JP3354433B2 - ネットワーク通信システム - Google Patents

ネットワーク通信システム

Info

Publication number
JP3354433B2
JP3354433B2 JP10883997A JP10883997A JP3354433B2 JP 3354433 B2 JP3354433 B2 JP 3354433B2 JP 10883997 A JP10883997 A JP 10883997A JP 10883997 A JP10883997 A JP 10883997A JP 3354433 B2 JP3354433 B2 JP 3354433B2
Authority
JP
Japan
Prior art keywords
server computer
computer
proxy server
port number
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP10883997A
Other languages
English (en)
Other versions
JPH10303947A (ja
Inventor
信 萱島
真敏 寺田
達也 藤山
恵理 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10883997A priority Critical patent/JP3354433B2/ja
Priority to US09/065,416 priority patent/US6195366B1/en
Publication of JPH10303947A publication Critical patent/JPH10303947A/ja
Application granted granted Critical
Publication of JP3354433B2 publication Critical patent/JP3354433B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/165Combined use of TCP and UDP protocols; selection criteria therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、クライアント計算
機およびサーバ計算機間の通信経路に、個別にファイア
ウォール(防火壁)を構成する複数の代理サーバが配置
されているネットワークに係り、特に、クライアント計
算機およびサーバ計算機間で、ポート番号の指定を伴っ
てコネクションレス型の通信が行われる通信システムに
関する。
【0002】
【従来の技術】ファイアウォールを構成する代理サーバ
を通信経路上に配置し、ポート番号と通信アドレスによ
りサービスを識別するトランスポート層において通信を
中継する通信システムが提案されている。このトランス
ポート層の通信方式は、コネクション型通信と、コネク
ションレス型通信に大別される。
【0003】コネクション型通信においては、転送先の
ポート番号が固定であり、かつ、通信開始時の転送元の
ポート番号も固定とされている。このため、中継経路を
確立するために必要な情報を各通信装置が取得すること
が容易であった。
【0004】しかし、コネクションレス型通信では、転
送先のポート番号が動的にアサインされ、かつ、通信開
始時の転送元のポート番号も不定であるため、通信経路
を確立するために必要な情報を各通信装置が取得するの
は難しい。
【0005】従来、ファイアウォールが介在する環境下
で、クライアント計算機とサーバ計算機との間でコネク
ションレス型通信を可能にする機能としては、RFC1928
で提案されている Socks Protocol Version5 がある。S
ocks Protocol Version5 は、ファイアウォール上で通
信を中継する代理サーバと、代理サーバに対応した通信
ライブラリにより構成されるシステムとを前提としたプ
ロトコルであり、代理サーバとクライアント計算機の通
信ライブラリとの間での相互認証を規定すると共に、ク
ライアント計算機の代理サーバに対する接続命令および
その結果通知のシーケンスとパケットフォーマットとを
規定している。
【0006】コネクションレス型通信を行なうために
は、クライアント計算機、サーバ計算機、代理サーバ
が、通信に使用するポート番号を互いに交換する必要が
ある。Socks Version5 のプロトコルでは、何らかの方
法により、サーバ計算機からクライアント計算機に対し
て、サーバ計算機が通信に使用するポート番号を通知で
き、逆に、クライアント計算機からサーバ計算機に対し
ては、サーバ計算機と通信を行なう代理サーバが使用す
るポートを通知できることを前提としている。その上
で、Socks Version5 のプロトコルでは、クライアント
計算機より代理サーバに、サーバ計算機の使用ポートを
通知するための通信手順と、代理サーバよりクライアン
ト計算機に、クライアント計算機とサーバ計算機の両方
に対して代理サーバが中継で使用する2つのポートを通
知するための通信手順とを提供する。
【0007】例えば、クライアント計算機とサーバ計算
機間の通信路上に、ファイアウォールを構成する代理サ
ーバが一つだけ存在する場合には、図14(a)に示す
シーケンスにより、ポート番号の交換が行われる。すな
わち、まず、サーバ計算機が、代理サーバとの通信に使
用するポート番号P4をクライアント計算機に通知す
る。そのポート番号P4をクライアント計算機が代理サ
ーバに通知し、代理サーバは、クライアント計算機との
通信に使用するポート番号P2と、サーバ計算機との通
信に使用するポート番号P3とをクライアント計算機に
返送する。そして、クライアント計算機は、そのポート
番号P3をサーバ計算機に通知する。
【0008】
【発明が解決しようとする課題】しかしながら、従来技
術である Socks Version5 のシーケンスでは、ファイア
ウォールを構成する代理サーバが通信経路上に複数個存
在する場合には、うまくポート番号を交換することがで
きない。
【0009】通信経路上に2つの代理サーバ1および2
が存在する場合には、例えば、図14(b)のように、
まず、サーバ計算機が、代理サーバ2との通信に使用す
るポート番号P6をクライアント計算機に通知すると、
そのポート番号P6は、代理サーバ1および2に順次通
知される。そして、この通知に応じて、代理サーバ1
は、自らが通信に使用する2つのポート番号P2および
P3をクライアント計算機に通知し、代理サーバ2も、
通信に使用する2つのポート番号P4およびP5を代理
サーバ1に通知する。ただし、代理サーバ2からの通知
情報は、代理サーバ1のファイアウォールの機能により
遮断される。そして、サーバ計算機には、コネクション
レス型通信に必要なポート番号(P5)でなく、ポート
番号P3が通知される。
【0010】そこで、本発明では、計算機間の通信が、
個別にファイアウォールを構成する複数の代理サーバに
より中継される場合にも、ポート番号の交換およびコネ
クションレス型の通信を可能とするネットワーク通信シ
ステムを提供することを目的とする。
【0011】
【課題を解決するための手段】上記課題を解決するため
に、本発明では、クライアント計算機と、サーバ計算機
と、前記クライアント計算機およびサーバ計算機間の通
信経路に介在し、個別にファイアウォールを構成する複
数の代理サーバ計算機とを有し、前記通信経路上で、前
記各計算機の通信アドレスおよび当該計算機で動的に割
り振られるポート番号を指定してコネクションレス型の
通信が行われるネットワーク通信システムであって、前
記各代理サーバ計算機は、前記サーバ計算機の通信アド
レスおよび割り振ったポート番号を、前記クライアント
計算機から、前記サーバ計算機に接続される前記代理サ
ーバ計算機にかけて転送する手段と、当該転送に応じ
て、自代理サーバ計算機の通信アドレスおよび割り振っ
たポート番号を返送する手段と、前記サーバ計算機に接
続される前記代理サーバ計算機から返送された通信アド
レスおよび割り振ったポート番号を識別し、当該通信ア
ドレスおよび割り振ったポート番号を前記クライアント
計算機にかけて転送する手段とを備え、前記クライアン
ト計算機は、前記サーバ計算機との間で、当該サーバ計
算機の通信アドレスおよび割り振ったポート番号と、前
記サーバ計算機に接続される前記代理サーバ計算機の通
信アドレスおよび割り振ったポート番号とを通知し合う
手段とを備えることを特徴とするネットワーク通信シス
テムを提供する。
【0012】
【発明の実施の形態】以下、本発明の実施の形態を、図
1から図13を用いて説明する。
【0013】図1は、本実施形態に係るネットワーク通
信システムの概要を示す図である。図1において、101
はクライアント計算機、102と103は個別にファイアウォ
ールを構成する代理サーバ、104はサーバ計算機、105と
106はファイアウォールにより守られたネットワークド
メイン、107と108はローカルセグメント、109はインタ
ーネットである。本例の各代理サーバ102および103は、
認証およびアクセス制御の機能を備え、個別にファイア
ウォールを実現している。なお、代理サーバの機能を限
定し、代理サーバを含む複数の計算機により一つのファ
イアウォールを実現するようにしてもよい。
【0014】クライアント計算機102とサーバ計算機104
との間の通信は、ローカルセグメント107のLAN、代
理サーバ102、インターネット109、代理サーバ103、お
よび、ローカルセグメント108のLANを介して行われ
る。この通信では、コネクション型とコネクションレス
型の2種類の通信方式が利用される。各計算機101〜104
は、予め定めされたポート番号を使用してコネクション
型通信を行うことができる。また、通信アドレスと、各
コネクションで動的に割り振られたポート番号とを指定
してコネクションレス型通信を行うことができる。
【0015】クライアント計算機102とサーバ計算機104
との間の通信では、まず、コネクション型通信により通
信経路上の各計算機間でポート番号および通信アドレス
の交換がなされる。以後、通信経路上の各計算機は、取
得したポート番号および通信アドレスを指定してコネク
ションレス型通信によりパケットの通信を行う。なお、
本例では通信経路上に代理サーバを2個配置している
が、3個以上配置した場合にも、同じ手順で通信がなれ
る。ポート番号の交換で使用されるコネクションの内、
クライアント計算機101およびサーバ計算機104間の通信
のコネクションだけは、制御用コネクションが用いられ
る。
【0016】図2は、クライアント計算機102の構成例
を示す図である。図において、クライアント計算機102
は、CPU23、メモリ21、外部記憶装置24、通信I/O
25、および、バス22を有する。なお、図示はしないが、
表示装置やキーボード、音声再生回路等の各種入出力装
置と、通信データの暗号化/復号のためのプログラムや
回路も備えている。
【0017】外部記憶装置24には、通信プログラム24
1、データグラム中継制御プログラム242、中継経路テー
ブル243、認証情報テーブル244、および、各種アプリケ
ーションプログラム(図示せず)が格納されている。通
信プログラム241およびデータグラム中継制御プログラ
ム242は、コネクション型通信によるポート番号の交換
と認証とコネクションレス型通信とを行うためのプログ
ラムである。中継経路テーブル243には、他のドメイン
の識別情報やそこへの通信に用いる通信アドレス、ポー
ト番号等が含まれる。認証情報テーブル244には、図5
に示すように、代理サーバ102のIDと、代理サーバ102
と共有する認証用共有鍵1201とが記録される。なお、ア
プリケーションプログラムには、例えば、受信した動画
像データや音声データをリアルタイムに再生する処理を
行うもの等が含まれる。
【0018】メモリ21には、中継経路情報記憶エリア21
1、通信データ記憶エリア212、プログラムロードエリア
213、および、ポート情報記録テーブル214が形成されて
いる。中継経路情報記憶エリア211には上記中継経路テ
ーブル243の情報がロードされ、プログラムロードエリ
ア213には上記外部記憶装置24内の各種プログラムがロ
ードされる。ポート情報記録テーブル214は、図4
(a)において、クライアント計算機101と接続する代
理サーバ(102)の使用ポート番号および通信アドレス
を記録するためのポート情報エリア2141と、サーバ計算
機104と接続する代理サーバ(103)の使用ポートおよび
通信アドレスを記録するためのポート情報エリア2142と
により構成される。
【0019】CPU23は、プログラムロードエリア213
のプログラムを実行し、通信I/O25を用いてパケット
の送受信を行う。通信の開始時、送信先は中継経路情報
記録エリア211で検索する。送受信するパケットのデー
タは、通信データ記録エリア212に格納され、コネクシ
ョン型通信により取得したポート番号および通信アドレ
スは、ポート情報記録エリア214に格納される。
【0020】サーバ計算機104は、基本的にクライアン
ト計算機と同様の構成を有するが、さらに、クライアン
ト計算機に対し各種サービスを提供するためのアプリケ
ーションプログラムやデータベース等を有する。ライア
ント計算機に提供するサービスとしては、例えば、動画
像データや音声データの提供が含まれる。これらのデー
タは、データの信頼性よりもリアルタイムな転送が要求
されるため、コネクションレス型通信に適している。
【0021】図3は、個別にファイアウォールを形成す
る代理サーバ(102および103)の構成例を示す図であ
る。図において、代理サーバは、CPU33、メモリ31、
外部記憶装置34、通信I/O36、および、バス32を有す
る。通信データの暗号化/復号のためのプログラムや回
路を備えることもできる。
【0022】外部記憶装置34には、代理サーバプログラ
ム341、中継経路テーブル342、認証情報テーブル343、
および、アクセス制御テーブル344が格納されている。
代理サーバプログラム341は、コネクション型通信によ
るポート番号の交換と認証およびアクセス制御と、コネ
クションレス型通信とを行うためのプログラムである。
中継経路テーブル342には、他のドメインの識別情報や
そこへの通信に用いる通信アドレス、ポート番号等が含
まれる。
【0023】認証情報テーブル343には、隣接する計算
機のIDと、その計算機と共有する認証用共有鍵とが記
録される。代理サーバ102の場合、図5に示すように、
クライアント計算機101のID(c11)と認証用共有
鍵1201とからなるエントリ34311と、代理サーバ103の識
別情報(fw2)と認証用共有鍵1202とからなるエント
リ34312とが記録される。アクセス制御テーブルは、図
6において、ユーザIDが記録されるフィールド3441
と、受信元アドレスが記録されるフィールド3442と、受
信元のポート番号が記録されるポートフィールド3443と
からなる。
【0024】メモリ31には、中継経路情報記憶エリア31
1、通信データ記憶エリア312、プログラムロードエリア
313、および、ポート情報記録テーブル314が形成されて
いる。中継経路情報記憶エリア311には、上記中継経路
テーブル342の情報がロードされ、プログラムロードエ
リア313には、代理サーバプログラム341等のプログラム
がロードされる。ポート情報記録テーブル314は、図4
(b)に示すように、クライアント計算機側の接続相手
の使用ポート番号および通信アドレスを記録するための
ポート情報エリア3141と、サーバ計算機側の接続相手の
使用ポート番号および通信アドレスを記録するためのポ
ート情報エリア3142とにより構成される。
【0025】CPU33は、プログラムロードエリア313
のプログラムを実行し、通信I/O25を用いてパケット
の送受信を行う。通信の開始時、送信先は中継経路情報
記録エリア311で検索する。また、送受信するパケット
のデータは、通信データ記録エリア312に格納され、コ
ネクションレス型通信のためのポート番号は、ポート情
報記録テーブル314に格納される。
【0026】次に、クライアント計算機101がサーバ計
算機104に対して通信を行なう際に、通信経路上の各計
算機で行われる処理について説明する。
【0027】図7は、サーバ計算機104との通信を行う
際に、通信用のプログラムに基づいてクライアント計算
機101で実施される処理の概要を示すフローチャートで
ある。
【0028】クライアント計算機101の通信用のプログ
ラムでは、まず、サーバ計算機104でコネクションレス
通信用にアサインされたポート番号と通信アドレスと
を、コネクション型通信の制御用コネクションによりサ
ーバ計算機104から取得する(ステップ501)。次に、自
計算機101のコネクションレス型通信用のポート番号を
アサインし、上記取得したポート番号をポート情報エリ
ア2142に格納する(ステップ502)。そして、代理サー
バによる中継を必要とするかどうか判定し(ステップ50
3)、中継が不要な場合には、サーバ計算機104への接続
を直接行なう(ステップ509)。
【0029】中継が必要な場合は、ステップ509の代わ
りに次のステップ504から507の処理を行う。まず、サー
バ計算機104への中継を行なう代理サーバ(102)を、中
継経路テーブル243を参照して特定し(ステップ504)、
その代理サーバ上で稼働している代理サーバプログラム
341と接続する(ステップ505)。そして、ステップ501
で取得したサーバ計算機104の通信アドレスおよびポー
ト番号を、接続した代理サーバプログラム341に送信す
る(ステップ506)。次に、接続した代理サーバでアサ
インされたポート番号を、同代理サーバプログラム341
より受けとり、ポート情報記録エリア2141に記録する
(ステップ507)。さらに、サーバ計算機104に接続され
る代理サーバ(103)の代理サーバプログラム341の使用
ポート番号を受けとり、ポート情報記録エリア2142に記
録する(ステップ508)。
【0030】次に、ポート情報記録エリア2142に記録し
た使用ポート番号および通信アドレスを、上記制御用コ
ネクションによりサーバ計算機104に通知する(ステッ
プ510)。そして、以後、ポート情報記録エリア2141に
記録されている接続相手のポート番号および通信アドレ
スを指定して、サーバ計算機104との間でコネクション
レス型のパケット通信を行う(ステップ511)。
【0031】なお、以上のフローは、クライアント計算
機101で動作するすべての通信プログラム241で共通して
おり、例えばUNIXOSの場合には、通信用ライブラリに上
記機能を組み込むことができる。
【0032】図8は、クライアント計算機101がサーバ
計算機104と通信を行なう際に、それを中継する代理サ
ーバで代理サーバプログラム342に基づいて実施される
中継処理の概略を示すフローチャートである。
【0033】代理サーバプログラム342は、まず、クラ
イアント計算機もしくは他の代理サーバからの中継要求
を待ち(ステップ601)、中継要求を送る通信相手と接
続して、サーバ計算機104の通信アドレスおよびポート
番号を取得する(ステップ602)。次に、クライアント
側およびサーバ側の各接続相手のそれぞれついて、コネ
クションレス型通信用のポート番号をアサインする(ス
テップ603)。そして、サーバ計算機103との通信で他の
代理サーバの中継を必要とするかどうかを判定する(ス
テップ604)。
【0034】他の代理サーバの中継を必要とする場合、
次のステップ605から611,615の処理を行う。まず、サー
バ計算機104への中継を行なう他の代理サーバ(代理サ
ーバ102から見た場合、代理サーバ103)を、中継経路テ
ーブル343を参照して特定し(ステップ605)、特定した
代理サーバで稼働されている代理サーバプログラム341
と接続する(ステップ606)。そして、ステップ602で取
得したサーバ計算機104の通信アドレスおよびポート番
号を、ステップ606で接続した代理サーバプログラム341
に送信する(ステップ607)。送信先の代理サーバプロ
グラム341からは、その代理サーバプログラム341がクラ
イアント側の接続相手(つまり、自代理サーバ)に対し
てアサインしたポート番号と通信アドレスとを受けと
り、ポート情報記録エリア3142に記録する(ステップ60
8)。さらに、同代理サーバプログラム341から、サーバ
計算機104に接続される代理サーバ(103)がサーバ計算
機104に対しアサインしたポート番号と通信アドレスと
を受けとり、ポート情報記録エリア3411に記録する(ス
テップ609)。この2つのステップ608および609で受け
取る情報は、自代理サーバプログラム341において、上
記中継要求に対する応答であると認識され、他の外部か
らの情報とは区別される。認識を可能とするため、受け
取る情報には例えば応答を示す識別子が含まれる。次
に、ステップ601で接続した代理サーバもしくはクライ
アント計算機101に対し、ステップ603でアサインした同
接続相手用のポート番号を送信し(ステップ610)、さ
らに、ステップ609で記録したサーバ計算機104用のポー
ト番号を送信する(ステップ611)。そして、以後、ポ
ート情報記録テーブル314に記録されたポート番号およ
び通信アドレスを指定して送られてくるパケットは、同
テーブル314を基に、ポート番号および通信アドレスの
書き替えを行って、コネクションレス型通信により転送
する(ステップ615)。
【0035】上記ステップ604で他の代理サーバによる
中継が不要であると判定された場合(すなわち、サーバ
計算機104に自代理サーバが接続する場合)には、次の
ステップ612から615の処理を行う。まず、ステップ602
で取得したサーバ計算機のポート番号を、ポート情報記
録エリア3142に記録する(ステップ612)。ステップ601
で接続した相手用に自代理サーバがアサインしたポート
番号を、同接続相手に送信する(ステップ613)。そし
て、ステップ603でサーバ計算機104用にアサインしたポ
ート番号を、ステップ601で接続した相手に送信する
(ステップ614)。そして、以後、上述のステップ615の
処理によりパケットの転送を行う。
【0036】さて、本ネットワーク通信システムでは、
計算機間の相互認証と、代理サーバでのアクセス制御と
を実施することにより、セキュリティを強化することが
できる。相互認証の方法としては、例えばISO/IEC9798
認証を用いることができる。
【0037】各計算機101〜104間の相互認証の処理は、
複数のステップからなり、各計算機間の接続時に行われ
る。クライアント計算機101と代理サーバ102との間の認
証処理は、図7のフローではステップ505の時点、図8
のフローではステップ602の時点で行われる。具体的に
は、図5の例では、まず、代理サーバ102は、自計算機
のID(fw1)と乱数をクライアント計算機101へ送
信する。クライアント計算機101は、受け取ったIDを
基に、認証情報テーブル2441に予め格納されている代理
サーバ102と共有する認証用共有鍵1201を取り出し、そ
の認証用共有鍵1201を用いて、受け取った乱数を暗号化
する。そして、暗号化した乱数と自計算機のID(c1
1)とを代理サーバ102に返送する。代理サーバ102で
は、認証情報テーブル3431に予め格納されているクライ
アント計算機101と共有する認証用共有鍵1201を取り出
し、その認証用共有鍵1201を用いて、受け取った暗号化
された乱数を復号化する。そして、送信した乱数と復号
化した乱数が一致した場合には認証成立とし、次の処理
に進む。一致しない場合は、認証不成立としてコネクシ
ョンを切断する。認証側と非認証側を逆にして以上の処
理を繰り返すことで、相互認証がなされる。
【0038】代理サーバ間の認証処理も、図8のステッ
プ602および606の時点において同様に行われる。図5の
例では、代理サーバ103が乱数を代理サーバ102に送信
し、代理サーバ102は、受け取った乱数を、代理サーバ1
03と共有する認証用共有鍵1202を用いて暗号化し返送す
る。代理サーバ103では、代理サーバ103と共有する認証
用共有鍵1202を用いて、受け取った暗号化された乱数を
復号化し、送信した乱数と復号化した乱数が一致した場
合のみ認証成立とする。ここでも、認証側と非認証側を
逆にして同じ処理を繰り返すことで、相互認証がなされ
る。
【0039】各代理サーバでのアクセス制御は、図8の
ステップ602の認証処理の直後に行う。アクセス制御の
ため、各代理サーバの代理サーバプログラムは、受信し
たパケットから、クライアント計算機102を使用してい
るユーザのユーザIDと通信アドレスを取得し、アクセ
ス制御テーブル344に記録された情報と一致する場合の
み処理を続行する。
【0040】図9は、上述のフローチャートの処理によ
り実施される通信シーケンスの具体例を説明するための
図である。
【0041】図で、通信手順701〜708は、それぞれ、1
または複数のパケットによる通信を示す。P1からP6
は、各計算機でコネクションレス型通信用にアサインさ
れたポート番号を示す。サーバ計算機104は、代理サー
103との通信用にポート番号P6アサインし、クライ
アント計算機101では、代理サーバ102との通信用にポー
ト番号P1をアサインする。代理サーバ102は、クライ
アント計算機101との通信用にポート番号P2、代理サ
ーバ103との通信用にポート番号P3をそれぞれアサイ
ンする。そして、代理サーバ103は、代理サーバ102との
通信用にポート番号P4、サーバ計算機104との通信用
にポート番号P5をアサインする。
【0042】まず、通信手順701では、サーバ計算機104
のポート番号P6および通信アドレスが、制御用コネク
ションによりサーバ計算機104からクライアント計算機1
01に通知される。通信手順702では、サーバ計算機104の
ポート番号P6および通信アドレスと、クライアント計
算機101のポート番号P1および通信アドレスとが、通
常のコネクションによりクライアント計算機101から代
理サーバ102に通知される。同様に、通信手順703では、
サーバ計算機104のポート番号P6および通信アドレス
と、代理サーバ102のポート番号P3および通信アドレ
スとが、代理サーバ102から代理サーバ103に通知され
る。通信手順704および705では、代理サーバ103のポー
ト番号P4およびP5と通信アドレスとが、代理サーバ
103から代理サーバ102に通知される。通信手順706およ
び707では、代理サーバ102のポート番号P2および通信
アドレスと、代理サーバ103のポート番号P5および通
信アドレスとが、代理サーバ102からクライアント計算
機101に通知される。そして、通信手順708では、代理サ
ーバ103のポート番号P5および通信アドレスが、制御
用コネクションによりクライアント計算機101からサー
バ計算機102に通知される。以上の手順により、各計算
機102〜104は、それぞれ、接続する計算機のポート番号
および通信アドレスを獲得することができる。
【0043】相互認証およびアクセス制御は、通信手順
702および703において実施される。なお、アクセス制御
については、逆方向の通信がなされる通信手順704およ
び706において実施してもよい。また、相互認証および
アクセス制御は、通信手順701において行ってもよい。
【0044】次に、本発明の他の実施形態について、図
10から図13を用いて説明する。
【0045】この実施形態に係るネットワーク通信シス
テムは、クライアント計算機の通信用のプログラムによ
る処理と、代理サーバの中継プログラムによる処理と
が、上述の実施形態と異なる。
【0046】図10は、サーバ計算機104と通信を行う
際に、クライアント計算機101の通信用のプログラムに
より実施される処理の概略を示すフローチャートであ
る。
【0047】クライアント計算機101の通信用のプログ
ラムは、まず、サーバ計算機104でコネクションレス型
通信用にアサインされたポート番号と通信アドレスと
を、制御用コネクションによりサーバ計算機104から取
得する(ステップ801)。次に、自計算機101のコネクシ
ョンレス型通信用のポート番号をアサインし、上記取得
したポート番号をポート情報エリア2142に格納する(ス
テップ802)。そして、代理サーバによる中継を必要と
するかどうか判定し(ステップ803)、中継が不要な場
合には、サーバ計算機104への接続を直接行なう(ステ
ップ813)。
【0048】中継が必要な場合は、ステップ813の代わ
りに次のステップ804から812の処理を行う。まず、サー
バ計算機104への中継を行なう代理サーバ(102)を、中
継経路テーブル243を参照して特定し(ステップ804)、
その代理サーバ上で稼働している代理サーバプログラム
341と接続する(ステップ805)。そして、ループカウン
タをリセットする(ステップ806)。
【0049】次に、上記接続した代理サーバプログラム
341に対し、ステップ801で取得したサーバ計算機104の
通信アドレスおよびポート番号を送信する(ステップ80
7)。そして、上記接続した代理サーバプログラム341か
らポート番号および通信アドレスを受け取る(ステップ
820)。この際、この情報の生成元が、サーバ計算機104
に接続する代理サーバである場合には、接続完了情報も
受け取る。次に、ループカウンタの値が0値かどうかを
判定し(ステップ808)、0値の場合には、上記受け取
ったポート番号をポート情報記録エリア2141に記録する
(ステップ809)。次に、上記ステップ820で受け取った
ポート番号をポート情報記録エリア2142に記録し(ステ
ップ810)、ループカウンタの値をインクリメントする
(ステップ811)。そして、接続完了情報の受け取りの
有無により、サーバ計算機104に接続する代理サーバと
の接続が完了したかどうかを判定し(ステップ812)、
完了していない場合には、上記ステップ807以降の処理
を繰り返す。
【0050】接続が完了した場合には、ポート情報記録
エリア2142のポート番号を、制御用コネクションにより
サーバ計算機104に通知する(ステップ814)。そして、
以後、ポート情報記録エリア2141に記録されている接続
相手のポート番号および通信アドレスを指定して、サー
バ計算機104との間でコネクションレス型のパケット通
信を行う(ステップ815)。
【0051】図11は、クライアント計算機101がサー
バ計算機104と通信を行なう際に、それを中継する代理
サーバで代理サーバプログラム342に基づいて実施され
る中継処理の概略を示すフローチャートである。
【0052】代理サーバプログラム342は、まず、クラ
イアント計算機もしくは他の代理サーバからの中継要求
を待ち(ステップ901)、中継要求を送る通信相手と接
続して、サーバ計算機104の通信アドレスおよびポート
番号を受け取る(ステップ902)。さらに、接続相手の
通信アドレスおよびポート番号を受け取り、ポート情報
記録エリア3141に記録する(ステップ903)。次に、ク
ライアント側およびサーバ側の各接続相手について、コ
ネクションレス型通信用のポート番号をアサインし(ス
テップ904)、サーバ計算機103との通信で他の代理サー
バの中継を必要とするかどうかを判定する(ステップ90
5)。
【0053】他の代理サーバの中継を必要とする場合、
次のステップ906から917の処理を行う。まず、サーバ計
算機104への中継を行なう他の代理サーバ(代理サーバ1
02から見た場合、代理サーバ103)を、中継経路テーブ
ル343を参照して特定し(ステップ906)、特定した代理
サーバ103で稼働されている代理サーバプログラム341と
接続する(ステップ907)。そして、ループカウンタを
リセットする(ステップ908)。
【0054】次に、クライアント計算機101から送られ
た情報(中継要求)を、上記ステップ907で接続した代
理サーバに転送する(ステップ909)。そして、その代
理サーバからは、その代理サーバが本代理サーバとの通
信に対しアサインしたポート番号と通信アドレスとを受
け取り(ステップ910)、さらに、その代理サーバがサ
ーバ計算機104側の通信に対しアサインしたポート番号
と通信アドレスとを受け取る(ステップ911)。この2
つのステップ910,911で受け取る情報は、上記中継要求
に対する応答であると認識され、他の外部からの情報と
は区別される。認識を可能とするため、受け取る情報に
は、例えば、応答を示す識別子が含まれる。次に、ルー
プカウンタの値が0値かどうかを判定し(ステップ91
2)、0値の場合には、上記ステップ910で受け取ったポ
ート番号および通信アドレスをポート情報記録エリア31
41に記録する(ステップ913)。次に、同ポート番号お
よび通信アドレスを、上記ステップ901で接続した相手
に送信し(ステップ915)、ループカウンタの値をイン
クリメントする(ステップ916)。そして、接続完了情
報の受け取りの有無により、サーバ計算機104に接続す
る代理サーバとの接続が完了したかどうかを判定し(ス
テップ917)、完了していない場合には、上記ステップ9
09以降の処理を繰り返す。
【0055】接続が完了した場合には、以後、ポート情
報記録テーブル314に記録されたポート番号および通信
アドレスを指定して送られてくるパケットは、同テーブ
ル314を基に、ポート番号および通信アドレスの書き替
えを行って、コネクションレス型通信により転送する。
【0056】上記ステップ905で他の代理サーバによる
中継が不要であると判定された場合には、次のステップ
918から921の処理を行う。まず、ステップ902で取得し
たサーバ計算機のポート番号を、ポート情報記録エリア
3142に記録する(ステップ918)。ステップ901で接続し
た相手用に自代理サーバがアサインしたポート番号を、
同接続相手に送信する(ステップ919)。そして、ステ
ップ904でサーバ計算機104用にアサインしたポート番号
を、ステップ901で接続した相手に送信する(ステップ9
20)。そして、以後、上述のステップ921の処理により
パケットの転送を行う。
【0057】本実施形態においても、先の実施形態と同
様のステップから実現される相互認証およびアクセス制
御を実施することにより、セキュリティを強化すること
ができる。ただし、本実施形態では、クライアント計算
機101と各代理サーバとの間で、相互認証およびアクセ
ス制御がなされる点が異なる。このため、クライアント
計算機101は、図12に示すように、認証用の共有鍵120
3を代理サーバ102と共有し、これとは異なる共有鍵1204
を代理サーバ103と共有する。そして、対象の代理サー
バと共有する共有鍵を用いて認証処理を行う。相互認証
の処理は、図10のフローではステップ807〜812が形成
する処理ループにおいて、図11のフローではステップ
902において、それぞれ実施される。アクセス制御の処
理は、図11のステップ902の認証処理の直後に行われ
る。各代理サーバは、クライアント計算機102との相互
認証およびアクセス制御が成立した場合に限り、クライ
アント計算機102と他の代理サーバとの間の通信を中継
する。
【0058】図13は、以上本実施形態のフローチャー
トの処理により実現される通信シーケンスの具体例を説
明するための図である。この図では、上述の図9と同じ
値のポート番号P1からP6が各計算機101〜104でアサ
インされる場合を示している。
【0059】まず、通信手順1001により、サーバ計算機
104のポート番号P6および通信アドレスが、サーバ計
算機104からクライアント計算機101に通知される。クラ
イアント計算機101は、通知されたポート番号P6およ
び通信アドレスと、自計算機のポート番号P1および通
信アドレスとを、通信手順1002により代理サーバ102に
通知し、逆に、代理サーバ102からは、通信手順1003お
よび1004により代理サーバ102の通信アドレスとポート
番号P2およびP3の通知を受ける。次の通信手順1005
では、クライアント計算機101がサーバ計算機104のポー
ト番号P6および通信アドレスと、自計算機のポート番
号P1および通信アドレスとを再び送信し、この情報は
代理サーバ103で中継されて代理サーバ103に通知され
る。そして、代理サーバ103は、通信手順1006および100
7で、自らの通信アドレスとポート番号P4およびP5
を送信する。この送信情報は、代理サーバ102で中継さ
れ、通信手順1008および1009により、クライアント計算
機101へ通知される。以上の手順により、各計算機102〜
104は、それぞれ、接続する計算機のポート番号および
通信アドレスを獲得することができる。
【0060】相互認証およびアクセス制御は、通信手順
1002においてクライアント計算機101と代理サーバ102の
間での相互認証を、通信手順1005においてクライアント
計算機101と代理サーバ103の間での相互認証を行う。さ
らに、代理サーバ102が、通信手順1002での認証結果に
応じてクライアント計算機101の通信のアクセス制御を
行ない、代理サーバ103も、通信手順1005での認証結果
に応じてクライアント計算機101の通信のアクセス制御
を行なう。このように、相互認証およびアクセス制御を
行うことで、セキュリティーをより高めることができ
る。
【0061】コネクションレス型通信への移行後、クラ
イアント計算機101と、サーバ計算機に接続される代理
サーバ(103)との間の通信では、相互認証に用いた共
有暗号鍵1204を利用して、通信データの暗号化および復
号を行うようにすることができる。すなわち、送信側で
暗号化を行い、受信側でその復号を行うことで、セキュ
リティーをさらに強化することができる。
【0062】
【発明の効果】以上で説明したように、本発明によれ
ば、計算機間の通信が、個別にファイアウォールを構成
する複数の代理サーバにより中継される場合にも、ポー
ト番号の交換およびコネクションレス型の通信を可能と
するネットワーク通信システムを提供することができ
る。
【図面の簡単な説明】
【図1】 本発明の実施形態に係るネットワーク通信シ
ステムの全体構成図。
【図2】 クライアント計算機の構成図。
【図3】 代理サーバ計算機の構成図。
【図4】 ポート情報記録テーブルの構成図。
【図5】 認証情報テーブルの構成および認証処理の説
明図。
【図6】 アクセス制御テーブルの構成図。
【図7】 クライアント計算機の通信プログラムの概略
フロー。
【図8】 代理サーバの通信プログラムの概略フロー。
【図9】 通信シーケンスの具体例。
【図10】 クライアント計算機の通信プログラムの概
略フロー(その2)。
【図11】 代理サーバの通信プログラムの概略フロー
(その2)。
【図12】 認証情報テーブルの構成および認証処理の
説明図(その2)。
【図13】 通信シーケンスの具体例(その2)。
【図14】 従来のシステムにおける問題点の説明図。
【符号の説明】
101...クライアント計算機、102...ファイアウォール
(代理サーバ)、103...ファイアウォール(代理サー
バ)、104...サーバ計算機、105...ネットワークドメイ
ン、106...ネットワークドメイン、107...ローカルセグ
メント、108...ローカルセグメント、109...インターネ
ット、21...メモリ、211...中継経路情報記憶エリア、2
12...通信データ記憶エリア、213...プログラムロード
エリア、214...ポート情報記録エリア、22...バス、2
3...CPU、24...外部記憶装置、241...通信プログラム、
242...データグラム中継制御プログラム、243...中継経
路テーブル、25...通信I/O、31...メモリ、311...中継
経路情報記憶エリア、312...通信データ記憶エリア、31
3...プログラムロードエリア、314...ポート情報記録エ
リア、32...バス、33...CPU、34...外部記憶装置、34
1...代理サーバプログラム342...中継経路テーブル、3
5...通信I/O、36...通信I/O、2141...クライアント計算
機101と通信する代理サーバ102の使用ポートを記録する
ポート情報エリア、2142...サーバ計算機104と通信する
代理サーバ103の使用ポートを記録するサーバ用ポート
情報エリア、3141...クライアント計算機側の通信相手
の使用ポートを記録するポート情報エリア、3142...サ
ーバ計算機側の通信相手の使用ポートを記録するポート
情報エリア。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 藤山 達也 神奈川県川崎市麻生区王禅寺1099番地 株式会社日立製作所 システム開発研究 所内 (72)発明者 加藤 恵理 神奈川県横浜市戸塚区戸塚町5030番地 株式会社日立製作所 ソフトウェア開発 本部内 (56)参考文献 特開 平8−314835(JP,A) 特開 平10−154118(JP,A) 特開 平10−126440(JP,A) 特開 平10−28144(JP,A) 特開 平10−285216(JP,A) draft−ietf−mobile ip−firewall−trav− 00.txt draft−ietf−mobile ip−ft−req−00.txt (58)調査した分野(Int.Cl.7,DB名) H04L 12/56 G06F 13/00

Claims (16)

    (57)【特許請求の範囲】
  1. 【請求項1】クライアント計算機と、サーバ計算機と、
    前記クライアント計算機およびサーバ計算機間の通信経
    路に介在し、個別にファイアウォールを構成する複数の
    代理サーバ計算機とを有し、前記通信経路上で、前記各
    計算機で動的に割り振られるポート番号を指定してコネ
    クションレス型の通信が行われるネットワーク通信シス
    テムであって、 前記各代理サーバ計算機は、前記サーバ計算機が割り振
    ったポート番号を、前記クライアント計算機から、前記
    サーバ計算機に接続される前記代理サーバ計算機にかけ
    て転送する手段と、当該転送に応じて、自代理サーバ計
    算機が割り振ったポート番号を返送する手段と、前記サ
    ーバ計算機に接続される前記代理サーバ計算機から返送
    された当該代理サーバ計算機が割り振ったポート番号を
    識別し、当該割り振ったポート番号を前記クライアント
    計算機にかけて転送する手段とを備え、 前記クライアント計算機は、前記サーバ計算機との間
    で、当該サーバ計算機が割り振ったポート番号と、前記
    サーバ計算機に接続される前記代理サーバ計算機が割り
    振ったポート番号とを通知し合う手段とを備えることを
    特徴とするネットワーク通信システム。
  2. 【請求項2】請求項1記載のネットワーク通信システム
    であって、 前記クライアント計算機とサーバ計算機との間では、制
    御用コネクションを介して、割り振ったポート番号を通
    知し合うことを特徴とするネットワーク通信システム。
  3. 【請求項3】クライアント計算機およびサーバ計算機間
    の通信経路に介在し、ファイアウォールを構成する代理
    サーバ計算機であって、前記サーバ計算機が割り振ったポート番号を、前記クラ
    イアント計算機あるいは他の代理サーバ計算機(第2の
    代理サーバ計算機)から取得する手段と、 前記クライアント計算機あるいは第2の代理サーバ計算
    機に、前記クライアン ト計算機あるいは第2の代理サー
    バ計算機との通信のために自代理サーバ計算機が割り振
    ったポート番号を送信する手段と、 前記サーバ計算機との通信で、他の代理サーバ計算機
    (第3の代理サーバ計算機)の中継を必要とするかどう
    かを判定し、 中継が必要と判定した場合には、第3の代理サーバ計算
    機に前記サーバ計算機が割り振ったポート番号を送信す
    るとともに、 第3の代理サーバ計算機から、第3の代理サーバ計算機
    が自代理サーバ計算機との通信のために割り振ったポー
    ト番号、および、前記サーバ計算機に接続される他の代
    理サーバ計算機(第3の代理サーバ計算機または第4の
    代理サーバ計算機)が前記サーバ計算機との通信のため
    に割り振ったポート番号を取得し、 前記クライアント計算機あるいは第2の代理サーバ計算
    機に、前記サーバ計算機に接続される他の代理サーバ計
    算機が前記サーバ計算機との通信のために割り振ったポ
    ート番号を送信し、 中継が不要と判定した場合には、前記サーバ計算機との
    通信のために割り振ったポート番号を前記クライアント
    計算機あるいは第2の代理サーバ計算機に送信する手段
    とを備えることを特徴とする代理サーバ計算機。
  4. 【請求項4】請求項1記載のネットワーク通信システム
    であって、 前記クライアント計算機および代理サーバ計算機は、前
    記通信経路上で接続される前記各計算機間で、相互認証
    を行うための手段を備えることを特徴とするネットワー
    ク通信システム。
  5. 【請求項5】請求項1記載のネットワーク通信システム
    であって、 前記クライアント計算機および代理サーバ計算機は、前
    記クライアント計算機が前記各代理サーバ計算機と個別
    に相互認証を行うための手段を備えることを特徴とする
    ネットワーク通信システム。
  6. 【請求項6】請求項4または5記載のネットワーク通信
    システムであって、 前記代理サーバ計算機は、前記相互認証の成立の可否に
    応じて、前記クライアント計算機の通信に対しアクセス
    制御を行う手段を備えることを特徴とするネットワーク
    通信システム。
  7. 【請求項7】請求項5記載のネットワーク通信システム
    であって、 前記クライアント計算機および代理サーバ計算機は、前
    記クライアント計算機と、前記サーバ計算機に直接接続
    される代理サーバ計算機との間で、前記相互認証に用い
    た暗号鍵を用いて通信の暗号化および復号化を行うため
    の手段を備えることを特徴とするネットワーク通信シス
    テム。
  8. 【請求項8】複数の代理サーバ計算機を介して、サーバ
    計算機とコネクションレス型の通信を行なうクライアン
    ト計算機であって、 前記サーバ計算機との間で、当該サーバ計算機が割り振
    ったポート番号と、前記サーバ計算機に接続される前記
    代理サーバ計算機が割り振ったポート番号とを通知し合
    手段とを備えることを特徴とするクライアント計算
    機。
  9. 【請求項9】複数の代理サーバ計算機を介して、サーバ
    計算機とコネクションレス型の通信を行なうクライアン
    ト計算機であって、 前記サーバ計算機が割り振ったポート番号を、前記サー
    バ計算機から取得して、当該クライアント計算機に接続
    される代理サーバ計算機に送信する手段と、 この代理サーバ計算機から、前記サーバ計算機に接続さ
    れる代理サーバ計算機が割り振ったポート番号を取得し
    て、前記サーバ計算機に通知する手段とを備えることを
    特徴とするクライアント計算機。
  10. 【請求項10】複数の代理サーバ計算機を介して、クラ
    イアント計算機とコネクションレス型の通信を行なうサ
    ーバ計算機であって、前記クライアント計算機と制御用コネクションを確立す
    る手段と、 当該サーバ計算機が割り振ったポート番号を、前記クラ
    イアント計算機に通知する手段と、 前記クライアント計算機から、当該サーバ計算機に接続
    される代理サーバ計算機が割り振ったポート番号を、前
    記制御用コネクションにより受け付ける手段とを備える
    ことを特徴とするサーバ計算機。
  11. 【請求項11】クライアント計算機およびサーバ計算機
    間の通信経路に介在し、個別にファイアウォールを構成
    する複数の代理サーバ計算機から構成される中継システ
    ムであって、前記クライアント計算機に接続される代理サーバ計算機
    は、 前記サーバ計算機が割り振ったポート番号を、前記クラ
    イアント計算機から取得する手段と、 自代理サーバ計算機に接続される他の代理サーバ計算機
    から、当該他の代理サーバ計算機が自代理サーバ計算機
    との通信のために割り振ったポート番号、および、前記
    サーバ計算機に接続される代理サーバ計算機が前記サー
    バ計算機との通信のために割り振ったポート番号とを取
    得する手段と、前記クライアント計算機に、自代理サー
    バが前記クライアント計算機との通信のために割り振っ
    たポート番号、および、前記サーバ計算機に接続される
    代理サーバ計算機が前記サーバ計算機との通信のために
    割り振ったポート番号を送信する手段とを備え、 前記サーバ計算機に接続される代理サーバ計算機は、 前記サーバ計算機が割り振ったポート番号を、自代理サ
    ーバに接続される他の代理サーバから取得する手段と、 自代理サーバが前記サーバ計算機との通信のために割り
    振ったポート番号を前記自代理サーバに接続される他の
    代理サーバに送信する手段とを備え、 それ以外の代理サーバ計算機は、 前記サーバ計算機が割り振ったポート番号を、前記クラ
    イアント計算機側に接続された他の代理サーバ計算機
    (クライアント計算機側代理サーバ計算機)から取得す
    る手段と、 前記サーバ計算機側に接続された他の代理サーバ計算機
    (サーバ計算機側代理サーバ計算機)が代理サーバ計算
    機との通信のために割り振ったポート番号、および、前
    記サーバ計算機に接続される代理サーバ計算機が前記サ
    ーバ計算機との通信のために割り振ったポート番号を、
    サーバ計算機側代理サーバ計算機から取 得する手段と、 前記クライアント計算機側代理サーバに自代理サーバ計
    算機が前記クライアント計算機側代理サーバ計算機との
    通信のために割り振ったポート番号、および、前記サー
    バ計算機に接続される代理サーバ計算機が前記サーバ計
    算機との通信のために割り振ったポート番号を送信する
    手段とを備えることを特徴とする 中継システム
  12. 【請求項12】複数の代理サーバ計算機を介して、クラ
    イアント計算機とサーバ計算機とが通信を行なうための
    ポート番号を通知し合う方法であって、 サーバ計算機が割り振ったポート番号をクライアント計
    算機が取得するステップと、 サーバ計算機が割り振ったポート番号を、クライアント
    計算機から、サーバ計算機に接続された代理サーバまで
    転送していくステップと、 サーバ計算機に接続された代理サーバが割り振ったポー
    ト番号を、サーバ計算機に接続された代理サーバから、
    クライアント計算機まで転送していくステップと、 クライアント計算機が、サーバ計算機にサーバ計算機に
    接続された代理サーバが割り振ったポート番号を通知す
    るステップとを含むことを特徴とする通信を行なうため
    のポート番号を通知し合う方法。
  13. 【請求項13】クライアント計算機と、サーバ計算機
    と、前記クライアント計算機およびサーバ計算機間の通
    信経路に介在し、個別にファイアウォールを構成する複
    数の代理サーバ計算機とを有し、前記通信経路上で、前
    記各計算機の通信アドレスおよび当該計算機で動的に割
    り振られるポート番号を指定してコネクションレス型の
    通信が行われるネットワーク通信システムであって、 前記各代理サーバ計算機は、前記サーバ計算機の通信ア
    ドレスおよび割り振ったポート番号を、前記クライアン
    ト計算機から、前記サーバ計算機に接続される前記代理
    サーバ計算機にかけて転送する手段と、当該転送に応じ
    て、自代理サーバ計算機の通信アドレスおよび割り振っ
    たポート番号を返送する手段と、前記サーバ計算機に接
    続される前記代理サーバ計算機から返送された通信アド
    レスおよび割り振ったポート番号を識別し、当該通信ア
    ドレスおよび割り振ったポート番号を前記クライアント
    計算機にかけて転送する手段とを備え、 前記クライアント計算機は、前記サーバ計算機との間
    で、当該サーバ計算機の通信アドレスおよび割り振った
    ポート番号と、前記サーバ計算機に接続される前記代理
    サーバ計算機の通信アドレスおよび割り振ったポート番
    号とを通知し合う手段とを備えることを特徴とするネッ
    トワーク通信システム。
  14. 【請求項14】クライアント計算機およびサーバ計算機
    間の通信経路に介在し、ファイアウォールを構成する代
    理サーバ計算機であって、前記サーバ計算機が割り振ったポート番号を、前記クラ
    イアント計算機側から、前記サーバ計算機に接続される
    代理サーバ計算機側に転送する手段と、 当該転送に応じて、自代理サーバ計算機が割り振ったポ
    ート番号を返送する手段と、 前記サーバ計算機に接続される代理サーバ計算機から返
    送された前記サーバ計算機に接続される代理サーバ計算
    機が割り振ったポート番号を識別し、当該割り振ったポ
    ート番号を前記クライアント計算機側に転送する手段と
    を備えることを特徴とする代理サーバ計算機。
  15. 【請求項15】複数の代理サーバ計算機を介して、サー
    バ計算機とコネクションレス型の通信を行なうクライア
    ント計算機であって、 前記サーバ計算機との間で、当該サーバ計算機の通信ア
    ドレスおよび割り振ったポート番号と、前記サーバ計算
    機に接続される前記代理サーバ計算機の通信アドレスお
    よび割り振ったポート番号とを通知し合う手段とを備え
    ることを特徴とするクライアント計算機。
  16. 【請求項16】クライアント計算機およびサーバ計算機
    間の通信経路に介在し、個別にファイアウォールを構成
    する複数の代理サーバ計算機から構成される中継システ
    ムであって、 前記代理サーバ計算機は、前記サーバ計算機の通信アド
    レスおよび割り振ったポート番号を、前記クライアント
    計算機側から、前記サーバ計算機に接続される代理サー
    計算機側に転送する手段と、 当該転送に応じて、自代理サーバ計算機の通信アドレス
    および割り振ったポート番号を返送する手段と、 前記サーバ計算機に接続される代理サーバ計算機から返
    送された前記サーバ計算機に接続される代理サーバ計算
    機の通信アドレスおよび割り振ったポート番号を識別
    し、当該通信アドレスおよび割り振ったポート番号を前
    記クライアント計算機側に転送する手段とを備えること
    を特徴とする中継システム。
JP10883997A 1997-04-25 1997-04-25 ネットワーク通信システム Expired - Fee Related JP3354433B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP10883997A JP3354433B2 (ja) 1997-04-25 1997-04-25 ネットワーク通信システム
US09/065,416 US6195366B1 (en) 1997-04-25 1998-04-24 Network communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10883997A JP3354433B2 (ja) 1997-04-25 1997-04-25 ネットワーク通信システム

Publications (2)

Publication Number Publication Date
JPH10303947A JPH10303947A (ja) 1998-11-13
JP3354433B2 true JP3354433B2 (ja) 2002-12-09

Family

ID=14494889

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10883997A Expired - Fee Related JP3354433B2 (ja) 1997-04-25 1997-04-25 ネットワーク通信システム

Country Status (2)

Country Link
US (1) US6195366B1 (ja)
JP (1) JP3354433B2 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6076109A (en) * 1996-04-10 2000-06-13 Lextron, Systems, Inc. Simplified-file hyper text protocol
US6553410B2 (en) 1996-02-27 2003-04-22 Inpro Licensing Sarl Tailoring data and transmission protocol for efficient interactive data transactions over wide-area networks
US6480486B2 (en) * 1997-05-21 2002-11-12 Lextron Systems, Inc. Micro-localized internet service center
US6055566A (en) 1998-01-12 2000-04-25 Lextron Systems, Inc. Customizable media player with online/offline capabilities
JPH11338798A (ja) * 1998-05-27 1999-12-10 Ntt Communication Ware Kk ネットワークシステムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体
US6438602B1 (en) * 1998-10-13 2002-08-20 Unisys Corporation Method of establishing connections between client and server programs in respective computers using automatically constructed pipe names
EP1035708B1 (en) * 1999-03-05 2007-01-17 International Business Machines Corporation Method and system for optimally selecting a web firewall in a TCP/IP network
US7340057B2 (en) * 2001-07-11 2008-03-04 Openwave Systems Inc. Method and apparatus for distributing authorization to provision mobile devices on a wireless network
US6647260B2 (en) * 1999-04-09 2003-11-11 Openwave Systems Inc. Method and system facilitating web based provisioning of two-way mobile communications devices
US6754183B1 (en) * 1999-06-14 2004-06-22 Sun Microsystems, Inc. System and method for integrating a vehicle subnetwork into a primary network
US6775244B1 (en) * 1999-06-21 2004-08-10 Intel Corporation Gathering of device discovery information
US6930983B2 (en) * 2000-03-15 2005-08-16 Texas Instruments Incorporated Integrated circuits, systems, apparatus, packets and processes utilizing path diversity for media over packet applications
FR2800224B1 (fr) * 1999-10-21 2002-12-27 Ibm Procede et systeme de mise en antememoire de donnees http transportees avec des donnees de socks dans des datagrammes ip
US6823393B1 (en) * 1999-10-21 2004-11-23 International Business Machines Corporation Method and apparatus for setting the value of a type of service field in the header of the ip datagram having socks data by retrieving a source address and application address within the ip header of the ip datagram
US6862629B1 (en) * 1999-10-21 2005-03-01 International Business Machines Corporation Method and system for dispatching socks traffic based on socks connection identified by source address, application address and application level protocol
US7814208B2 (en) * 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
WO2002071717A2 (en) * 2000-12-14 2002-09-12 Vocaltec Communications Ltd. Traversing firewalls and nats
US6557030B1 (en) * 2000-05-31 2003-04-29 Prediwave Corp. Systems and methods for providing video-on-demand services for broadcasting systems
US6732147B1 (en) 2000-07-31 2004-05-04 The Boeing Company Leaving a broadcast channel
US6910069B1 (en) 2000-07-31 2005-06-21 The Boeing Company Joining a broadcast channel
US6920497B1 (en) * 2000-07-31 2005-07-19 The Boeing Company Contacting a broadcast channel
JP2002082907A (ja) * 2000-09-11 2002-03-22 Nec Corp データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
JP4080169B2 (ja) * 2000-09-29 2008-04-23 株式会社リコー セッション確立方法
US8719326B2 (en) * 2003-08-18 2014-05-06 S.F. Ip Properties 14 Llc Adaptive data transformation engine
US7124435B1 (en) * 2000-11-07 2006-10-17 Avanza Technologies, Inc. Information management system and method
US8812666B2 (en) * 2001-01-29 2014-08-19 Da Capital Fund Limited Liability Company Remote proxy server agent
US7353380B2 (en) * 2001-02-12 2008-04-01 Aventail, Llc, A Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US7360075B2 (en) * 2001-02-12 2008-04-15 Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US7383329B2 (en) 2001-02-13 2008-06-03 Aventail, Llc Distributed cache for state transfer operations
DE60212599D1 (de) * 2001-03-01 2006-08-03 Storeage Networking Technologi Sicherheit für ein san (storage area network)
JP4027112B2 (ja) * 2001-03-06 2007-12-26 キヤノン株式会社 画像処理装置及び画像処理装置における通信方法
US20060098586A1 (en) * 2001-03-09 2006-05-11 Farrell Craig A Method and apparatus for application route discovery
US20060020688A1 (en) * 2001-05-14 2006-01-26 At&T Corp. System having generalized client-server computing
US20030028610A1 (en) * 2001-08-03 2003-02-06 Pearson Christopher Joel Peer-to-peer file sharing system and method using user datagram protocol
US7127238B2 (en) * 2001-08-31 2006-10-24 Openwave Systems Inc. Method and apparatus for using Caller ID information in a browser of a mobile communication device
US20040066920A1 (en) * 2001-08-31 2004-04-08 Vandermeijden Tom R. Method and apparatus for automatically populating a contact database in a mobile communication device
DE10147147A1 (de) * 2001-09-25 2003-04-24 Siemens Ag Verfahren und Vorrichtung zur Realisierung einer Firewallanwendung für Kommunikationsdaten
US7363286B2 (en) * 2001-10-29 2008-04-22 International Business Machines Corporation File system path alias
JP3610341B2 (ja) * 2002-02-19 2005-01-12 キヤノン株式会社 ネットワーク機器及び遠隔制御中継サーバ
US7278157B2 (en) * 2002-03-14 2007-10-02 International Business Machines Corporation Efficient transmission of IP data using multichannel SOCKS server proxy
US7624266B2 (en) * 2002-03-22 2009-11-24 Nokia Corporation System and method using temporary identity for authentication with session initiation protocol
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US7650416B2 (en) * 2003-08-12 2010-01-19 Riverbed Technology Content delivery for client-server protocols with user affinities using connection end-point proxies
JP4119295B2 (ja) * 2003-04-07 2008-07-16 東京エレクトロン株式会社 保守・診断データ蓄積サーバ、保守・診断データの蓄積・取得システム、保守・診断データの蓄積・提供システム
EP1645971B8 (en) 2003-07-11 2016-03-30 Nippon Telegraph And Telephone Corporation Database access control method, database access control apparatus, proxy process server apparatus, program for database access control and recording medium recording the program
US8938553B2 (en) * 2003-08-12 2015-01-20 Riverbed Technology, Inc. Cooperative proxy auto-discovery and connection interception through network address translation
EP1683296B1 (en) * 2003-11-13 2014-03-05 Digital Authentication Technologies Inc. System and method for container monitoring, real time authentication, anomaly detection, and alerts
US7647599B2 (en) * 2003-12-22 2010-01-12 Motorola, Inc. Interprocessor communication network providing dynamic dedication of ports
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
WO2007149687A2 (en) 2006-05-30 2007-12-27 Riverbed Technology, Inc. Selecting proxies from among autodiscovered proxies
JP5281312B2 (ja) * 2008-04-25 2013-09-04 キヤノン株式会社 通信装置及びその制御方法、コンピュータプログラム
US20090327556A1 (en) * 2008-06-27 2009-12-31 Microsoft Corporation Processor Interrupt Selection
US8560855B2 (en) 2009-08-27 2013-10-15 Cleversafe, Inc. Verification of dispersed storage network access control information
US20110289154A1 (en) * 2010-05-19 2011-11-24 Log Corp. Online chatting system and method for user connected to website
US10361997B2 (en) 2016-12-29 2019-07-23 Riverbed Technology, Inc. Auto discovery between proxies in an IPv6 network
CN108989264B (zh) * 2017-05-31 2020-04-03 华为技术有限公司 一种直播方法、***以及相关设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5845267A (en) * 1996-09-06 1998-12-01 At&T Corp System and method for billing for transactions conducted over the internet from within an intranet
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection
US6006258A (en) * 1997-09-12 1999-12-21 Sun Microsystems, Inc. Source address directed message delivery

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
draft−ietf−mobileip−firewall−trav−00.txt
draft−ietf−mobileip−ft−req−00.txt

Also Published As

Publication number Publication date
US6195366B1 (en) 2001-02-27
JPH10303947A (ja) 1998-11-13

Similar Documents

Publication Publication Date Title
JP3354433B2 (ja) ネットワーク通信システム
US8713305B2 (en) Packet transmission method, apparatus, and network system
JP4307448B2 (ja) 分散オブジェクトを単一表現として管理するシステムおよび方法
US8190899B1 (en) System and method for establishing a remote connection over a network with a personal security device connected to a local client without using a local APDU interface or local cryptography
US8073949B2 (en) Secure multiapplication proxy
US8176189B2 (en) Peer-to-peer network computing platform
EP0702477B1 (en) System for signatureless transmission and reception of data packets between computer networks
US6044402A (en) Network connection blocker, method, and computer readable memory for monitoring connections in a computer network and blocking the unwanted connections
EP1854243B1 (en) Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
US6738909B1 (en) Method and apparatus for automatic configuration for internet protocol security tunnels in a distributed data processing system
JP2000049867A (ja) インタ―ネットなどの公衆ネットワ―クに接続された装置とネットワ―クに接続された装置の間の通信を容易にするシステムおよび方法
JP2000299698A (ja) データ通信装置
US7167979B2 (en) Invoking mutual anonymity by electing to become head of a return path
JPH11205388A (ja) パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
US10158610B2 (en) Secure application communication system
JP2011205244A (ja) 情報処理装置、経路制御装置、データ中継方法、及びプログラム
CN115134075A (zh) 跨子网调用方法、装置、电子设备和存储介质
CN114679274A (zh) 跨子网交互的权限控制方法及装置、电子设备、存储介质
CN113259461B (zh) 跨链交互方法和区块链***
US7644266B2 (en) Apparatus, system, and method for message level security
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
US8639842B1 (en) Scalable gateway for multiple data streams
JP4128094B2 (ja) 匿名ルート探索要求方法、匿名ルート探索要求中継方法、匿名データ中継方法、および匿名ルート探索要求応答方法
US8181011B1 (en) iSCSI name forwarding technique
JP3615281B2 (ja) 暗号鍵・復号鍵生成方法

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees