JP2009100226A - 通信誘導装置、通信制御サーバ装置及びプログラム - Google Patents

通信誘導装置、通信制御サーバ装置及びプログラム Download PDF

Info

Publication number
JP2009100226A
JP2009100226A JP2007269445A JP2007269445A JP2009100226A JP 2009100226 A JP2009100226 A JP 2009100226A JP 2007269445 A JP2007269445 A JP 2007269445A JP 2007269445 A JP2007269445 A JP 2007269445A JP 2009100226 A JP2009100226 A JP 2009100226A
Authority
JP
Japan
Prior art keywords
information
communication
server device
client terminal
guidance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007269445A
Other languages
English (en)
Other versions
JP4820796B2 (ja
Inventor
Ayumi Shimizu
歩 清水
Koji Yura
浩司 由良
Takayuki Hitomi
隆行 人見
Michiyo Ikegami
美千代 池上
Masaru Matsuoka
賢 松岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007269445A priority Critical patent/JP4820796B2/ja
Publication of JP2009100226A publication Critical patent/JP2009100226A/ja
Application granted granted Critical
Publication of JP4820796B2 publication Critical patent/JP4820796B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信の誘導に際し、クライアント端末に常駐プログラムをインストールせず、律速となるサーバの負荷を低減し、可用性を向上させる。
【解決手段】通信誘導装置100が、ネットワーク300内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが通信誘導済みでなければ、偽ARP応答をARP要求の送信元に返信して通信を誘導し、その後、偽ARP応答により誘導されてきたDNS要求に対し、誘導先サーバ装置800のIPアドレスを示すDNS応答を返信して通信を誘導する。しかる後、誘導先サーバ装置800の終了通知により、通信の誘導を開放する。このような通信の誘導では、クライアント端末100に常駐プログラムをインストールしていない。また、クライアント端末100と誘導先サーバ装置800との間の通信には通信制御サーバ装置600が介在しない。よって、上記課題を解決できる。
【選択図】図1

Description

本発明は、通信誘導装置、通信制御サーバ装置及びプログラムに係り、通信の誘導に際し、クライアント端末に常駐プログラムをインストールせず、律速となるサーバの負荷を低減し、可用性を向上し得る通信誘導装置、通信制御サーバ装置及びプログラムに関する。
従来、通信を誘導する手法として、インライン型で通信を取得し、NAT(Network Address Translation)やプロキシなどを用いて通信を転送する第1の方法と、通信誘導用の常駐プログラムをクライアントにインストールすることにより、常駐プログラムで、どこに通信すべきかを判断して通信を実施する第2の方法とが知られている。
第1の方法によれば、常にNATやプロキシなどで指定されるサーバにアクセスする必要があることから、クライアント側でサーバを指定する設定などを実施する手間がかかる。また、常にこれらのサーバを通過することから、サーバ側の処理能力により通信が律速されると共に、サーバに高い負荷がかかるという不都合がある。また、サーバの故障により通信が停止するので、可用性が低いという不都合がある。
第2の方法によれば、クライアント端末に常駐プログラムをインストールすることから、手間がかかると共に、常駐プログラムを管理する必要があるという不都合がある。また、クライアント環境によっては、常駐プログラムによる誘導処理がフィルタリング処理に干渉して稼動しない不都合が生じる場合がある。
なお、本出願と関連する技術として、ARP(address resolution protocol)を用い、ネットワーク上のPC(personal computer)からの不正なアクセスを制限する技術が知られている(例えば、特許文献1参照。)。しかしながら、特許文献1記載の技術は、上述した第1及び第2の方法とは異なり、正しい利用者からのアクセスを特定のページへ誘導するようなことはできない。
特開2004−185498号公報
以上説明したように、通信を誘導する手法には、クライアント端末に常駐プログラムをインストールすることによる不都合がある。また、クライアント側でサーバを指定する設定を実施する手間がかかる不都合と、通信の律速となるサーバの負荷が高い不都合と、可用性が低い不都合とがある。
本発明は上記実情を考慮してなされたもので、通信の誘導に際し、クライアント端末に常駐プログラムのインストール及びその他の設定を実施せず、律速となるサーバの負荷を低減し、可用性を向上し得る通信誘導装置、通信制御サーバ装置及びプログラムを提供することを目的とする。
第1の発明は、クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信制御サーバ装置を介して誘導先サーバ装置に誘導するための通信誘導装置であって、通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を記憶した記憶手段と、ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段と、前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段と、前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段と、前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段と、前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段と、前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段と、を備えた通信誘導装置である。
第2の発明は、クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信誘導装置により誘導先サーバ装置に誘導するための通信制御サーバ装置であって、前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを記憶するテーブル記憶手段と、前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を記憶するポリシ情報記憶手段と、前記通信誘導サーバ装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ情報を記憶した装置情報記憶手段と、前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段と、前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段と、前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段と、前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段と、前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段と、前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段と、前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段と、前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段と、前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段と、を備えた通信制御サーバ装置である。
第1及び第2の発明は、「装置」として表現したが、これに限らず、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」として表現することもできる。
(作用)
第1の発明においては、通信誘導装置が、ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが通信誘導済みでなければ、偽ARP応答をARP要求の送信元に返信して通信を誘導し、その後、偽ARP応答により誘導されてきたDNS要求に対し、誘導先サーバ装置のIPアドレスを示すDNS応答を返信して通信を誘導する。
また、第2の発明においては、通信制御サーバ装置が、通信誘導装置から受信したDNS要求及びクライアント端末特定情報を含む回答要求に対し、該当する実行済み状態情報が無い場合には誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報として通信誘導装置に返信し、誘導先サーバ装置から受けた終了通知に基づいて、通信誘導開放命令を通信誘導装置に送信する。
このような第1及び第2の発明によれば、通信の誘導に際し、クライアント端末に常駐プログラムをインストールしておらず、設定の変更なども実施していない。また、誘導先サーバ装置のIPアドレスを示すDNS応答を返信した後のクライアント端末と誘導先サーバ装置との間の通信には、通信制御サーバ装置が介在しないので、律速となるサーバの負荷を低減し、可用性を向上することができる。
以上説明したように本発明によれば、通信の誘導に際し、クライアント端末に常駐プログラムのインストール及びその他の設定を実施せず、律速となるサーバの負荷を低減し、可用性を向上できる。
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
(第1の実施形態)
図1は本発明の第1の実施形態に係る通信システムの構成を示す模式図である。この通信システムは、通信誘導装置100及びクライアント端末200がネットワーク300及びデフォルトゲートウェイ装置400を介して外部ネットワーク500に接続されている。外部ネットワーク500には、通信制御サーバ装置600、アクセス対象サーバ装置700、誘導先サーバ装置800及びDNS(domain name system)サーバ装置900が接続されている。
ここで、通信誘導装置100は、図2に示すように、記憶装置110、ARP要求処理部120、転送部130、DNS要求処理部140、サーバ間通信制御部150及び通信誘導開放部160を備えている。
記憶装置110は、各部120〜160から読出/書込可能な記憶装置であり、通信誘導済端末情報111、通信制御サーバ装置情報112、転送条件情報113を記憶している。なお、記憶装置110は、1個の記憶装置の場合に限らず、複数個の記憶装置として各情報111〜113を各記憶装置に分担して記憶するように実装されてもよい。
通信誘導済端末情報111は、通信誘導装置100により通信誘導済みであるクライアント端末を示す情報であり、その実装の形態は問わない。例えば、図3に示すように、通信誘導済みのクライアント端末のIP(internet protocol)アドレスとMAC(media access control)アドレスを組み合わせたリストであってもかまわない。
通信制御サーバ装置情報112は、通信制御サーバ装置600に接続するための情報であり、例えば図4に示すように、通信制御サーバ装置600のIPアドレス、通信ポートなどを含んでいる。
転送条件情報113は、転送部130による転送を許可するための情報であり、例えば図5に示すように、転送を許可する通信のIPアドレス、通信ポート、TCP/UDP種別を含んでいる。具体的には、例えば2者間のIPアドレス及びポート、通信の種別がTCPかUDPか等が転送条件情報として記憶されている。この例では、172.24.30.2又は172.24.30.50のIPアドレスでTCP通信されるものは、転送を許可する。また、172.24.30.100のIPアドレスで54番ポートを利用してUDP通信されるものは転送を許可する。この例では、通信制御サーバ装置600、誘導先サーバ装置800及びDNSサーバ装置900への転送が許可されている。
ARP要求処理部120は、ネットワーク300内で発生するARP要求を検知し、記憶装置110内の通信誘導済端末情報111に当該ARP要求の送信元IPアドレスが登録されているか否かを判断する機能と、登録されていない場合、デフォルトゲートウェイ装置400への通信に代えて、通信誘導装置100に通信させるための偽ARP応答を生成する機能と、偽ARP応答をデフォルトゲートウェイ装置400のARP応答よりも後に受信されるようなタイミングでクライアント端末200に返信する機能とをもっている。
転送部130は、偽ARP応答により誘導されてきたDNS要求を検知し、このDNS要求をDNS要求処理部140に送出する機能と、受信したパケットの送信元と宛先に基づいて、記憶装置110内の転送条件情報113に合致するかを判定する機能と、合致していない場合にはパケットを破棄し、合致している場合にはパケットを転送する機能とをもっている。DNS要求は、例えば要求パケットの通信プロトコルと接続ポートとから検知可能である。
DNS要求処理部140は、転送部130から受けたDNS要求からアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とを取り出し、これらアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とをサーバ間通信制御部150へ渡す機能と、サーバ間通信制御部150から受けたDNS応答を整形してクライアント端末200に返信する機能とをもっている。クライアント端末特定情報は、例えば、MACアドレスでも、固定IPである場合にはIPアドレスでも、事前に渡したトークン情報でも、証明書のような情報でもかまわないが、ここではIPアドレスとする。
サーバ間通信制御部150は、DNS要求処理部140から受けたアクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とを含む回答要求を生成する機能と、この回答要求を記憶装置110内の通信制御サーバ装置情報112に基づいて通信制御サーバ装置600へ送信する機能と、通信制御サーバ装置600から受けた回答情報内のDNS応答をDNS要求処理部140に送出する機能とをもっている。
通信誘導開放部160は、サーバ間通信制御部150が通信制御サーバ装置600から受信した通信誘導開放命令に基づいて、クライアント端末200の通信誘導を開放する処理を実行するものである。なお、「開放」の語は、「解除」又は「終了」と読み替えてもよい。「誘導」の語は「制御」と読み替えてもよい。
クライアント端末200は、利用者が操作する通常のコンピュータ端末であり、ネットワーク300に接続されている。
ネットワーク300は、クライアント端末200及び通信誘導装置100が位置するネットワークであり、クライアント端末200からのブロードキャストドメイン内のネットワークである。
デフォルトゲートウェイ装置400は、両ネットワーク300,500を接続するための装置である。
外部ネットワーク500は、各種サーバ装置400,600〜900及び端末(図示せず)などが接続されるネットワークである。
通信制御サーバ装置600は、通信誘導装置100を管理するとともに通信誘導装置100からの要求に応じて対象のクライアント端末200を通信制御するものである。具体的には、通信制御サーバ装置600は、図6に示すように、記憶装置610、外部装置間通信制御部620、ポリシ制御部630、DNS要求処理部640、端末状態確認部650、通信誘導開放部660及び誘導先サーバ要求処理部670を備えている。
記憶装置610は、各部620〜670から読出/書込可能な記憶装置であり、端末状態管理テーブル611、ポリシ情報612、通信誘導装置情報613及び誘導先サーバ装置情報614を記憶している。なお、記憶装置610は、1個の記憶装置の場合に限らず、複数個の記憶装置としてこれらのテーブル611及び各情報612〜614を各記憶装置に分担して記憶するように実装されてもよい。
端末状態管理テーブル611は、クライアント端末200のポリシに記述してあるルールの実施状況を管理するものであり、例えば図7に示すように、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を互いに関連付けて記憶している。なお、端末情報管理テーブル611内の「サーバ情報」は、送信元IPアドレスが誘導先サーバ装置800を示す場合には「誘導先サーバ装置情報」に相当し、送信元IPアドレスがアクセス対象サーバ装置700を示す場合には「アクセス対象サーバ装置情報」に相当する。すなわち、端末情報管理テーブル611内の「サーバ情報」は、送信元IPアドレスに応じたサーバ装置情報に相当する。
ポリシ情報612は、クライアント端末200からの通信を誘導先サーバ装置800に誘導するか否かの判定条件を含んでいる。例えばポリシ情報612は、図8に示すように、“172.24.30.50”の誘導先サーバ装置800上のサービスを8時間以内に実行済みか、“172.24.30.60”の図示しないサーバ装置上のサービスを8時間以内に実行済み、との第1条件と、この第1条件を満たさないとき(=サービスを実行していないとき)には“172.24.30.50”の誘導先サーバ装置800に誘導する、との第2条件を含んでいる。ポリシ情報612は、全体に対して一つでも、個別のセグメント毎に設定しても構わない。以下では、全体に対して一つのポリシ情報を設定しているものとする。また、「8時間以内」の条件は「所定時間内」の一例であり、他の値の時間に変更してもよく、又は省略してもよい。
通信誘導装置情報613は、通信誘導装置100のIPアドレスである。
誘導先サーバ装置情報614は、誘導先サーバ装置800のIPアドレスである。
外部装置間通信制御部620は、通信誘導装置100から受けた回答要求をDNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630に渡す機能と、ポリシ制御部630から受けたIPアドレス“172.24.30.50”を含むDNS応答を回答情報に整形し、この回答情報を通信誘導装置100に返信する機能と、誘導先サーバ装置800から受けた終了通知の送信元IPアドレス(誘導先サーバ装置800)に基づいて、記憶装置610内の誘導先サーバ装置情報614を検索し、終了通知の送信元IPアドレスが誘導先サーバ装置情報614に登録されているかを確かめる機能と、送信元IPアドレスが登録されていれば、誘導先サーバ要求処理部670に処理の終了通知をわたす機能と、誘導先サーバ要求処理部670から受けた判定結果がポリシ情報を満たさない場合、そのまま処理を終了し、ポリシ情報を満たす場合には通信誘導開放部660へクライアント端末特定情報を渡す機能と、通信誘導開放部660から受けた(クライアント端末特定情報と同じネットワーク300を管轄する)通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を対象とする通信誘導開放命令を送信する機能とをもっている。なお、外部装置間通信制御部620がポリシ制御部630から受けるIPアドレスは、誘導先サーバ装置800のIPアドレス“172.24.30.50”に限らず、アクセス対象サーバ装置400のIPアドレス“172.24.30.100”の場合もある。この場合については第2の実施形態で詳細に述べる。
ポリシ制御部630は、外部装置間通信制御部620と、誘導先サーバ要求処理部670と、からの要求により動作する制御部であって、入力情報として、クライアント端末特定情報を必須とし、DNS要求を伴っていても良い。ポリシ制御部630は、入力されたクライアント端末特定情報からポリシ情報を判断して、端末のポリシの合致度合いを判断し、名前解決の要求を伴う場合には、合致している場合にはDNS要求処理部640と連携して、名前解決を実施して、正しい解答を返し、合致していない場合には、ポリシ情報612に記述されている誘導先サーバ装置のIPアドレスを返すものである。
具体的には、ポリシ制御部630は、外部装置間通信制御部620からDNS要求及びクライアント端末特定情報を受けると、記憶装置610からクライアント端末200へ適用すべきポリシ情報612を取得する機能と、この取得に平行して、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す機能と、端末状態確認部650から実行済み状態情報無しの応答を受けると、ポリシ情報612に基づいて、ポリシ情報612に指定された誘導先サーバ装置800のIPアドレスを外部装置間通信制御部620へ送出する機能と、誘導先サーバ要求処理部670から受けたクライアント端末特定情報を端末状態確認部650に送出する機能と、端末状態確認部650から受けたクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する機能と、また、DNS要求を取得していないので、この判定結果のみを誘導先サーバ要求処理部670へ返す機能とをもっている。
DNS要求処理部640は、ポリシ制御部630から受けた(クライアント端末200から受信した)DNS要求をDNS要求フォーマットに変更し、DNSサーバ装置900に問い合わせる機能と、DNSサーバ装置900から受けたDNS応答内のアクセス対象サーバ装置700のIPアドレスをポリシ制御部630へ戻す機能とをもっている。なお、DNS要求処理部640の動作は第2の実施形態で説明する。
端末状態確認部650は、DNS要求を送信したクライアント端末200の状態(ポリシを適合状態など)を管理するものであり、ポリシ制御部630から受けたクライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する機能と、クライアント端末特定情報に関係する実行済み状態情報が無い場合、実行済み状態情報が無いという応答をポリシ制御部630に返す機能と、クライアント端末特定情報に関係する実行済み状態情報がある場合、端末状態管理テーブル611に基づき、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す機能とをもっている。
通信誘導開放部660は、外部装置間通信制御部620から受けたクライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す機能をもっている。
誘導先サーバ要求処理部670は、外部装置間通信制御部620から受けた(誘導先サーバ装置800から受けた)処理の終了通知に基づいて、記憶装置610内の端末状態管理テーブル611に、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を書き込む機能と、この後、クライアント端末特定情報のみをポリシ制御部630にわたす機能と、ポリシ制御部630から受けた判定結果を外部装置間通信制御部620へ戻す機能とをもっている。
アクセス対象サーバ装置700は、クライアントがクライアント端末200によりアクセスしたい任意のサーバ装置である。
誘導先サーバ装置800は、ポリシ情報に記述されて通信誘導装置100がクライアント端末200を誘導した際に、クライアントに対してサービスを実施するサーバ装置であって、サービスの終了時には、サービスの実施の結果と、サービスを提供した端末を特定するクライアント端末特定情報を通信制御サーバ装置600に送信する機能をもっている。サービスはhttp(hypertext transfer protocol)やftp(file transfer protocol)、アプリケーションによるサービスなど通信を伴うものであれば、そのサービスは何でも良い。
DNSサーバ装置900は、ドメインネームサーバであり、ドメイン名に対するDNS要求を受けると、当該ドメイン名に対応するIPアドレスを含むDNS応答を返信するものである。
次に、以上のように構成された通信システムの動作について図9のシーケンス図を用いて説明する。
(システムの前提条件)
システム環境としては、図10に示すように、クライアント端末200が属するネットワーク300と、クライアント端末200がアクセスしようとするアクセス対象サーバ装置700が属する外部ネットワーク500とに分離されており、両ネットワーク300,500を基幹LAN(local area network)が接続している環境を例に挙げて述べる。
ネットワーク300のネットワークアドレスを172.24.24.0/24とし、外部ネットワーク500のネットワークアドレスを172.24.30.0/24とする。
クライアント端末200のIPアドレスを172.24.24.50とし、MACアドレスを00:00:08:00:00:01とする。
デフォルトゲートウェイ装置400のIPアドレスを172.24.24.254とし、MACアドレスを00:00:09:00:00:01とする。
通信制御サーバ装置600のIPアドレスを172.24.30.2とする。
誘導先サーバ装置800のIPアドレスを172.24.30.50とする。
アクセス対象サーバ装置700のアドレスを172.24.30.100とする。アクセス対象サーバ装置700はHTTPサービスを実施しているものとする。
(システム動作のトリガー)
いま、クライアント端末200がWebブラウザを開き、アクセス対象サーバ装置700に接続しようとしている状況を考える。Webブラウザ上には、URL(uniform resource identifier)が入力されているものとし、URL上におけるホスト指定部分にはDNSベースの名前情報(以下、ドメイン名という)が入力されているものとする。
クライアント端末200においては、アクセス対象サーバ装置700のドメイン名からIPアドレスを得るために、名前解決を実施する。すなわち、クライアント端末200は、システム上で予め指定されたDNSサーバ装置900に接続し、名前解決を要求する。但し、DNSサーバ装置900は、クライアント端末200とは異なるブロードキャストドメイン(セグメント)上に存在する。このため、クライアント端末200は、始めに、デフォルトゲートウェイ装置400に接続し、このデフォルトゲートウェイ装置400を通してDNSサーバ装置900への接続を確立しようとする。
ここで、クライアント端末200は、デフォルトゲートウェイ装置400のEtherアドレス(MACアドレス)を解決するために、デフォルトゲートウェイ装置400のIPアドレスを含むARP要求をブロードキャスト通信により送信する(ST1)。ARP要求はブロードキャスト通信であるために、デフォルトゲートウェイ装置400に限らず、通信誘導装置100も検知可能である。
デフォルトゲートウェイ装置400は、ARP要求を検知してARP応答をクライアント端末200に返信する(ST2)。このデフォルトゲートウェイ装置400のARP応答は、正規のARP応答である。
一方、通信誘導装置100においては、ARP要求を検知したARP要求処理部120が記憶装置110内の通信誘導済端末情報111に当該ARP要求の送信元IPアドレスが登録されているか否かを判断する。
登録されていない場合、ARP要求処理部120は、この通信を妨害するため、デフォルトゲートウェイ装置400への通信に代えて、通信誘導装置100に通信させるための偽ARP応答を生成する。
具体的には、ARP要求処理部120は、ARP要求から送信元のIPアドレスとMACアドレス、宛先のIPアドレスを抽出する。宛先のMACアドレスは無視する。続いて、ARP要求処理部120は、送信元に対しては、宛先のIPアドレスに対応するMACアドレスを自MACアドレス(通信誘導装置100自身のMACアドレス)とするため、宛先に対しては、送信元のIPアドレスに対応するMACアドレスを自MACアドレス(通信誘導装置100自身のMACアドレス)として偽ARP応答を生成する。
また、ARP要求処理部120は、偽ARP応答をデフォルトゲートウェイ装置400のARP応答よりも後に受信されるタイミングでクライアント端末200に返信する(ST3)。
クライアント端末200においては、ステップST2のARP応答と、ステップST3の偽ARP応答とをARPテーブルに書き込むが、後書きが優先されるため、ARPテーブルが偽ARP応答に書き換えられる。
クライアント端末200は、偽ARP応答により通信が妨害されたため、通信誘導装置100をデフォルトゲートウェイ装置400だと勘違いして、アクセス対象サーバ装置700のドメイン名に対するDNS要求を通信誘導装置100に送信する(ST4)。
通信誘導装置100では、このDNS要求を転送部130が受信する。転送部130では、はじめの段階で(転送前であればいつでも良い)DNS要求を検知し、DNS要求のパケットをDNS要求処理部140へ渡す。検知の手法は、任意であるが、例えば「UDPの53番ポートへの接続」などで判断しても良い。
DNS要求処理部140は、このDNS要求を解析し(ST5)、アクセス対象サーバ装置700のドメイン名を取り出す。この後、アクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とをサーバ間通信制御部150へ渡す。クライアント端末特定情報は、例えば、MACアドレスでも、固定IPである場合にはIPアドレスでも、事前に渡したトークン情報でも、証明書のような情報でも、通信制御サーバ装置600とすでに合意している個別端末を認識できる情報であればかまわない。
サーバ間通信制御部150は、アクセス対象サーバ装置700のドメイン名と、クライアント端末特定情報とに基づいて、所定のフォーマットの回答要求を生成する。この回答要求は、アクセス対象サーバ装置700のドメイン名に対するDNS要求及びクライアント端末特定情報を含んでいる。
しかる後、サーバ間通信制御部150は、記憶装置110内の通信制御サーバ装置情報112に基づいて、回答要求を転送部130を介して通信制御サーバ装置600へ送信し(ST6)、応答を待つ。
通信制御サーバ装置600は、この回答要求を、外部装置間通信制御部620で受信し、DNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630へ渡す。
ポリシ制御部630は、DNS要求及びクライアント端末特定情報を受けると、記憶装置610からクライアント端末200へ適用すべきポリシ情報612を取得する。これに平行して、ポリシ制御部630は、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す。
端末状態確認部650では、クライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する。今回の場合には、まだ、クライアント端末特定情報に関係する実行済み状態情報が無いものとする。このため、端末状態確認部650では、実行済み状態情報が無いという応答をポリシ制御部630に返す(ST7)。
ポリシ制御部630では、この応答と、ポリシ情報612とに基づいて、DNS応答を生成する。
ここで、ポリシ情報612においては、“172.24.30.50”の誘導先サーバ装置800上のサービスを8時間以内に実行済みか、“172.24.30.60”の図示しないサーバ装置上のサービスを8時間以内に実行済み、との第1条件が記載されている。また、ポリシ情報612においては、サービスを実行していないとき、“172.24.30.50”の誘導先サーバ装置800に誘導する、との第2条件が記載されている。
従って、ポリシ制御部630は、実行済み状態情報が無い(=サービスを実行していない)という応答なので、ポリシ情報612に指定された誘導先サーバ装置800のIPアドレス“172.24.30.50”をDNS応答として外部装置間通信制御部620へ送出する(ST8)。なお、8時間以内に実行済みの場合には、第2の実施形態に述べるように、DNSサーバ装置900にDNS要求を送り、クライアント端末200の通信誘導を開放し、DNSサーバ装置900のDNS応答をクライアント端末200に送ることになる。
外部装置間通信制御部620は、ポリシ制御部630から受けたDNS応答を所定のフォーマットに従って回答情報に整形し、この回答情報を通信誘導装置100に返信する(ST9)。このとき用いられる通信が、TCPであれば、セッションに応答が結び付けられるので、応答に先に受信した端末を特定するための情報やセッションIDなどを添付する処理は必ずしも必要ないが、セッションレスなUDP等を使用した場合には、このような情報を添付する処理が必要である。
サーバ間通信制御部150は、この回答情報を受け取ると、この回答情報を要求した回答要求に関連付けて回答情報内のDNS応答を取り出してDNS要求に関連付けた応答をDNS要求処理部140に送出する。
DNS要求処理部140では、この応答をDNS応答に整形し、クライアント端末200に返信する(ST10)。
クライアント端末200では、DNS応答内の誘導先サーバ装置800のIPアドレスを基にHttp要求を作成し、誘導先サーバ装置800に送信する。このとき、DNS要求と同じようにデフォルトゲートウェイ装置400への通信は、通信誘導装置100へと送信されることになる(ST11)。
通信誘導装置100は、このHttp要求を転送部130で受信する。転送部130では、受信したパケットの送信元と宛先を見て、記憶装置110内の転送条件情報113に合致するかを判断する(ST12)。
転送部130は、合致していない場合にはパケットを破棄し、合致している場合にはパケットを転送する。今回の場合、誘導先サーバ装置800が転送先に指定されており、これが転送条件情報に記述されているものとする。転送されたパケットは、デフォルトゲートウェイ装置400を通過して、接続先の誘導先サーバ装置800へ送信される。
この後、クライアント端末200は誘導先サーバ装置800との間で通信を実行し、誘導先サーバ装置800との間で所定の処理を行う(ST13〜ST16)。
所定の処理が終了すると、誘導先サーバ装置800は、処理の終了通知を通信制御サーバ装置600に送信する(ST17)。このとき、処理の終了通知には、クライアント端末特定情報を含める。
通信制御サーバ装置600は、処理の終了通知を外部装置間通信制御部620で受信する。外部装置間通信制御部620では、この終了通知の送信元IPアドレス(誘導先サーバ装置800)に基づいて、記憶装置610内の誘導先サーバ装置情報614を検索し、終了通知の送信元IPアドレスが誘導先サーバ装置情報614に登録されているかを確かめる。送信元IPアドレスが登録されていれば、誘導先サーバ要求処理部670に処理の終了通知をわたす。
誘導先サーバ要求処理部670では、処理の終了通知に基づいて、記憶装置610内の端末状態管理テーブル611に、クライアント端末特定情報、サーバ情報としての送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報を書き込む(ST18)。この後、クライアント端末特定情報のみをポリシ制御部630にわたす。
ポリシ制御部630では、このクライアント端末特定情報を端末状態確認部650に送出する。端末状態確認部650は、このクライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索し、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す。
ポリシ制御部630は、これらクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する(ST19)。
また、ポリシ制御部630は、クライアント端末200からDNS要求を受けていないので、ステップST19の判定結果のみを誘導先サーバ要求処理部670へ返す。
誘導先サーバ要求処理部670は、外部装置間通信制御部620へステップST19の判定結果をそのまま戻す。
外部装置間通信制御部620は、ステップST19の判定結果がポリシ情報を満たさない場合、そのまま処理を終了し、ポリシ情報を満たす場合には通信誘導開放部660へクライアント端末特定情報を渡す。
通信誘導開放部660は、クライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す。
外部装置間通信制御部620は、この通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を含めた通信誘導開放命令を通信誘導装置100に送信する(ST20)。
通信誘導装置100は、通信誘導開放命令をサーバ間通信制御部150で受信する。サーバ間通信制御部150は、この通信誘導開放命令内のクライアント端末特定情報を通信誘導開放部160に送出する。
通信誘導開放部160では、クライアント端末特定情報に基づいて、クライアント端末200を示す端末情報を記憶装置110内の通信誘導済端末情報111に追加して書き込む。
しかる後、通信誘導開放部160は、クライアント端末200に対し、通信誘導を開放させるための動作を実行する(ST21)。これは、例えば、本実施形態の場合であればクライアント端末200のARPテーブルが偽ARP応答(通信誘導装置100のMACアドレス)により汚染されているので、このARPテーブルを正しい情報(デフォルトゲートウェイ装置400のMACアドレス)に書き換えてもかまわないし、追加ソフトウェアが必要になるが、クライアント端末200にモジュールを入れておき、クライアント端末200内の通信誘導によって発生した情報を消去する形でもかまわない。
クライアント端末200は、これにより通信誘導から開放され、普通の通信が可能となる(ST22,ST23)。
上述したように本実施形態によれば、通信誘導装置100が、ネットワーク300内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが通信誘導済みでなければ、偽ARP応答をARP要求の送信元に返信して通信を誘導し、その後、偽ARP応答により誘導されてきたDNS要求に対し、誘導先サーバ装置800のIPアドレスを示すDNS応答を返信して通信を誘導する。しかる後、誘導先サーバ装置800の終了通知により、これら通信の誘導を開放する。
一方、通信制御サーバ装置600では、通信誘導装置100から受信したDNS要求及びクライアント端末特定情報を含む回答要求に対し、該当する実行済み状態情報が無い場合には誘導先サーバ装置800のIPアドレスを示すDNS応答を回答情報として通信誘導装置に返信し、誘導先サーバ装置800から受けた終了通知に基づいて、通信誘導開放命令を通信誘導装置100に送信する。
このような通信の誘導においては、クライアント端末100に常駐プログラムをインストールしておらず、設定の変更なども実施していない。また、誘導先サーバ装置800のIPアドレスを示すDNS応答を返信した後のクライアント端末100と誘導先サーバ装置800との間の通信には、通信制御サーバ装置600が介在しないので、律速となるサーバの負荷を低減し、可用性を向上することができる。
言い換えると、本実施形態によれば、通信プロトコルを用いて通信を収集し、かつ、通信の発生時に発生する名前解決要求の応答をダイナミックに変化させることにより、通信の誘導を実現することができる。
また、誘導する必要がなくなった場合には、収集をやめることによって通信をバイパスさせ、通信制御を行う装置が故障しても、通信が止まることを回避することができる。
また、本実施形態によれば、本出願の出願時点で未公開先願である特願2006−168191の図8に示すHTTP通信横取り処理(S54:クライアント端末からのTCPセッション、S55:通信制御装置によるTCPジャック、S56:クライアント端末からのHTTPリクエスト、S57:通信制御装置からのリダイレクト用のページ返送)のような高い負荷で複雑な処理を実行せずに、通信を誘導することができる。
(第2の実施形態)
次に、本発明の第2の実施形態について図11のシーケンス図を用いて説明する。
図11は第1の実施形態の動作の変形例を示すシーケンス図である。すなわち、本実施形態は、前述した通信システムにおいて、クライアント端末200が通信制御サーバ装置600のポリシ情報612を満たしている場合に、通信誘導装置100がクライアント端末200の通信を通信制御サーバ装置600に転送した場合の動作に関する。
この動作は、クライアント端末200がポリシ情報612を満たすにもかかわらず、通信誘導装置100の通信誘導済端末情報111に書き込まれていない場合、発生する。
図11中、ステップST1〜ST6までの動作は、図9に述べた動作と同様である。
ステップST6の後、通信制御サーバ装置600は、通信誘導装置100から送信された回答要求を、外部装置間通信制御部620で受信し、アクセス対象サーバ装置700のドメイン名に対するDNS要求とクライアント端末特定情報とに分けて、ポリシ制御部630へ渡す。外部装置間通信制御部620では、クライアント端末200の情報を保持しておく。
ポリシ制御部630は、DNS要求及びクライアント端末特定情報を受けると、記憶装置610からポリシ情報612を取得する。これに平行して、ポリシ制御部630は、クライアント端末200の状態を取得するために、端末状態確認部650にクライアント端末特定情報を渡す。
端末状態確認部650では、クライアント端末特定情報に基づいて、記憶装置610内の端末状態管理テーブル611を検索する。今回の場合は、クライアント端末200がポリシ情報612を満たしている場合を想定している。よって、端末状態確認部650は、端末状態管理テーブル611に基づき、該当するクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報(ST18で書き込まれた情報)をポリシ制御部630に返す(ST31)。
ポリシ制御部630は、これらクライアント端末特定情報、送信元IPアドレス(誘導先サーバ装置800)、実行済み状態情報、登録日時情報に基づいて、ポリシ情報を満たすか否かを判定する(ST32)。
ポリシ制御部630は、ポリシ情報612を満たしている場合には、DNS要求処理部640にクライアント端末200から受信したDNS要求を渡す(ST32)。
DNS要求処理部640は、受け取ったDNS要求をDNS要求フォーマットに変更し、DNSサーバ装置900に問い合わせる(ST33)。
DNSサーバ装置900は、このアクセス対象サーバ装置700のドメイン名に対するDNS要求に対し、アクセス対象サーバ装置700のIPアドレス“172.24.30.100”を含む正しいDNS応答を返す(ST34)。
DNS要求処理部640は、このDNS応答内のアクセス対象サーバ装置700のIPアドレスをポリシ制御部630へ戻す。
ポリシ制御部630は、ステップST32の判定結果と、アクセス対象サーバ装置700のIPアドレスとを外部装置間通信制御部620に返す。
外部装置間通信制御部620は、ステップST32の判定結果がポリシ情報612を満たす場合、通信誘導開放部660へクライアント端末特定情報を渡す。
通信誘導開放部660は、クライアント端末特定情報に基づいて、記憶装置610内の通信誘導装置情報613を検索し、該当する通信誘導装置100のIPアドレスを外部装置間通信制御部620に返す。
外部装置間通信制御部620は、この通信誘導装置100のIPアドレスに基づいて、クライアント端末特定情報を対象とする通信誘導開放命令を送信する(ST35)。
通信誘導装置100は、通信誘導開放命令をサーバ間通信制御部150で受信する。サーバ間通信制御部150は、この通信誘導開放命令内のクライアント端末特定情報を通信誘導開放部160に送出する。
通信誘導開放部160では、クライアント端末特定情報に基づいて、記憶装置110内の通信誘導済端末情報111にクライアント端末200の端末情報を追加して書き込む。しかる後、通信誘導開放部160は、クライアント端末200に対し、通信誘導を開放させるための動作を実行する(ST36)。なお、ステップST35〜ST36は、前述したステップST20〜ST21と同様の処理である。
ステップST36の後、外部装置間通信制御部620は、ステップST34で受けたDNS応答におけるアクセス対象サーバ装置700のIPアドレスを所定のフォーマットに従って回答情報に整形し、この回答情報を通信誘導装置100に返信する(ST37)。
サーバ間通信制御部150は、この回答情報に含まれるアクセス対象サーバ装置700のIPアドレスをDNS要求処理部140に送出する。
DNS要求処理部140では、このアクセス対象サーバ装置700のIPアドレスをDNS応答として整形し、クライアント端末200に送信する(ST38)。クライアント端末200では、このDNS応答内のアクセス対象サーバ装置700のIPアドレスに基づいてHttp要求をアクセス対象サーバ装置700に送信し、サービスを受けることができる(ST39)。
上述したように本実施形態によれば、第1の実施形態の効果に加え、クライアント端末200がポリシ情報612を満たすにもかかわらず、通信誘導装置100の通信誘導済端末情報111に書き込まれておらず、通信誘導装置100がクライアント端末200の通信を通信制御サーバ装置600に転送した場合であっても、通信制御サーバ装置600が、クライアント端末200がポリシ情報612を満たすことを確認し、通信誘導装置100による通信の誘導を開放することができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
本発明の第1の実施形態に係る通信システムの構成を示す模式図である。 同実施形態における通信誘導装置の構成を示す模式図である。 同実施形態における通信制御用端末情報を説明するための模式図である。 同実施形態における通信制御サーバ装置情報を説明するための模式図である。 同実施形態における転送条件情報を説明するための模式図である。 同実施形態における通信制御サーバ装置の構成を示す模式図である。 同実施形態における端末状態管理テーブルを説明するための模式図である。 同実施形態におけるポリシ情報を説明するための模式図である。 同実施形態における動作を説明するためのシーケンス図である。 同実施形態におけるシステム環境を説明するための模式図である。 本発明の第2の実施形態に係る通信システムの動作を説明するためのシーケンス図である。
符号の説明
100…通信誘導装置、110,610…記憶装置、111…通信誘導済端末情報、112…通信制御サーバ装置情報、113…転送条件情報、120…ARP要求処理部、130…転送部、140…DNS要求処理部、150…サーバ間通信制御部、160,660…通信誘導開放部、200…クライアント端末、300,500…ネットワーク、400…デフォルトゲートウェイ装置、600…通信制御サーバ装置、611…端末状態管理テーブル、612…ポリシ情報、613…通信誘導装置情報、614…誘導先サーバ装置情報、620…外部装置間通信制御部、630…ポリシ制御部、640…DNS要求処理部、650…端末状態確認部、670…誘導先サーバ要求処理部、700…アクセス対象サーバ装置、800…誘導先サーバ装置、900…DNSサーバ装置。

Claims (6)

  1. クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信制御サーバ装置を介して誘導先サーバ装置に誘導するための通信誘導装置であって、
    通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を記憶した記憶手段と、
    ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段と、
    前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段と、
    前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段と、
    前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段と、
    前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、
    受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段と、
    前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段と、
    を備えたことを特徴とする通信誘導装置。
  2. 請求項1に記載の通信誘導装置において、
    前記誘導先サーバ装置から終了通知を受けた前記通信制御サーバ装置により送信された通信誘導開放命令を受信すると、前記通信誘導開放命令内のクライアント端末特定情報に基づいて、クライアント端末を示す端末情報を前記記憶手段内の通信誘導済端末情報に追加登録する手段と、
    前記追加登録の後、当該クライアント端末のARPテーブル内の前記自装置のMACアドレスを、前記正規のARP応答が示すMACアドレスに書き換えることにより、前記通信誘導を開放する手段と、
    を備えたことを特徴とする通信誘導装置。
  3. クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信誘導装置により誘導先サーバ装置に誘導するための通信制御サーバ装置であって、
    前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを記憶するテーブル記憶手段と、
    前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を記憶するポリシ情報記憶手段と、
    前記通信誘導装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報を記憶した装置情報記憶手段と、
    前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段と、
    前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段と、
    前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段と、
    前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段と、
    前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段と、
    前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段と、
    前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段と、
    前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段と、
    前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段と、
    を備えたことを特徴とする通信制御サーバ装置。
  4. クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信制御サーバ装置を介して誘導先サーバ装置に誘導するためのコンピュータであり且つ記憶手段を備えた通信誘導装置に対し、前記通信誘導装置に用いられるプログラムであって、
    前記通信誘導装置を、
    通信誘導済みであるクライアント端末を示す通信誘導済端末情報、前記通信制御サーバ装置のIPアドレスを示す通信制御サーバ装置情報、並びにクライアント端末と前記誘導先サーバ装置との間の通信を許可して転送するための転送条件情報、を前記記憶手段に書き込む手段、
    ネットワーク内で発生するARP要求を検知し、当該ARP要求の送信元IPアドレスが前記記憶手段内の通信誘導済端末情報に登録済みかを判定する登録判定手段、
    前記登録判定手段による判定の結果、登録済みでない場合には、自装置のMACアドレスを示す偽ARP応答を正規のARP応答よりも後に受信されるタイミングで前記ARP要求の送信元に返信する手段、
    前記偽ARP応答により誘導されてきたDNS要求からアクセス対象サーバ装置のドメイン名と当該DNS要求の送信元を示すクライアント端末特定情報とを取り出す手段、
    前記取り出されたドメイン名及びクライアント端末特定情報を含む回答要求を生成し、この回答要求を前記記憶手段内の通信制御サーバ装置情報に基づいて送信する手段、
    前記通信制御サーバ装置から回答情報を受信し、この回答情報に含まれる前記誘導先サーバ装置のIPアドレスを示すDNS応答を前記DNS要求の送信元に送信する手段と、
    受信したパケットの送信元と宛先に基づいて、前記記憶手段内の転送条件情報に合致するか否かを判定する転送判定手段、
    前記転送判定手段による判定の結果、合致していない場合にはパケットを破棄し、合致している場合にはパケットを当該パケットの宛先に転送する手段、
    として機能させるためのプログラム。
  5. 請求項4に記載のプログラムにおいて、
    前記通信誘導装置を、
    前記誘導先サーバ装置から終了通知を受けた前記通信制御サーバ装置により送信された通信誘導開放命令を受信すると、前記通信誘導開放命令内のクライアント端末特定情報に基づいて、クライアント端末を示す端末情報を前記記憶手段内の通信誘導済端末情報に追加登録する手段、
    前記追加登録の後、当該クライアント端末のARPテーブル内の前記自装置のMACアドレスを、前記正規のARP応答が示すMACアドレスに書き換えることにより、前記通信誘導を開放する手段、
    として更に機能させるためのプログラム。
  6. クライアント端末がアクセスする対象のアクセス対象サーバ装置に通信する前に、当該クライアント端末の通信を、通信誘導装置により誘導先サーバ装置に誘導するためのコンピュータであり且つテーブル記憶手段、ポリシ情報記憶手段及び装置情報記憶手段を備えた通信制御サーバ装置に対し、前記通信制御サーバ装置に用いられるプログラムであって、
    前記通信制御サーバ装置を、
    前記誘導先サーバ装置に通信済みであるクライアント端末を示すクライアント端末特定情報、前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報、前記誘導先サーバ装置との通信の実行済み状態情報、及び登録日時情報を互いに関連付けた端末状態管理テーブルを前記テーブル記憶手段に書き込む手段、
    前記誘導先サーバ装置との通信を所定時間内に実行済みという第1条件と、前記第1条件を満たさないときには前記誘導先サーバ装置に通信を誘導するという第2条件とを含むポリシ情報を前記ポリシ情報記憶手段に書き込む手段、
    前記通信誘導装置のIPアドレスを示す通信誘導装置情報、及び前記誘導先サーバ装置のIPアドレスを示す誘導先サーバ装置情報を前記装置情報記憶手段に書き込む手段、
    前記アクセス対象サーバ装置のドメイン名を示すDNS要求及びクライアント端末特定情報を含む回答要求を前記通信誘導装置から受信すると、この回答要求をDNS要求とクライアント端末特定情報とに分け、この分けたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索する手段、
    前記検索の結果、該当する実行済み状態情報が無い場合、前記ポリシ情報内の第2条件に基づいて前記誘導先サーバ装置のIPアドレスを送出する手段、
    前記送出された誘導先サーバ装置のIPアドレスを示すDNS応答を回答情報に整形し、この回答情報を前記通信誘導装置に返信する手段、
    前記誘導先サーバ装置から受けた終了通知の送信元IPアドレスに基づいて、前記装置情報記憶手段内の誘導先サーバ装置情報を検索し、当該終了通知の送信元IPアドレスが前記誘導先サーバ装置情報に登録されているか否かを判定する登録判定手段、
    前記登録判定手段による判定の結果、登録されていれば、当該終了通知を送出する手段、
    前記送出された終了通知に基づいて、前記テーブル記憶手段内の端末状態管理テーブルにクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報、登録日時情報を書き込んだ後、当該クライアント端末特定情報を送出する手段、
    前記送出されたクライアント端末特定情報に基づいて、前記端末状態管理テーブルを検索し、該当するクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報を送出する手段、
    前記送出されたクライアント端末特定情報、誘導先サーバ装置情報、実行済み状態情報及び登録日時情報に基づいて、前記ポリシ情報記憶手段内のポリシ情報を満たすか否かを判定するポリシ情報判定手段、
    前記ポリシ情報判定手段による判定結果がポリシ情報を満たす場合、当該クライアント端末特定情報を対象とする通信誘導開放命令を、前記装置情報記憶手段内の通信誘導装置情報に基づいて通信誘導装置に送信する手段、
    として機能させるためのプログラム。
JP2007269445A 2007-10-16 2007-10-16 通信誘導装置、通信制御サーバ装置及びプログラム Expired - Fee Related JP4820796B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007269445A JP4820796B2 (ja) 2007-10-16 2007-10-16 通信誘導装置、通信制御サーバ装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007269445A JP4820796B2 (ja) 2007-10-16 2007-10-16 通信誘導装置、通信制御サーバ装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2009100226A true JP2009100226A (ja) 2009-05-07
JP4820796B2 JP4820796B2 (ja) 2011-11-24

Family

ID=40702813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007269445A Expired - Fee Related JP4820796B2 (ja) 2007-10-16 2007-10-16 通信誘導装置、通信制御サーバ装置及びプログラム

Country Status (1)

Country Link
JP (1) JP4820796B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014042121A (ja) * 2012-08-21 2014-03-06 Pfu Ltd 通信遮断装置、通信遮断方法、及びプログラム
US10367848B2 (en) 2014-09-25 2019-07-30 Nec Corporation Transmitting relay device identification information in response to broadcast request if device making request is authorized

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352719A (ja) * 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352719A (ja) * 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014042121A (ja) * 2012-08-21 2014-03-06 Pfu Ltd 通信遮断装置、通信遮断方法、及びプログラム
CN103634289A (zh) * 2012-08-21 2014-03-12 株式会社Pfu 通信屏蔽装置及通信屏蔽方法
CN103634289B (zh) * 2012-08-21 2017-03-01 株式会社Pfu 通信屏蔽装置及通信屏蔽方法
US9832119B2 (en) 2012-08-21 2017-11-28 Pfu Limited Communication block apparatus and communication block method
US10367848B2 (en) 2014-09-25 2019-07-30 Nec Corporation Transmitting relay device identification information in response to broadcast request if device making request is authorized

Also Published As

Publication number Publication date
JP4820796B2 (ja) 2011-11-24

Similar Documents

Publication Publication Date Title
JP5987690B2 (ja) ネームデータベースサーバ、名前解決システム、エントリ検索方法およびエントリ検索プログラム
US6931435B2 (en) Congestion control and avoidance method in a data processing system
US8930544B2 (en) Network resource identification
US7376723B2 (en) Apparatus and method for managing and controlling UPnP devices in home network over external internet network
US9401974B2 (en) System and method of binding a client to a server
JP5812008B2 (ja) ネームデータベースサーバ、名前解決システム、エントリ検索方法およびエントリ検索プログラム
JP2009266202A (ja) セッション管理システム、その制御方法、及びクライアント端末
JP5459983B2 (ja) 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム
US20070189486A1 (en) Communication apparatus, system, method and computer readable medium
JP5425320B2 (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
JP2007072712A (ja) 利用情報を用いたサービス部品発見システム及び方法
US20090165011A1 (en) Resource management method, information processing system, information processing apparatus, and program
JP3601526B2 (ja) 代理登録装置およびネットワークシステムおよびプログラム
US8291089B2 (en) Image processing device, control method therefor, and program
JP4820796B2 (ja) 通信誘導装置、通信制御サーバ装置及びプログラム
JP4835661B2 (ja) 利用者情報管理プログラム、利用者情報管理装置及び情報管理システム
JP2010268164A (ja) ネットワーク通信装置及び方法とプログラム
US10412001B2 (en) Communication terminal, communication method, and program
JP2007243356A (ja) Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
WO2001033364A1 (fr) Dispositif pour rechercher le nom d'un noeud de communication dans un reseau de communication
JP2004364190A (ja) 通信装置およびその装置を実現するためのプログラム
JP6317506B2 (ja) 中継装置、中継方法および中継プログラム
JP2002358229A (ja) キャッシュ装置及びコンピュータプログラム
JP2009533994A (ja) ネットワークでディスカバリーを実行する装置、システムおよびその方法
JP2009200632A (ja) 中継装置、中継方法および中継プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110809

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110905

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140909

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees