Nothing Special   »   [go: up one dir, main page]

JP3973357B2 - Port number convergence, deployment method and gateway server thereof - Google Patents

Port number convergence, deployment method and gateway server thereof Download PDF

Info

Publication number
JP3973357B2
JP3973357B2 JP2000328465A JP2000328465A JP3973357B2 JP 3973357 B2 JP3973357 B2 JP 3973357B2 JP 2000328465 A JP2000328465 A JP 2000328465A JP 2000328465 A JP2000328465 A JP 2000328465A JP 3973357 B2 JP3973357 B2 JP 3973357B2
Authority
JP
Japan
Prior art keywords
server
port number
gateway server
message
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000328465A
Other languages
Japanese (ja)
Other versions
JP2002132596A (en
Inventor
美和 佐野
睦 森井
信保 岡野
義則 中山
敦子 半澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000328465A priority Critical patent/JP3973357B2/en
Publication of JP2002132596A publication Critical patent/JP2002132596A/en
Application granted granted Critical
Publication of JP3973357B2 publication Critical patent/JP3973357B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、インターネット側サーバからイントラネット側サーバへ送信される電文の伝送経路に介入してセキュリティ向上に寄与するゲートウェイサーバに関する。
【0002】
【従来の技術】
インターネット側のサーバと、イントラネット側のサーバとを接続し、イントラネットシステム内の社内端末からイントラネット側サーバへアクセスさせるとともに、インターネット及びインターネット側サーバを介して社外からイントラネット側サーバへのアクセスを許可するネットワークシステムが知られている。この場合に、イントラネットシステムのセキュリティを確保するために、インターネット側サーバとイントラネット側サーバとの間にファイアウォールを配置してインターネット側からイントラネットシステムへのアクセス制御を行っている。
【0003】
【発明が解決しようとする課題】
イントラネット側サーバは、提供するサービス機能あるいはアプリケーションに応じて複数の機能サーバ又は機能に分離され、どのサーバのいずれの機能にアクセスするかを処理要求電文中の宛先IPアドレスと宛先ポート番号とで指定するよう構成される。すなわちインターネット側サーバは、インターネットを介して受信する処理要求電文に含まれる宛先IPアドレスと宛先ポート番号に応じてその処理要求電文を該当するイントラネット側の目的のサーバの目的の機能に向けて送信する。従って両サーバ間に介在するファイアウォールは、複数のポート番号をもつ電文の入力を許可し、それら電文をイントラネット側サーバに向けて出力する。従来技術によれば、インターネット側サーバとイントラネット側サーバ間を伝送されるポート番号の数が多いほど、イントラネットシステムへ不正アクセスしようとする者からのポート番号の発見が容易になり、ハッキングの可能性が高くなるという問題があった。
【0004】
本発明の目的は、インターネット側サーバとイントラネット側サーバ間を伝送されるポート番号の数を削減し、セキュリティを向上させることにある。
【0005】
【課題を解決するための手段】
本発明は、インターネット側のサーバからイントラネット側のサーバへ送信される電文の伝送経路に沿って配置される第1のゲートウェイサーバ及び第2のゲートウェイサーバを有するシステムのポート番号の収束、展開方法であって、第1のゲートウェイサーバによって、インターネット側サーバの複数の機能の各々に対応して設定される電文中の宛先ポート番号を別のポート番号に変換して設定するとともに、元の宛先ポート番号を識別する識別情報を電文中に挿入して第2のゲートウェイサーバに向けて送信し、第2のゲートウェイサーバによって、上記別のポート番号を電文中の識別情報に応じてイントラネット側サーバの複数の機能の各々に対応して設定される宛先ポート番号に変換して設定し、イントラネット側サーバの該当する機能に向けて送信するポート番号の収束、展開方法を特徴とする。またそのような機能をもつインターネット側のゲートウェイサーバ及びイントラネット側のゲートウェイサーバを特徴とする。
【0006】
【発明の実施の形態】
以下、本発明の実施形態について図面を用いて説明する。
【0007】
図1は、本発明の実施形態のシステム構成を示す図である。システムは携帯電話などの端末101、電話会社のサーバ80、インターネット90、WWWサーバ102、インターネット側のゲートウェイサーバ103、ファイアウォール104、イントラネット側のゲートウェイサーバ105、イントラネットシステム107を構成する機能1サーバ〜機能4サーバ及び端末108から構成される。
【0008】
端末101は、インターネット90及びWWWサーバ102を介してイントラネットシステム107へ処理要求を送信するユーザの端末である。携帯電話と電話会社のサーバ80の代りにパソコン等の計算機でもよい。WWWサーバ102は、端末101からの処理要求に応じて、機能1、機能2、機能3、機能4のいずれかのサービスの窓口となるよう構成される。機能1,2,3,4は、各々イントラネットシステム107の機能1サーバ、機能2サーバ、機能3サーバ、機能4サーバに対応し、例えばWWWサーバ102が機能3の処理要求を受けたとき、その処理要求をイントラネットシステム107の機能3サーバへ送信し、機能3サーバがその処理要求に対するサービスをする。イントラネットシステム107の機能1サーバ〜機能4サーバは、例えば各々の分担するユーザについてのユーザ情報のデータベースを有し、自分の分担するユーザについての処理要求についてサービスする。ユーザ管理テーブル110は、各ユーザのログイン時に参照されるユーザ情報を有し、機能1サーバに接続されていてもよいし、機能1サーバ〜機能4サーバの各々に接続されていてもよい。
【0009】
図1で記号a,b,c,d,e,f,g,h,iは、各々TCP/IPに準拠して設定される異なるポート番号を示している。ポート番号は、機能あるいはアプリケーションを識別するための番号である。ゲートウェイサーバ103は、WWWサーバ102からポート番号a,b,c又はdをもつ処理要求の電文を受信し、そのポート番号をeに変換してファイアウォール104へ送信する。ファイアウォール104は、従来のファイアウォールの機能をもつ計算機であるが、この電文を受信し、ポート番号eを保存したままゲートウェイサーバ105へ送信する。ゲートウェイサーバ105は、この電文を受信し、そのポート番号をf,g,h又はiに展開して設定し、各々機能1サーバ〜機能4サーバへ送信する。ポート番号a,b,c,dは、各々ポート番号f,g,h,iに対応する。すなわち処理要求の電文は、WWWサーバ102側の機能1〜4とイントラネットシステム107側の機能1サーバ〜機能4サーバとの対応関係を保存したまま目的の機能サーバへ送信される。
【0010】
ゲートウェイサーバ105は、その記憶装置上にユーザ情報テーブル106及びアクセス情報テーブル109を格納する。ユーザ情報テーブル106は、インターネット90及びWWWサーバ102からイントラネットシステム107へのアクセスを許可するユーザの情報を設定する。ゲートウェイサーバ105は、ユーザ情報テーブル106を参照して許可するユーザのログイン要求のみをイントラネットシステム107内の機能サーバへ送信する。またアクセス情報テーブル109は、例えば機能1サーバがさらに複数のサーバに分離されている場合に、ログイン処理が成功したユーザについて、ユーザ情報とアクセス対象の機能サーバとの対応を記憶する。ゲートウェイサーバ105は、アクセス情報テーブル109を参照してログイン後にユーザから受信する処理要求の通信先サーバを決定する。
【0011】
端末108は、LAN等のローカルネットワークを介してイントラネットシステム107の機能サーバに接続され、イントラネットシステム107内で機能サーバへ処理要求を送信し、直接イントラネットシステム107の機能サーバのサービスを受ける端末装置である。
【0012】
図2は、ゲートウェイサーバ103及びゲートウェイサーバ105を設けない従来構成の場合に、インターネット90、WWWサーバ102、ファイアウォール104及びイントラネットシステム107の各機能サーバの接続形態と、インターネット90から送られる電文の流れを示す図である。WWWサーバ102とイントラネットシステム107の機能サーバとの間にa,b,c,dの4種のポート番号をもつ電文が流れることになるので、ファイアウォール104はWWWサーバ102からイントラネットシステム107へ流れる電文について4種のポート番号を許可することになり、ハッキングによってイントラネットシステム107に侵入される可能性はポート番号の数に比例して高くなる。
【0013】
図3は、ゲートウェイサーバ103及びゲートウェイサーバ105を設ける本実施形態の構成の場合に、インターネット90、WWWサーバ102、ゲートウェイサーバ103、ファイアウォール104、ゲートウェイサーバ105及びイントラネットシステム107の各機能サーバの接続形態と、インターネット90から送られる電文の流れを示す図である。ゲートウェイサーバ103とゲートウェイサーバ105との間には、eのポート番号をもつ電文のみが流れるので、ゲートウェイサーバ103とゲートウェイサーバ105方向においてファイアウォール104は1種のポート番号を許可するのみであり、ハッキングによってイントラネットシステム107に侵入される確率は図2の従来構成の場合より小さい。
【0014】
図4は、ゲートウェイサーバ103からファイアウォール104を介してゲートウェイサーバ105へ送信される電文のデータ形式を示す図である。通信ヘッダ部401は、TCP/IPプロトコルに準拠するヘッダ部であり、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号を含む。本実施形態の場合には、宛先IPアドレスは、ゲートウェイサーバ103からファイアウォール104へ送信される電文についてはファイアウォール104のIPアドレス、ファイアウォール104からゲートウェイサーバ105へ送信される電文についてはゲートウェイサーバ105のIPアドレスが設定される。また送信元IPアドレスは端末101のIPアドレスが設定される。また宛先ポート番号はポート番号e、送信元ポート番号は端末101のポート番号が設定される。
【0015】
ヘッダ部402は、通信ヘッダ部401とアプリケーションデータ403との間に挿入されるヘッダ部であり、イントラネットシステム107の機能1〜4を識別するための識別番号が設定される。アプリケーションデータ403は、制御情報を含む。この制御情報は、各機能1〜4の固有の制御情報が設定され、正しい機能サーバに宛てた電文か否かをチェックするために用いられる。
【0016】
WWWサーバ102からゲートウェイサーバ103へ送信される電文のデータ形式は、ヘッダ部402がなく、通信ヘッダ部401とアプリケーションデータ403とで構成される。その通信ヘッダ部401の宛先IPアドレスは、ゲートウェイサーバ103のIPアドレス、宛先ポート番号はa,b,c,dのいずれかである。
【0017】
ゲートウェイサーバ105からイントラネットシステム107へ送信される電文のデータ形式は、ヘッダ部402がなく、通信ヘッダ部401とアプリケーションデータ403とで構成される。その通信ヘッダ部401の宛先IPアドレスは、機能1サーバ〜機能4サーバのいずれかのIPアドレス、宛先ポート番号はf,g,h,iのいずれかである。
【0018】
なお図2に示すゲートウェイサーバ103及びゲートウェイサーバ105のない従来構成の場合には、送信される電文のデータ形式にはヘッダ部402がなく、通信ヘッダ部401とアプリケーションデータ403とで構成される。WWWサーバ102からファイアウォール104へ送信される電文の通信ヘッダ部401の宛先IPアドレスはファイアウォール104のIPアドレス、宛先ポート番号はa,b,c,dのいずれかである。ファイアウォール104からイントラネットシステム107へ送信される電文の通信ヘッダ部401の宛先IPアドレスは機能1サーバ〜機能4サーバのいずれかのIPアドレスであり、宛先ポート番号はa,b,c,dのいずれかである。
【0019】
またイントラネットシステム107からファイアウォール104、WWWサーバ102及びインターネット90を介して端末101へ送信される電文のデータ形式は従来通りである。すなわちヘッダ部402はなく、通信ヘッダ部401と、WWWサーバ102によってhtmlなどの形式に変換されたアプリケーションデータである。その通信ヘッダ部401に含まれる宛先IPアドレスは端末101のIPアドレス、送信元IPアドレスはWWWサーバ102のIPアドレスが設定される。また宛先ポート番号は端末101のポート番号、送信元ポート番号はWWWサーバ102の該当する機能のポート番号が設定される。
【0020】
図5は、アクセス情報テーブル109のデータ形式を示す図である。アクセス情報テーブル109は、例えばイントラネットシステム107の機能1サーバがアクセスされるユーザに応じて機能1サーバ1−1と機能1サーバ1−2に分離されている場合に、端末101からインターネット90及びWWWサーバ102経由でイントラネットシステム107の機能1サーバ1−1又は機能1サーバ1−2のいずれかにログイン成功した各ユーザについて通信先サーバ情報を保存するためのテーブルである。アクセス情報テーブル109の各レコードは、ユーザ識別子501、通信先サーバ情報502及びその他の通信情報を有する。ユーザ識別子501は、ログイン成功したユーザの識別子である。通信先サーバ情報502は、通信先が確定したイントラネットシステム107の機能サーバのIPアドレスである。「その他通信情報」は、そのユーザの端末101の送信元IPアドレス、送信元ポート番号などユーザ識別子501と対応づけるための通信情報である。
【0021】
図6は、ユーザ情報テーブル106のデータ構成を示す図である。ユーザ情報テーブル106は、ユーザ管理テーブル110に登録されているユーザのうち、インターネット90、WWWサーバ102、ゲートウェイサーバ103及びゲートウェイサーバ105の経路でイントラネットシステム107のいずれかの機能サーバにアクセスを許可するユーザ識別子を登録するテーブルである。ユーザ識別子601はユーザ管理テーブル110に登録されている対象となるユーザの識別子、アクセス制御情報602は上記の経路でイントラネットシステム107のいずれかの機能サーバにアクセスを許可する(1)か、許可しない(0)かを設定する制御情報である。「その他属性情報」は、ユーザ管理テーブル110に登録されているユーザの属性情報のうち、ユーザ認証に必要となる属性情報である。なおアクセス制御情報602を設けずに、ユーザ識別子601に識別子が登録されたユーザのアクセスを許可し、登録されていないユーザのアクセスを許可しないようにしてもよい。なおアクセスを許可するユーザについて、「その他属性情報」によってもアクセス制限をすることが可能である。例えば「その他属性情報」に課長の役職が設定してある場合には、ユーザが課長以上の役職をもつ場合にアクセスを許可するなどである。
【0022】
図7は、ユーザ管理テーブル110のデータ構成を示す図である。ユーザ管理テーブル110は、イントラネットシステム107のいずれかの機能サーバにログイン要求を発行したユーザについてユーザ認証を行うためのユーザ情報と通信先サーバに関する情報を設定する。ユーザ識別子701はユーザの識別子であり、「その他属性情報」はそのユーザのパスワードなどログイン時のユーザ認証に必要な情報を含む。通信先サーバ情報702は、例えばイントラネットシステム107の機能1サーバがアクセスされるユーザに応じて機能1サーバ1−1と機能1サーバ1−2に分離されている場合に、当該ユーザに関する情報を保有するサーバのIPアドレスを格納する。
【0023】
図8は、ゲートウェイサーバ103の処理の流れを示す図である。ゲートウェイサーバ103は、WWWサーバ102から処理要求の電文を受信し、そのアプリケーションデータ403中の制御情報がその通信ヘッダ部401中の宛先ポート番号に対応する正しい情報か否か、すなわち正しい機能か否か判定し(ステップ801)、正しい場合には各機能に対応する識別番号を設定する(ステップ803)。例えば機能1,2,3,4に応じて識別番号を各々10,20,30,40にするなどの区分を設定する。正しい機能でない場合には接続不可とし、処理を終了する(ステップ802)。ステップ803の処理後に識別番号を含むヘッダ部402を付加した送信電文を生成し(ステップ804)、ファイアウォール104のIPアドレスを宛先IPアドレスとし、eを宛先ポート番号に設定して、ファイアウォール104へ送信する(ステップ805)。
【0024】
ファイアウォール104は、この電文を受信し、従来のファイアウォールのチェックをして通過すべき電文と判定したとき、ゲートウェイ105のIPアドレスを宛先IPアドレスに設定し、ゲートウェイ105へ送信する。
【0025】
図9は、ゲートウェイ105の処理の流れを示す図である。ゲートウェイ105は、ファイアウォール104から宛先ポート番号がeの電文を受信し(ステップ901)、そのヘッダ部402の識別番号を認識した後に、付加したヘッダ部402を削除する(ステップ902)。次に電文中のアプリケーションデータ403を調べて、ログイン要求であれば、後述するログイン要求時の処理を行う(ステップ903)。ログイン要求でなければステップ903はスキップされる。次に送信先機能サーバを確定し、通信ヘッダ部401にその機能サーバの宛先IPアドレスを設定する(ステップ904)。特に同一機能を複数のサーバが分担してサービスする場合の処理について後述する。次に要求された機能に対応する宛先ポート番号を通信ヘッダ部401に設定し、作成した電文を該当する機能サーバへ送信する(ステップ905)。本実施形態では、機能1,2,3,4の要求に対してそれぞれ宛先ポート番号をf,g,h,iに設定する。
【0026】
図10は、ステップ903のログイン要求時の処理を説明するシステム構成図であり、特にイントラネットシステム107内で機能サーバへの接続は許可するが、インターネット90を経由する機能サーバへの接続は許可しないユーザが存在する場合について説明する図である。端末108のユーザは、ユーザ管理テーブル110に登録してあるため、端末108から直接イントラネットシステム107の機能サーバにアクセスする場合には、イントラネットシステム107によってアクセスが許可される。しかし、そのユーザがユーザ情報テーブル106に登録していないか、アクセス不可としているため、端末101からインターネット90、WWWサーバ102、ゲートウェイサーバ103、ファイアウォール104及びゲートウェイサーバ105の経路でイントラネットシステム107の機能サーバにアクセスしようとした場合に、ゲートウェイサーバ105は接続不可とする。
【0027】
図11は、ステップ903のログイン要求時の処理の流れを示すフローチャートである。ゲートウェイサーバ105は、端末101からのログイン要求の電文を受け取り(ステップ1101)、ユーザ情報テーブル106を参照して(ステップ1102)、当該ユーザがユーザ識別子601に登録されているか、またはユーザ識別子601に登録されていてアクセス制御情報602がアクセス許可に設定されているか否かを判定する(ステップ1103)。アクセスが許可され、接続可能なユーザであれば、次の処理(ステップ903又はステップ904)へ行く(ステップ1104)。接続不可のユーザであれば、端末101へエラーメッセージを送信する(ステップ1105)。
【0028】
図12は、ポート番号fをもつ機能1サーバが機能1サーバ1−1と機能1サーバ1−2に分離されていて、ユーザに関する情報がいずれかのサーバに保存されている場合のログイン要求時及びその後のアクセス時の処理を説明するシステム構成図である。機能1サーバ1−1と機能1サーバ1−2は、各々固有のIPアドレスを有する。ここでゲートウェイサーバ105では、WWWサーバ102から機能1サーバにログイン要求がなされた時にまず機能1サーバ1−1にログイン要求するよう設定されているものとする。
【0029】
ゲートウェイサーバ105は、図11に示すユーザのアクセス権のチェックをし、接続可能なユーザであれば、ユーザからのログイン要求の電文を機能1サーバ1−1へ送信する。機能1サーバ1−1は、ユーザ管理テーブル110を参照して当該ユーザに対応する通信先サーバ情報502を参照して通信先サーバが機能1サーバ1−1であれば、機能1サーバ1−1はユーザ管理テーブル110を参照してログイン処理を行い、機能1サーバ1−1で当該ユーザのログインが成功/失敗したことをゲートウェイサーバ105に通知する。ゲートウェイサーバ105は、ログイン成功した場合に、アクセス情報テーブル109にユーザ識別子501、機能1サーバ1−1を通信先とする通信先サーバ情報502及びその他の通信情報をもつ新しいレコードを追加する。通信先サーバが機能1サーバ1−2であれば、機能1サーバ1−1は通信先が機能1サーバ1−2であることをゲートウェイサーバ105に通知する。ゲートウェイサーバ105は、当該ログイン要求の電文を機能1サーバ1−2へ送信する。機能1サーバ1−2は、ユーザ管理テーブル110を参照してログイン処理を行い、当該ユーザのログイン成功/失敗をゲートウェイサーバ105に通知する。ゲートウェイサーバ105は、ログイン成功した場合に、アクセス情報テーブル109にユーザ識別子501、機能1サーバ1−2を通信先とする通信先サーバ情報502及びその他の通信情報をもつ新しいレコードを追加する。
【0030】
なおログイン成功したユーザについて、ゲートウェイサーバ103は、WWWサーバ102に通信先サーバのIPアドレスを通知する必要がある。ゲートウェイサーバ105はゲートウェイサーバ103に通信先サーバのIPを通知し、ゲートウェイサーバ103は通信先サーバとしてゲートウェイサーバ103のIPアドレスをWWWサーバ102に通知する。
【0031】
ログイン後にゲートウェイサーバ105が端末101から処理要求を受けたとき、ゲートウェイサーバ105は、ステップ904でアクセス情報テーブル109の該当するユーザの通信先サーバ情報502を参照し、ログイン時に設定された通信先サーバのIPアドレスをその電文の通信ヘッダ部401の宛先IPアドレスに設定する。
【0032】
イントラネットシステム107の各機能サーバから端末101へ送信される電文は、ファイアウォール104及びインターネット90を介して直接端末101へ送信される。
【0033】
以上のべたように、本実施形態によれば、ゲートウェイサーバ103及びゲートウェイサーバ105を導入するとともに、ファイアウォール104を経由してWWWサーバ102からイントラネットシステム107の各機能サーバへ流れる電文のポート番号を1種に収束するので、ファイアウォール104を通過してゲートウェイサーバ105へ送信許可されるポート番号は1種のみとなり、ハッキングによってインターネット90側からイントラネットシステム107に侵入される確率はより小さくなる。またゲートウェイサーバ103とゲートウェイサーバ105の間を流れる電文のポート番号eが盗聴されたとしても、そのポート番号を利用してインターネット90側から侵入することはできない。またゲートウェイサーバ103は、宛先ポート番号とアプリケーションデータ403中のアプリケーション固有の正しい制御情報との対応をチェックするので、両者が不一致であるような受信電文を排除する。さらにゲートウェイサーバ103が受信する電文のポート番号a,b,c,dをゲートウェイサーバ105が異なるポート番号f,g,h,iに変換するので、ゲートウェイサーバ105とイントラネットシステム107の間に流れる電文のポート番号f,g,h,iが盗聴されたとしても、これらのポート番号を利用してインターネット側からイントラネットシステム107に侵入することはできない。なおポート番号f,g,h,iを各々ポート番号a,b,c,dと同一にしてもよいが、その場合にはこの効果はない。
【0034】
なおゲートウェイサーバ103とゲートウェイサーバ105との間で電文を送受信する際の通信プロトコルをローカルなプロトコルに変換してもよい。すなわちゲートウェイサーバ103は、WWWサーバ102から電文を標準の通信プロトコルに従って送受信するが、ゲートウェイサーバ103はローカルなプロトコルに変換し、電文中の通信ヘッダ部401又はアプリケーションデータ403のヘッダをローカルなプロトコルに従うヘッダ部に変換してファイアウォール104へ送信する。ファイアウォール104は、このローカルなプロトコルに従って電文をゲートウェイサーバ105へ送信する。ゲートウェイサーバ105は、ローカルプロトコルを元の標準プロトコルに逆変換し、電文中の通信ヘッダ部401又はアプリケーションデータ403のヘッダを元のヘッダ形式に戻し、標準プロトコルに従ってイントラネットシステム107の該当する機能サーバへ送信してもよい。このような通信ヘッダ部401内の宛先ポート番号を上記のように変更してもよいし、変更しなくともよい。このようにゲートウェイサーバ103及びゲートウェイサーバ105に各々プロトコル変換及びプロトコル逆変換の機能を設けると、ゲートウェイサーバ103とゲートウェイサーバ105との間の電文が盗聴されたとしても、イントラネットシステム107の機能サーバにアクセスするために通信ヘッダ部を解読するのが困難となる。
【0035】
なお上記実施形態では、WWWサーバ102とゲートウェイサーバ103が別々の装置としているが、同一の装置であってもよく、その場合にもゲートウェイサーバ103部分の上記処理手順は変わらない。また上記実施形態では、ゲートウェイサーバ105とイントラネットシステム107の機能サーバとが別々の装置としているが、ゲートウェイサーバ105とイントラネットシステム107の機能サーバの1つとが同一の装置であってもよく、その場合にもゲートウェイサーバ105部分の上記処理手順は変わらない。
【0036】
【発明の効果】
以上述べたように本発明によれば、インターネット側とイントラネット側に各々ゲートウェイサーバを設けて宛先ポート番号の収束と展開を行うので、インターネット側サーバとイントラネット側サーバ間を伝送されるポート番号の数が削減されることになり、イントラネットシステムへ不正アクセスしようとする者からのポート番号の発見がより困難になり、セキュリティが向上する。さらにイントラネット側のゲートウェイサーバは、ログイン要求のあったユーザの接続可否をチェックするので、インターネット側からアクセスするユーザについてアクセス制御することができる。
【図面の簡単な説明】
【図1】実施形態のシステム構成図である。
【図2】従来のポート番号の流れを説明する構成図である。
【図3】実施形態のポート番号の流れを説明する構成図である。
【図4】実施形態のゲートウェイ間を伝送される電文のデータ形式を示す図である。
【図5】実施形態のアクセス情報テーブル109のデータ構成を示す図である。
【図6】実施形態のユーザ情報テーブル106のデータ構成を示す図である。
【図7】実施形態のユーザ管理テーブル110のデータ構成を示す図である。
【図8】実施形態のゲートウェイサーバ103の処理の流れを示す図である。
【図9】実施形態のゲートウェイサーバ105の処理の流れを示す図である。
【図10】実施形態のゲートウェイサーバ105のログイン要求時の処理を説明する図である。
【図11】実施形態のゲートウェイサーバ105のログイン要求時の処理の流れを示すフローチャートである。
【図12】他の実施形態のゲートウェイサーバ105の処理を説明する構成図である。
【符号の説明】
103:インターネット側のゲートウェイサーバ、105:イントラネット側のゲートウェイサーバ、106:ユーザ情報テーブル、401:通信ヘッダ部、402:ヘッダ部、403:アプリケーションデータ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a gateway server that contributes to security improvement by intervening in a transmission path of a message transmitted from an Internet server to an intranet server.
[0002]
[Prior art]
A network that connects a server on the Internet side and a server on the intranet side, allows access to the intranet side server from an in-house terminal in the intranet system, and permits access to the intranet side server from outside via the Internet and the Internet side server The system is known. In this case, in order to ensure the security of the intranet system, a firewall is arranged between the Internet side server and the intranet side server to perform access control from the Internet side to the intranet system.
[0003]
[Problems to be solved by the invention]
The intranet side server is divided into a plurality of function servers or functions depending on the service function or application to be provided, and which server's function is specified by the destination IP address and destination port number in the processing request message Configured to do. That is, the Internet side server transmits the processing request message to the target function of the target server on the corresponding intranet side according to the destination IP address and the destination port number included in the processing request message received via the Internet. . Therefore, the firewall interposed between the two servers permits the input of messages having a plurality of port numbers and outputs the messages toward the intranet side server. According to the prior art, the greater the number of port numbers transmitted between the Internet side server and the intranet side server, the easier it is to discover port numbers from those who try to gain unauthorized access to the intranet system and the possibility of hacking. There was a problem that became high.
[0004]
An object of the present invention is to improve the security by reducing the number of port numbers transmitted between the Internet side server and the intranet side server.
[0005]
[Means for Solving the Problems]
The present invention is a method for converging and expanding a port number of a system having a first gateway server and a second gateway server arranged along a transmission path of a message transmitted from a server on the Internet side to a server on the intranet side. The first gateway server converts the destination port number in the message set corresponding to each of the plurality of functions of the Internet-side server into another port number, and sets the original destination port number. The identification information for identifying the message is inserted into the message and transmitted to the second gateway server, and the second gateway server sets the other port number according to the identification information in the message. Convert to the destination port number that is set for each function, and set it to the corresponding intranet server. Convergence of the port number to be transmitted to the function, and wherein the deployment process. The Internet-side gateway server and the intranet-side gateway server having such functions are also characterized.
[0006]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0007]
FIG. 1 is a diagram showing a system configuration of an embodiment of the present invention. The system is composed of a terminal 101 such as a mobile phone, a telephone company server 80, the Internet 90, a WWW server 102, an Internet gateway server 103, a firewall 104, an intranet gateway server 105, and an intranet system 107. 4 servers and a terminal 108.
[0008]
The terminal 101 is a user terminal that transmits a processing request to the intranet system 107 via the Internet 90 and the WWW server 102. A computer such as a personal computer may be used instead of the cellular phone and the telephone company server 80. The WWW server 102 is configured to be a window for any one of the functions 1, 2, 3, and 4 in response to a processing request from the terminal 101. Functions 1, 2, 3, and 4 correspond to the function 1 server, function 2 server, function 3 server, and function 4 server of the intranet system 107, respectively. For example, when the WWW server 102 receives a function 3 processing request, The processing request is transmitted to the function 3 server of the intranet system 107, and the function 3 server services the processing request. The function 1 server to the function 4 server of the intranet system 107 have, for example, a user information database for each shared user, and service processing requests for the shared users. The user management table 110 includes user information referred to when each user logs in, and may be connected to the function 1 server or may be connected to each of the function 1 server to the function 4 server.
[0009]
In FIG. 1, symbols a, b, c, d, e, f, g, h, and i indicate different port numbers set in accordance with TCP / IP. The port number is a number for identifying a function or an application. The gateway server 103 receives a processing request message having the port number a, b, c, or d from the WWW server 102, converts the port number into e, and transmits the converted message to the firewall 104. The firewall 104 is a computer having a conventional firewall function, but receives this message and transmits it to the gateway server 105 while keeping the port number e. The gateway server 105 receives this message, expands and sets its port number to f, g, h, or i, and transmits it to the function 1 server to function 4 server, respectively. The port numbers a, b, c, and d correspond to the port numbers f, g, h, and i, respectively. That is, the processing request message is transmitted to the target function server while maintaining the correspondence between the functions 1 to 4 on the WWW server 102 side and the function 1 to function 4 servers on the intranet system 107 side.
[0010]
The gateway server 105 stores a user information table 106 and an access information table 109 on the storage device. The user information table 106 sets information on users who are permitted to access the intranet system 107 from the Internet 90 and the WWW server 102. The gateway server 105 refers only to the user information table 106 and transmits only the login request of the permitted user to the function server in the intranet system 107. Further, the access information table 109 stores, for example, a correspondence between user information and a function server to be accessed for a user who has successfully logged in when the function 1 server is further divided into a plurality of servers. The gateway server 105 refers to the access information table 109 and determines a communication destination server for a processing request received from the user after login.
[0011]
The terminal 108 is a terminal device that is connected to a function server of the intranet system 107 via a local network such as a LAN, transmits a processing request to the function server in the intranet system 107, and receives a service of the function server of the intranet system 107 directly. is there.
[0012]
FIG. 2 shows the connection form of each functional server of the Internet 90, WWW server 102, firewall 104, and intranet system 107, and the flow of messages sent from the Internet 90 in the case of the conventional configuration in which the gateway server 103 and the gateway server 105 are not provided. FIG. Since a message having four types of port numbers a, b, c, and d flows between the WWW server 102 and the function server of the intranet system 107, the firewall 104 transmits a message that flows from the WWW server 102 to the intranet system 107. 4 types of port numbers are permitted, and the possibility of being hacked into the intranet system 107 increases in proportion to the number of port numbers.
[0013]
FIG. 3 shows a connection form of each functional server of the Internet 90, WWW server 102, gateway server 103, firewall 104, gateway server 105, and intranet system 107 in the case of the configuration of the present embodiment in which the gateway server 103 and the gateway server 105 are provided. FIG. 4 is a diagram showing a flow of a message sent from the Internet 90. Since only a message having the port number e flows between the gateway server 103 and the gateway server 105, the firewall 104 only permits one type of port number in the direction of the gateway server 103 and the gateway server 105, and hacking is performed. The probability of intrusion into the intranet system 107 is smaller than in the conventional configuration of FIG.
[0014]
FIG. 4 is a diagram illustrating a data format of a message transmitted from the gateway server 103 to the gateway server 105 via the firewall 104. The communication header portion 401 is a header portion that conforms to the TCP / IP protocol, and includes a destination IP address, a source IP address, a destination port number, and a source port number. In the case of the present embodiment, the destination IP address is the IP address of the firewall 104 for a message transmitted from the gateway server 103 to the firewall 104, and the IP of the gateway server 105 for the message transmitted from the firewall 104 to the gateway server 105. An address is set. Further, the IP address of the terminal 101 is set as the source IP address. Further, the port number e is set as the destination port number, and the port number of the terminal 101 is set as the source port number.
[0015]
The header portion 402 is a header portion inserted between the communication header portion 401 and the application data 403, and an identification number for identifying the functions 1 to 4 of the intranet system 107 is set. Application data 403 includes control information. In this control information, control information unique to each of the functions 1 to 4 is set, and is used to check whether or not the message is addressed to the correct function server.
[0016]
The data format of a message transmitted from the WWW server 102 to the gateway server 103 is composed of a communication header part 401 and application data 403 without the header part 402. The destination IP address of the communication header 401 is the IP address of the gateway server 103, and the destination port number is any one of a, b, c, and d.
[0017]
The data format of the message transmitted from the gateway server 105 to the intranet system 107 is composed of the communication header 401 and application data 403 without the header 402. The destination IP address of the communication header portion 401 is any one of the function 1 server to the function 4 server, and the destination port number is any one of f, g, h, and i.
[0018]
In the case of the conventional configuration without the gateway server 103 and the gateway server 105 shown in FIG. 2, the data format of the transmitted message does not include the header portion 402, and includes a communication header portion 401 and application data 403. The destination IP address of the communication header portion 401 of the message transmitted from the WWW server 102 to the firewall 104 is the IP address of the firewall 104, and the destination port number is any one of a, b, c, and d. The destination IP address of the communication header portion 401 of the message transmitted from the firewall 104 to the intranet system 107 is any one of the function 1 server to the function 4 server, and the destination port number is any of a, b, c, and d. It is.
[0019]
Further, the data format of a message transmitted from the intranet system 107 to the terminal 101 via the firewall 104, the WWW server 102, and the Internet 90 is a conventional one. That is, there is no header section 402, and application data converted into a format such as html by the communication header section 401 and the WWW server 102. The destination IP address included in the communication header portion 401 is set to the IP address of the terminal 101, and the source IP address is set to the IP address of the WWW server 102. Further, the port number of the terminal 101 is set as the destination port number, and the port number of the corresponding function of the WWW server 102 is set as the source port number.
[0020]
FIG. 5 is a diagram showing a data format of the access information table 109. For example, when the function 1 server of the intranet system 107 is separated into the function 1 server 1-1 and the function 1 server 1-2 according to the user to be accessed, the access information table 109 is transmitted from the terminal 101 to the Internet 90 and the WWW. It is a table for storing communication destination server information for each user who has successfully logged into either the function 1 server 1-1 or the function 1 server 1-2 of the intranet system 107 via the server 102. Each record of the access information table 109 includes a user identifier 501, communication destination server information 502, and other communication information. The user identifier 501 is an identifier of a user who has successfully logged in. The communication destination server information 502 is the IP address of the function server of the intranet system 107 in which the communication destination is determined. “Other communication information” is communication information to be associated with the user identifier 501 such as the transmission source IP address and transmission source port number of the terminal 101 of the user.
[0021]
FIG. 6 is a diagram illustrating a data configuration of the user information table 106. Of the users registered in the user management table 110, the user information table 106 permits access to any functional server of the intranet system 107 through the route of the Internet 90, the WWW server 102, the gateway server 103, and the gateway server 105. It is a table which registers a user identifier. The user identifier 601 is the identifier of the target user registered in the user management table 110, and the access control information 602 permits access to any function server of the intranet system 107 via the above path (1) or not. This is control information for setting (0). “Other attribute information” is attribute information necessary for user authentication among user attribute information registered in the user management table 110. In addition, without providing the access control information 602, access of a user whose identifier is registered in the user identifier 601 may be permitted, and access of a user who is not registered may not be permitted. For users who are permitted access, it is possible to restrict access by “other attribute information”. For example, when the title of the section manager is set in the “other attribute information”, access is permitted when the user has a position higher than the section manager.
[0022]
FIG. 7 is a diagram illustrating a data configuration of the user management table 110. The user management table 110 sets user information for performing user authentication for a user who has issued a login request to one of the function servers of the intranet system 107 and information regarding a communication destination server. The user identifier 701 is a user identifier, and the “other attribute information” includes information necessary for user authentication at the time of login such as a password of the user. For example, when the function 1 server of the intranet system 107 is separated into the function 1 server 1-1 and the function 1 server 1-2 according to the user to be accessed, the communication destination server information 702 holds information about the user. The IP address of the server to be stored is stored.
[0023]
FIG. 8 is a diagram illustrating a processing flow of the gateway server 103. The gateway server 103 receives the processing request message from the WWW server 102, and whether or not the control information in the application data 403 is correct information corresponding to the destination port number in the communication header 401, that is, whether or not the function is correct. (Step 801), if it is correct, an identification number corresponding to each function is set (step 803). For example, according to the functions 1, 2, 3 and 4, classifications such as identification numbers of 10, 20, 30, and 40 are set. If the function is not correct, the connection is impossible and the process is terminated (step 802). After the processing in step 803, a transmission telegram to which a header portion 402 including an identification number is added is generated (step 804), the IP address of the firewall 104 is set as the destination IP address, e is set as the destination port number, and the transmission message is transmitted. (Step 805).
[0024]
When the firewall 104 receives this message and determines that it is a message to be passed by checking the conventional firewall, the firewall 104 sets the IP address of the gateway 105 as the destination IP address and transmits it to the gateway 105.
[0025]
FIG. 9 is a diagram illustrating a processing flow of the gateway 105. The gateway 105 receives the message with the destination port number e from the firewall 104 (step 901), recognizes the identification number of the header portion 402, and then deletes the added header portion 402 (step 902). Next, the application data 403 in the message is checked, and if it is a login request, processing for a login request described later is performed (step 903). If it is not a login request, step 903 is skipped. Next, the destination function server is determined, and the destination IP address of the function server is set in the communication header section 401 (step 904). In particular, a process when a plurality of servers share the same function for service will be described later. Next, the destination port number corresponding to the requested function is set in the communication header section 401, and the created message is transmitted to the corresponding function server (step 905). In the present embodiment, the destination port numbers are set to f, g, h, and i for the functions 1, 2, 3, and 4, respectively.
[0026]
FIG. 10 is a system configuration diagram for explaining the processing at the time of the login request in step 903. In particular, the connection to the function server is permitted in the intranet system 107, but the connection to the function server via the Internet 90 is not permitted. It is a figure explaining the case where a user exists. Since the user of the terminal 108 is registered in the user management table 110, when the terminal 108 directly accesses the function server of the intranet system 107, the access is permitted by the intranet system 107. However, since the user is not registered in the user information table 106 or cannot be accessed, the function of the intranet system 107 through the route from the terminal 101 to the Internet 90, the WWW server 102, the gateway server 103, the firewall 104, and the gateway server 105. When trying to access the server, the gateway server 105 cannot be connected.
[0027]
FIG. 11 is a flowchart showing the flow of processing at the time of login request in step 903. The gateway server 105 receives the log-in request message from the terminal 101 (step 1101), refers to the user information table 106 (step 1102), and the user is registered in the user identifier 601 or is stored in the user identifier 601. It is determined whether the access control information 602 is registered and access permission is set (step 1103). If access is permitted and the user can connect, the process goes to the next process (step 903 or 904) (step 1104). If the user cannot connect, an error message is transmitted to the terminal 101 (step 1105).
[0028]
FIG. 12 shows a login request when the function 1 server having the port number f is separated into the function 1 server 1-1 and the function 1 server 1-2, and information about the user is stored in one of the servers. FIG. 2 is a system configuration diagram illustrating processing at the time of subsequent access. The function 1 server 1-1 and the function 1 server 1-2 each have a unique IP address. Here, it is assumed that the gateway server 105 is set to make a login request to the function 1 server 1-1 first when a login request is made from the WWW server 102 to the function 1 server.
[0029]
The gateway server 105 checks the access right of the user shown in FIG. 11 and, if it is a connectable user, transmits a login request message from the user to the function 1 server 1-1. The function 1 server 1-1 refers to the user management table 110, refers to the communication destination server information 502 corresponding to the user, and if the communication destination server is the function 1 server 1-1, the function 1 server 1-1. Performs a login process with reference to the user management table 110 and notifies the gateway server 105 that the login of the user has succeeded / failed in the function 1 server 1-1. When the login is successful, the gateway server 105 adds a new record having the user identifier 501, communication destination server information 502 with the function 1 server 1-1 as the communication destination, and other communication information to the access information table 109. If the communication destination server is the function 1 server 1-2, the function 1 server 1-1 notifies the gateway server 105 that the communication destination is the function 1 server 1-2. The gateway server 105 transmits the login request message to the function 1 server 1-2. The function 1 server 1-2 refers to the user management table 110, performs login processing, and notifies the gateway server 105 of the login success / failure of the user. When the login is successful, the gateway server 105 adds a new record having the user identifier 501, communication destination server information 502 with the function 1 server 1-2 as a communication destination, and other communication information to the access information table 109.
[0030]
For users who have successfully logged in, the gateway server 103 needs to notify the WWW server 102 of the IP address of the communication destination server. The gateway server 105 notifies the IP address of the communication destination server to the gateway server 103, and the gateway server 103 notifies the WWW server 102 of the IP address of the gateway server 103 as the communication destination server.
[0031]
When the gateway server 105 receives a processing request from the terminal 101 after login, the gateway server 105 refers to the communication destination server information 502 of the corresponding user in the access information table 109 in step 904, and sets the communication destination server set at the time of login. Is set as the destination IP address of the communication header portion 401 of the message.
[0032]
A message transmitted from each function server of the intranet system 107 to the terminal 101 is directly transmitted to the terminal 101 via the firewall 104 and the Internet 90.
[0033]
As described above, according to the present embodiment, the gateway server 103 and the gateway server 105 are introduced, and the port number of the message flowing from the WWW server 102 to each functional server of the intranet system 107 via the firewall 104 is set to 1. Since it converges to a seed, only one kind of port number is permitted to be transmitted to the gateway server 105 through the firewall 104, and the probability of intrusion into the intranet system 107 from the Internet 90 side by hacking becomes smaller. Further, even if the port number e of a message flowing between the gateway server 103 and the gateway server 105 is wiretapped, it cannot enter from the Internet 90 side using the port number. Further, since the gateway server 103 checks the correspondence between the destination port number and the correct control information unique to the application in the application data 403, it eliminates received messages that do not match. Further, since the gateway server 105 converts the port numbers a, b, c, and d of the message received by the gateway server 103 into different port numbers f, g, h, and i, the message flowing between the gateway server 105 and the intranet system 107. Even if the port numbers f, g, h, and i are intercepted, it is not possible to enter the intranet system 107 from the Internet side using these port numbers. The port numbers f, g, h, i may be the same as the port numbers a, b, c, d, respectively, but in this case, this effect is not achieved.
[0034]
Note that a communication protocol used when a message is transmitted and received between the gateway server 103 and the gateway server 105 may be converted into a local protocol. That is, the gateway server 103 transmits and receives a message from the WWW server 102 according to a standard communication protocol, but the gateway server 103 converts the message into a local protocol, and the header of the communication header 401 or application data 403 in the message according to the local protocol. It is converted into a header part and transmitted to the firewall 104. The firewall 104 transmits a message to the gateway server 105 according to this local protocol. The gateway server 105 converts the local protocol back to the original standard protocol, returns the header of the communication header section 401 or the application data 403 in the message to the original header format, and transfers it to the corresponding function server of the intranet system 107 according to the standard protocol. You may send it. Such a destination port number in the communication header 401 may be changed as described above, or may not be changed. As described above, when the gateway server 103 and the gateway server 105 are provided with the function of protocol conversion and protocol reverse conversion, respectively, even if a message between the gateway server 103 and the gateway server 105 is wiretapped, the function server of the intranet system 107 It becomes difficult to decode the communication header part for access.
[0035]
In the above-described embodiment, the WWW server 102 and the gateway server 103 are separate devices. However, the same device may be used, and in this case, the processing procedure of the gateway server 103 is not changed. In the above embodiment, the gateway server 105 and the function server of the intranet system 107 are separate devices. However, the gateway server 105 and one of the function servers of the intranet system 107 may be the same device. In addition, the processing procedure of the gateway server 105 is not changed.
[0036]
【The invention's effect】
As described above, according to the present invention, gateway servers are provided on the Internet side and the intranet side, respectively, and the destination port numbers are converged and expanded. Therefore, the number of port numbers transmitted between the Internet side server and the intranet side server Therefore, it becomes more difficult to find a port number from a person who tries to gain unauthorized access to an intranet system, and security is improved. Furthermore, since the gateway server on the intranet side checks whether or not a user who has made a login request can be connected, it is possible to control access for users accessing from the Internet side.
[Brief description of the drawings]
FIG. 1 is a system configuration diagram of an embodiment.
FIG. 2 is a configuration diagram illustrating the flow of a conventional port number.
FIG. 3 is a configuration diagram illustrating a flow of a port number according to the embodiment.
FIG. 4 is a diagram illustrating a data format of a message transmitted between gateways according to the embodiment.
FIG. 5 is a diagram illustrating a data configuration of an access information table 109 according to the embodiment.
FIG. 6 is a diagram illustrating a data configuration of a user information table 106 according to the embodiment.
FIG. 7 is a diagram showing a data configuration of a user management table 110 according to the embodiment.
FIG. 8 is a diagram illustrating a processing flow of the gateway server 103 according to the embodiment.
FIG. 9 is a diagram illustrating a processing flow of the gateway server 105 according to the embodiment.
FIG. 10 is a diagram illustrating processing when a login request is issued by the gateway server 105 according to the embodiment.
FIG. 11 is a flowchart illustrating a processing flow when a login request is issued by the gateway server 105 according to the embodiment.
FIG. 12 is a configuration diagram illustrating processing of a gateway server 105 according to another embodiment.
[Explanation of symbols]
103: Gateway server on the Internet side, 105: Gateway server on the intranet side, 106: User information table, 401: Communication header part, 402: Header part, 403: Application data

Claims (6)

インターネット側のサーバからイントラネット側のサーバへ送信される電文の伝送経路に沿って配置される第1のゲートウェイサーバ及び第2のゲートウェイサーバであって、第1のゲートウェイサーバは、インターネット側サーバの複数の機能の各々に対応して設定される前記電文中の宛先ポート番号を別のポート番号に設定するとともに、元の宛先ポート番号を識別する識別情報を前記電文中に挿入して第2のゲートウェイサーバに向けて送信する手段を有し、第2のゲートウェイサーバは、前記別のポート番号を前記電文中の前記識別情報に応じてイントラネット側サーバの複数の機能の各々に対応して設定される宛先ポート番号に変換して設定し、イントラネット側サーバの該当する機能に向けて送信する手段を有することを特徴とするポート番号の収束、展開をするゲートウェイサーバ。A first gateway server and a second gateway server arranged along a transmission path of a message transmitted from a server on the Internet side to a server on the intranet side, and the first gateway server includes a plurality of Internet side servers. The destination port number in the message set corresponding to each of the functions of the message is set to another port number, and identification information for identifying the original destination port number is inserted into the message and the second gateway Means for transmitting to the server, and the second gateway server sets the other port number corresponding to each of the plurality of functions of the intranet-side server according to the identification information in the message. It is characterized by having means for converting to a destination port number, setting, and transmitting to the corresponding function of the intranet server Convergence of the port number that, the gateway server to the deployment. 前記第2のゲートウェイサーバは、さらにあらかじめ接続を許可するユーザを登録する記憶手段を有し、前記記憶手段を参照してログイン要求のあったユーザを接続許可する場合に、ログイン処理を行う手段を有することを特徴とする請求項1記載のポート番号の収束、展開をするゲートウェイサーバ。  The second gateway server further includes storage means for registering a user who is permitted to connect in advance, and means for performing a login process when permitting connection of a user who has made a login request with reference to the storage means. The gateway server for converging and expanding the port number according to claim 1. インターネット側のサーバからイントラネット側のサーバへ送信される電文の伝送経路に沿って配置される第1のゲートウェイサーバ及び第2のゲートウェイサーバを有するシステムのポート番号の収束、展開方法であって、第1のゲートウェイサーバによって、インターネット側サーバの複数の機能の各々に対応して設定される前記電文中の宛先ポート番号を別のポート番号に設定するとともに、元の宛先ポート番号を識別する識別情報を前記電文中に挿入して第2のゲートウェイサーバに向けて送信し、第2のゲートウェイサーバによって、前記別のポート番号を前記電文中の前記識別情報に応じてイントラネット側サーバの複数の機能の各々に対応して設定される宛先ポート番号に変換して設定し、イントラネット側サーバの該当する機能に向けて送信することを特徴とするポート番号の収束、展開方法。A method for converging and expanding a port number of a system having a first gateway server and a second gateway server arranged along a transmission path of a message transmitted from a server on the Internet side to a server on the intranet side. One gateway server sets the destination port number in the message set corresponding to each of the plurality of functions of the Internet-side server to another port number, and identification information for identifying the original destination port number Each of the plurality of functions of the intranet side server is inserted into the message and transmitted to the second gateway server, and the second gateway server sets the other port number according to the identification information in the message. Converted to the destination port number set corresponding to the Convergence of port number and transmits towards the ability deployment method. 前記第2のゲートウェイサーバによって、さらにあらかじめ接続を許可するユーザを登録する記憶手段を参照してログイン要求のあったユーザを接続許可する場合に、ログイン処理を行うことを特徴とする請求項3記載のポート番号の収束、展開方法。  4. The log-in process is performed when the second gateway server further permits connection of a user who has made a log-in request with reference to storage means for registering a user who is permitted to connect in advance. Port number convergence and expansion method. 前記第1のゲートウェイサーバの前記識別情報を前記電文中に挿入する手段は、TCP/IPプロトコルに準拠する通信ヘッダ部とアプリケーションデータとの間に前記識別情報を含むヘッダ部を挿入することを特徴とする請求項1記載のポート番号の収束、展開をするゲートウェイサーバ。  The means for inserting the identification information of the first gateway server into the message inserts a header part including the identification information between a communication header part conforming to a TCP / IP protocol and application data. A gateway server that converges and expands the port number according to claim 1. 前記第1のゲートウェイサーバによって、TCP/IPプロトコルに準拠する通信ヘッダ部とアプリケーションデータとの間に前記識別情報を含むヘッダ部を挿入することを特徴とする請求項3記載のポート番号の収束、展開方法。  The port number convergence according to claim 3, wherein the first gateway server inserts a header part including the identification information between a communication header part conforming to a TCP / IP protocol and application data. Deployment method.
JP2000328465A 2000-10-27 2000-10-27 Port number convergence, deployment method and gateway server thereof Expired - Fee Related JP3973357B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000328465A JP3973357B2 (en) 2000-10-27 2000-10-27 Port number convergence, deployment method and gateway server thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000328465A JP3973357B2 (en) 2000-10-27 2000-10-27 Port number convergence, deployment method and gateway server thereof

Publications (2)

Publication Number Publication Date
JP2002132596A JP2002132596A (en) 2002-05-10
JP3973357B2 true JP3973357B2 (en) 2007-09-12

Family

ID=18805313

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000328465A Expired - Fee Related JP3973357B2 (en) 2000-10-27 2000-10-27 Port number convergence, deployment method and gateway server thereof

Country Status (1)

Country Link
JP (1) JP3973357B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5370183B2 (en) * 2010-01-27 2013-12-18 ブラザー工業株式会社 Information communication system, relay node device, information communication method, and information communication program
JP5672899B2 (en) * 2010-09-27 2015-02-18 日本電気株式会社 Information processing apparatus, information processing system, message processing method, and message processing program

Also Published As

Publication number Publication date
JP2002132596A (en) 2002-05-10

Similar Documents

Publication Publication Date Title
US8769629B2 (en) User sensitive filtering of network application layer
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US7633953B2 (en) Method, system and device for service selection via a wireless local area network
US7349993B2 (en) Communication network system, gateway, data communication method and program providing medium
KR101013519B1 (en) Method and wireless local area network system for offering wireless network access to both guest users and local users
US7624429B2 (en) Method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server
JP5239341B2 (en) Gateway, relay method and program
US20050160477A1 (en) Communication system using home gateway and access server for preventing attacks to home network
JP2002314549A (en) User authentication system and user authentication method used for the same
JP3006504B2 (en) Authentication method of wireless terminal in wireless network and wireless network
CN103067337B (en) Identity federation method, identity federation intrusion detection & prevention system (IdP), identity federation service provider (SP) and identity federation system
JP2008301165A (en) Virtual network connection apparatus and program
JP2004505383A (en) System for distributed network authentication and access control
WO2008020644A1 (en) Proxy server, communication system, communication method, and program
US6742039B1 (en) System and method for connecting to a device on a protected network
WO1999066384A2 (en) Method and apparatus for authenticated secure access to computer networks
KR100714100B1 (en) Method and system for user authentication in home network system
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
US20030196107A1 (en) Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks
CN117579352A (en) Service access method, system, electronic equipment and storage medium of business node
JP5336262B2 (en) User authentication system and user authentication method
JP3973357B2 (en) Port number convergence, deployment method and gateway server thereof
JP2006013732A (en) Routing device and authentication method of information processor
JP4152753B2 (en) Network authentication access control server, application authentication access control server, and integrated authentication access control system
JP4078289B2 (en) Authentication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040408

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070413

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070515

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070612

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees