すブロック図である。

　図３に示すように、コンピュータ１１０は、ＣＰＵ１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施の形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１１３の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記憶媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記憶媒体が挙げられる。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１１）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
　前記外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する、第１の中継装置と、
　前記ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する、第２の中継装置と、
を備え、
　前記第１の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置は、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
ことを特徴とする通信システム。

（付記２）
　前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
　前記第１の中継装置が、前記認証情報を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置が、前記ｈｔｔｐレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信し、
　更に、前記第１の中継装置は、前記認証チケットを含む前記ｈｔｔｐリクエストが送信されてくると、前記認証チケットを前記端末に送信する、
付記１に記載の通信システム。

（付記３）
　前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
　前記第１の中継装置が、前記認証チケットと前記要求とを含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置が、前記端末が提示した前記認証チケットと、当該第２の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記ｈｔｔｐレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
付記２に記載の通信システム。

（付記４）
　前記第２の中継装置が、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
付記２または３に記載の通信システム。

（付記５）
　前記第１の中継装置が、前記第２の中継装置からの前記ｈｔｔｐリクエストの受信時を起点とする設定時間が経過するまでに受け付けた前記要求を、当該ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに含ませる、付記１～４のいずれかに記載の通信システム。

（付記６）
　外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する第１の中継装置と、ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する第２の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
（ａ）前記第１の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信する、ステップと、
（ｂ）前記第２の中継装置によって、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、ステップと、
を有することを特徴とする通信方法。

（付記７）
　前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
　前記（ａ）のステップにおいて、前記第１の中継装置によって、前記認証情報を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、更に、
（ｃ）前記第２の中継装置によって、前記ｈｔｔｐレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、ステップと、
（ｄ）前記認証チケットを含む前記ｈｔｔｐリクエストが送信されてくると、前記第１の中継装置によって、前記認証チケットを前記端末に送信する、ステップと、
を有する、付記６に記載の通信方法。

（付記８）
　前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
　前記（ａ）のステップで、前記第１の中継装置によって、前記認証チケットと前記要求とを含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記（ｂ）のステップで、前記第２の中継装置によって、前記端末が提示した前記認証チケットと、当該第２の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記ｈｔｔｐレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
付記７に記載の通信方法。

（付記９）
　前記（ｄ）のステップにおいて、前記第２の中継装置によって、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
付記７または８に記載の通信方法。

（付記１０）
　ローカルエリアネットワークに接続されたｈｔｔｐクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
（ｂ）前記ｈｔｔｐクライアントからのｈｔｔｐリクエストを受信する、ステップと、
（ｃ）前記（ｃ）のステップで受信したｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記ｈｔｔｐクライアントに送信する、ステップと、
を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。

（付記１１）
　外部ネットワークに接続されたｈｔｔｐサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記ｈｔｔｐサーバに対して定期的にｈｔｔｐリクエストを送信する、ステップと、
（ｂ）前記ｈｔｔｐサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記（ａ）のステップで送信した前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、送信した場合に、
送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
（ｃ）前記（ｂ）のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記（ａ）のステップで送信される前記ｈｔｔｐリクエストに、前記応答データを含ませる、ステップと、
を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１１年９月２２日に出願された日本出願特願２０１１－２０７４０７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　以上のように、本発明によれば、外部ネットワークからＬＡＮへの不正アクセスを防ぎ、情報の漏洩を抑制することができる。本発明は、携帯端末との間でのデータ通信が必要となる企業等のコンピュータシステムに有用である。

　１０　端末
　１１　外部ネットワーク
　２０　第１の中継装置
　２１　要求受付部
　２２　データ中継部
　３０　第２の中継装置
　３１　データ中継部
　３２　処理代理実行部
　３３　認証処理部
　３４　認証情報データベース
　３５　認証チケット
　４０　ＬＡＮ
　１００　通信システム
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　ローカルエリアネットワークと外部ネットワークとの間の通信を行なうための通信システムであって、
　前記外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する、第１の中継装置と、
　前記ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する、第２の中継装置と、
を備え、
　前記第１の中継装置は、前記外部ネットワーク上の端末から要求を受け付けると、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置は、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
ことを特徴とする通信システム。
　前記外部ネットワーク上の端末が、認証情報の送信によって認証を要求している場合において、
　前記第１の中継装置が、前記認証情報を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置が、前記ｈｔｔｐレスポンスに含まれる認証情報に基づいて認証を行ない、前記認証が成功していると判断する場合に、前記認証が成功したことを示す認証チケットを作成し、前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信し、
　更に、前記第１の中継装置は、前記認証チケットを含む前記ｈｔｔｐリクエストが送信されてくると、前記認証チケットを前記端末に送信する、
請求項１に記載の通信システム。
　前記外部ネットワーク上の端末が、前記認証チケットを提示して要求を行なった場合において、
　前記第１の中継装置が、前記認証チケットと前記要求とを含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信し、
　前記第２の中継装置が、前記端末が提示した前記認証チケットと、当該第２の中継装置が送信した前記認証チケットとが一致するかどうかを判定し、一致すると判定する場合に、送信されてきた前記ｈｔｔｐレスポンスに含まれる要求を、前記ローカルエリアネットワークに送信する、
請求項２に記載の通信システム。
　前記第２の中継装置が、作成した前記認証チケットを、公開鍵で復号化できるように秘密鍵で暗号化し、暗号化された前記認証チケットを含む前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、
請求項２または３に記載の通信システム。
　前記第１の中継装置が、前記第２の中継装置からの前記ｈｔｔｐリクエストの受信時を起点とする設定時間が経過するまでに受け付けた前記要求を、当該ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに含ませる、請求項１～４のいずれかに記載の通信システム。
　外部ネットワークに接続され、且つ、ｈｔｔｐサーバとして機能する第１の中継装置と、ローカルエリアネットワーク及び前記第１の中継装置に接続され、且つ、前記第１の中継装置に対して定期的にｈｔｔｐリクエストを送信する第２の中継装置とを用いて、前記ローカルエリアネットワークと前記外部ネットワークとの間の通信を行なうための方法であって、
（ａ）前記第１の中継装置によって、前記外部ネットワーク上の端末から要求を受け付け、前記第２の中継装置からの前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記第２の中継装置に送信する、ステップと、
（ｂ）前記第２の中継装置によって、送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信し、前記要求に対する応答データを受け取ると、前記応答データを含む前記ｈｔｔｐリクエストを作成し、作成した前記ｈｔｔｐリクエストを前記第１の中継装置に送信する、ステップと、
を有することを特徴とする通信方法。
　ローカルエリアネットワークに接続されたｈｔｔｐクライアントと外部ネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記外部ネットワーク上の端末からの要求を受け付ける、ステップと、
（ｂ）前記ｈｔｔｐクライアントからのｈｔｔｐリクエストを受信する、ステップと、
（ｃ）前記（ｃ）のステップで受信したｈｔｔｐリクエストに対するｈｔｔｐレスポンスに前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、前記ｈｔｔｐクライアントに送信する、ステップと、
を実行させる命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。
　外部ネットワークに接続されたｈｔｔｐサーバとローカルエリアネットワークとの間の通信を、コンピュータによって行なうための、プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記コンピュータに、
（ａ）前記ｈｔｔｐサーバに対して定期的にｈｔｔｐリクエストを送信する、ステップと、
（ｂ）前記ｈｔｔｐサーバが、前記外部ネットワーク上の端末から要求を受け付けて、前記（ａ）のステップで送信した前記ｈｔｔｐリクエストに対するｈｔｔｐレスポンスに、前記要求を含ませ、前記要求を含む前記ｈｔｔｐレスポンスを、送信した場合に、
送信されてきた前記ｈｔｔｐレスポンスに含まれる前記要求を、前記ローカルエリアネットワークに送信する、ステップと、
（ｃ）前記（ｂ）のステップで送信した前記要求に対する応答データを、前記ローカルエリアネットワークから受け取った場合に、前記（ａ）のステップで送信される前記ｈｔｔｐリクエストに、前記応答データを含ませる、ステップと、
を実行させる、命令を含むプログラムを記録している、コンピュータ読み取り可能な記録媒体。