通信制御装置、通信制御システム、及び通信制御プログラム
【課題】利用者が最適な速度で暗号化通信できる通信制御装置、通信制御システム、及び通信制御プログラムを提供する。
【解決手段】通信制御装置100は、外部ネットワークIと内部ネットワークNとの間の暗号化通信を制御する装置であって、内部ネットワークNに接続される中継装置200から、外部ネットワークIのアクセス確認要求を受け付ける手段11と、外部ネットワークIから受信したアクセス要求を解析する手段13と、解析結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、外部ネットワークIからアクセス要求を送信した情報端末400が対応する通信速度に応じた通信方式に決定し、決定した通信方式を中継装置200に応答する手段14と、を有し、決定された通信方式に従って形成されたネットワーク上のトンネルを介して、外部ネットワークIと内部ネットワークNとの間の暗号化通信を行うことを特徴とする。
【解決手段】通信制御装置100は、外部ネットワークIと内部ネットワークNとの間の暗号化通信を制御する装置であって、内部ネットワークNに接続される中継装置200から、外部ネットワークIのアクセス確認要求を受け付ける手段11と、外部ネットワークIから受信したアクセス要求を解析する手段13と、解析結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、外部ネットワークIからアクセス要求を送信した情報端末400が対応する通信速度に応じた通信方式に決定し、決定した通信方式を中継装置200に応答する手段14と、を有し、決定された通信方式に従って形成されたネットワーク上のトンネルを介して、外部ネットワークIと内部ネットワークNとの間の暗号化通信を行うことを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上にトンネルを形成し、外部ネットワークと内部ネットワークとの間の通信を制御する技術に関するものである。
【背景技術】
【0002】
従来、インターネットなどの外部ネットワークを介したLAN(Local Area Network)などの内部ネットワークへの接続(例えば「社外から社内ネットワークへの接続」)は、ファイアウォールによって制限されており、外部から内部に設置されたサーバなどに接続できなくなっている。
【0003】
このような環境では、ネットワーク管理者がファイアウォールの設定を変更することで、外部から内部への接続が可能となるが、設定変更作業の手間や内部ネットワークの機密性の低下(セキュリティ上の問題)などが考えられ、好ましくない。そこで、例えば、特許文献1には、ファイアウォールに透過させたい通信プロトコルを設定することで、ネットワーク上にトンネル(仮想的な通信パス)を形成し、外部ネットワークと内部ネットワークとの間の通信を制御する技術が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の通信制御方法では、外部ネットワークと内部ネットワークとの間の通信速度が、利用者環境に応じて最適化されていない。
【0005】
利用者環境とは、例えば、ブラウザなどのアプリケーションであり、高速通信をサポートするアプリや通常通信のみをサポートするアプリなど、様々なアプリケーションが考えられる。そのため、外部ネットワークと内部ネットワークとの間の通信環境では、内部ネットワークの機密性を維持しながら、利用者環境(アクセス要求アプリ)に応じた最適な速度で通信できることが望ましい。
【0006】
本発明は上記従来技術の問題点を鑑み提案されたものであり、利用者が最適な速度で暗号化通信できる通信制御装置、通信制御システム、及び通信制御プログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明に係る通信制御装置は、外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置であって、前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、前記要求応答手段により応答された通信方式に従い、当該通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うことを特徴とする。
【0008】
このような構成によって、本発明に係る通信制御装置は、内部ネットワークに接続される中継装置から外部ネットワークのアクセス確認要求を受け付ける。通信制御装置は、外部ネットワークからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置は、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークと内部ネットワークとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置は、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークに接続される中継装置に応答する。その結果、中継装置は、応答された通信方式に従って、当該装置と通信制御装置との間にネットワーク上のトンネルを形成する。
【0009】
これによって、本発明に係る通信制御システムでは、外部ネットワークと内部ネットワークとの間の暗号化通信が、利用者環境(アクセス要求アプリ)の通信速度に応じて形成されたネットワーク上のトンネルを介して行われる。その結果、本発明に係る通信制御システムでは、利用者が最適な速度で暗号化通信できる。
【発明の効果】
【0010】
本発明によれば、利用者環境(アクセス要求アプリ)の通信速度に応じて、外部ネットワークと内部ネットワークとの間の通信方式を決定し、決定した通信方式に従って、ネットワーク上のトンネルを形成し、形成したトンネルを介して、暗号化通信を行うことで、利用者が最適な速度で暗号化通信可能な通信制御装置、通信制御システム、及び通信制御プログラムを提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態に係る通信制御システムの構成例を示す図である。
【図2】本発明の第1の実施形態に係る通信制御システムの処理例を示すシーケンス図である。
【図3】本発明の第1の実施形態に係る通信制御装置のハードウェア構成例を示す図である。
【図4】本発明の第1の実施形態に係る通信制御の機能構成例を示す図である。
【図5】本発明の第1の実施形態に係る高速通信可能と判断された場合の処理手順例を示すシーケンス図である。
【図6】本発明の第1の実施形態に係る高速通信不可能と判断された場合の処理手順例を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、本発明の好適な実施の形態(以下「実施形態」という)について、図面を用いて詳細に説明する。
【0013】
[第1の実施形態]
<システム構成>
図1は、本実施形態に係る通信制御システム1の構成例を示す図である。
図1には、複数の利用者端末4001〜400n(以降総称する場合「利用者端末400」という)と通信制御装置100とが、インターネットなどの外部ネットワークIで接続され、LANなどの複数の内部ネットワークN1〜Nn(以降総称する場合「内部ネットワークN」という)が、通信制御装置100を介して、外部ネットワークIに接続されるシステム構成例が示されている。
【0014】
内部ネットワークN1〜Nnでは、ファイアウォール機能FW1〜FWn(以降総称する場合「ファイアウォール機能FW」という)を有する中継装置2001〜200n(以降総称する場合「中継装置200」という)と情報提供装置3001〜300n(以降総称する場合「情報提供装置300」という)とが接続される。
【0015】
利用者端末400は、情報閲覧機能を有する情報処理装置である。情報閲覧機能は、例えば、ブラウザアプリケーション(以降単に「ブラウザアプリ」という)などにより実現される機能である。ブラウザアプリでは、アクセス要求を行うことで情報を取得し、取得情報を閲覧できる。
【0016】
一方、情報提供装置300は、情報提供機能を有する情報処理装置である。情報提供機能は、例えば、Webサーバアプリケーション(以降単に「Webサーバアプリ」という)などにより実現される機能である。Webサーバアプリでは、要求元に対して情報送信を行うことで保持情報を提供できる。つまり、利用者端末400がWebクライアントにあたり、情報提供装置300がWebサーバにあたる。
【0017】
通信制御装置100は、通信制御機能を有する情報処理装置である。通信制御機能は、外部ネットワークIと内部ネットワークNとの間のデータ通信を制御する機能である。
【0018】
中継装置200は、ファイアウォール機能FWを有する情報処理装置である。ファイアウォール機能FWは、外部ネットワークIと内部ネットワークNとの通信を制御し、内部ネットワークNの機密性を維持する(例えば「不正アクセス」や「情報漏洩」などを防止する)機能である。
【0019】
本実施形態に係る通信制御システム1では、次のような処理により、外部ネットワークIに接続される利用者端末400が、内部ネットワークNに接続される情報提供装置300から情報を取得する。
【0020】
図2は、本実施形態に係る通信制御システム1の処理例を示すシーケンス図である。なお、図2には、利用者端末400が情報提供装置300が有するWebページを取得する際の処理手順例が示されている。
【0021】
図2に示すように、まず、内部ネットワークNに接続される中継装置200は、外部ネットワークIに接続される通信制御装置100に対して、外部からのWebアクセス確認を要求しておく(ステップS101)。
【0022】
外部ネットワークIに接続される利用者端末400では、ブラウザアプリを介して、利用者から暗号化通信によるWebアクセス先指定(https://A-company.com)を受け付けると(ステップS102)、通信制御装置100に対して、Webアクセス要求を送信する(ステップS103)。
【0023】
通信制御装置100は、利用者端末400からWebアクセス要求を受信すると、受信したWebアクセス要求を解析し(ステップS104)、解析結果に基づき、Webアクセス先が、中継装置200が接続される内部ネットワークNか否かを確認し、さらに、利用者端末400が有するブラウザアプリ(利用者環境)が高速通信をサポートしているか否かを確認する(ステップS105)。通信制御装置100は、Webアクセス先に該当する内部ネットワークNの中継装置200に対して、確認応答[外部アクセス要求有・通信方式(高速)]を送信する(ステップS106)。これにより、通信制御装置100と中継装置200との間には、確認応答の通信方式(高速)に従って、ネットワーク上の高速通信用トンネルが形成される。
【0024】
その後、通信制御装置100は、形成された高速通信用トンネルを介して、中継装置200に対して、Webアクセス要求を送信し(ステップS107)、中継装置200は、情報提供装置300に対し、Webアクセス要求を送信する(ステップS108)。その結果、情報提供装置300は、通信制御装置100と中継装置200との間に形成された高速通信用のトンネルを介して、利用者端末400のブラウザアプリに対し、アクセス応答[Webページ]を送信する(ステップS109〜S112)。
【0025】
このように、本実施形態では、外部ネットワークIから内部ネットワークNへのアクセスは、利用者環境(アクセス要求アプリ)の通信速度に応じて、通信制御装置100と中継装置200との間に形成されたトンネルを介して行われる。
【0026】
なお、「トンネルを形成する」とは、ネットワーク上に、ある2点間を結ぶ閉じられた仮想的な通信パス(直結通信回線)を確立することを意味し、ネットワーク上に外部から遮断された見えない通り道を作るように見えることから"トンネル"と呼ばれている。
【0027】
本来、通信を行いたいプロトコルで記述されたパケットを、別のプロトコルのパケットでカプセル化し、送信することで通信を行う。パケットのカプセル化とその解除は、トンネルの両端に位置する装置(本実施形態では「通信制御装置」と「中継装置」)が自動的に行うため、トンネルで結ばれた装置同士が直結しているように見える。
【0028】
このような通信方法は、例えば、本社と支社のLAN間接続など、プライベートなネットワーク(内部ネットワーク)を、インターネット(外部ネットワーク)を経由して接続する際などに利用されることが多い。そのため、トンネルの両端に位置する装置(通信制御装置と中継装置)は、パケットをカプセル化する際に暗号化を行い、転送中の漏洩や改ざんを防止するセキュリティ機能を有している。
【0029】
以上のように、本実施形態に係る通信制御システム1では、上記システム構成により、外部ネットワークIと内部ネットワークNとの間で暗号化通信環境を提供することができる。
【0030】
<ハードウェア構成>
図3は、本実施形態に係る通信制御装置100のハードウェア構成例を示す図である。なお、中継装置200、情報提供装置300、及び利用者端末400については、通信制御装置100と同じく情報処理装置であることから、その説明を省略する。
【0031】
図3に示すように、通信制御装置100は、入力装置101、表示装置102、ドライブ装置103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、インタフェース装置107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
【0032】
入力装置101は、キーボードやマウスなどを含み、通信制御装置100に各操作信号を入力するのに用いられる。表示装置102は、ディスプレイなどを含み、通信制御装置100による処理結果を表示する。
【0033】
インタフェース装置107は、通信制御装置100をデータ伝送路(「外部ネットワーク」や「内部ネットワーク」)に接続するインタフェースである。これにより、通信制御装置100は、インタフェース装置107を介して、利用者端末400や中継装置200とデータ通信を行うことができる。
【0034】
HDD108は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、装置全体を制御する情報処理システム(例えば「Windows(商標又は登録商標)」や「UNIX(商標又は登録商標)」などの基本ソフトウェアであるOS(Operating System))、及びシステム上において各種機能(例えば「通信制御機能」)を提供するアプリケーションなどがある。また、HDD108は、格納しているプログラムやデータを、所定のファイルシステム及び/又はDB(Data Base)により管理している。
【0035】
ドライブ装置103は、着脱可能な記録媒体103aとのインタフェースである。これにより、通信制御装置100は、ドライブ装置103を介して、記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aには、例えば、フロッピー(商標又は登録商標)ディスク、CD(Compact Disk)、及びDVD(Digital Versatile Disk)、ならびに、SDメモリカード(SD Memory card)やUSBメモリ(Universal Serial Bus memory)などがある。
【0036】
ROM105は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、通信制御装置100の起動時に実行されるBIOS(Basic Input/Output System)、情報処理システム設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。CPU106は、上記記憶装置(「HDD」や「ROM」)から、プログラムやデータをRAM(メモリ)上に読み出し、処理を実行することで、装置全体の制御や搭載機能を実現する処理装置である。
【0037】
以上のように、本実施形態に係る通信制御装置100では、上記ハードウェア構成により、通信制御サービス(通信制御機能)を提供することができる。なお、通信制御装置100は、入力装置101及び表示装置102を備えていない構成であってもよい。この点については、中継装置200及び情報提供装置300でも同様である。また、利用者端末400は、上述したようなハードウェア構成の携帯情報端末であってもよい。
【0038】
<通信制御機能>
本実施形態に係る通信制御機能について説明する。
本実施形態に係る通信制御装置100では、内部ネットワークNに接続される中継装置200から外部ネットワークIのアクセス確認要求を受け付ける。通信制御装置100は、外部ネットワークIからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置100は、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置100は、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークNに接続される中継装置200に応答する。その結果、中継装置200は、応答された通信方式に従って、当該装置200と通信制御装置100との間にネットワーク上のトンネルを形成する。本実施形態に係る通信制御装置100は、このような通信制御機能を有している。
【0039】
従来の通信制御方法では、外部ネットワークIと内部ネットワークNとの間の通信速度が、利用者環境(アクセス要求アプリ)に応じて最適化されていない。利用者の利便性を考慮すると、外部ネットワークIと内部ネットワークNとの間の通信環境では、内部ネットワークNの機密性を維持しながら、利用者環境(アクセス要求アプリ)に応じた最適な速度で通信できることが望ましい。
【0040】
そこで、本実施形態に係る通信制御装置100では、利用者環境(アクセス要求アプリ)の通信速度に応じて、外部ネットワークIと内部ネットワークNとの間の通信方式を決定し、決定した通信方式に従って、ネットワーク上のトンネルを形成し、形成したトンネルを介して、暗号化通信を行う仕組みとした。
【0041】
これによって、本実施形態に係る通信制御システム1では、利用者が最適な速度で暗号化通信できる。
【0042】
以下に、本実施形態に係る通信制御機能の構成とその動作について説明する。
図4は、本実施形態に係る通信制御の機能構成例を示す図である。
図4に示すように、本実施形態に係る通信制御装置100は、確認要求受付部11、外部アクセス要求受付部12、解析部13、確認応答部14、外部アクセス要求部15、及び外部アクセス応答部16などを有している。これらの機能部は、中継装置200が有する機能部と連携動作する。中継装置200は、確認要求部21、アクセス要求受付部22、及びアクセス要求部23などを有している。
【0043】
《中継装置》
確認要求部21は、通信制御装置100(確認要求受付部)に外部ネットワークIからのアクセス確認を要求(以下「外部アクセス確認要求」という)する機能部である。確認要求部21は、通信制御装置100に中継装置200が接続される内部ネットワークNの識別情報(以下「ネットワーク識別情報」という)を送信し、アクセス要求時のアクセス先が、ネットワーク識別情報の内部ネットワークNか否かの確認を要求する。なお、ネットワーク識別情報は、例えば、URI(Uniform Resource Identifier)などである。その結果、確認要求部21は、通信制御装置100(確認応答部)から確認要求の応答結果を受信する。なお、応答結果には、外部アクセス要求の有無を示す情報(以下「要求有無情報」という)や外部ネットワークIと内部ネットワークNとの間の通信方式(高速通信/通常通信)を示す情報(以下「通信方式情報」という)などが含まれる。
【0044】
これにより、中継装置200は、当該装置が接続される内部ネットワークNに対して、外部ネットワークIからアクセス要求(以下「外部アクセス要求」という)された場合(要求有りの場合)に、通信方式情報に従って、外部ネットワークIと内部ネットワークNとの間にネットワーク上のトンネルを形成する。なお、トンネル形成は、中継装置200が有するファイアウォール機能FWの設定変更により行う。また、トンネル形成は、通信制御装置100からの応答結果に含まれる要求有無情報が「外部アクセス要求有り」であった場合に行われる。
【0045】
アクセス要求受付部22は、通信制御装置100(外部アクセス要求部)からアクセス要求を受け付ける機能部である。アクセス要求受付部22は、確認要求部21から「外部アクセス要求有り」であった場合に発行された動作指示に従って、トンネルを介して、通信制御装置100から送信(転送)されたアクセス要求を受信する。
【0046】
アクセス要求部23は、情報提供装置300にアクセス要求する機能部である。アクセス要求部23は、アクセス要求受付部22からの動作指示に従って、アクセス先として指定された情報提供装置300に対して、アクセス要求を送信する。その結果、アクセス要求部23は、情報提供装置300からアクセス要求の応答結果を受信する。なお、応答結果には、情報取得リクエストに対するレスポンスデータなどが含まれ、レスポンスデータは、例えば、Webページ(HTMLデータ:HyperText Markup Language data)などである。
【0047】
これにより、アクセス要求部23は、情報提供装置300から受信した応答結果を、トンネルを介して、通信制御装置100(外部アクセス応答部)に送信する。
【0048】
《通信制御装置》
確認要求受付部11は、中継装置200(確認要求部)から外部アクセス確認要求を受け付ける機能部である。確認要求受付部11は、中継装置200(確認要求部)から受信したネットワーク識別情報を確認応答部14に渡し、確認対象の内部ネットワークNを設定・登録する。
【0049】
外部アクセス要求受付部12は、利用者端末400から外部アクセス要求を受け付ける機能部である。利用者端末400は、所定のアプリを介して、利用者からアクセス先を指定する情報(以下「アクセス先指定情報」という)を受け付ける。アクセス先指定情報は、例えば、URIデータ(A-company.com)などである。利用者端末400は、外部ネットワークIを介して、アクセス先指定を含む外部アクセス要求を、通信制御装置100に送信する。外部アクセス要求受付部12は、このように送信された外部アクセス要求を受信する。
【0050】
解析部13は、外部アクセス要求を解析する機能部である。解析部13は、外部アクセス要求受付部12から渡された外部アクセス要求を解析する。解析部13は、外部アクセス要求として受信した通信データを解析し、通信データに含まれるアクセス先指定情報や外部アクセス要求元のアプリ(利用者環境)がサポートする通信方式(高速通信/通常通信)などを含む利用者環境情報を、解析結果として取得する。なお、通信データの解析対象は、例えば、SSL(Secure Sockets Layer)ClientHelloメッセージやHTTP(Hypertext Transfer Protocol)HOSTヘッダなどである。
【0051】
例えば、利用者端末400から、ブラウザアプリを介して、HTTPS(HTTP over Secure Socket Layer)による暗号化通信の外部アクセス要求(https://A-company.com)が、通信制御装置100に送信されたとする。このとき、ブラウザアプリが高速通信をサポートしている場合には、受信した通信データ[SSLClientHelloメッセージ]に、ブラウザアプリが使用するSSL(Secure Sockets Layer)のバージョン値(TLSバージョン値)やTLS拡張(Transport Layer Security extensions)のサーバネーム値(server_name:A-company.com)などが含まれている。
【0052】
そこで、解析部13は、通信データ[SSLClientHelloメッセージ]を解析し、SSLのバージョン値やTLS拡張のサーバネーム値の有無などを利用者環境情報として、TLS拡張のサーバネーム値をアクセス先指定情報として取得する。
【0053】
一方、ブラウザアプリが高速通信をサポートしていない場合には、受信した通信データ[SSLClientHelloメッセージ]に、TLS拡張のサーバネーム値が含まれていない。この場合、通信制御装置100から利用者端末400に、受信メッセージへの応答メッセージであるServerHelloメッセージが送信されると、利用者端末400は、HTTP要求の通信データ[HTTPHOSTヘッダ]を、通信制御装置100に送信する。なお、HTTPHOSTヘッダには、ホストネーム値(host:A-company.com)が含まれている。
【0054】
よって、解析部13は、まず、通信データ[SSLClientHelloメッセージ]を解析し、SSLのバージョン値やTLS拡張のサーバネーム値の有無などを利用者環境情報として取得する。次に、解析部13は、通信データ[HTTPHOSTヘッダ]を解析し、ホストネーム値をアクセス先指定情報として取得する。
【0055】
確認応答部14は、外部アクセス要求を確認する機能部である。確認応答部14は、確認要求受付部11からの動作指示に従って、確認処理を実行する。このとき、確認応答部14には、確認要求受付部11からネットワーク識別情報が渡され、確認対象の内部ネットワークNが設定される。
【0056】
確認応答部14は、解析部13から解析結果が渡されると、解析結果に基づき、確認処理を行う。なお、確認処理は、解析部13から解析結果が渡されない間(外部アクセス要求が受信されない間)、待ち状態となる。このとき、通信制御装置100と中継装置200とは、接続状態が維持(セッションが維持)されている。
【0057】
確認応答部14は、次のような確認処理を行う。
確認応答部14は、まず、同機能が有する要求有無判定部141により、解析部13の解析結果に基づき、確認要求受付部11により設定された確認対象の内部ネットワークNへの外部アクセス要求の有無を判定する。要求有無判定部141は、解析結果として取得されたアクセス先指定情報に基づき、外部アクセス要求の有無を判定する。
【0058】
要求有無判定部141は、次のように外部アクセス要求有無の判定を行う。要求有無判定部141は、アクセス先指定情報を参照し、TLS拡張のサーバネーム値/ホストネーム値に基づき、確認対象として設定されたネットワーク識別情報を参照する。要求有無判定部141は、設定されたネットワーク識別情報の中に該当情報が存在する場合に、該当情報から識別された内部ネットワークNに対して、「外部アクセス要求有り」と判定する。一方、該当するネットワーク識別情報が存在しない場合には、「外部アクセス要求無し」と判定する。つまり、要求有無判定部141は、確認対象として設定された内部ネットワークNの中から、外部アクセス要求時のアクセス先指定に該当する内部ネットワークNを特定し、該当する内部ネットワークNに「外部アクセス要求有り」と判定する。
【0059】
次に、確認応答部14は、同機能が有する高速通信可否判定部142により、解析部13の解析結果に基づき、外部アクセス要求元の利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判定する。高速通信可否判定部142は、解析結果として取得された利用者環境情報に基づき、利用者環境(アクセス要求アプリ)が高速通信可能か否かを判定する。
【0060】
高速通信可否判定部142は、次のように高速通信可否の判定を行う。高速通信可否判定部142は、利用者環境情報を参照し、SSLのバージョン値及びTLS拡張のサーバネーム値の有無を判定する。高速通信可否判定部142は、利用者環境情報に両方の値が含まれていた場合に、SSLのバージョン値が、"1.0"以上か否かを判定する。その結果、高速通信可否判定部142は、SSLのバージョン値が、"1.0"以上の場合に、利用者環境(アクセス要求アプリ)が高速通信可能と判定する。一方、利用者環境情報に両方の値が含まれていない場合、又は、SSLのバージョン値が、"1.0"未満の場合には、利用者環境(アクセス要求アプリ)が高速通信不可能(通常通信のみ可能)と判定する。
【0061】
これにより、確認応答部14は、高速通信可否判定部142の判定結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、高速通信又は通常通信のどちらか一方に決定する。
【0062】
確認応答部14は、確認結果である要求有無情報(要求有り)及び通信方式情報(高速通信/通常通信)を、中継装置200(確認要求部)に確認要求の応答結果として送信する。
【0063】
外部アクセス要求部15は、中継装置200(アクセス要求受付部)に外部アクセス要求する機能部である。外部アクセス要求部15は、確認要求部14から「外部アクセス要求有り」の場合に発行された動作指示に従って、アクセス先として特定された内部ネットワークNに接続される中継装置200に対して、外部アクセス要求を送信(転送)する。
【0064】
外部アクセス応答部16は、利用者端末400に外部アクセス要求の応答結果を送信(転送)する機能部である。外部アクセス応答部16は、トンネルを介して、中継装置200(アクセス要求部)から送信(応答)された応答結果を受信すると、受信データを利用者端末400に送信する。
【0065】
以上のように、本実施形態に係る通信制御機能は、上記各機能部が連携動作することにより実現される。なお、上記各機能部は、システム1を構成する各装置(「通信制御装置」や「中継装置」)に搭載(インストール)されるプログラム(通信制御機能を実現するソフトウェア)が、各装置が備える演算装置(CPU)により、記憶装置(「HDD」や「ROM」)からメモリ(RAM)上に読み出され、以下の処理が実行されることで実現される。
【0066】
本実施形態に係る通信制御機能の詳細な動作(機能部群の連携動作)について、処理手順を示すシーケンス図を用いて説明する。なお、以下には、利用者端末400から通信制御装置100に、HTTPSによる暗号化通信の外部アクセス要求が行われた際の通信制御処理について、利用者端末400のアクセス要求アプリ(利用者環境)が高速通信可能な場合と高速通信不可能(通常通信のみ可能)な場合とに分けて説明する。
【0067】
《利用者環境が高速通信可能な場合の処理》
図5は、本実施形態に係る高速通信可能と判断された場合の処理手順例を示すシーケンス図である。
【0068】
図5に示すように、まず、中継装置200は、確認要求部21により、通信制御装置100(確認要求受付部)に外部アクセス確認を要求する(ステップS201)。このとき、確認要求部21は、中継装置200が接続される内部ネットワークNのネットワーク識別情報を確認要求受付部11に送信する。
【0069】
通信制御装置100は、確認要求受付部11により、外部アクセス確認要求を受け付けると、確認応答部14に外部アクセスの確認処理の実行を指示する(ステップS202)。このとき、確認応答部14には、確認要求受付部11からネットワーク識別情報が渡され、確認対象の内部ネットワークNが設定される。これにより、確認応答部14では、外部アクセス要求の確認処理が開始され、解析部13による解析結果の受信待ち状態となる。なお、このとき、通信制御装置100と中継装置200とは、ファイアウォール機能FWによるアクセス制限のない接続状態が維持(セッションが維持)されている。
【0070】
通信制御装置100は、この状態で、外部アクセス要求受付部12により、高速通信をサポートしているブラウザアプリを介して、利用者端末400から送信されたHTTPSによる暗号化通信の外部アクセス要求の通信データ[SSLClientHolleメッセージ]を受信する(ステップS301)。このとき、通信データには、TLS拡張のサーバネーム値(server_name:A-company.com)が含まれている。
【0071】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS302)、解析部13により、通信データを解析する(ステップS303)。このとき、解析部13は、SSLClientHolleメッセージに含まれるSSLのバージョン値、TLS拡張のサーバネーム値、及びサーバネーム値の有無などを、解析結果(利用者環境情報及びアクセス先指定情報)として取得する。
【0072】
通信制御装置100は、解析部13により、取得した解析結果(利用者環境情報及びアクセス先指定情報)を確認要求部14に渡す(ステップS304)。これにより、確認応答部14では、解析結果の受信待ち状態が解除され、外部アクセス要求の確認処理が実行される。
【0073】
通信制御装置100は、確認応答部14により、解析部13の解析結果に基づき、内部ネットワークNへの外部アクセス要求有無及び利用者環境(アクセス要求アプリ)の高速通信可否を判定する(ステップS305)。このとき、確認応答部14は、解析結果であるアクセス先指定情報と確認要求受付部11から渡されたネットワーク識別情報とに基づき、確認対象の内部ネットワークNに対して、外部アクセス要求されたか否かを判定する。その結果、確認応答部14は、アクセス先指定情報に該当するネットワーク識別情報が存在した場合に、該当情報により識別された内部ネットワークNに対して、外部アクセス要求されたと判定し、判定結果を要求有無情報とする。
【0074】
また、確認応答部14は、解析結果である利用者環境情報に基づき、外部アクセス要求元の利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判定する。その結果、確認応答部14は、利用者環境情報にTLS拡張のサーバネーム値が含まれ、かつSSLのバージョン値が"1.0"以上であった場合に、高速通信をサポートしていると判定する。これにより、確認応答部14は、判定結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、高速通信又は通常通信のどちらか一方に決定し、決定内容を通信方式情報とする。
【0075】
ここで、本実施形態では、確認応答部14が、TLS拡張のサーバネーム値(A-company.com)に該当する内部ネットワークNの存在により、「外部アクセス要求有り」の要求有無情報を得たとする。また、確認応答部14が、利用者環境情報にTLS拡張のサーバネーム値が含まれ、かつSSLのバージョン値が"1.0"以上であることから、「高速通信」の通信方式情報を得たとする。
【0076】
通信制御装置100は、確認応答部14により、中継装置200(確認要求部)に外部アクセス確認要求の応答結果(要求有無情報「要求有り」及び通信方式情報「高速通信」)を送信する(ステップS306)。
【0077】
中継装置200は、確認要求部21により、受信した応答結果である通信方式情報(高速通信)に基づき、アクセス要求受付部22に高速通信設定を行う(ステップS307)。これにより、通信制御装置100と中継装置200との間(外部ネットワークIと内部ネットワークNとの間)には、ファイアウォール機能FWの設定変更により、利用者環境(アクセス要求アプリ)がサポートする高速通信用トンネルが形成される。なお、トンネル形成は、受信した応答結果である要求有無情報が「要求有り」であった場合に行われる。
【0078】
通信制御装置100は、ネットワーク上に高速通信用トンネルが形成されると、確認要求部14により、外部アクセス要求部15に中継装置200(アクセス要求受付部)への外部アクセス要求の実行を指示する(ステップS401)。これにより、外部アクセス要求部15は、外部アクセス要求有無の判定において、アクセス先として特定された内部ネットワークNに接続される中継装置200(アクセス要求受付部)に、外部アクセス要求[SSLClientHolleメッセージ]を送信する(ステップS402)。
【0079】
中継装置200は、アクセス要求受付部22により、外部アクセス要求を受信すると、アクセス要求部23に情報提供装置300への外部アクセス要求の実行を指示する(ステップS403)。これにより、アクセス要求部23は、情報提供装置300(Webサーバ機能)に外部アクセス要求[SSLClientHolleメッセージ]を送信する(ステップS404)。
【0080】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から送信されたアクセス応答[SSLServerHolleメッセージ]を受信し(ステップS405)、通信制御装置100(外部アクセス応答部)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS406)。
【0081】
通信制御装置100は、外部アクセス応答部16により、アクセス応答を受信すると、外部アクセス要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS407)。
【0082】
このように、情報提供装置300と利用者端末400との間(外部ネットワークIと内部ネットワークNとの間)では、暗号化仕様交渉(Helloメッセージ交換)、サーバ証明書送受信、共通鍵生成、及びクライアント証明書送受信などが行われ、高速通信用トンネルを介した暗号化通信が開始される。
【0083】
通信制御装置100は、高速通信用トンネルを介した暗号化通信が開始されると、外部アクセス要求受付部12により、ブラウザアプリを介して、利用者端末400から送信されたHTTP要求の通信データを受信する(ステップS501)。
【0084】
通信制御装置100は、外部アクセス要求受付部12により、外部アクセス要求部15に中継装置200(アクセス要求受付部)へのHTTP要求の実行を指示する(ステップS502)。これにより、外部アクセス要求部15は、中継装置200(アクセス要求受付部)に、HTTP要求を送信する(ステップS503)。
【0085】
中継装置200は、アクセス要求受付部22により、HTTP要求を受信すると、アクセス要求部23に情報提供装置300へのHTTP要求の実行を指示する(ステップS504)。これにより、アクセス要求部23は、情報提供装置300(Webサーバ機能)にHTTP要求を送信する(ステップS505)。
【0086】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から送信されたHTTP応答を受信し(ステップS506)、通信制御装置100(外部アクセス応答部)にHTTP応答を送信する(ステップS507)。
【0087】
通信制御装置100は、外部アクセス応答部16により、HTTP応答を受信すると、HTTP要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)にHTTP応答を送信する(ステップS508)。
【0088】
本実施形態に係る通信制御システム1では、上記処理により、高速通信可能な利用者環境(アクセス要求アプリ)に応じて、外部ネットワークIと内部ネットワークNとの間に高速通信用トンネルが形成され、形成されたトンネルを介して、暗号化通信が行われる。
【0089】
《利用者環境が高速通信不可能(通常通信のみ可能)な場合の処理》
図6は、本実施形態に係る高速通信不可能と判断された場合の処理手順例を示すシーケンス図である。
【0090】
図6に示すように、まず、中継装置200は、確認要求部21により、通信制御装置100(確認要求受付部)に外部アクセス確認を要求する(ステップS601)。
【0091】
通信制御装置100は、確認要求受付部11により、外部アクセス確認要求を受け付けると、確認応答部14に外部アクセスの確認処理の実行を指示する(ステップS602)。これにより、確認応答部14では、外部アクセス要求の確認処理が開始され、解析部13による解析結果の受信待ち状態となる。
【0092】
通信制御装置100は、この状態で、外部アクセス要求受付部12により、高速通信をサポートしていないブラウザアプリを介して、利用者端末400から送信されたHTTPSによる暗号化通信の外部アクセス要求の通信データ[SSLClientHolleメッセージ]を受信する(ステップS701)。このとき、通信データには、TLS拡張のサーバネーム値(server_name:A-company.com)が含まれていない。
【0093】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS702)、解析部13により、通信データを解析する(ステップS703)。このとき、解析部13は、SSLClientHolleメッセージに含まれるSSLのバージョン値及びTLS拡張のサーバネーム値の有無などを、解析結果(利用者環境情報)として取得する。
【0094】
通信制御装置100は、解析部13により、SSLClientHolleメッセージにTLS拡張のサーバネーム値が存在しなかった場合に、その旨を外部アクセス応答部16に通知する(ステップS704)。
【0095】
通信制御装置100は、外部アクセス応答部16により、外部アクセス要求元の利用者端末400(ブラウザアプリ)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS705)。
【0096】
通信制御装置100は、暗号化通信が開始されると、外部アクセス要求受付部12により、ブラウザアプリを介して、利用者端末400から送信されたHTTP要求の通信データ[HTTPHOSTヘッダ]を受信する(ステップS801)。このとき、通信データには、ホストネーム値(host:A-company.com)が含まれている。
【0097】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS802)、解析部13により、HTTP要求の復号化処理を行い(ステップS804)、復号化通信データを解析する(ステップS804)。このとき、解析部13は、HTTPHOSTヘッダに含まれるホストネーム値などを、解析結果(アクセス先指定情報)として取得する。なお、ステップS804は、通信制御装置100と利用者端末400との間でHelloメッセージ交換時に取り決められた暗号化方式に従って処理される。
【0098】
通信制御装置100は、解析部13により、取得した解析結果(利用者環境情報及びアクセス先指定情報)を確認要求部14に渡す(ステップS805)。これにより、確認応答部14では、解析結果の受信待ち状態が解除され、外部アクセス要求の確認処理が実行される。
【0099】
通信制御装置100は、確認応答部14により、解析部13の解析結果に基づき、内部ネットワークNへの外部アクセス要求有無及び利用者環境(アクセス要求アプリ)の高速通信可否を判定する(ステップS806)。
【0100】
ここで、本実施形態では、確認応答部14が、TLS拡張のサーバネーム値(A-company.com)に該当する内部ネットワークNの存在により、「外部アクセス要求有り」の要求有無情報を得たとする。また、確認応答部14が、利用者環境情報にTLS拡張のサーバネーム値が含まれていないことから、「通常通信」の通信方式情報を得たとする。
【0101】
通信制御装置100は、確認応答部14により、中継装置200(確認要求部)に外部アクセス確認要求の応答結果(要求有無情報「要求有り」及び通信方式情報「通常通信」)を送信する(ステップS807)。
【0102】
中継装置200は、確認要求部21により、受信した応答結果である通信方式情報(通常通信)に基づき、アクセス要求受付部22に通常通信設定を行う(ステップS809)。これにより、通信制御装置100と中継装置200との間(外部ネットワークIと内部ネットワークNとの間)には、ファイアウォール機能FWの設定変更により、利用者環境(アクセス要求アプリ)がサポートする通常通信用トンネルが形成される。
【0103】
通信制御装置100は、ネットワーク上に通常通信用トンネルが形成されると、確認要求部14により、外部アクセス要求部15に中継装置200(アクセス要求受付部)へのHTTP要求の実行を指示する(ステップS901)。これにより、外部アクセス要求部15は、外部アクセス要求有無の判定において、アクセス先として特定された内部ネットワークNに接続される中継装置200に対応するHTTP要求の暗号化処理を行い(ステップS902)、中継装置200(アクセス要求受付部)に暗号化HTTP要求を送信する(ステップS903)。なお、ステップS902は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。
【0104】
中継装置200は、アクセス要求受付部22により、暗号化HTTP要求を受信すると、アクセス要求部23に情報提供装置300への暗号化HTTP要求の実行を指示する(ステップS904)。これにより、アクセス要求部23は、通信制御装置100から受信した暗号化HTTP要求に対して、情報提供装置300に対応する復号化・暗号化処理を行い(ステップS905及びS906)、情報提供装置300(Webサーバ機能)に暗号化HTTP要求を送信する(ステップS907)。なお、ステップS905及びS906の処理を行う理由は、次の通りである。情報提供装置300では、通信制御装置100で暗号化されたHTTP要求を復号化することができない。そのため、中継装置200では、HTTP要求を情報提供装置300で復号化可能なデータにする必要があるからである。よって、ステップS905は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。また、ステップS906は、中継装置200と情報提供装置300との間で取り決められた暗号化方式に従って処理される。
【0105】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から暗号化HTTP応答を受信し(ステップS908)、受信した暗号化HTTP要求に対して、通信制御装置100に対応する復号化・暗号化処理を行い(ステップS909及びS910)、通信制御装置100(外部アクセス応答部)に暗号化HTTP応答を送信する(ステップS911)。なお、ステップS909は、中継装置200と情報提供装置300との間で取り決められた暗号化方式に従って処理される。また、ステップS909は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。
【0106】
通信制御装置100は、外部アクセス応答部16により、暗号化HTTP応答を受信すると、中継装置200から受信した暗号化HTTP応答に対して、利用者端末400に対応する復号化・暗号化処理を行い(ステップS912及びS913)、外部アクセス要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)に暗号化HTTP応答を送信する(ステップS914)。なお、外部アクセス応答部16がステップS912及びS913の処理を行う理由は、次の通りである。利用者端末400では、中継装置200で暗号化されたHTTP応答を復号化することができない。そのため、通信制御装置100では、HTTP応答を利用者端末400で復号化可能なデータにする必要があるからである。よって、ステップS912は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。また、ステップS913は、通信制御装置100と利用者端末400との間で取り決められた暗号化方式に従って処理される。
【0107】
本実施形態に係る通信制御システム1では、上記処理により、高速通信不可能な利用者環境(アクセス要求アプリ)に応じて、外部ネットワークIと内部ネットワークNとの間に通常通信用トンネルが形成され、形成されたトンネルを介して、暗号化通信が行われる。
【0108】
<まとめ>
以上のように、本実施形態に係る通信制御装置100によれば、確認応答部14により、内部ネットワークNに接続される中継装置200から外部ネットワークIのアクセス確認要求を受け付ける。通信制御装置100は、解析部13により、外部ネットワークIからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置100は、確認応答部14により、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置100は、確認応答部14により、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークNに接続される中継装置200に応答する。その結果、中継装置200は、応答された通信方式に従って、当該装置200と通信制御装置100との間にネットワーク上のトンネルを形成する。
【0109】
これによって、本実施形態に係る通信制御システム1では、外部ネットワークIと内部ネットワークNとの間の暗号化通信が、利用者環境(アクセス要求アプリ)の通信速度に応じて形成されたネットワーク上のトンネルを介して行われ、利用者が最適な速度で暗号化通信できる。
【0110】
ここまで、上記実施形態の説明を行ってきたが、上記実施形態に係る「通信制御機能」は、図を用いて説明を行った各処理手順を、動作環境(プラットフォーム)にあったプログラミング言語でコード化したプログラムが、通信制御装置100が備える演算装置(CPU)により実行されることで実現される。
【0111】
上記プログラムは、コンピュータが読み取り可能な記録媒体103aに格納することができる。これにより、例えば、上記プログラムは、ドライブ装置103を介して、通信制御装置100にインストールすることができる。また、通信制御装置100は、インタフェース装置107を備えていることから、電気通信回線を用いて上記プログラムをダウンロードし、インストールすることもできる。
【0112】
最後に、上記実施形態に挙げた形状や構成に、その他の要素との組み合わせなど、ここで示した要件に、本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することが可能であり、その応用形態に応じて適切に定めることができる。
【符号の説明】
【0113】
1 通信制御システム
11 確認要求受付部
12 外部アクセス要求受付部
13 解析部
14 確認応答部
141 要求有無判定部
142 高速通信可否判定部
15 外部アクセス応答部
16 外部アクセス要求部
21 確認要求部
22 アクセス要求受付部
23 アクセス要求部
100 通信制御装置(中継サーバ)
101 入力装置
102 表示装置
103 ドライブ装置(a:記録媒体)
104 RAM(揮発性の半導体メモリ)
105 ROM(不揮発性の半導体メモリ)
106 CPU(演算装置)
107 インタフェース装置(NIC:Network I/F Card)
108 HDD(不揮発性の記憶装置)
200 中継装置(中継クライアント)
300 情報提供装置(Webサーバ)
400 利用者端末(Webクライアント)
B バス
I 外部ネットワーク(インターネット)
N 内部ネットワーク(LAN)
【先行技術文献】
【特許文献】
【0114】
【特許文献1】特許第3285882号公報
【技術分野】
【0001】
本発明は、ネットワーク上にトンネルを形成し、外部ネットワークと内部ネットワークとの間の通信を制御する技術に関するものである。
【背景技術】
【0002】
従来、インターネットなどの外部ネットワークを介したLAN(Local Area Network)などの内部ネットワークへの接続(例えば「社外から社内ネットワークへの接続」)は、ファイアウォールによって制限されており、外部から内部に設置されたサーバなどに接続できなくなっている。
【0003】
このような環境では、ネットワーク管理者がファイアウォールの設定を変更することで、外部から内部への接続が可能となるが、設定変更作業の手間や内部ネットワークの機密性の低下(セキュリティ上の問題)などが考えられ、好ましくない。そこで、例えば、特許文献1には、ファイアウォールに透過させたい通信プロトコルを設定することで、ネットワーク上にトンネル(仮想的な通信パス)を形成し、外部ネットワークと内部ネットワークとの間の通信を制御する技術が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の通信制御方法では、外部ネットワークと内部ネットワークとの間の通信速度が、利用者環境に応じて最適化されていない。
【0005】
利用者環境とは、例えば、ブラウザなどのアプリケーションであり、高速通信をサポートするアプリや通常通信のみをサポートするアプリなど、様々なアプリケーションが考えられる。そのため、外部ネットワークと内部ネットワークとの間の通信環境では、内部ネットワークの機密性を維持しながら、利用者環境(アクセス要求アプリ)に応じた最適な速度で通信できることが望ましい。
【0006】
本発明は上記従来技術の問題点を鑑み提案されたものであり、利用者が最適な速度で暗号化通信できる通信制御装置、通信制御システム、及び通信制御プログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明に係る通信制御装置は、外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置であって、前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、前記要求応答手段により応答された通信方式に従い、当該通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うことを特徴とする。
【0008】
このような構成によって、本発明に係る通信制御装置は、内部ネットワークに接続される中継装置から外部ネットワークのアクセス確認要求を受け付ける。通信制御装置は、外部ネットワークからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置は、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークと内部ネットワークとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置は、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークに接続される中継装置に応答する。その結果、中継装置は、応答された通信方式に従って、当該装置と通信制御装置との間にネットワーク上のトンネルを形成する。
【0009】
これによって、本発明に係る通信制御システムでは、外部ネットワークと内部ネットワークとの間の暗号化通信が、利用者環境(アクセス要求アプリ)の通信速度に応じて形成されたネットワーク上のトンネルを介して行われる。その結果、本発明に係る通信制御システムでは、利用者が最適な速度で暗号化通信できる。
【発明の効果】
【0010】
本発明によれば、利用者環境(アクセス要求アプリ)の通信速度に応じて、外部ネットワークと内部ネットワークとの間の通信方式を決定し、決定した通信方式に従って、ネットワーク上のトンネルを形成し、形成したトンネルを介して、暗号化通信を行うことで、利用者が最適な速度で暗号化通信可能な通信制御装置、通信制御システム、及び通信制御プログラムを提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態に係る通信制御システムの構成例を示す図である。
【図2】本発明の第1の実施形態に係る通信制御システムの処理例を示すシーケンス図である。
【図3】本発明の第1の実施形態に係る通信制御装置のハードウェア構成例を示す図である。
【図4】本発明の第1の実施形態に係る通信制御の機能構成例を示す図である。
【図5】本発明の第1の実施形態に係る高速通信可能と判断された場合の処理手順例を示すシーケンス図である。
【図6】本発明の第1の実施形態に係る高速通信不可能と判断された場合の処理手順例を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、本発明の好適な実施の形態(以下「実施形態」という)について、図面を用いて詳細に説明する。
【0013】
[第1の実施形態]
<システム構成>
図1は、本実施形態に係る通信制御システム1の構成例を示す図である。
図1には、複数の利用者端末4001〜400n(以降総称する場合「利用者端末400」という)と通信制御装置100とが、インターネットなどの外部ネットワークIで接続され、LANなどの複数の内部ネットワークN1〜Nn(以降総称する場合「内部ネットワークN」という)が、通信制御装置100を介して、外部ネットワークIに接続されるシステム構成例が示されている。
【0014】
内部ネットワークN1〜Nnでは、ファイアウォール機能FW1〜FWn(以降総称する場合「ファイアウォール機能FW」という)を有する中継装置2001〜200n(以降総称する場合「中継装置200」という)と情報提供装置3001〜300n(以降総称する場合「情報提供装置300」という)とが接続される。
【0015】
利用者端末400は、情報閲覧機能を有する情報処理装置である。情報閲覧機能は、例えば、ブラウザアプリケーション(以降単に「ブラウザアプリ」という)などにより実現される機能である。ブラウザアプリでは、アクセス要求を行うことで情報を取得し、取得情報を閲覧できる。
【0016】
一方、情報提供装置300は、情報提供機能を有する情報処理装置である。情報提供機能は、例えば、Webサーバアプリケーション(以降単に「Webサーバアプリ」という)などにより実現される機能である。Webサーバアプリでは、要求元に対して情報送信を行うことで保持情報を提供できる。つまり、利用者端末400がWebクライアントにあたり、情報提供装置300がWebサーバにあたる。
【0017】
通信制御装置100は、通信制御機能を有する情報処理装置である。通信制御機能は、外部ネットワークIと内部ネットワークNとの間のデータ通信を制御する機能である。
【0018】
中継装置200は、ファイアウォール機能FWを有する情報処理装置である。ファイアウォール機能FWは、外部ネットワークIと内部ネットワークNとの通信を制御し、内部ネットワークNの機密性を維持する(例えば「不正アクセス」や「情報漏洩」などを防止する)機能である。
【0019】
本実施形態に係る通信制御システム1では、次のような処理により、外部ネットワークIに接続される利用者端末400が、内部ネットワークNに接続される情報提供装置300から情報を取得する。
【0020】
図2は、本実施形態に係る通信制御システム1の処理例を示すシーケンス図である。なお、図2には、利用者端末400が情報提供装置300が有するWebページを取得する際の処理手順例が示されている。
【0021】
図2に示すように、まず、内部ネットワークNに接続される中継装置200は、外部ネットワークIに接続される通信制御装置100に対して、外部からのWebアクセス確認を要求しておく(ステップS101)。
【0022】
外部ネットワークIに接続される利用者端末400では、ブラウザアプリを介して、利用者から暗号化通信によるWebアクセス先指定(https://A-company.com)を受け付けると(ステップS102)、通信制御装置100に対して、Webアクセス要求を送信する(ステップS103)。
【0023】
通信制御装置100は、利用者端末400からWebアクセス要求を受信すると、受信したWebアクセス要求を解析し(ステップS104)、解析結果に基づき、Webアクセス先が、中継装置200が接続される内部ネットワークNか否かを確認し、さらに、利用者端末400が有するブラウザアプリ(利用者環境)が高速通信をサポートしているか否かを確認する(ステップS105)。通信制御装置100は、Webアクセス先に該当する内部ネットワークNの中継装置200に対して、確認応答[外部アクセス要求有・通信方式(高速)]を送信する(ステップS106)。これにより、通信制御装置100と中継装置200との間には、確認応答の通信方式(高速)に従って、ネットワーク上の高速通信用トンネルが形成される。
【0024】
その後、通信制御装置100は、形成された高速通信用トンネルを介して、中継装置200に対して、Webアクセス要求を送信し(ステップS107)、中継装置200は、情報提供装置300に対し、Webアクセス要求を送信する(ステップS108)。その結果、情報提供装置300は、通信制御装置100と中継装置200との間に形成された高速通信用のトンネルを介して、利用者端末400のブラウザアプリに対し、アクセス応答[Webページ]を送信する(ステップS109〜S112)。
【0025】
このように、本実施形態では、外部ネットワークIから内部ネットワークNへのアクセスは、利用者環境(アクセス要求アプリ)の通信速度に応じて、通信制御装置100と中継装置200との間に形成されたトンネルを介して行われる。
【0026】
なお、「トンネルを形成する」とは、ネットワーク上に、ある2点間を結ぶ閉じられた仮想的な通信パス(直結通信回線)を確立することを意味し、ネットワーク上に外部から遮断された見えない通り道を作るように見えることから"トンネル"と呼ばれている。
【0027】
本来、通信を行いたいプロトコルで記述されたパケットを、別のプロトコルのパケットでカプセル化し、送信することで通信を行う。パケットのカプセル化とその解除は、トンネルの両端に位置する装置(本実施形態では「通信制御装置」と「中継装置」)が自動的に行うため、トンネルで結ばれた装置同士が直結しているように見える。
【0028】
このような通信方法は、例えば、本社と支社のLAN間接続など、プライベートなネットワーク(内部ネットワーク)を、インターネット(外部ネットワーク)を経由して接続する際などに利用されることが多い。そのため、トンネルの両端に位置する装置(通信制御装置と中継装置)は、パケットをカプセル化する際に暗号化を行い、転送中の漏洩や改ざんを防止するセキュリティ機能を有している。
【0029】
以上のように、本実施形態に係る通信制御システム1では、上記システム構成により、外部ネットワークIと内部ネットワークNとの間で暗号化通信環境を提供することができる。
【0030】
<ハードウェア構成>
図3は、本実施形態に係る通信制御装置100のハードウェア構成例を示す図である。なお、中継装置200、情報提供装置300、及び利用者端末400については、通信制御装置100と同じく情報処理装置であることから、その説明を省略する。
【0031】
図3に示すように、通信制御装置100は、入力装置101、表示装置102、ドライブ装置103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、インタフェース装置107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
【0032】
入力装置101は、キーボードやマウスなどを含み、通信制御装置100に各操作信号を入力するのに用いられる。表示装置102は、ディスプレイなどを含み、通信制御装置100による処理結果を表示する。
【0033】
インタフェース装置107は、通信制御装置100をデータ伝送路(「外部ネットワーク」や「内部ネットワーク」)に接続するインタフェースである。これにより、通信制御装置100は、インタフェース装置107を介して、利用者端末400や中継装置200とデータ通信を行うことができる。
【0034】
HDD108は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、装置全体を制御する情報処理システム(例えば「Windows(商標又は登録商標)」や「UNIX(商標又は登録商標)」などの基本ソフトウェアであるOS(Operating System))、及びシステム上において各種機能(例えば「通信制御機能」)を提供するアプリケーションなどがある。また、HDD108は、格納しているプログラムやデータを、所定のファイルシステム及び/又はDB(Data Base)により管理している。
【0035】
ドライブ装置103は、着脱可能な記録媒体103aとのインタフェースである。これにより、通信制御装置100は、ドライブ装置103を介して、記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aには、例えば、フロッピー(商標又は登録商標)ディスク、CD(Compact Disk)、及びDVD(Digital Versatile Disk)、ならびに、SDメモリカード(SD Memory card)やUSBメモリ(Universal Serial Bus memory)などがある。
【0036】
ROM105は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、通信制御装置100の起動時に実行されるBIOS(Basic Input/Output System)、情報処理システム設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。CPU106は、上記記憶装置(「HDD」や「ROM」)から、プログラムやデータをRAM(メモリ)上に読み出し、処理を実行することで、装置全体の制御や搭載機能を実現する処理装置である。
【0037】
以上のように、本実施形態に係る通信制御装置100では、上記ハードウェア構成により、通信制御サービス(通信制御機能)を提供することができる。なお、通信制御装置100は、入力装置101及び表示装置102を備えていない構成であってもよい。この点については、中継装置200及び情報提供装置300でも同様である。また、利用者端末400は、上述したようなハードウェア構成の携帯情報端末であってもよい。
【0038】
<通信制御機能>
本実施形態に係る通信制御機能について説明する。
本実施形態に係る通信制御装置100では、内部ネットワークNに接続される中継装置200から外部ネットワークIのアクセス確認要求を受け付ける。通信制御装置100は、外部ネットワークIからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置100は、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置100は、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークNに接続される中継装置200に応答する。その結果、中継装置200は、応答された通信方式に従って、当該装置200と通信制御装置100との間にネットワーク上のトンネルを形成する。本実施形態に係る通信制御装置100は、このような通信制御機能を有している。
【0039】
従来の通信制御方法では、外部ネットワークIと内部ネットワークNとの間の通信速度が、利用者環境(アクセス要求アプリ)に応じて最適化されていない。利用者の利便性を考慮すると、外部ネットワークIと内部ネットワークNとの間の通信環境では、内部ネットワークNの機密性を維持しながら、利用者環境(アクセス要求アプリ)に応じた最適な速度で通信できることが望ましい。
【0040】
そこで、本実施形態に係る通信制御装置100では、利用者環境(アクセス要求アプリ)の通信速度に応じて、外部ネットワークIと内部ネットワークNとの間の通信方式を決定し、決定した通信方式に従って、ネットワーク上のトンネルを形成し、形成したトンネルを介して、暗号化通信を行う仕組みとした。
【0041】
これによって、本実施形態に係る通信制御システム1では、利用者が最適な速度で暗号化通信できる。
【0042】
以下に、本実施形態に係る通信制御機能の構成とその動作について説明する。
図4は、本実施形態に係る通信制御の機能構成例を示す図である。
図4に示すように、本実施形態に係る通信制御装置100は、確認要求受付部11、外部アクセス要求受付部12、解析部13、確認応答部14、外部アクセス要求部15、及び外部アクセス応答部16などを有している。これらの機能部は、中継装置200が有する機能部と連携動作する。中継装置200は、確認要求部21、アクセス要求受付部22、及びアクセス要求部23などを有している。
【0043】
《中継装置》
確認要求部21は、通信制御装置100(確認要求受付部)に外部ネットワークIからのアクセス確認を要求(以下「外部アクセス確認要求」という)する機能部である。確認要求部21は、通信制御装置100に中継装置200が接続される内部ネットワークNの識別情報(以下「ネットワーク識別情報」という)を送信し、アクセス要求時のアクセス先が、ネットワーク識別情報の内部ネットワークNか否かの確認を要求する。なお、ネットワーク識別情報は、例えば、URI(Uniform Resource Identifier)などである。その結果、確認要求部21は、通信制御装置100(確認応答部)から確認要求の応答結果を受信する。なお、応答結果には、外部アクセス要求の有無を示す情報(以下「要求有無情報」という)や外部ネットワークIと内部ネットワークNとの間の通信方式(高速通信/通常通信)を示す情報(以下「通信方式情報」という)などが含まれる。
【0044】
これにより、中継装置200は、当該装置が接続される内部ネットワークNに対して、外部ネットワークIからアクセス要求(以下「外部アクセス要求」という)された場合(要求有りの場合)に、通信方式情報に従って、外部ネットワークIと内部ネットワークNとの間にネットワーク上のトンネルを形成する。なお、トンネル形成は、中継装置200が有するファイアウォール機能FWの設定変更により行う。また、トンネル形成は、通信制御装置100からの応答結果に含まれる要求有無情報が「外部アクセス要求有り」であった場合に行われる。
【0045】
アクセス要求受付部22は、通信制御装置100(外部アクセス要求部)からアクセス要求を受け付ける機能部である。アクセス要求受付部22は、確認要求部21から「外部アクセス要求有り」であった場合に発行された動作指示に従って、トンネルを介して、通信制御装置100から送信(転送)されたアクセス要求を受信する。
【0046】
アクセス要求部23は、情報提供装置300にアクセス要求する機能部である。アクセス要求部23は、アクセス要求受付部22からの動作指示に従って、アクセス先として指定された情報提供装置300に対して、アクセス要求を送信する。その結果、アクセス要求部23は、情報提供装置300からアクセス要求の応答結果を受信する。なお、応答結果には、情報取得リクエストに対するレスポンスデータなどが含まれ、レスポンスデータは、例えば、Webページ(HTMLデータ:HyperText Markup Language data)などである。
【0047】
これにより、アクセス要求部23は、情報提供装置300から受信した応答結果を、トンネルを介して、通信制御装置100(外部アクセス応答部)に送信する。
【0048】
《通信制御装置》
確認要求受付部11は、中継装置200(確認要求部)から外部アクセス確認要求を受け付ける機能部である。確認要求受付部11は、中継装置200(確認要求部)から受信したネットワーク識別情報を確認応答部14に渡し、確認対象の内部ネットワークNを設定・登録する。
【0049】
外部アクセス要求受付部12は、利用者端末400から外部アクセス要求を受け付ける機能部である。利用者端末400は、所定のアプリを介して、利用者からアクセス先を指定する情報(以下「アクセス先指定情報」という)を受け付ける。アクセス先指定情報は、例えば、URIデータ(A-company.com)などである。利用者端末400は、外部ネットワークIを介して、アクセス先指定を含む外部アクセス要求を、通信制御装置100に送信する。外部アクセス要求受付部12は、このように送信された外部アクセス要求を受信する。
【0050】
解析部13は、外部アクセス要求を解析する機能部である。解析部13は、外部アクセス要求受付部12から渡された外部アクセス要求を解析する。解析部13は、外部アクセス要求として受信した通信データを解析し、通信データに含まれるアクセス先指定情報や外部アクセス要求元のアプリ(利用者環境)がサポートする通信方式(高速通信/通常通信)などを含む利用者環境情報を、解析結果として取得する。なお、通信データの解析対象は、例えば、SSL(Secure Sockets Layer)ClientHelloメッセージやHTTP(Hypertext Transfer Protocol)HOSTヘッダなどである。
【0051】
例えば、利用者端末400から、ブラウザアプリを介して、HTTPS(HTTP over Secure Socket Layer)による暗号化通信の外部アクセス要求(https://A-company.com)が、通信制御装置100に送信されたとする。このとき、ブラウザアプリが高速通信をサポートしている場合には、受信した通信データ[SSLClientHelloメッセージ]に、ブラウザアプリが使用するSSL(Secure Sockets Layer)のバージョン値(TLSバージョン値)やTLS拡張(Transport Layer Security extensions)のサーバネーム値(server_name:A-company.com)などが含まれている。
【0052】
そこで、解析部13は、通信データ[SSLClientHelloメッセージ]を解析し、SSLのバージョン値やTLS拡張のサーバネーム値の有無などを利用者環境情報として、TLS拡張のサーバネーム値をアクセス先指定情報として取得する。
【0053】
一方、ブラウザアプリが高速通信をサポートしていない場合には、受信した通信データ[SSLClientHelloメッセージ]に、TLS拡張のサーバネーム値が含まれていない。この場合、通信制御装置100から利用者端末400に、受信メッセージへの応答メッセージであるServerHelloメッセージが送信されると、利用者端末400は、HTTP要求の通信データ[HTTPHOSTヘッダ]を、通信制御装置100に送信する。なお、HTTPHOSTヘッダには、ホストネーム値(host:A-company.com)が含まれている。
【0054】
よって、解析部13は、まず、通信データ[SSLClientHelloメッセージ]を解析し、SSLのバージョン値やTLS拡張のサーバネーム値の有無などを利用者環境情報として取得する。次に、解析部13は、通信データ[HTTPHOSTヘッダ]を解析し、ホストネーム値をアクセス先指定情報として取得する。
【0055】
確認応答部14は、外部アクセス要求を確認する機能部である。確認応答部14は、確認要求受付部11からの動作指示に従って、確認処理を実行する。このとき、確認応答部14には、確認要求受付部11からネットワーク識別情報が渡され、確認対象の内部ネットワークNが設定される。
【0056】
確認応答部14は、解析部13から解析結果が渡されると、解析結果に基づき、確認処理を行う。なお、確認処理は、解析部13から解析結果が渡されない間(外部アクセス要求が受信されない間)、待ち状態となる。このとき、通信制御装置100と中継装置200とは、接続状態が維持(セッションが維持)されている。
【0057】
確認応答部14は、次のような確認処理を行う。
確認応答部14は、まず、同機能が有する要求有無判定部141により、解析部13の解析結果に基づき、確認要求受付部11により設定された確認対象の内部ネットワークNへの外部アクセス要求の有無を判定する。要求有無判定部141は、解析結果として取得されたアクセス先指定情報に基づき、外部アクセス要求の有無を判定する。
【0058】
要求有無判定部141は、次のように外部アクセス要求有無の判定を行う。要求有無判定部141は、アクセス先指定情報を参照し、TLS拡張のサーバネーム値/ホストネーム値に基づき、確認対象として設定されたネットワーク識別情報を参照する。要求有無判定部141は、設定されたネットワーク識別情報の中に該当情報が存在する場合に、該当情報から識別された内部ネットワークNに対して、「外部アクセス要求有り」と判定する。一方、該当するネットワーク識別情報が存在しない場合には、「外部アクセス要求無し」と判定する。つまり、要求有無判定部141は、確認対象として設定された内部ネットワークNの中から、外部アクセス要求時のアクセス先指定に該当する内部ネットワークNを特定し、該当する内部ネットワークNに「外部アクセス要求有り」と判定する。
【0059】
次に、確認応答部14は、同機能が有する高速通信可否判定部142により、解析部13の解析結果に基づき、外部アクセス要求元の利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判定する。高速通信可否判定部142は、解析結果として取得された利用者環境情報に基づき、利用者環境(アクセス要求アプリ)が高速通信可能か否かを判定する。
【0060】
高速通信可否判定部142は、次のように高速通信可否の判定を行う。高速通信可否判定部142は、利用者環境情報を参照し、SSLのバージョン値及びTLS拡張のサーバネーム値の有無を判定する。高速通信可否判定部142は、利用者環境情報に両方の値が含まれていた場合に、SSLのバージョン値が、"1.0"以上か否かを判定する。その結果、高速通信可否判定部142は、SSLのバージョン値が、"1.0"以上の場合に、利用者環境(アクセス要求アプリ)が高速通信可能と判定する。一方、利用者環境情報に両方の値が含まれていない場合、又は、SSLのバージョン値が、"1.0"未満の場合には、利用者環境(アクセス要求アプリ)が高速通信不可能(通常通信のみ可能)と判定する。
【0061】
これにより、確認応答部14は、高速通信可否判定部142の判定結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、高速通信又は通常通信のどちらか一方に決定する。
【0062】
確認応答部14は、確認結果である要求有無情報(要求有り)及び通信方式情報(高速通信/通常通信)を、中継装置200(確認要求部)に確認要求の応答結果として送信する。
【0063】
外部アクセス要求部15は、中継装置200(アクセス要求受付部)に外部アクセス要求する機能部である。外部アクセス要求部15は、確認要求部14から「外部アクセス要求有り」の場合に発行された動作指示に従って、アクセス先として特定された内部ネットワークNに接続される中継装置200に対して、外部アクセス要求を送信(転送)する。
【0064】
外部アクセス応答部16は、利用者端末400に外部アクセス要求の応答結果を送信(転送)する機能部である。外部アクセス応答部16は、トンネルを介して、中継装置200(アクセス要求部)から送信(応答)された応答結果を受信すると、受信データを利用者端末400に送信する。
【0065】
以上のように、本実施形態に係る通信制御機能は、上記各機能部が連携動作することにより実現される。なお、上記各機能部は、システム1を構成する各装置(「通信制御装置」や「中継装置」)に搭載(インストール)されるプログラム(通信制御機能を実現するソフトウェア)が、各装置が備える演算装置(CPU)により、記憶装置(「HDD」や「ROM」)からメモリ(RAM)上に読み出され、以下の処理が実行されることで実現される。
【0066】
本実施形態に係る通信制御機能の詳細な動作(機能部群の連携動作)について、処理手順を示すシーケンス図を用いて説明する。なお、以下には、利用者端末400から通信制御装置100に、HTTPSによる暗号化通信の外部アクセス要求が行われた際の通信制御処理について、利用者端末400のアクセス要求アプリ(利用者環境)が高速通信可能な場合と高速通信不可能(通常通信のみ可能)な場合とに分けて説明する。
【0067】
《利用者環境が高速通信可能な場合の処理》
図5は、本実施形態に係る高速通信可能と判断された場合の処理手順例を示すシーケンス図である。
【0068】
図5に示すように、まず、中継装置200は、確認要求部21により、通信制御装置100(確認要求受付部)に外部アクセス確認を要求する(ステップS201)。このとき、確認要求部21は、中継装置200が接続される内部ネットワークNのネットワーク識別情報を確認要求受付部11に送信する。
【0069】
通信制御装置100は、確認要求受付部11により、外部アクセス確認要求を受け付けると、確認応答部14に外部アクセスの確認処理の実行を指示する(ステップS202)。このとき、確認応答部14には、確認要求受付部11からネットワーク識別情報が渡され、確認対象の内部ネットワークNが設定される。これにより、確認応答部14では、外部アクセス要求の確認処理が開始され、解析部13による解析結果の受信待ち状態となる。なお、このとき、通信制御装置100と中継装置200とは、ファイアウォール機能FWによるアクセス制限のない接続状態が維持(セッションが維持)されている。
【0070】
通信制御装置100は、この状態で、外部アクセス要求受付部12により、高速通信をサポートしているブラウザアプリを介して、利用者端末400から送信されたHTTPSによる暗号化通信の外部アクセス要求の通信データ[SSLClientHolleメッセージ]を受信する(ステップS301)。このとき、通信データには、TLS拡張のサーバネーム値(server_name:A-company.com)が含まれている。
【0071】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS302)、解析部13により、通信データを解析する(ステップS303)。このとき、解析部13は、SSLClientHolleメッセージに含まれるSSLのバージョン値、TLS拡張のサーバネーム値、及びサーバネーム値の有無などを、解析結果(利用者環境情報及びアクセス先指定情報)として取得する。
【0072】
通信制御装置100は、解析部13により、取得した解析結果(利用者環境情報及びアクセス先指定情報)を確認要求部14に渡す(ステップS304)。これにより、確認応答部14では、解析結果の受信待ち状態が解除され、外部アクセス要求の確認処理が実行される。
【0073】
通信制御装置100は、確認応答部14により、解析部13の解析結果に基づき、内部ネットワークNへの外部アクセス要求有無及び利用者環境(アクセス要求アプリ)の高速通信可否を判定する(ステップS305)。このとき、確認応答部14は、解析結果であるアクセス先指定情報と確認要求受付部11から渡されたネットワーク識別情報とに基づき、確認対象の内部ネットワークNに対して、外部アクセス要求されたか否かを判定する。その結果、確認応答部14は、アクセス先指定情報に該当するネットワーク識別情報が存在した場合に、該当情報により識別された内部ネットワークNに対して、外部アクセス要求されたと判定し、判定結果を要求有無情報とする。
【0074】
また、確認応答部14は、解析結果である利用者環境情報に基づき、外部アクセス要求元の利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判定する。その結果、確認応答部14は、利用者環境情報にTLS拡張のサーバネーム値が含まれ、かつSSLのバージョン値が"1.0"以上であった場合に、高速通信をサポートしていると判定する。これにより、確認応答部14は、判定結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を、高速通信又は通常通信のどちらか一方に決定し、決定内容を通信方式情報とする。
【0075】
ここで、本実施形態では、確認応答部14が、TLS拡張のサーバネーム値(A-company.com)に該当する内部ネットワークNの存在により、「外部アクセス要求有り」の要求有無情報を得たとする。また、確認応答部14が、利用者環境情報にTLS拡張のサーバネーム値が含まれ、かつSSLのバージョン値が"1.0"以上であることから、「高速通信」の通信方式情報を得たとする。
【0076】
通信制御装置100は、確認応答部14により、中継装置200(確認要求部)に外部アクセス確認要求の応答結果(要求有無情報「要求有り」及び通信方式情報「高速通信」)を送信する(ステップS306)。
【0077】
中継装置200は、確認要求部21により、受信した応答結果である通信方式情報(高速通信)に基づき、アクセス要求受付部22に高速通信設定を行う(ステップS307)。これにより、通信制御装置100と中継装置200との間(外部ネットワークIと内部ネットワークNとの間)には、ファイアウォール機能FWの設定変更により、利用者環境(アクセス要求アプリ)がサポートする高速通信用トンネルが形成される。なお、トンネル形成は、受信した応答結果である要求有無情報が「要求有り」であった場合に行われる。
【0078】
通信制御装置100は、ネットワーク上に高速通信用トンネルが形成されると、確認要求部14により、外部アクセス要求部15に中継装置200(アクセス要求受付部)への外部アクセス要求の実行を指示する(ステップS401)。これにより、外部アクセス要求部15は、外部アクセス要求有無の判定において、アクセス先として特定された内部ネットワークNに接続される中継装置200(アクセス要求受付部)に、外部アクセス要求[SSLClientHolleメッセージ]を送信する(ステップS402)。
【0079】
中継装置200は、アクセス要求受付部22により、外部アクセス要求を受信すると、アクセス要求部23に情報提供装置300への外部アクセス要求の実行を指示する(ステップS403)。これにより、アクセス要求部23は、情報提供装置300(Webサーバ機能)に外部アクセス要求[SSLClientHolleメッセージ]を送信する(ステップS404)。
【0080】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から送信されたアクセス応答[SSLServerHolleメッセージ]を受信し(ステップS405)、通信制御装置100(外部アクセス応答部)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS406)。
【0081】
通信制御装置100は、外部アクセス応答部16により、アクセス応答を受信すると、外部アクセス要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS407)。
【0082】
このように、情報提供装置300と利用者端末400との間(外部ネットワークIと内部ネットワークNとの間)では、暗号化仕様交渉(Helloメッセージ交換)、サーバ証明書送受信、共通鍵生成、及びクライアント証明書送受信などが行われ、高速通信用トンネルを介した暗号化通信が開始される。
【0083】
通信制御装置100は、高速通信用トンネルを介した暗号化通信が開始されると、外部アクセス要求受付部12により、ブラウザアプリを介して、利用者端末400から送信されたHTTP要求の通信データを受信する(ステップS501)。
【0084】
通信制御装置100は、外部アクセス要求受付部12により、外部アクセス要求部15に中継装置200(アクセス要求受付部)へのHTTP要求の実行を指示する(ステップS502)。これにより、外部アクセス要求部15は、中継装置200(アクセス要求受付部)に、HTTP要求を送信する(ステップS503)。
【0085】
中継装置200は、アクセス要求受付部22により、HTTP要求を受信すると、アクセス要求部23に情報提供装置300へのHTTP要求の実行を指示する(ステップS504)。これにより、アクセス要求部23は、情報提供装置300(Webサーバ機能)にHTTP要求を送信する(ステップS505)。
【0086】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から送信されたHTTP応答を受信し(ステップS506)、通信制御装置100(外部アクセス応答部)にHTTP応答を送信する(ステップS507)。
【0087】
通信制御装置100は、外部アクセス応答部16により、HTTP応答を受信すると、HTTP要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)にHTTP応答を送信する(ステップS508)。
【0088】
本実施形態に係る通信制御システム1では、上記処理により、高速通信可能な利用者環境(アクセス要求アプリ)に応じて、外部ネットワークIと内部ネットワークNとの間に高速通信用トンネルが形成され、形成されたトンネルを介して、暗号化通信が行われる。
【0089】
《利用者環境が高速通信不可能(通常通信のみ可能)な場合の処理》
図6は、本実施形態に係る高速通信不可能と判断された場合の処理手順例を示すシーケンス図である。
【0090】
図6に示すように、まず、中継装置200は、確認要求部21により、通信制御装置100(確認要求受付部)に外部アクセス確認を要求する(ステップS601)。
【0091】
通信制御装置100は、確認要求受付部11により、外部アクセス確認要求を受け付けると、確認応答部14に外部アクセスの確認処理の実行を指示する(ステップS602)。これにより、確認応答部14では、外部アクセス要求の確認処理が開始され、解析部13による解析結果の受信待ち状態となる。
【0092】
通信制御装置100は、この状態で、外部アクセス要求受付部12により、高速通信をサポートしていないブラウザアプリを介して、利用者端末400から送信されたHTTPSによる暗号化通信の外部アクセス要求の通信データ[SSLClientHolleメッセージ]を受信する(ステップS701)。このとき、通信データには、TLS拡張のサーバネーム値(server_name:A-company.com)が含まれていない。
【0093】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS702)、解析部13により、通信データを解析する(ステップS703)。このとき、解析部13は、SSLClientHolleメッセージに含まれるSSLのバージョン値及びTLS拡張のサーバネーム値の有無などを、解析結果(利用者環境情報)として取得する。
【0094】
通信制御装置100は、解析部13により、SSLClientHolleメッセージにTLS拡張のサーバネーム値が存在しなかった場合に、その旨を外部アクセス応答部16に通知する(ステップS704)。
【0095】
通信制御装置100は、外部アクセス応答部16により、外部アクセス要求元の利用者端末400(ブラウザアプリ)にアクセス応答[SSLServerHolleメッセージ]を送信する(ステップS705)。
【0096】
通信制御装置100は、暗号化通信が開始されると、外部アクセス要求受付部12により、ブラウザアプリを介して、利用者端末400から送信されたHTTP要求の通信データ[HTTPHOSTヘッダ]を受信する(ステップS801)。このとき、通信データには、ホストネーム値(host:A-company.com)が含まれている。
【0097】
通信制御装置100は、外部アクセス要求受付部12により、受信した通信データを解析部13に渡し(ステップS802)、解析部13により、HTTP要求の復号化処理を行い(ステップS804)、復号化通信データを解析する(ステップS804)。このとき、解析部13は、HTTPHOSTヘッダに含まれるホストネーム値などを、解析結果(アクセス先指定情報)として取得する。なお、ステップS804は、通信制御装置100と利用者端末400との間でHelloメッセージ交換時に取り決められた暗号化方式に従って処理される。
【0098】
通信制御装置100は、解析部13により、取得した解析結果(利用者環境情報及びアクセス先指定情報)を確認要求部14に渡す(ステップS805)。これにより、確認応答部14では、解析結果の受信待ち状態が解除され、外部アクセス要求の確認処理が実行される。
【0099】
通信制御装置100は、確認応答部14により、解析部13の解析結果に基づき、内部ネットワークNへの外部アクセス要求有無及び利用者環境(アクセス要求アプリ)の高速通信可否を判定する(ステップS806)。
【0100】
ここで、本実施形態では、確認応答部14が、TLS拡張のサーバネーム値(A-company.com)に該当する内部ネットワークNの存在により、「外部アクセス要求有り」の要求有無情報を得たとする。また、確認応答部14が、利用者環境情報にTLS拡張のサーバネーム値が含まれていないことから、「通常通信」の通信方式情報を得たとする。
【0101】
通信制御装置100は、確認応答部14により、中継装置200(確認要求部)に外部アクセス確認要求の応答結果(要求有無情報「要求有り」及び通信方式情報「通常通信」)を送信する(ステップS807)。
【0102】
中継装置200は、確認要求部21により、受信した応答結果である通信方式情報(通常通信)に基づき、アクセス要求受付部22に通常通信設定を行う(ステップS809)。これにより、通信制御装置100と中継装置200との間(外部ネットワークIと内部ネットワークNとの間)には、ファイアウォール機能FWの設定変更により、利用者環境(アクセス要求アプリ)がサポートする通常通信用トンネルが形成される。
【0103】
通信制御装置100は、ネットワーク上に通常通信用トンネルが形成されると、確認要求部14により、外部アクセス要求部15に中継装置200(アクセス要求受付部)へのHTTP要求の実行を指示する(ステップS901)。これにより、外部アクセス要求部15は、外部アクセス要求有無の判定において、アクセス先として特定された内部ネットワークNに接続される中継装置200に対応するHTTP要求の暗号化処理を行い(ステップS902)、中継装置200(アクセス要求受付部)に暗号化HTTP要求を送信する(ステップS903)。なお、ステップS902は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。
【0104】
中継装置200は、アクセス要求受付部22により、暗号化HTTP要求を受信すると、アクセス要求部23に情報提供装置300への暗号化HTTP要求の実行を指示する(ステップS904)。これにより、アクセス要求部23は、通信制御装置100から受信した暗号化HTTP要求に対して、情報提供装置300に対応する復号化・暗号化処理を行い(ステップS905及びS906)、情報提供装置300(Webサーバ機能)に暗号化HTTP要求を送信する(ステップS907)。なお、ステップS905及びS906の処理を行う理由は、次の通りである。情報提供装置300では、通信制御装置100で暗号化されたHTTP要求を復号化することができない。そのため、中継装置200では、HTTP要求を情報提供装置300で復号化可能なデータにする必要があるからである。よって、ステップS905は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。また、ステップS906は、中継装置200と情報提供装置300との間で取り決められた暗号化方式に従って処理される。
【0105】
その結果、中継装置200(アクセス要求部)は、情報提供装置300から暗号化HTTP応答を受信し(ステップS908)、受信した暗号化HTTP要求に対して、通信制御装置100に対応する復号化・暗号化処理を行い(ステップS909及びS910)、通信制御装置100(外部アクセス応答部)に暗号化HTTP応答を送信する(ステップS911)。なお、ステップS909は、中継装置200と情報提供装置300との間で取り決められた暗号化方式に従って処理される。また、ステップS909は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。
【0106】
通信制御装置100は、外部アクセス応答部16により、暗号化HTTP応答を受信すると、中継装置200から受信した暗号化HTTP応答に対して、利用者端末400に対応する復号化・暗号化処理を行い(ステップS912及びS913)、外部アクセス要求元の利用者端末400(Webクライアント機能:ブラウザアプリ)に暗号化HTTP応答を送信する(ステップS914)。なお、外部アクセス応答部16がステップS912及びS913の処理を行う理由は、次の通りである。利用者端末400では、中継装置200で暗号化されたHTTP応答を復号化することができない。そのため、通信制御装置100では、HTTP応答を利用者端末400で復号化可能なデータにする必要があるからである。よって、ステップS912は、通信制御装置100と中継装置200との間で取り決められた暗号化方式に従って処理される。また、ステップS913は、通信制御装置100と利用者端末400との間で取り決められた暗号化方式に従って処理される。
【0107】
本実施形態に係る通信制御システム1では、上記処理により、高速通信不可能な利用者環境(アクセス要求アプリ)に応じて、外部ネットワークIと内部ネットワークNとの間に通常通信用トンネルが形成され、形成されたトンネルを介して、暗号化通信が行われる。
【0108】
<まとめ>
以上のように、本実施形態に係る通信制御装置100によれば、確認応答部14により、内部ネットワークNに接続される中継装置200から外部ネットワークIのアクセス確認要求を受け付ける。通信制御装置100は、解析部13により、外部ネットワークIからのアクセス要求を受信すると、受信したアクセス要求を解析する。通信制御装置100は、確認応答部14により、解析結果から、アクセス要求した利用者環境(アクセス要求アプリ)が、高速通信をサポートしているか否かを判断し、判断結果に基づき、外部ネットワークIと内部ネットワークNとを接続する際の通信方式を決定する(高速通信/通常通信のどちらか一方の通信方式とする)。通信制御装置100は、確認応答部14により、決定した通信方式を、アクセス確認要求の応答として、アクセス先の内部ネットワークNに接続される中継装置200に応答する。その結果、中継装置200は、応答された通信方式に従って、当該装置200と通信制御装置100との間にネットワーク上のトンネルを形成する。
【0109】
これによって、本実施形態に係る通信制御システム1では、外部ネットワークIと内部ネットワークNとの間の暗号化通信が、利用者環境(アクセス要求アプリ)の通信速度に応じて形成されたネットワーク上のトンネルを介して行われ、利用者が最適な速度で暗号化通信できる。
【0110】
ここまで、上記実施形態の説明を行ってきたが、上記実施形態に係る「通信制御機能」は、図を用いて説明を行った各処理手順を、動作環境(プラットフォーム)にあったプログラミング言語でコード化したプログラムが、通信制御装置100が備える演算装置(CPU)により実行されることで実現される。
【0111】
上記プログラムは、コンピュータが読み取り可能な記録媒体103aに格納することができる。これにより、例えば、上記プログラムは、ドライブ装置103を介して、通信制御装置100にインストールすることができる。また、通信制御装置100は、インタフェース装置107を備えていることから、電気通信回線を用いて上記プログラムをダウンロードし、インストールすることもできる。
【0112】
最後に、上記実施形態に挙げた形状や構成に、その他の要素との組み合わせなど、ここで示した要件に、本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することが可能であり、その応用形態に応じて適切に定めることができる。
【符号の説明】
【0113】
1 通信制御システム
11 確認要求受付部
12 外部アクセス要求受付部
13 解析部
14 確認応答部
141 要求有無判定部
142 高速通信可否判定部
15 外部アクセス応答部
16 外部アクセス要求部
21 確認要求部
22 アクセス要求受付部
23 アクセス要求部
100 通信制御装置(中継サーバ)
101 入力装置
102 表示装置
103 ドライブ装置(a:記録媒体)
104 RAM(揮発性の半導体メモリ)
105 ROM(不揮発性の半導体メモリ)
106 CPU(演算装置)
107 インタフェース装置(NIC:Network I/F Card)
108 HDD(不揮発性の記憶装置)
200 中継装置(中継クライアント)
300 情報提供装置(Webサーバ)
400 利用者端末(Webクライアント)
B バス
I 外部ネットワーク(インターネット)
N 内部ネットワーク(LAN)
【先行技術文献】
【特許文献】
【0114】
【特許文献1】特許第3285882号公報
【特許請求の範囲】
【請求項1】
外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置であって、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、
前記要求応答手段により応答された通信方式に従い、当該通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うことを特徴とする通信制御装置。
【請求項2】
前記解析手段は、
受信したアクセス要求の通信データを解析し、前記情報端末からのアクセス要求で指定されたアクセス先を示すアクセス先指定情報と、前記情報端末が対応する通信方式を示す利用者環境情報と、を含む解析結果を取得することを特徴とする請求項1に記載の通信制御装置。
【請求項3】
前記要求応答手段は、
前記アクセス先指定情報に基づき、前記情報端末からのアクセス要求でアクセス先に指定された内部ネットワークを特定し、特定した内部ネットワークに接続される中継装置に決定した通信方式を応答することを特徴とする請求項2に記載の通信制御装置。
【請求項4】
前記要求応答手段は、
前記利用者環境情報に基づき、前記情報端末が高速通信可能か否かを判定し、前記情報端末が高速通信可能と判定した場合に、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を高速通信の通信方式とすることを特徴とする請求項2又は3に記載の通信制御装置。
【請求項5】
前記解析手段は、
アクセス要求として受信したSSLClientHelloメッセージ及び/又はHTTPHOSTヘッダを解析し、前記SSLClientHelloメッセージに含まれるTLS拡張のサーバネーム値又は前記HTTPHOSTヘッダに含まれるホストネーム値を前記アクセス先指定情報として取得し、前記SSLClientHelloメッセージに含まれるSSLのバージョン値及びTLS拡張のサーバネーム値の有無を前記利用者環境情報として取得することを特徴とする請求項2ないし4のいずれか一項に記載の通信制御装置。
【請求項6】
前記要求応答手段は、
前記利用者環境情報に基づき、前記SSLClientHelloメッセージに含まれるSSLのバージョン値が1.0以上、かつ、前記SSLClientHelloメッセージにTLS拡張のサーバネーム値が含まれる場合に、前記情報端末が高速通信可能と判定することを特徴とする請求項5に記載の通信制御装置。
【請求項7】
前記要求応答手段は、
前記利用者環境情報に基づき、前記SSLClientHelloメッセージに含まれるSSLのバージョン値が1.0未満、又は、前記SSLClientHelloメッセージにTLS拡張のサーバネーム値が含まれていない場合に、前記情報端末が高速通信不可能と判定することを特徴とする請求項5又は6に記載の通信制御装置。
【請求項8】
前記要求応答手段により、前記情報端末が高速通信可能と判定された場合に、当該通信制御装置と前記中継装置との間に、高速通信用トンネルを形成し、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を、前記高速通信用トンネルを介して行うことを特徴とする請求項4ないし7のいずれか一項に記載の通信制御装置。
【請求項9】
外部ネットワークに接続される通信制御装置と、内部ネットワークに接続される中継装置と、が接続され、前記外部ネットワークと前記内部ネットワークとの間で暗号化通信を行う通信制御システムであって、
前記通信制御装置は、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、
前記要求応答手段により応答された通信方式に従い、前記通信制御装置と前記中継装置との間にネットワーク上のトンネルを形成し、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を、トンネルを介して行うことを特徴とする通信制御システム。
【請求項10】
外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置における通信制御プログラムであって、
コンピュータを、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段として機能させ、
前記要求応答手段により応答された通信方式に従い、前記通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うように動作させる通信制御プログラム。
【請求項1】
外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置であって、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、
前記要求応答手段により応答された通信方式に従い、当該通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うことを特徴とする通信制御装置。
【請求項2】
前記解析手段は、
受信したアクセス要求の通信データを解析し、前記情報端末からのアクセス要求で指定されたアクセス先を示すアクセス先指定情報と、前記情報端末が対応する通信方式を示す利用者環境情報と、を含む解析結果を取得することを特徴とする請求項1に記載の通信制御装置。
【請求項3】
前記要求応答手段は、
前記アクセス先指定情報に基づき、前記情報端末からのアクセス要求でアクセス先に指定された内部ネットワークを特定し、特定した内部ネットワークに接続される中継装置に決定した通信方式を応答することを特徴とする請求項2に記載の通信制御装置。
【請求項4】
前記要求応答手段は、
前記利用者環境情報に基づき、前記情報端末が高速通信可能か否かを判定し、前記情報端末が高速通信可能と判定した場合に、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を高速通信の通信方式とすることを特徴とする請求項2又は3に記載の通信制御装置。
【請求項5】
前記解析手段は、
アクセス要求として受信したSSLClientHelloメッセージ及び/又はHTTPHOSTヘッダを解析し、前記SSLClientHelloメッセージに含まれるTLS拡張のサーバネーム値又は前記HTTPHOSTヘッダに含まれるホストネーム値を前記アクセス先指定情報として取得し、前記SSLClientHelloメッセージに含まれるSSLのバージョン値及びTLS拡張のサーバネーム値の有無を前記利用者環境情報として取得することを特徴とする請求項2ないし4のいずれか一項に記載の通信制御装置。
【請求項6】
前記要求応答手段は、
前記利用者環境情報に基づき、前記SSLClientHelloメッセージに含まれるSSLのバージョン値が1.0以上、かつ、前記SSLClientHelloメッセージにTLS拡張のサーバネーム値が含まれる場合に、前記情報端末が高速通信可能と判定することを特徴とする請求項5に記載の通信制御装置。
【請求項7】
前記要求応答手段は、
前記利用者環境情報に基づき、前記SSLClientHelloメッセージに含まれるSSLのバージョン値が1.0未満、又は、前記SSLClientHelloメッセージにTLS拡張のサーバネーム値が含まれていない場合に、前記情報端末が高速通信不可能と判定することを特徴とする請求項5又は6に記載の通信制御装置。
【請求項8】
前記要求応答手段により、前記情報端末が高速通信可能と判定された場合に、当該通信制御装置と前記中継装置との間に、高速通信用トンネルを形成し、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を、前記高速通信用トンネルを介して行うことを特徴とする請求項4ないし7のいずれか一項に記載の通信制御装置。
【請求項9】
外部ネットワークに接続される通信制御装置と、内部ネットワークに接続される中継装置と、が接続され、前記外部ネットワークと前記内部ネットワークとの間で暗号化通信を行う通信制御システムであって、
前記通信制御装置は、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段と、を有し、
前記要求応答手段により応答された通信方式に従い、前記通信制御装置と前記中継装置との間にネットワーク上のトンネルを形成し、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を、トンネルを介して行うことを特徴とする通信制御システム。
【請求項10】
外部ネットワークに接続され、中継装置を介して内部ネットワークに接続され、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を制御する通信制御装置における通信制御プログラムであって、
コンピュータを、
前記中継装置から、前記外部ネットワークのアクセス確認要求を受け付ける要求受付手段と、
前記要求受付手段でアクセス確認要求を受け付けると、前記外部ネットワークから受信したアクセス要求を解析する解析手段と、
前記解析手段による解析結果に基づき、前記外部ネットワークと前記内部ネットワークとを接続する際の通信方式を、前記外部ネットワークからアクセス要求を送信した情報端末が対応する通信速度に応じた通信方式に決定し、決定した通信方式を前記中継装置に応答する要求応答手段として機能させ、
前記要求応答手段により応答された通信方式に従い、前記通信制御装置と前記中継装置との間に形成されたネットワーク上のトンネルを介して、前記外部ネットワークと前記内部ネットワークとの間の暗号化通信を行うように動作させる通信制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−182667(P2012−182667A)
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願番号】特願2011−44320(P2011−44320)
【出願日】平成23年3月1日(2011.3.1)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願日】平成23年3月1日(2011.3.1)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]