通信方法、通信システム、プログラム及び記録媒体
【課題】 既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる通信方法、通信システム、プログラム及び記録媒体を提供する。
【解決手段】 サーバAとファイアウォールFWとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールFWが通信の内容を監視したり、制御したりすることができる。
【解決手段】 サーバAとファイアウォールFWとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールFWが通信の内容を監視したり、制御したりすることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信方法、通信システム、プログラム及び記録媒体に関する。
【背景技術】
【0002】
図4は従来の通信方法のシーケンス図である。
同図のシーケンス図に示される通信方法は、既存のファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法である。
すなわち、従来の通信方法は、クライアントBからの要求でクライアントBとファイアウォールFW(Fire Wall)との間のTCP(Transmission Control Protocol)接続処理を行い、クライアントBがファイアウォールへの外部サーバAとの接続要求を送信し、ファイアウォールFWが外部サーバAとファイアウォールFWとの間との間の接続の際にSYN(Synchronize)パケットを外部サーバAに通知し、外部サーバAが受信したことの応答としてSYN+ACK(Acknowledgement)パケットをファイアウォールFWに応答し、TCP接続処理の完了としてファイアウォールFWは外部サーバAにACKパケットを送信し、ファイアウォールFWはクライアントBに外部サーバAとの接続が完了したことを通知し、外部サーバAとクライアントBとの間で暗号通信が開始されるようになっている(例えば、特許文献1、2、3参照)。
【特許文献1】特開2002−141953号公報
【特許文献2】特開2002−271418号公報
【特許文献3】特開2004−192044号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上述した従来の技術は、既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールはデータを中継するだけの機能しかもたない。そのため、通信内容を把握することができないので、情報漏えいの危険性がある。また、中継内容を解読するためにファイアウォールがサーバと同様の動作を行う方法では、現在の証明書システムが成立しなくなるという問題がある。
【0004】
そこで、本発明の目的は、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる通信方法、通信システム、プログラム及び記録媒体を提供することにある。
【課題を解決するための手段】
【0005】
上記課題を解決するため、請求項1記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0006】
請求項1記載の発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0007】
請求項2記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0008】
請求項2記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0009】
請求項3記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントと前記ファイアウォールとの間でTCP接続を行い、前記クライアントと前記サーバとの間で暗号通信を行い、前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする。
【0010】
請求項3記載の発明によれば、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0011】
請求項4記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、前記クライアントが前記ファイアウォールへの接続要求を送信し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始され、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
【0012】
請求項4記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0013】
請求項5記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
【0014】
請求項5記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0015】
請求項6記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
【0016】
請求項6記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0017】
請求項7記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0018】
請求項7記載の発明によれば、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0019】
請求項8記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0020】
請求項8記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0021】
請求項9記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントと前記ファイアウォールとがTCP接続を行い、前記クライアントと前記サーバとが暗号通信を行い、前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする。
【0022】
請求項9記載の発明によれば、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0023】
請求項10記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
【0024】
請求項10記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0025】
請求項11記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
【0026】
請求項11記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0027】
請求項12記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
【0028】
請求項12記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0029】
請求項13記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
【0030】
請求項13記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0031】
請求項14記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
【0032】
請求項14記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0033】
請求項15記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
【0034】
請求項15記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0035】
請求項16記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とする。
【0036】
請求項16記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0037】
請求項17記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする。
【0038】
請求項17記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0039】
請求項18記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする。
【0040】
請求項18記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0041】
請求項19記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0042】
請求項19記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0043】
請求項20記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0044】
請求項20記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0045】
請求項21記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0046】
請求項21記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0047】
請求項22記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0048】
請求項22記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0049】
請求項23記載の発明は、請求項22記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0050】
請求項23記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0051】
請求項24記載の発明は、請求項22に記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0052】
請求項24記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【発明の効果】
【0053】
本発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【発明を実施するための最良の形態】
【0054】
〔発明の特徴〕
既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールに対してだけ通信内容の傍受を許可したり、ファイアウォールからサーバに通信条件を通知したりすることを特徴とする。
【0055】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0056】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0057】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことを特徴とする。
【0058】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行い、クライアントがファイアウォールへの接続要求を送信し、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、サーバは通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
【0059】
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
【0060】
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
【0061】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信システムであって、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0062】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0063】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことを特徴とする。
【0064】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントは、クライアントとファイアウォールとの間のTCP接続処理を要求し、ファイアウォールへの接続要求を送信し、ファイアウォールは、サーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、サーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバは、ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始されると、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
【0065】
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
【0066】
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
【0067】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
【0068】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
【0069】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
【0070】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させることを特徴とする。
【0071】
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることを特徴とする。
【0072】
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることを特徴とする。
【0073】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0074】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0075】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0076】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0077】
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0078】
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0079】
〔構成〕
図3は本発明の前提となった通信システムの概念図である。
同図において、通信システム10は、外部網(またはインターネット)11上のサーバAと、企業内網12と外部網11とを接続するためのファイアウォールFWと、企業内網12のクライアントのパーソナルコンピュータ(以下「クライアント」と称す)B とで構成される。
【0080】
サーバAとクライアントBとが暗号通信するために、クライアントBがファイアウォールFWにTCPセッションを張り、サーバAへの接続をファイアウォールFWに要求する。ファイアウォールFWと、サーバAとの接続が完了すると、サーバAとクライアントBとが暗号通信の手順を開始する。
この既存のシステムに対して、図1に示す機能をサーバAとファイアウォールFWと に追加する。
【0081】
図1は本発明に係る通信システムの一実施の形態を示すブロック図である。
同図において、ファイアウォールFW上にはサーバAとクライアントBとのセッションを中継するセッション中継Rが動作するようになっている。
セッション中継Rには、クライアントB−ファイアウォールFW間のTCPセッションを管理するセッション管理SCと、サーバA−ファイアウォールFW間のTCPセッションを管理するセッション管理SSとが既存システムで実装されている。このファイアウォールFWに監視制御M1が実装されている(監視制御M1はセッション管理SCを制御してもよい)。
サーバA上にはサーバ機能S(例えば、ウェブサーバ機能)が既存システムで実装されている。このサーバAに監視制御M2が実装されている。
【0082】
〔動作〕
図2は図1に示した通信システムの動作を説明するためのシーケンサ図である。
図2において、サーバBからの要求でサーバB−ファイアウォールFW間のTCP接続処理が行われる。
クライアントBは、ファイアウォールFWにサーバAへの接続要求を送信する。
ファイアウォールFWは、サーバA−ファイアウォールFW間のTCP接続の前に監視用のポート番号Nを準備する。
ファイアウォールFW間はサーバA−ファイアウォールFW間のTCP接続の際にSYNパケットのオプションを用いて、ポート番号NをサーバAに通知する。
【0083】
ここで、ポート番号オプションは、本発明において新たに定義したものであり、m(mは自然数)オクテットの種類とn(nはmとは無関係の自然数)オクテットのポート番号値(好ましくは1オクテットの種類と2オクテットのポート番号値)で構成される。
【0084】
サーバAはポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを使ってポート番号NをファイアウォールFWに応答する。
TCP接続処理の完了としてファイアウォールFWは、サーバAにACKパケットを送信する。
サーバAは通知されたポート番号Nに対してTCP接続処理を行う。
ファイアウォールFWは、クライアントBにサーバAとの接続が完了したことを通知する。
サーバA−クライアントB間の暗号通信が開始される。
ファイアウォールFWは、監視ポートを用いてサーバAと監視情報の交換を行う。
【0085】
尚、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受されるデータの種類やデータの内容を制限するために、フィルタ条件をサーバAに対して要求するように構成してもよい。
また、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受される全ての送受信データをサーバAから送信してもらうために、サーバAに対して要求するように構成してもよい。
【0086】
尚、上述した実施形態は、本発明の好適な実施形態であり、本発明の趣旨を逸脱しない範囲内において、種々変形することが可能である。
【0087】
また、上述した実施形態としてのシステム等を実現するための処理手順を有するプログラムやプログラムを記録媒体に記録することにより、本発明の実施形態による各機能を、その記録媒体から供給されるプログラムによって、システムを構成するコンピュータのCPUに処理を行わせて実現させることが可能である。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
【0088】
すなわち、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体及びその記録媒体から読み出された信号は本発明を構成することになる。
この記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、フラッシュメモリ、CD−ROM、CD−R、磁気テープ、不揮発性メモリカード、ROM、EEPROM等を用いてよい。
本発明に係るプログラムによれば、当該プログラムによって制御される通信システムに、上述した本発明に係る実施形態としての各機能を実現させることができる。
【図面の簡単な説明】
【0089】
【図1】本発明に係る通信システムの一実施の形態を示すブロック図である。
【図2】図1に示した通信システムの動作を説明するためのシーケンサ図である。
【図3】本発明の前提となった通信システムの概念図である。
【図4】従来の通信方法のシーケンス図である。
【符号の説明】
【0090】
10 通信システム
11 外部網(またはインターネット)
12 企業内網
A サーバ
B クライアントのパーソナルコンピュータ(クライアント)
FW ファイアウォール
M1、M2 監視制御
R セッション中継
S サーバ機能
SC セッション管理
SS セッション管理
【技術分野】
【0001】
本発明は、通信方法、通信システム、プログラム及び記録媒体に関する。
【背景技術】
【0002】
図4は従来の通信方法のシーケンス図である。
同図のシーケンス図に示される通信方法は、既存のファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法である。
すなわち、従来の通信方法は、クライアントBからの要求でクライアントBとファイアウォールFW(Fire Wall)との間のTCP(Transmission Control Protocol)接続処理を行い、クライアントBがファイアウォールへの外部サーバAとの接続要求を送信し、ファイアウォールFWが外部サーバAとファイアウォールFWとの間との間の接続の際にSYN(Synchronize)パケットを外部サーバAに通知し、外部サーバAが受信したことの応答としてSYN+ACK(Acknowledgement)パケットをファイアウォールFWに応答し、TCP接続処理の完了としてファイアウォールFWは外部サーバAにACKパケットを送信し、ファイアウォールFWはクライアントBに外部サーバAとの接続が完了したことを通知し、外部サーバAとクライアントBとの間で暗号通信が開始されるようになっている(例えば、特許文献1、2、3参照)。
【特許文献1】特開2002−141953号公報
【特許文献2】特開2002−271418号公報
【特許文献3】特開2004−192044号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、上述した従来の技術は、既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールはデータを中継するだけの機能しかもたない。そのため、通信内容を把握することができないので、情報漏えいの危険性がある。また、中継内容を解読するためにファイアウォールがサーバと同様の動作を行う方法では、現在の証明書システムが成立しなくなるという問題がある。
【0004】
そこで、本発明の目的は、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる通信方法、通信システム、プログラム及び記録媒体を提供することにある。
【課題を解決するための手段】
【0005】
上記課題を解決するため、請求項1記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0006】
請求項1記載の発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0007】
請求項2記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0008】
請求項2記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0009】
請求項3記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントと前記ファイアウォールとの間でTCP接続を行い、前記クライアントと前記サーバとの間で暗号通信を行い、前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする。
【0010】
請求項3記載の発明によれば、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0011】
請求項4記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、前記クライアントが前記ファイアウォールへの接続要求を送信し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始され、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
【0012】
請求項4記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0013】
請求項5記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
【0014】
請求項5記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0015】
請求項6記載の発明は、請求項4記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
【0016】
請求項6記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0017】
請求項7記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0018】
請求項7記載の発明によれば、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0019】
請求項8記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0020】
請求項8記載の発明によれば、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0021】
請求項9記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントと前記ファイアウォールとがTCP接続を行い、前記クライアントと前記サーバとが暗号通信を行い、前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする。
【0022】
請求項9記載の発明によれば、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0023】
請求項10記載の発明は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする。
【0024】
請求項10記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0025】
請求項11記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする。
【0026】
請求項11記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0027】
請求項12記載の発明は、請求項10記載の発明において、前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする。
【0028】
請求項12記載の発明によれば、ファイアウォールがサーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0029】
請求項13記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
【0030】
請求項13記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0031】
請求項14記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
【0032】
請求項14記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0033】
請求項15記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
【0034】
請求項15記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0035】
請求項16記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とする。
【0036】
請求項16記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0037】
請求項17記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする。
【0038】
請求項17記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0039】
請求項18記載の発明は、請求項16記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする。
【0040】
請求項18記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0041】
請求項19記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0042】
請求項19記載の発明によれば、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0043】
請求項20記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0044】
請求項20記載の発明によれば、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0045】
請求項21記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、前記クライアントと前記サーバとの間で暗号通信を行う処理、前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0046】
請求項21記載の発明によれば、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0047】
請求項22記載の発明は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、前記クライアントが前記ファイアウォールへの接続要求を送信する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、前記サーバと前記クライアントとの間で暗号通信を開始する処理、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0048】
請求項22記載の発明によれば、ファイアウォールがクライアントにサーバとの接続が完了したことを通知した後、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0049】
請求項23記載の発明は、請求項22記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0050】
請求項23記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【0051】
請求項24記載の発明は、請求項22に記載の発明において、前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0052】
請求項24記載の発明によれば、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【発明の効果】
【0053】
本発明によれば、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことにより、既存の暗号通信プロトコルを変更せずに、ファイアウォールが通信の内容を監視したり、制御したりすることができる。
【発明を実施するための最良の形態】
【0054】
〔発明の特徴〕
既存のファイアウォールを介したクライアント−サーバ間の暗号通信において、ファイアウォールに対してだけ通信内容の傍受を許可したり、ファイアウォールからサーバに通信条件を通知したりすることを特徴とする。
【0055】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0056】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0057】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントとファイアウォールとの間でTCP接続を行い、クライアントとサーバとの間で暗号通信を行い、ファイアウォールとサーバとの間で監視情報交換を行うことを特徴とする。
【0058】
本発明に係る通信方法の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行い、クライアントがファイアウォールへの接続要求を送信し、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、サーバは通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始され、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
【0059】
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
【0060】
本発明に係る通信方法の実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
【0061】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信システムであって、サーバとファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする。
【0062】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、サーバがファイアウォールに対してだけ通信内容の傍受を許可し、ファイアウォールからサーバに通信条件を通知した後で暗号通信を行うことを特徴とする。
【0063】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントとファイアウォールとがTCP接続を行い、クライアントとサーバとが暗号通信を行い、ファイアウォールとサーバとが監視情報交換を行うことを特徴とする。
【0064】
本発明に係る通信システムの実施形態は、クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信システムであって、クライアントは、クライアントとファイアウォールとの間のTCP接続処理を要求し、ファイアウォールへの接続要求を送信し、ファイアウォールは、サーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、サーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知し、サーバは、ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答し、TCP接続処理の完了としてファイアウォールはサーバにACKパケットを送信し、通知されたポート番号Nに対してTCP接続処理を行い、ファイアウォールはクライアントにサーバとの接続が完了したことを通知し、サーバとクライアントとの間で暗号通信が開始されると、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行うことを特徴とする。
【0065】
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求することを特徴とする。
【0066】
本発明に係る通信システムの実施形態は、上記構成に加え、ファイアウォールは、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求することを特徴とする。
【0067】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とする。
【0068】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とする。
【0069】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させることを特徴とする。
【0070】
本発明に係るプログラムの実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させることを特徴とする。
【0071】
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させることを特徴とする。
【0072】
本発明に係るプログラムの実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させることを特徴とする。
【0073】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバとファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0074】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、サーバがファイアウォールに対してだけ通信内容の傍受を許可する処理、及びファイアウォールからサーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする。
【0075】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントとファイアウォールとの間でTCP接続を行う処理、クライアントとサーバとの間で暗号通信を行う処理、ファイアウォールとサーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0076】
本発明に係る記録媒体の実施形態は、既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御をサーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、コンピュータに、クライアントからの要求でクライアントとファイアウォールとの間のTCP接続処理を行う処理、クライアントがファイアウォールへの接続要求を送信する処理、ファイアウォールがサーバとファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、ファイアウォールがサーバとファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いてポート番号Nをサーバに通知する処理、サーバがポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いてポート番号Nをファイアウォールに応答する処理、TCP接続処理の完了としてファイアウォールがサーバにACKパケットを送信する処理、サーバが通知されたポート番号Nに対してTCP接続処理を行う処理、ファイアウォールがクライアントにサーバとの接続が完了したことを通知する処理、サーバとクライアントとの間で暗号通信を開始する処理、ファイアウォールが監視用のポートを用いてサーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする。
【0077】
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件をサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0078】
本発明に係る記録媒体の実施形態は、上記構成に加え、コンピュータに、ファイアウォールが、サーバとクライアントとの間の暗号通信において授受される全ての送受信データをサーバから送信するようにサーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする。
【0079】
〔構成〕
図3は本発明の前提となった通信システムの概念図である。
同図において、通信システム10は、外部網(またはインターネット)11上のサーバAと、企業内網12と外部網11とを接続するためのファイアウォールFWと、企業内網12のクライアントのパーソナルコンピュータ(以下「クライアント」と称す)B とで構成される。
【0080】
サーバAとクライアントBとが暗号通信するために、クライアントBがファイアウォールFWにTCPセッションを張り、サーバAへの接続をファイアウォールFWに要求する。ファイアウォールFWと、サーバAとの接続が完了すると、サーバAとクライアントBとが暗号通信の手順を開始する。
この既存のシステムに対して、図1に示す機能をサーバAとファイアウォールFWと に追加する。
【0081】
図1は本発明に係る通信システムの一実施の形態を示すブロック図である。
同図において、ファイアウォールFW上にはサーバAとクライアントBとのセッションを中継するセッション中継Rが動作するようになっている。
セッション中継Rには、クライアントB−ファイアウォールFW間のTCPセッションを管理するセッション管理SCと、サーバA−ファイアウォールFW間のTCPセッションを管理するセッション管理SSとが既存システムで実装されている。このファイアウォールFWに監視制御M1が実装されている(監視制御M1はセッション管理SCを制御してもよい)。
サーバA上にはサーバ機能S(例えば、ウェブサーバ機能)が既存システムで実装されている。このサーバAに監視制御M2が実装されている。
【0082】
〔動作〕
図2は図1に示した通信システムの動作を説明するためのシーケンサ図である。
図2において、サーバBからの要求でサーバB−ファイアウォールFW間のTCP接続処理が行われる。
クライアントBは、ファイアウォールFWにサーバAへの接続要求を送信する。
ファイアウォールFWは、サーバA−ファイアウォールFW間のTCP接続の前に監視用のポート番号Nを準備する。
ファイアウォールFW間はサーバA−ファイアウォールFW間のTCP接続の際にSYNパケットのオプションを用いて、ポート番号NをサーバAに通知する。
【0083】
ここで、ポート番号オプションは、本発明において新たに定義したものであり、m(mは自然数)オクテットの種類とn(nはmとは無関係の自然数)オクテットのポート番号値(好ましくは1オクテットの種類と2オクテットのポート番号値)で構成される。
【0084】
サーバAはポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを使ってポート番号NをファイアウォールFWに応答する。
TCP接続処理の完了としてファイアウォールFWは、サーバAにACKパケットを送信する。
サーバAは通知されたポート番号Nに対してTCP接続処理を行う。
ファイアウォールFWは、クライアントBにサーバAとの接続が完了したことを通知する。
サーバA−クライアントB間の暗号通信が開始される。
ファイアウォールFWは、監視ポートを用いてサーバAと監視情報の交換を行う。
【0085】
尚、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受されるデータの種類やデータの内容を制限するために、フィルタ条件をサーバAに対して要求するように構成してもよい。
また、ファイアウォールFWは、サーバA−クライアントB間の暗号通信において授受される全ての送受信データをサーバAから送信してもらうために、サーバAに対して要求するように構成してもよい。
【0086】
尚、上述した実施形態は、本発明の好適な実施形態であり、本発明の趣旨を逸脱しない範囲内において、種々変形することが可能である。
【0087】
また、上述した実施形態としてのシステム等を実現するための処理手順を有するプログラムやプログラムを記録媒体に記録することにより、本発明の実施形態による各機能を、その記録媒体から供給されるプログラムによって、システムを構成するコンピュータのCPUに処理を行わせて実現させることが可能である。
この場合、上記の記録媒体により、あるいはネットワークを介して外部の記録媒体から、プログラムを含む情報群を出力装置に供給される場合でも本発明は適用されるものである。
【0088】
すなわち、記録媒体から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記憶した記録媒体及びその記録媒体から読み出された信号は本発明を構成することになる。
この記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、フラッシュメモリ、CD−ROM、CD−R、磁気テープ、不揮発性メモリカード、ROM、EEPROM等を用いてよい。
本発明に係るプログラムによれば、当該プログラムによって制御される通信システムに、上述した本発明に係る実施形態としての各機能を実現させることができる。
【図面の簡単な説明】
【0089】
【図1】本発明に係る通信システムの一実施の形態を示すブロック図である。
【図2】図1に示した通信システムの動作を説明するためのシーケンサ図である。
【図3】本発明の前提となった通信システムの概念図である。
【図4】従来の通信方法のシーケンス図である。
【符号の説明】
【0090】
10 通信システム
11 外部網(またはインターネット)
12 企業内網
A サーバ
B クライアントのパーソナルコンピュータ(クライアント)
FW ファイアウォール
M1、M2 監視制御
R セッション中継
S サーバ機能
SC セッション管理
SS セッション管理
【特許請求の範囲】
【請求項1】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、
前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信方法。
【請求項2】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信方法。
【請求項3】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントと前記ファイアウォールとの間でTCP接続を行い、
前記クライアントと前記サーバとの間で暗号通信を行い、
前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする通信方法。
【請求項4】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、
前記クライアントが前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、
前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、
前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始され、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信方法。
【請求項5】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
【請求項6】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
【請求項7】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、
前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信システム。
【請求項8】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信システム。
【請求項9】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントと前記ファイアウォールとがTCP接続を行い、
前記クライアントと前記サーバとが暗号通信を行い、
前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする通信システム。
【請求項10】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信システム。
【請求項11】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
【請求項12】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
【請求項13】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とするプログラム。
【請求項14】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とするプログラム。
【請求項15】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とするプログラム。
【請求項16】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とするプログラム。
【請求項17】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
【請求項18】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
【請求項19】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項20】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項21】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項22】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項23】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
【請求項24】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
【請求項1】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間で暗号通信を行う通信方法であって、
前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信方法。
【請求項2】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信方法。
【請求項3】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントと前記ファイアウォールとの間でTCP接続を行い、
前記クライアントと前記サーバとの間で暗号通信を行い、
前記ファイアウォールと前記サーバとの間で監視情報交換を行うことを特徴とする通信方法。
【請求項4】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う通信方法であって、
前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行い、
前記クライアントが前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、
前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、
前記サーバは通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始され、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信方法。
【請求項5】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
【請求項6】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項4に記載の通信方法。
【請求項7】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間で暗号通信を行う通信システムであって、
前記サーバと前記ファイアウォールとが暗号通信を監視するセッションを確立した後で暗号通信を行うことを特徴とする通信システム。
【請求項8】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可し、前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行うことを特徴とする通信システム。
【請求項9】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントと前記ファイアウォールとがTCP接続を行い、
前記クライアントと前記サーバとが暗号通信を行い、
前記ファイアウォールと前記サーバとが監視情報交換を行うことを特徴とする通信システム。
【請求項10】
クライアントと、サーバと、ファイアウォールとを有し、既存の暗号通信プロトコルに基づいて前記ファイアウォールを介して前記クライアントと前記サーバとの間の暗号通信を行う通信システムであって、
前記クライアントは、前記クライアントと前記ファイアウォールとの間のTCP接続処理を要求し、前記ファイアウォールへの接続要求を送信し、
前記ファイアウォールは、前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備し、前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知し、
前記サーバは、前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答し、前記TCP接続処理の完了として前記ファイアウォールは前記サーバにACKパケットを送信し、通知された前記ポート番号Nに対してTCP接続処理を行い、
前記ファイアウォールは前記クライアントに前記サーバとの接続が完了したことを通知し、
前記サーバと前記クライアントとの間で暗号通信が開始されると、前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行うことを特徴とする通信システム。
【請求項11】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
【請求項12】
前記ファイアウォールは、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求することを特徴とする請求項10に記載の通信システム。
【請求項13】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させることを特徴とするプログラム。
【請求項14】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させることを特徴とするプログラム。
【請求項15】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させることを特徴とするプログラム。
【請求項16】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムであって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させることを特徴とするプログラム。
【請求項17】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
【請求項18】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させることを特徴とする請求項16に記載のプログラム。
【請求項19】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバと前記ファイアウォールとの間で暗号通信を監視するセッションを確立した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項20】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信を行う制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記サーバが前記ファイアウォールに対してだけ通信内容の傍受を許可する処理、及び前記ファイアウォールから前記サーバに通信条件を通知した後で暗号通信を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項21】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントと前記ファイアウォールとの間でTCP接続を行う処理、
前記クライアントと前記サーバとの間で暗号通信を行う処理、
前記ファイアウォールと前記サーバとの間で監視情報交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項22】
既存の暗号通信プロトコルに基づいてファイアウォールを介してクライアントとサーバとの間の暗号通信の制御を前記サーバの実質的なコンピュータに実行させるプログラムを記録した記録媒体であって、
前記コンピュータに、前記クライアントからの要求で前記クライアントと前記ファイアウォールとの間のTCP接続処理を行う処理、
前記クライアントが前記ファイアウォールへの接続要求を送信する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間のTCP接続の前に監視用のポート番号Nを準備する処理、
前記ファイアウォールが前記サーバと前記ファイアウォールとの間との間の接続の際にSYNパケットのオプションを用いて前記ポート番号Nを前記サーバに通知する処理、
前記サーバが前記ポート番号通知を受信したことの応答としてSYN+ACKパケットのオプションを用いて前記ポート番号Nを前記ファイアウォールに応答する処理、
前記TCP接続処理の完了として前記ファイアウォールが前記サーバにACKパケットを送信する処理、
前記サーバが通知された前記ポート番号Nに対してTCP接続処理を行う処理、
前記ファイアウォールが前記クライアントに前記サーバとの接続が完了したことを通知する処理、
前記サーバと前記クライアントとの間で暗号通信を開始する処理、
前記ファイアウォールが前記監視用のポートを用いて前記サーバと監視情報の交換を行う処理を実行させるプログラムを記録したことを特徴とする記録媒体。
【請求項23】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受されるデータの種類や内容を制限するためにフィルタ条件を前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
【請求項24】
前記コンピュータに、前記ファイアウォールが、前記サーバと前記クライアントとの間の暗号通信において授受される全ての送受信データを前記サーバから送信するように前記サーバに対して要求する処理を実行させるプログラムを記録したことを特徴とする請求項22に記載の記録媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−343807(P2006−343807A)
【公開日】平成18年12月21日(2006.12.21)
【国際特許分類】
【出願番号】特願2005−166549(P2005−166549)
【出願日】平成17年6月7日(2005.6.7)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年12月21日(2006.12.21)
【国際特許分類】
【出願日】平成17年6月7日(2005.6.7)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]