JP2009177239A - ネットワーク中継装置 - Google Patents
ネットワーク中継装置 Download PDFInfo
- Publication number
- JP2009177239A JP2009177239A JP2008010625A JP2008010625A JP2009177239A JP 2009177239 A JP2009177239 A JP 2009177239A JP 2008010625 A JP2008010625 A JP 2008010625A JP 2008010625 A JP2008010625 A JP 2008010625A JP 2009177239 A JP2009177239 A JP 2009177239A
- Authority
- JP
- Japan
- Prior art keywords
- ssh
- packet
- information
- tunnel
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】処理負荷の増大を招くことなく、パケットを暗号化して転送することができるようにする。
【解決手段】コネクション状態監視部13により受信されたパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報が図2のSSHポートフォワーディング設定テーブルにエントリされていれば、そのパケットに係るSSHサーバの接続先情報及びログイン情報を用いて、ネットワーク中継装置4のSSHサーバ機能部25との間にSSHトンネルを確立し、SSHクライアント機能部14がコネクション状態監視部13により受信されたパケットを暗号化し、そのSSHトンネルを使用して、暗号化後のパケットを送信する。
【選択図】図1
【解決手段】コネクション状態監視部13により受信されたパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報が図2のSSHポートフォワーディング設定テーブルにエントリされていれば、そのパケットに係るSSHサーバの接続先情報及びログイン情報を用いて、ネットワーク中継装置4のSSHサーバ機能部25との間にSSHトンネルを確立し、SSHクライアント機能部14がコネクション状態監視部13により受信されたパケットを暗号化し、そのSSHトンネルを使用して、暗号化後のパケットを送信する。
【選択図】図1
Description
この発明は、受信したパケットを暗号化し、暗号化後のパケットを転送するネットワーク中継装置に関するものである。
ネットワークに接続されているクライアントPCとサーバPC間のパケット通信は、通常、平文で行われる。
パケットの暗号化を図る場合、当該暗号化に対応するアプリケーションをクライアントPCに用意する必要がある。
あるいは、Psec等の暗号化に対応する専用のネットワーク中継装置をクライアントPC側とサーバPC側の両方に用意する必要がある。
パケットの暗号化を図る場合、当該暗号化に対応するアプリケーションをクライアントPCに用意する必要がある。
あるいは、Psec等の暗号化に対応する専用のネットワーク中継装置をクライアントPC側とサーバPC側の両方に用意する必要がある。
なお、クライアントPCとサーバPC間のパケットの暗号化通信は、ネットワーク上の様々な装置が中継することで実現されるが、これらの装置の中には、コネクションが新たに生成される度に、例えば、接続可否のチェック等を行うなど、様々な処理を実行するものがある(例えば、特許文献1を参照)。
このように、コネクションが生成される度に、様々な処理が実行されるため、装置の負荷が増大する。
このように、コネクションが生成される度に、様々な処理が実行されるため、装置の負荷が増大する。
従来のネットワーク中継装置は以上のように構成されているので、コネクションが新たに生成される度に、例えば、接続可否のチェック等を行うなどの様々な処理を実行する必要があり、処理負荷が増大してしまうなどの課題があった。
この発明は上記のような課題を解決するためになされたもので、処理負荷の増大を招くことなく、パケットを暗号化して転送することができるネットワーク中継装置を得ることを目的とする。
この発明に係るネットワーク中継装置は、パケット受信手段により受信されたパケットの宛先と一致するパケットの宛先情報が情報登録手段に登録されていれば、情報記録手段から上記パケットに係るSSHサーバの接続先情報及びログイン情報を取得する情報取得手段と、情報取得手段により取得されたSSHサーバの接続先情報及びログイン情報を用いて、SSHサーバとの間にSSHトンネルを確立するSSHトンネル確立手段とを設け、パケット送信手段がパケット受信手段により受信されたパケットを暗号化し、SSHトンネル確立手段により確立されたSSHトンネルを使用して、暗号化後のパケットを送信するようにしたものである。
この発明によれば、パケット受信手段により受信されたパケットの宛先と一致するパケットの宛先情報が情報登録手段に登録されていれば、情報記録手段から上記パケットに係るSSHサーバの接続先情報及びログイン情報を取得する情報取得手段と、情報取得手段により取得されたSSHサーバの接続先情報及びログイン情報を用いて、SSHサーバとの間にSSHトンネルを確立するSSHトンネル確立手段とを設け、パケット送信手段がパケット受信手段により受信されたパケットを暗号化し、SSHトンネル確立手段により確立されたSSHトンネルを使用して、暗号化後のパケットを送信するように構成したので、処理負荷の増大を招くことなく、パケットを暗号化して転送することができる効果がある。
実施の形態1.
図1はこの発明の実施の形態1によるネットワーク中継装置を示す構成図であり、図において、クライアントPC1はネットワーク中継装置3,4経由でサーバPC2とパケット通信を行う。
ネットワーク中継装置3はネットワーク5を介してネットワーク中継装置4と接続され、受信パケットを転送する処理を実施する。
図1はこの発明の実施の形態1によるネットワーク中継装置を示す構成図であり、図において、クライアントPC1はネットワーク中継装置3,4経由でサーバPC2とパケット通信を行う。
ネットワーク中継装置3はネットワーク5を介してネットワーク中継装置4と接続され、受信パケットを転送する処理を実施する。
SSHポートフォワーディング設定テーブル記憶部11はSSHポートフォワーディングを使用するパケットの送信元情報(送信元IPアドレス、送信元ポート番号)、宛先情報(宛先IPアドレス、宛先ポート番号)、上記パケットに係るSSHサーバの接続先情報(SSHサーバのIPアドレス)及びSSHサーバに対するログイン情報(ログインに必要なユーザ名、パスワード)を示すSSHポートフォワーディング設定テーブルを記録しているメモリである。なお、SSHポートフォワーディング設定テーブル記憶部11は情報記録手段を構成している。
SSHトンネル状態テーブル記憶部12は確立されているSSHトンネルの状態等を示すSSHトンネル状態テーブルを記録しているメモリである。
コネクション状態監視部13はクライアントPC1から送信されたパケットを受信する処理のほか、そのパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報がSSHポートフォワーディング設定テーブルにエントリされているか否かを調査し、エントリされていれば、SSHポートフォワーディング設定テーブルから上記パケットに係るSSHサーバの接続先情報及びログイン情報を取得する処理を実施する。
なお、コネクション状態監視部13はパケット受信手段及び情報取得手段を構成している。
コネクション状態監視部13はクライアントPC1から送信されたパケットを受信する処理のほか、そのパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報がSSHポートフォワーディング設定テーブルにエントリされているか否かを調査し、エントリされていれば、SSHポートフォワーディング設定テーブルから上記パケットに係るSSHサーバの接続先情報及びログイン情報を取得する処理を実施する。
なお、コネクション状態監視部13はパケット受信手段及び情報取得手段を構成している。
SSHクライアント機能部14はコネクション状態監視部13により取得されたSSHサーバの接続先情報及びログイン情報を用いて、そのSSHサーバとの間にSSHトンネルを確立する処理のほか、コネクション状態監視部13により受信されたパケットを暗号化し、そのSSHトンネルを使用して、暗号化後のパケットを送信する処理を実施する。
なお、SSHクライアント機能部14はSSHトンネル確立手段及びパケット送信手段を構成している。
SSHサーバ機能部15はネットワーク中継装置3がSSHサーバとして機能する場合、ネットワーク中継装置4のSSHクライアント機能部24との間にSSHトンネルを確立する処理を実施する。
なお、SSHクライアント機能部14はSSHトンネル確立手段及びパケット送信手段を構成している。
SSHサーバ機能部15はネットワーク中継装置3がSSHサーバとして機能する場合、ネットワーク中継装置4のSSHクライアント機能部24との間にSSHトンネルを確立する処理を実施する。
SSHポートフォワーディング設定テーブル記憶部21はネットワーク中継装置3のSSHポートフォワーディング設定テーブル記憶部11に相当するメモリである。
SSHトンネル状態テーブル記憶部22はネットワーク中継装置3のSSHトンネル状態テーブル記憶部12に相当するメモリである。
コネクション状態監視部23はネットワーク中継装置3のコネクション状態監視部13に相当する処理部である。
SSHクライアント機能部24はネットワーク中継装置3のSSHクライアント機能部14に相当する処理部である。
SSHサーバ機能部25はネットワーク中継装置3のSSHクライアント機能部14と情報交換を実施して、SSHトンネルを確立するとともに、ネットワーク中継装置3のSSHクライアント機能部14から送信されたパケットを受信して、そのパケットの暗号化を復号する処理を実施する。
SSHトンネル状態テーブル記憶部22はネットワーク中継装置3のSSHトンネル状態テーブル記憶部12に相当するメモリである。
コネクション状態監視部23はネットワーク中継装置3のコネクション状態監視部13に相当する処理部である。
SSHクライアント機能部24はネットワーク中継装置3のSSHクライアント機能部14に相当する処理部である。
SSHサーバ機能部25はネットワーク中継装置3のSSHクライアント機能部14と情報交換を実施して、SSHトンネルを確立するとともに、ネットワーク中継装置3のSSHクライアント機能部14から送信されたパケットを受信して、そのパケットの暗号化を復号する処理を実施する。
次に動作について説明する。
ネットワーク中継装置3のコネクション状態監視部13は、クライアントPC1から送信されたパケットを受信する。
また、コネクション状態監視部13は、パケットを受信すると、そのパケットの送信元(送信元IPアドレス、送信元ポート番号)及び宛先(宛先IPアドレス、宛先ポート番号)を確認する。
コネクション状態監視部13は、クライアントPC1から送信されたパケットの送信元及び宛先を確認すると、そのパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報がSSHポートフォワーディング設定テーブルにエントリされているか否かを調査する。
ネットワーク中継装置3のコネクション状態監視部13は、クライアントPC1から送信されたパケットを受信する。
また、コネクション状態監視部13は、パケットを受信すると、そのパケットの送信元(送信元IPアドレス、送信元ポート番号)及び宛先(宛先IPアドレス、宛先ポート番号)を確認する。
コネクション状態監視部13は、クライアントPC1から送信されたパケットの送信元及び宛先を確認すると、そのパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報がSSHポートフォワーディング設定テーブルにエントリされているか否かを調査する。
ここで、図2はSSHポートフォワーディング設定テーブル記憶部11に記憶されているSSHポートフォワーディング設定テーブルを示す説明図である。
コネクション状態監視部13は、SSHポートフォワーディング設定テーブル記憶部11に記憶されている図2のSSHポートフォワーディング設定テーブルにエントリされている場合、そのSSHポートフォワーディング設定テーブルから当該パケットに係るSSHサーバの接続先情報(SSHサーバのIPアドレス)及びログイン情報(ログインに必要なユーザ名、パスワード)を取得して、そのSSHサーバの接続先情報及びログイン情報をSSHクライアント機能部14に出力する。
コネクション状態監視部13は、SSHポートフォワーディング設定テーブル記憶部11に記憶されている図2のSSHポートフォワーディング設定テーブルにエントリされている場合、そのSSHポートフォワーディング設定テーブルから当該パケットに係るSSHサーバの接続先情報(SSHサーバのIPアドレス)及びログイン情報(ログインに必要なユーザ名、パスワード)を取得して、そのSSHサーバの接続先情報及びログイン情報をSSHクライアント機能部14に出力する。
ネットワーク中継装置3のSSHクライアント機能部14は、コネクション状態監視部13からSSHサーバの接続先情報及びログイン情報を受けると、SSHトンネル状態テーブル記憶部12に記憶されているSSHトンネル状態テーブルを参照して(図3を参照)、該当するSSHサーバとの間にSSHトンネルが既に確立されているか否かを調査する。
図3のSSHトンネル状態テーブルにおいて、「SSHトンネルの使用コネクション数」が1以上であれば、該当するSSHサーバとの間にSSHトンネルが既に確立されている。
図3のSSHトンネル状態テーブルにおいて、「SSHトンネルの使用コネクション数」が1以上であれば、該当するSSHサーバとの間にSSHトンネルが既に確立されている。
SSHクライアント機能部14は、該当するSSHサーバとの間にSSHトンネルが確立されていない場合、コネクション状態監視部13から出力されたSSHサーバの接続先情報を参照して、そのSSHサーバ(ネットワーク中継装置4のSSHサーバ機能部25)にアクセスし、また、SSHサーバのログイン情報を用いて、そのSSHサーバ機能部25にログインする。
SSHクライアント機能部14は、ネットワーク中継装置4のSSHサーバ機能部25にログインすると、そのSSHサーバ機能部25と所定の情報を交換して、SSHトンネルを確立する。
SSHクライアント機能部14は、ネットワーク中継装置4のSSHサーバ機能部25にログインすると、そのSSHサーバ機能部25と所定の情報を交換して、SSHトンネルを確立する。
SSHクライアント機能部14は、上記のようにして、新たにSSHトンネルを確立すると、そのSSHトンネルに関する情報を図3のSSHトンネル状態テーブルにエントリする。
なお、SSHクライアント機能部14は、該当するSSHサーバとの間にSSHトンネルが既に確立されている場合、新たなSSHトンネルを確立せずに、図3のSSHトンネル状態テーブルにおける「SSHトンネルの使用コネクション数」を1だけインクリメントする。また、該当エントリの「アイドル時間」を0にリセットする。
なお、SSHクライアント機能部14は、該当するSSHサーバとの間にSSHトンネルが既に確立されている場合、新たなSSHトンネルを確立せずに、図3のSSHトンネル状態テーブルにおける「SSHトンネルの使用コネクション数」を1だけインクリメントする。また、該当エントリの「アイドル時間」を0にリセットする。
SSHクライアント機能部14は、SSHトンネルの確立処理が完了すると、コネクション状態監視部13により受信されたパケットを暗号化し、新たに確立したSSHトンネル又は既に確立しているSSHトンネルを使用して、暗号化後のパケットをネットワーク中継装置4のSSHサーバ機能部25に送信する。
ネットワーク中継装置4のSSHサーバ機能部25は、ネットワーク中継装置3のSSHクライアント機能部14から送信されたパケットを受信すると、そのパケットの暗号化を復号して、平文のパケットをサーバPC2に転送する。
ネットワーク中継装置4のSSHサーバ機能部25は、ネットワーク中継装置3のSSHクライアント機能部14から送信されたパケットを受信すると、そのパケットの暗号化を復号して、平文のパケットをサーバPC2に転送する。
ここでは、SSHクライアント機能部14がパケットを暗号化し、SSHトンネルを使用して、暗号化後のパケットをネットワーク中継装置4のSSHサーバ機能部25に送信するものについて示したが、クライアントPC1から送信されたパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報が図2のSSHポートフォワーディング設定テーブルにエントリされていない場合、SSHトンネルを使用せずに、平文のパケットを送信する。
ネットワーク中継装置3,4間のパケット通信は、上記のようにして実施されるが、SSHトンネルを使用している全てのコネクションが切断されると、そのSSHトンネルを削除するようにする。
即ち、コネクション状態監視部13は、SSHトンネルを使用しているコネクションが切断された場合、図3のSSHトンネル状態テーブルにおける該当エントリの「SSHトンネルの使用コネクション数」を1だけデクリメントする。
即ち、コネクション状態監視部13は、SSHトンネルを使用しているコネクションが切断された場合、図3のSSHトンネル状態テーブルにおける該当エントリの「SSHトンネルの使用コネクション数」を1だけデクリメントする。
コネクション状態監視部13は、「SSHトンネルの使用コネクション数」が“0”になると、該当エントリのSSHトンネルを使用しているコネクションが全て切断されたことを意味するので、そのSSHトンネルの削除指令をSSHクライアント機能部14に出力する。
SSHクライアント機能部14は、コネクション状態監視部13からSSHトンネルの削除指令を受けると、そのSSHトンネルを削除する。
SSHクライアント機能部14は、コネクション状態監視部13からSSHトンネルの削除指令を受けると、そのSSHトンネルを削除する。
なお、コネクションがTCPであれば、FINやRSTパケットによってコネクションの切断を検出することができる。
ただし、コネクションがUDPの場合、FINやRSTパケットによってコネクションの切断を検出することができない。また、TCPの場合でも、異常シーケンスによって切断を検出することができないことも考えられる。
この場合、コネクション数のカウントを正しく行えず、不要なSSHトンネルが残ってしまう可能性がある。
これを回避するために、図3のSSHトンネル状態テーブルには、「アイドル時間」が記録されている。
「アイドル時間」は、「SSHトンネルの使用コネクション数」が1以上の場合、カウントアップされており、該当するSSHサーバ宛のパケットを受信した際に“0”にリセットされる。
このアイドル時間が予め設定された値を超えたとき、コネクション状態監視部13が該当エントリのSSHトンネルを使用しているコネクションが全て切断されたものと判断する。
ただし、コネクションがUDPの場合、FINやRSTパケットによってコネクションの切断を検出することができない。また、TCPの場合でも、異常シーケンスによって切断を検出することができないことも考えられる。
この場合、コネクション数のカウントを正しく行えず、不要なSSHトンネルが残ってしまう可能性がある。
これを回避するために、図3のSSHトンネル状態テーブルには、「アイドル時間」が記録されている。
「アイドル時間」は、「SSHトンネルの使用コネクション数」が1以上の場合、カウントアップされており、該当するSSHサーバ宛のパケットを受信した際に“0”にリセットされる。
このアイドル時間が予め設定された値を超えたとき、コネクション状態監視部13が該当エントリのSSHトンネルを使用しているコネクションが全て切断されたものと判断する。
以上で明らかなように、この実施の形態1によれば、コネクション状態監視部13により受信されたパケットの送信元及び宛先と一致するパケットの送信元情報及び宛先情報が図2のSSHポートフォワーディング設定テーブルにエントリされていれば、そのパケットに係るSSHサーバの接続先情報及びログイン情報を用いて、ネットワーク中継装置4のSSHサーバ機能部25との間にSSHトンネルを確立し、SSHクライアント機能部14がコネクション状態監視部13により受信されたパケットを暗号化し、そのSSHトンネルを使用して、暗号化後のパケットを送信するように構成したので、処理負荷の増大を招くことなく、パケットを暗号化して転送することができる効果を奏する。
即ち、図2のSSHポートフォワーディング設定テーブルにエントリされているパケットはSSHトンネル経由で送信され、SSHトンネル内の通信は全て暗号化されているため、安全性の高い通信が可能になる。クライアントPC1への設定は不要であり、クライアントPC1のユーザは、通常と同じ手順でサーバPC2と通信が可能である。
また、SSHトンネルを使用してパケットを送信することで、複数のコネクションをまとめることができるため、ネットワーク5上にある装置の負荷を下げる効果も期待することができる。
また、ネットワーク装置の中には、新たに生成されるコネクションに対して、接続の可否のチェックなど、様々な処理を実行するものがあるが、SSHトンネルを使用すれば、ネットワーク5上では、1本のコネクションにしかみえないので、このような処理の負荷を低減することが可能になる。
また、クライアントPC1のユーザは、意識することなく、サーバPC2と安全性の高い暗号化通信が可能になる。
さらに、パケットのIPアドレスやポート番号等により、SSHトンネルの使用/不使用を柔軟に設定することができるため、ネットワーク上にある装置の負荷を下げる効果も期待することができる。
また、SSHトンネルを使用してパケットを送信することで、複数のコネクションをまとめることができるため、ネットワーク5上にある装置の負荷を下げる効果も期待することができる。
また、ネットワーク装置の中には、新たに生成されるコネクションに対して、接続の可否のチェックなど、様々な処理を実行するものがあるが、SSHトンネルを使用すれば、ネットワーク5上では、1本のコネクションにしかみえないので、このような処理の負荷を低減することが可能になる。
また、クライアントPC1のユーザは、意識することなく、サーバPC2と安全性の高い暗号化通信が可能になる。
さらに、パケットのIPアドレスやポート番号等により、SSHトンネルの使用/不使用を柔軟に設定することができるため、ネットワーク上にある装置の負荷を下げる効果も期待することができる。
実施の形態2.
図4はこの発明の実施の形態2によるネットワーク中継装置を示す構成図であり、図において、図1と同一符号は同一または相当部分を示すので説明を省略する。
上記実施の形態1と比べて、この実施の形態2では、ネットワーク中継装置3,4の機能を必要最小限にしている点で相違している。
ネットワーク中継装置4がSSHサーバ機能部25を実装していないので、SSHサーバ機能部25に相当するSSHサーバ26を別に用意して、ネットワーク中継装置3のSSHクライアント機能部14がSSHサーバ26との間で、SSHトンネルを確立するようにしている。
SSHサーバ26は、UNIX機(UNIXは登録商標)等を使用することにより、容易に実現することができる。
図4はこの発明の実施の形態2によるネットワーク中継装置を示す構成図であり、図において、図1と同一符号は同一または相当部分を示すので説明を省略する。
上記実施の形態1と比べて、この実施の形態2では、ネットワーク中継装置3,4の機能を必要最小限にしている点で相違している。
ネットワーク中継装置4がSSHサーバ機能部25を実装していないので、SSHサーバ機能部25に相当するSSHサーバ26を別に用意して、ネットワーク中継装置3のSSHクライアント機能部14がSSHサーバ26との間で、SSHトンネルを確立するようにしている。
SSHサーバ26は、UNIX機(UNIXは登録商標)等を使用することにより、容易に実現することができる。
図5はSSHポートフォワーディング設定テーブル記憶部11に記憶されているSSHポートフォワーディング設定テーブルを示す説明図である。図5のSSHポートフォワーディング設定テーブルは、図3のSSHトンネル状態テーブルを兼ねている。
図5のSSHポートフォワーディング設定テーブルでは、本来のSSHポートフォワーディング機能と同様に、宛先ポート番号だけで受信パケットをチェックする仕様になっており、通信相手が決まっているポートの通信にしか利用することができない。
また、SSHトンネルの使用コネクション数ではなく、SSHトンネルの有無だけを管理している。このため、SSHトンネルの切断はアイドル時間の満了でのみ判断する。
図5のSSHポートフォワーディング設定テーブルでは、本来のSSHポートフォワーディング機能と同様に、宛先ポート番号だけで受信パケットをチェックする仕様になっており、通信相手が決まっているポートの通信にしか利用することができない。
また、SSHトンネルの使用コネクション数ではなく、SSHトンネルの有無だけを管理している。このため、SSHトンネルの切断はアイドル時間の満了でのみ判断する。
SSHトンネルは、上記実施の形態1のように、SSHサーバ毎に1本でなく、SSHポートフォワーディング設定テーブルのエントリ毎に1本となる。
このため、ネットワーク上にある機器の負荷を下げる効果はあるが、上記実施の形態1と比べると小さくなる。
この実施の形態2によれば、クライアントPC1のユーザは、意識することなく、サーバPC2と安全性の高い通信が可能である。
また、ネットワーク上にある装置の負荷を下げる効果も期待することができる。
上記実施の形態1と比べて、機能の制約は多いが、対向のネットワーク中継装置4として、SSHサーバ機能部25を内蔵していない通常の装置を使用することができるメリットがある。
また、ネットワーク中継装置3への機能の実装を最小限に抑えることができるメリットがある。
このため、ネットワーク上にある機器の負荷を下げる効果はあるが、上記実施の形態1と比べると小さくなる。
この実施の形態2によれば、クライアントPC1のユーザは、意識することなく、サーバPC2と安全性の高い通信が可能である。
また、ネットワーク上にある装置の負荷を下げる効果も期待することができる。
上記実施の形態1と比べて、機能の制約は多いが、対向のネットワーク中継装置4として、SSHサーバ機能部25を内蔵していない通常の装置を使用することができるメリットがある。
また、ネットワーク中継装置3への機能の実装を最小限に抑えることができるメリットがある。
1 クライアントPC、2 サーバPC、3,4 ネットワーク中継装置、11 SSHポートフォワーディング設定テーブル記憶部(情報記録手段)、12 SSHトンネル状態テーブル記憶部、13 コネクション状態監視部(パケット受信手段、情報取得手段)、14 SSHクライアント機能部(SSHトンネル確立手段、パケット送信手段)、15 SSHサーバ機能部、21 SSHポートフォワーディング設定テーブル記憶部、22 SSHトンネル状態テーブル記憶部、23 コネクション状態監視部、24 SSHクライアント機能部、25 SSHサーバ機能部(SSHサーバ)、26 SSHサーバ。
Claims (4)
- SSHポートフォワーディングを使用するパケットの宛先情報、上記パケットに係るSSHサーバの接続先情報及び上記SSHサーバに対するログイン情報を記録している情報記録手段と、クライアントから送信されたパケットを受信するパケット受信手段と、上記パケット受信手段により受信されたパケットの宛先と一致するパケットの宛先情報が上記情報登録手段に登録されていれば、上記情報記録手段から上記パケットに係るSSHサーバの接続先情報及びログイン情報を取得する情報取得手段と、上記情報取得手段により取得されたSSHサーバの接続先情報及びログイン情報を用いて、上記SSHサーバとの間にSSHトンネルを確立するSSHトンネル確立手段と、上記パケット受信手段により受信されたパケットを暗号化し、上記SSHトンネル確立手段により確立されたSSHトンネルを使用して、暗号化後のパケットを送信するパケット送信手段とを備えたネットワーク中継装置。
- パケット受信手段により受信されたパケットの宛先と一致するパケットの宛先情報が上記情報登録手段に登録されていなければ、パケット送信手段がSSHトンネルを使用せずに、平文のパケットを送信することを特徴とする請求項1記載のネットワーク中継装置。
- SSHサーバとの間にSSHトンネルが既に確立されていれば、SSHトンネル確立手段が新たなSSHトンネルを確立せずに、パケット送信手段が既に確立されているSSHトンネルを使用して、暗号化後のパケットを送信することを特徴とする請求項1または請求項2記載のネットワーク中継装置。
- SSHトンネル確立手段は、SSHトンネルを使用している全てのコネクションが切断されると、上記SSHトンネルを削除することを特徴とする請求項1から請求項3のうちのいずれか1項記載のネットワーク中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008010625A JP2009177239A (ja) | 2008-01-21 | 2008-01-21 | ネットワーク中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008010625A JP2009177239A (ja) | 2008-01-21 | 2008-01-21 | ネットワーク中継装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009177239A true JP2009177239A (ja) | 2009-08-06 |
Family
ID=41031923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008010625A Pending JP2009177239A (ja) | 2008-01-21 | 2008-01-21 | ネットワーク中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009177239A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015119273A (ja) * | 2013-12-17 | 2015-06-25 | 日本電信電話株式会社 | セッション確立方法 |
| JP2016144057A (ja) * | 2015-02-03 | 2016-08-08 | コニカミノルタ株式会社 | 通信システム、制御装置、通信方法、およびコンピュータプログラム |
| CN107453861A (zh) * | 2016-05-30 | 2017-12-08 | 中国科学院声学研究所 | 一种基于ssh2协议的数据采集方法 |
| CN114520769A (zh) * | 2022-01-22 | 2022-05-20 | 四川瑞霆智汇科技有限公司 | 一种基于边缘物联代理集中维护方法及*** |
-
2008
- 2008-01-21 JP JP2008010625A patent/JP2009177239A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015119273A (ja) * | 2013-12-17 | 2015-06-25 | 日本電信電話株式会社 | セッション確立方法 |
| JP2016144057A (ja) * | 2015-02-03 | 2016-08-08 | コニカミノルタ株式会社 | 通信システム、制御装置、通信方法、およびコンピュータプログラム |
| CN107453861A (zh) * | 2016-05-30 | 2017-12-08 | 中国科学院声学研究所 | 一种基于ssh2协议的数据采集方法 |
| CN107453861B (zh) * | 2016-05-30 | 2019-09-24 | 中国科学院声学研究所 | 一种基于ssh2协议的数据采集方法 |
| CN114520769A (zh) * | 2022-01-22 | 2022-05-20 | 四川瑞霆智汇科技有限公司 | 一种基于边缘物联代理集中维护方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| JP6518771B2 (ja) | セキュリティシステム、通信制御方法 | |
| US9369491B2 (en) | Inspection of data channels and recording of media streams | |
| JP4729602B2 (ja) | サーバ装置、通信機器、通信システム、プログラム及び記録媒体 | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| JP5640226B2 (ja) | 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム | |
| JP2009111437A (ja) | ネットワークシステム | |
| CN109845214A (zh) | 一种传输数据的方法、装置和*** | |
| CN110191052B (zh) | 一种跨协议网络传输方法及*** | |
| JP2011124770A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| US8386783B2 (en) | Communication apparatus and communication method | |
| JP2009177239A (ja) | ネットワーク中継装置 | |
| Taylor et al. | Validating security protocols with cloud-based middleboxes | |
| JP2010283762A (ja) | 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体 | |
| US20160316021A1 (en) | Remote out of band management | |
| JP2011160286A (ja) | 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| US11463879B2 (en) | Communication device, information processing system and non-transitory computer readable storage medium | |
| CN100583891C (zh) | 一种通讯加密的方法与*** | |
| US11888840B2 (en) | Apparatus and method for selection and transmission of server certificate | |
| JP4893279B2 (ja) | 通信装置および通信方法 | |
| JP2010283761A (ja) | Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
| JP2009081710A (ja) | 通信機器及び通信機器に用いられる通信方法 | |
| WO2018225158A1 (ja) | 通信装置、中継装置、情報処理システムおよび通信システム | |
| JP2004064490A (ja) | データ通信システム |