通信屏蔽裝置及通信屏蔽方法
通信屏蔽裝置及通信屏蔽方法
【專利摘要】本發明提供對于來自與網絡連接的信息處理裝置的通信,即使是通過代理服務器的通信,也可進行恰當的許可及屏蔽的通信屏蔽裝置和通信屏蔽方法。其具有:對于屏蔽與網絡連接的對象裝置(2)的通信的傳感器裝置(1),將對象裝置(2)發送的信息引導至傳感器裝置(1)的引導單元(21);從引導單元(21)引導的信息構成的傳輸層上層的規定協議消息中,獲取識別信息的被通知方的識別信息的識別信息獲取單元(23);至少根據識別信息獲取單元(23)獲取的識別信息,決定是否許可信息通信的許可決定單元(24);許可決定單元(24)決定許可時,不論通信屏蔽單元(22)的通信屏蔽,通過傳輸信息,許可對象裝置(2)進行通信的通信許可單元(25)。
【專利說明】通信屏蔽裝置及通信屏蔽方法
【技術領域】
[0001]本發明涉及屏蔽與網絡連接的信息處理裝置的通信的通信屏蔽裝置。
【背景技術】
[0002]以往的網絡通信系統中,有提案提出一種通信控制裝置,通過網絡接收從客戶端接收到的對于其他機器的訪問請求,提取目標IP地址,將該IP地址作為自己的地址注冊在臨時注冊IP地址表中,將接收到的數據幀的復制件重發至網絡(參照專利文獻I)。此外,有提案提出一種網絡訪問控制方法,接收到訪問請求裝置的請求后,代理請求裝置向認證處理裝置以自己的認證數據發出請求,認證處理裝置接收該請求后,根據認證處理結果,將訪問控制數據發布給訪問控制裝置(參照專利文獻2)。
現有技術文獻 專利文獻
[0003]【專利文獻I】日本專利特開2007-336401號公報 【專利文獻2】國際公開第2007/138663號
【發明內容】
[0004]例如,企業內網中,出于通過通信量的平均化減輕網絡負荷和提升安全性的目的,多會設置代理服務器。這一連接在網絡上的信息處理裝置,必須通過代理服務器與互聯網上的Web服務器等進行通信。
[0005]此外例如,企業內網中,為了防止網絡的不正當使用造成信息泄露和惡意軟件等的感染,與網絡連接的信息處理裝置進行的通信中,僅許可目的在于下載安全補丁和安全軟件的定義文件、網絡的使用申請等的必要通信,屏蔽除此以外的通信。以往,進行此種通信許可及屏蔽的裝置和系統中,采用的是根據在網絡中流轉的IP數據包的目標IP地址和目標端口號,屏蔽與被許可的服務器以外的通信的方式等。
[0006]但是,該方式中,對于通過了代理服務器的通信,存在無法進行恰當的許可及屏蔽的問題。這是因為,發送給代理服務器的IP數據包的目標IP地址及目標端口號,是代理服務器的IP地址及端口號,無法判斷是否構成與IP數據包得到許可的服務器的通信。
[0007]本發明鑒于上述問題,課題是提供對于來自與網絡連接的信息處理裝置的通信,即使是通過了代理服務器的通信,也可進行恰當的許可及屏蔽的裝置。
解決問題的手段
[0008]本發明中,為了解決上述課題,采用了以下的單元。即,本發明是一種通信屏蔽裝置,屏蔽與網絡連接的信息處理裝置的通信,所述通信屏蔽裝置的特征在于,包括:通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述通信屏蔽裝置的引導單元;滿足規定條件時,通過不傳輸由所述引導單元引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽單元;從所述引導單元引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元;至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述消息的通信的許可決定單元;和滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不考慮所述通信屏蔽單元的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可單元。
[0009]此外,本發明涉及的通信屏蔽裝置,還可具備有引導信息傳輸單元,其在不滿足所述規定條件時,將所述弓I導單元引導的信息傳輸至所述其他裝置。
[0010]此外,本發明中,所述通信許可單元向所述其他裝置傳輸所述消息。
[0011]此外,本發明涉及的通信屏蔽裝置,還包括設定單元,其設定所述消息的通信被許可的被通知方或所述消息的通信不被許可的被通知方的所述識別信息的全部或一部分,所述許可決定單元根據所述識別信息獲取單元獲取的所述識別信息是否包含所述設定單元設定的所述識別信息的全部或一部分,來決定是否許可所述消息的通信。
[0012]此外,本發明涉及的通信屏蔽裝置,還包括,邏輯地址回復單元,其在所述引導單元引導的信息構成與所述識別信息對應的邏輯地址的詢問時,將不是所述識別信息所識別的被通知方的邏輯地址的規定邏輯地址回復給所述詢問。
[0013]此外,本發明中,所述邏輯地址回復單元的所述回復中,附加有所述規定邏輯地址的有效期,所述規定邏輯地址的有效期,與將所述識別信息所識別的被通知方的邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期是不同的有效期。
[0014]此外,本發明中,所述規定邏輯地址的有效期,短于將所述識別信息識別的被通知方邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期。
[0015]此外,本發明涉及的通信屏蔽裝置,還包括,代理服務器通信單元,其與代理所述規定協議的通信的代理服務器進行通信,所述通信許可單元,在所述引導單元引導的信息將所述規定邏輯地址作為目標邏輯地址的情況下,當所述消息中包含以所述識別信息為基準的相對信息時,將所述消息內的所述相對信息變更為不以所述識別信息為基準的絕對信息,通過使用所述代理服務器通信單元將變更后的消息傳輸給所述代理服務器,許可所述信息處理裝置的通信。
[0016]此外,本發明也可是一種通信屏蔽方法,其屏蔽與網絡連接的信息處理裝置的通信,通過計算機執行如下步驟:通過將所述計算機的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導步驟,滿足規定條件時,通過不傳輸經過所述引導步驟引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽步驟,從所述引導步驟引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取步驟,至少根據所述識別信息獲取步驟獲取的所述識別信息,決定是否許可所述消息的通信的許可決定步驟,滿足所述規定條件的情況下,當所述許可決定步驟中決定許可時,不考慮所述通信屏蔽步驟中的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可步驟。
[0017]此外,本發明可以是一種程序,使計算機發揮以下功能:通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給與網絡連接的信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導單元;滿足規定條件時,通過不傳輸經過所述引導步驟引導的消息,屏蔽所述信息處理裝置的通信的通信屏蔽單元;從所述引導單元引導的信息構成的傳輸層上層的規定協議消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元;至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述信息通信的許可決定單元;滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不論所述通信屏蔽單元的通信屏蔽,通過傳輸所述信息,許可所述信息處理裝置進行通信的通信許可單元。
[0018]此外,本發明也可以是將此種程序記錄在計算機以外的其他裝置、機械等可讀取的存儲介質。在這里,計算機等可讀取的存儲介質指的是,將數據和程序等信息通過電性、磁性、光學、機械或化學作用而存儲、可以從計算機等讀取的存儲介質。
[0019]根據本發明,對于來自與網絡連接的信息處理裝置的通信,即使是通過了代理服務器的通信,也可進行恰當的許可及屏蔽。
【專利附圖】
【附圖說明】
[0020]圖1是顯示含有本實施方式涉及的傳感器裝置的通信系統的構成的概略圖。
圖2是顯示本實施方式涉及的傳感器裝置的功能構成的概略圖。
圖3是顯示含有實施方式I涉及的傳感器裝置的通信系統的通信的實例的時序圖。
圖4是顯示實施方式I涉及的傳感器裝置中來自對象裝置的接收數據處理流程的流程圖。
圖5是顯示實施方式I涉及的傳感器裝置中來自請求消息被傳輸放的接收數據處理流程的流程圖。
圖6是顯示含有實施方式2涉及的傳感器裝置的通信系統的通信的實例的時序圖。
圖7是顯示實施方式2涉及的傳感器裝置中來自對象裝置的接收數據處理流程的流程圖。
圖8是顯示實施方式2涉及的傳感器裝置中來自代理服務器的接收數據處理流程的流程圖。
圖9是面向Web服務器的HTTP請求消息的請求頭的實例(一部分)。
圖10是面向代理服務器的HTTP請求消息的請求頭的實例(一部分)。
符號說明
1傳感器裝置(通信屏蔽裝置)
2對象裝置(信息處理裝置)
3網絡段
4路由器
5代理服務器
6互聯網
7Web服務器
8DNS服務器 21引導單元
22通信屏蔽單元 23識別信息獲取單元 24許可決定單元 25通信許可單元26引導信息傳輸單兀 27設定單元 28邏輯地址回復單元 29代理服務器通信單元
【具體實施方式】
[0021]以下根據【專利附圖】
【附圖說明】本發明的實施方式。本實施方式中,本發明涉及的通信屏蔽裝置,作為傳感器裝置實施,屏蔽作為與網絡連接的信息處理裝置的對象裝置的通信。此外,傳感器裝置,作為OSI基本參照模型中的傳輸層的上層規定協議,許可HTTP (Hyper TextTransfer Protocol:超文本傳輸協議)的信息的通信。另外,以下說明的實施方式,是顯示本發明的一個實施例,本發明并不限定于以下說明的具體構成。實施本發明時,優選適當采用與實施方式相應的具體構成。
[0022]〈構成〉
圖1是顯示包含本實施方式涉及的傳感器裝置的通信系統的構成概略圖。本實施方式涉及的通信系統,具備有:傳感器裝置1、具有Web瀏覽器等的信息處理裝置即對象裝置2、構成IP網絡的網絡段3、路由器4、可代理HTTP通信的代理服務器5、互聯網6、Web服務器7及管理與Web服務器7的主機名對應的IP地址并進行名字解析的DNS服務器8。傳感器裝置1、對象裝置2、路由器4及代理服務器5與網絡段3連接。網絡段3通過路由器4與互聯網6連接。Web服務器7及DNS服務器8與互聯網6連接。另外,本通信系統,作為互聯網6的替代,也可由企業內部網、WAN (Wide Area Network:廣域網)等構成。
[0023]由于路由器4許可從代理服務器5向互聯網6的通信,因此代理服務器5可與Web服務器7及DNS服務器8通信。另一方面,由于路由器4不許可從對象裝置2向互聯網6的通信,因此對象裝置2不 通過代理服務器5的話,無法與Web服務器7進行HTTP消息的通信。此外,對象裝置2無法與DNS服務器8通信。
[0024]傳感器裝置I 是具有 CPU11、RAM12、R0M13、NIC (Network Interface Card:網絡接口卡)14、HDD (Hard Disk Drive:硬盤驅動器)等輔助存儲器15的計算機。CPUll是中央處理器,通過處理RAM12等展開的命令及數據,控制RAM12、NIC14、輔助存儲器15等。RAMl2是主存儲器,由CPUll控制,寫入、讀出各種命令和數據。輔助存儲器15是非揮發性的輔助存儲器,寫入、讀出RAM12上加載的OS (Operating System:操作系統)和通信控制程序等各種程序等的主要在計算機關機時也想要保持的信息。
[0025]此外,輔助存儲器15存儲的是,顯示特別許可數據包傳輸的傳輸目的方的IP地址和端口號的組的列表即傳輸IP地址/端口列表、顯示許可從對象裝置2進行HTTP通信的Web服務器7的許可服務器列表、及IP地址、端口號、認證信息等的對于代理服務器5的訪問信息。
[0026]對象裝置2與傳感器裝置I相同,是具備有CPU、RAM、ROM、NIC、HDD等輔助存儲器15等的計算機。對象裝置2上裝載有Web瀏覽器等的程序,可通過NIC進行HTTP消息的通?目。
[0027]圖2是顯示本實施方式涉及的傳感器裝置I的功能構成概略的圖。傳感器裝置1,通過記錄在輔助存儲器15中的程序被RAM12讀出、通過CPUll被執行,從而作為具備有引導單元21、通信屏蔽單元22、識別信息獲取單元23、許可決定單元24、通信許可單元25、引導信息傳輸單元26、設定單元27、邏輯地址回復單元28及代理服務器通信單元29的計算機發揮功能。另外,本實施方式中,計算機具備的各功能通過通用處理器之CPUll而被執行,但這些功能的一部分或全部也可通過I個或多個專用處理器執行。
[0028]本實施方式中,引導單元21從NIC14獲取在網絡段3流轉的MAC數據幀(數據),以及其目標MAC地址不是傳感器裝置I的MAC地址的幀,根據發送方MAC地址,判定是否為通信屏蔽對象的對象裝置2。在獲取的數據是對象裝置2發送的數據的情況下,當該數據構成ARP請求數據包時,引導單元21對于發送方的對象裝置2,通過ARP應答數據包返回傳感器裝置I的物理地址即MAC地址。
[0029]在這里,作為ARP應答返回給ARP請求發送方的MAC地址,是偽裝成傳感器裝置I的MAC地址的默認網關和網絡段3內其他裝置的MAC地址。因此,根據引導單元21,接收了ARP應答的對象裝置2,將想要發送IP數據包的網絡段3內其他裝置的IP地址與作為該其他裝置MAC地址的傳感器裝置I的MAC地址關聯起來,注冊到ARP表中。因此,引導單元21可以將對象裝置2發送的IP數據包引導給傳感器裝置I。
[0030]通信屏蔽單元22從NIC14獲取被引導單元21引導的IP數據包。通信屏蔽單元22,除了獲取的IP數據包中的目標IP地址及目標端口號包含在輔助存儲器15存儲的傳輸IP地址/端口列表中的情況,原則上不進行該IP數據包的傳輸。因此,原則上,被引導的IP數據包不會傳輸給其他裝置,對象裝置2向其他裝置的通信被屏蔽。
[0031 ] 本實施方式中,通信屏蔽單元22屏蔽通信的規定條件,是目標IP地址未包含在傳輸IP地址/端口列表中。另外,屏蔽通信的規定條件,可以是與傳感器裝置I引導的數據包內的目標端口號無關的條件,也可以是與發送方MAC地址、IP數據包的發送方IP地址等其他要素相關的條件。
[0032]引導信息傳輸單元26從NIC14獲取被引導單元21引導的IP數據包。當獲取的IP數據包中的目標IP地址及目標端口號包含在輔助存儲器15存儲的傳輸IP地址/端口列表中時,即,不滿足通信屏蔽單元22屏蔽通信的規定條件時,引導信息傳輸單元26向目標IP地址對應的具有未偽裝的MAC地址的其他裝置傳輸IP數據包。因此,對象裝置2的通信不會被屏蔽,可進行部分通信。
[0033]識別信息獲取單元23解析被引導單元21引導的IP數據包,當IP數據包含有HTTP的請求消息的情況下,從請求頭內的Host獲取作為識別請求消息的被通知方的識別信息的主機名。另外,主機名也可根據請求消息請求行的URI (Uniform esource dendtifier)而獲取。
[0034]設定單元27通過通信許可單元25,不考慮通信屏蔽單元22的通信屏蔽,設定許可來自對象裝置2的HTTP通信的Web服務器7。設定通過域名列表記述,作為許可服務器列表存儲在輔助存儲器15中。作為列表要素的域名也可記述為FQDN (Fully QualifiedDomain Name:完全合格域名)的域名及非FQDN域名的任意形式。例如,作為FQDN可記述為"www.pfu.c0.jp",作為非FQDN的域名可記述為"pfu.c0.jp"。FQDN是將主機名全部記述,非FQDN的域名記述主機名的一部分。記述非FQDN的域名,表示設定為許可向屬于該域名所示域的所有主機(Web服務器7)的HTTP通信。例如,記述"pfu.c0.jp"表示設定為許可向"www.pfu.c0.jp"、" web.pfu.c0.jp"等多個Web服務器7的HTTP通信。[0035]大規模的通信系統和主干系統等中,大多具備有用于冗余化和處理能力提升的多個服務器。根據設定單元27,即使有多個被許可的Web服務器7時,也可以通過域名統一記述設定許可通信的Web服務器7,因此,較之于分別記述每一臺Web服務器7的情況,可以減輕系統管理員的操作負擔。此外,即使在通信系統的網絡構成變更、IP地址變更的情況下,根據設定單元27,由于通過域名記述設定,因此無需變更設定,可以減輕系統管理員的操作負擔。另外,對于許可來自對象裝置2的HTTP通信的Web服務器7的設定,也可記述、存儲不被許可的服務器的列表。此外,許可服務器列表的要素也可使用正則表達式和通配符記述。
[0036]許可決定單元24,將識別信息獲取單元23獲取的主機名與許可服務器列表的各要素作為文字列進行比較。主機名包含許可服務器列表內的要素(主機名全部或表示部分主機名的非FQDN的域名的文字列)時(也包括與主機名的某要素一致的情況),許可決定單元24決定許可來自對象裝置2的HTTP通信。許可服務器列表內的全部要素不含主機名的情況下,許可決定單元24決定不許可來自對象裝置2的HTTP通信。另外,許可決定單元24也可在識別信息獲取單元23獲取的主機名之外,根據例如,請求消息中的方法名、顯示資源的URI等是否滿足規定條件而決定是否許可。
[0037]通信許可單元25,當許可決定單元24決定許可HTTP通信時,通過傳輸通信屏蔽單元22不傳輸的數據包構成的HTTP請求消息,許可對象裝置2進行HTTP通信。通信許可單元25在傳輸請求消息時,確立傳感器裝置I與傳輸目的方之間的TCP (TransmissionControl Protocol:傳輸控制協議)連接。
[0038]通過代理服務器5的HTTP通信,即使提供實質資源(Web內容)的Web服務器7不同,由于使用的是代理服務器5的目標IP地址和目標端口號,因此在傳輸層以下的協議消息解析中,無法區分通信目標的Web服務器7。根據本實施方式的識別信息獲取單元23、許可決定單元24及通信許可單元25,基于來自對象裝置2的HTTP消息所含的通信目標主機名而許可通信,因此即使是通過了代理服務器5的通信,也可許可對部分Web服務器7的通信、屏蔽對其他Web服務器7的通信。
[0039]邏輯地址回復單元28,在被引導單元21引導的IP數據包構成主機名對應的邏輯地址的詢問即DNS詢問的情況下,當被詢問的名字顯示的是來自設定單元27所設定的被許可的對象裝置2的HTTP通信的Web服務器7時,對于DNS詢問,回復作為規定邏輯地址的傳感器裝置I的IP地址,而不是Web服務器7的IP地址。因此,即使在無法與DNS服務器進行通信的環境下,對象裝置2也可進行Web服務器7的名字解析。特別是,未設定向代理服務器5通信的對象裝置2,為了通信而想要進行Web服務器7的名字解析,可通過邏輯地址回復單元28,防止該名字解析失敗。另外,邏輯地址回復單元28回復的規定邏輯地址也可以是傳感器裝置I的IP地址以外的IP地址。
[0040]邏輯地址回復單元28在回復DNS詢問時,將小于DNS服務器8進行Web服務器7主機名名字解析時設定的TTL (Time To Live)值的值(例如,60秒)設定為回復消息的TTL值。接收了回復消息的對象裝置2,將該TTL值作為與Web服務器7的主機名對應的邏輯地址即傳感器裝置I的IP地址的有效期。因此,在傳感器裝置I與未設置的別的網絡連接、未受到傳感器裝置I的通信屏蔽作用的情況下,對象裝置2可以從DNS服務器8立即獲取正規的DNS信息。另外,邏輯地址回復單元28設定的TTL值,也可以是DNS服務器8進行Web服務器7主機名名字解析時設定的TTL值以上的值。
[0041]代理服務器通信單元29,使用輔助存儲器15存儲的向代理服務器5的訪問信息,通過NIC14與代理服務器5通信。
[0042]《實施方式I》
對于實施方式I中的通信及處理,使用附圖進行說明。
[0043]〈通信系統的通信流程〉
對于包含實施方式I涉及的傳感器裝置I的通信系統中的通信流程進行說明。實施方式I的通信系統中,來自對象裝置2的通過了代理服務器5的通信中,許可對部分Web服務器7的通信、屏蔽對其他服務器的通信。
[0044]圖3是顯示包含實施方式I涉及的傳感器裝置I的通信系統的通信的實例的時序圖。實施方式I中,對象裝置2中設定有代理服務器5的訪問信息。此外,傳感器裝置I中,Web服務器7的主機名被設定在許可服務器列表中。圖3中,對象裝置2與Web服務器7的HTTP通信,在傳感器裝置I中被許可,通過傳感器裝置I和代理服務器5實現。
[0045]與網絡段3連接的對象裝置2,為了與代理服務器5進行通信,廣播發送對于代理服務器5的ARP請求(步驟S301)。接收了該ARP請求的傳感器裝置I的引導單元21,將傳感器裝置I的MAC地址作為ARP應答數據包返回給發送方的對象裝置2 (步驟S302)。接收了 ARP應答數據包的對象裝置2,將傳感器裝置I的MAC地址作為與代理服務器5的IP地址對應的MAC地址,注冊在ARP表中。
[0046]對象裝置2,將用于與Web服務器7通信的HTTP請求消息發送給代理服務器5(步驟S303)。此時的發送數據包,目標MAC地址是傳感器裝置I的MAC地址,目標IP地址是發送給代理服務器5的,請求頭的Host是Web服務器7的主機名。接收了請求消息的傳感器裝置I的引導信息傳輸單元26,由于代理服務器5的IP地址沒有包含在傳輸IP地址/端口列表中,因此不傳輸構成請求消息的IP數據包。
[0047]接著,傳感器裝置I的識別信息獲取單元23從請求消息獲取主機名,許可決定單元24根據該主機名而許可HTTP通信。傳感器裝置I的通信許可單元25,將接收自對象裝置2的請求消息傳輸給代理服務器5 (步驟S304)。另外,當Web服務器7的主機名未被設定在許可服務器列表中時,識別信息獲取單元23不許可HTTP通信,因此HTTP通信被屏蔽。
[0048]步驟S305?S307中,代理服務器5與Web服務器7進行代理通信。接收了請求消息的代理服務器5,向Web服務器7代理發送請求消息(步驟S305)。接收了來自代理服務器5的請求消息的Web服務器7,會生成響應消息,發送給代理服務器5(步驟S306)。從Web服務器7接收了響應消息的代理服務器5,代理發送響應消息(步驟S307)。
[0049]接收了響應消息的傳感器裝置1,將響應消息傳輸給請求消息發送方的對象裝置
2(步驟 S308)。
[0050]〈傳感器裝置的處理流程〉
以上的通信的實例,通過傳感器裝置I的接收數據的處理而實現。使用圖4及圖5的流程圖,說明實施方式I涉及的傳感器裝置I的接收數據的處理流程。另外,流程圖所示處理的具體內容及順序是一個實例,處理內容及順序優選適當采用與實施方式相適應的。
[0051]圖4是顯示實施方式I涉及的傳感器裝置I中來自對象裝置2的接收數據處理流程的流程圖。來自對象裝置2的接收數據處理,是以傳感器裝置I接收了對象裝置2發送的數據為契機開始的。
[0052]步驟S401及S402中,進行來自對象裝置2的ARP請求的處理。首先,引導單元21判定來自對象裝置2的接收數據是否為ARP請求(步驟S401)。步驟S401中,來自對象裝置2的接收數據被判定為是ARP請求時,引導單元21將傳感器裝置I的MAC地址作為ARP應答數據包返回給發送方對象裝置2 (步驟S402)。步驟S401中,來自對象裝置2的接收數據被判定為不是ARP請求時,進入步驟S403的處理。
[0053]步驟S403及S404中,對于來自對象裝置2的接收數據的傳輸進行處理。首先,通信屏蔽單元22及引導信息傳輸單元26,判定來自對象裝置2的接收數據是否發往被傳輸的IP地址、端口,即,判定接收數據內的目標IP地址及目標端口號是否包含在傳輸IP地址/端口列表中(步驟S403)。步驟S403中,來自對象裝置2的接收數據被判定為發往被傳輸的IP地址、端口時,引導信息傳輸單元26向目標IP地址對應的具有未偽裝的MAC地址的其他裝置傳輸接收數據(步驟S404)。步驟S403中,來自對象裝置2的接收數據被判定為不是發往被傳輸的IP地址、端口時,進入步驟S405的處理。
[0054]步驟S405?S407中,對HTTP請求消息的傳輸進行處理。首先,識別信息獲取單元23解析接收數據,判定是否構成HTTP請求消息(步驟S405)。步驟S405中,當判定為構成HTTP請求消息時,識別信息獲取單元23從接收數據獲取請求消息的通信目標的主機名,另外,許可決定單元24根據識別信息獲取單元23獲取的主機名,判定請求消息是否發往許可通信的Web服務器7(步驟S406)。步驟S406中,判定為請求消息發往許可通信的Web服務器7時,許可決定單元24決定許可來自對象裝置2的HTTP通信,通信許可單元25將請求消息傳輸給接收數據中的目標IP地址及端口號所示的裝置(步驟S407)。
[0055]步驟S405中判定為沒有構成HTTP請求消息或步驟S406中判斷為請求消息不是發往許可通信的Web服務器7時,接收數據被銷毀,不傳輸HTTP請求消息(步驟S408)。另外,接收數據構成HTTP請求消息時,步驟S408中,傳感器裝置I也可將用于向規定URL重定向的響應消息發送給對象裝置2。通過該發送,傳感器裝置I可以向HTTP通信被屏蔽的對象裝置2提供用于進行通信系統使用申請的網頁等的規定信息。此外,接收數據構成HTTP請求消息時,步驟S408中,傳感器裝置I也可切斷與請求消息關聯的連接。
[0056]圖5是顯示實施方式I涉及的傳感器裝置I中來自請求消息傳輸目的方的接收數據處理流程的流程圖。來自請求消息傳輸目的方的接收數據處理,是以傳感器裝置I從圖4步驟S407中的通信許可單元25在傳輸請求消息時確立的TCP連接接收到數據為契機開始的。
[0057]步驟S501?S503中,對接收到的HTTP響應消息的傳輸進行處理。首先,傳感器裝置I判定接收數據是否是響應消息(步驟S501)。步驟S501中,接收數據被判定為是響應消息時,傳感器裝置I向請求消息的傳輸方之對象裝置2傳輸響應消息(步驟S502)。步驟S501中判定為接收數據不是響應消息時,傳感器裝置I將接收數據銷毀(步驟S503)。
[0058]根據實施方式I涉及的傳感器裝置1,來自與網絡段3連接的對象裝置2的HTTP通信中,即使是通過了代理服務器5的HTTP通信,也可根據其通信目標,許可對部分Web服務器7的通信、屏蔽對其他Web服務器7的通信。此外,根據實施方式I涉及的傳感器裝置1,決定是否許可HTTP消息的通信與是否是發往代理服務器5的通信無關,因此即使是對于不通過代理服務器5的HTTP通信,也可根據主機名的設定而進行許可及屏蔽。此外,對于已經設置有代理服務器5、對象裝置2設定有代理服務器5的通信系統,無需變更網絡構成和IP地址等的設定,僅設置傳感器裝置I即可進行包含通過代理服務器5的HTTP通信在內的來自對象裝置2的HTTP通信的許可及屏蔽。
[0059]另外,實施方式I涉及的傳感器裝置I進行HTTP通信的許可及屏蔽,但也可進行例如SMTP (Simple Mail Transfer Protocol:簡易郵件傳輸協議)等的通信的許可及屏蔽。
[0060]《實施方式2》
對于實施方式2中的通信及處理,使用附圖進行說明。
[0061]〈通信系統的通信流程〉
對于包含實施方式2涉及的傳感器裝置I的通信系統中的通信流程進行說明。實施方式2的通信系統中,未設定代理服務器5的訪問信息的對象裝置2可以與被許可通信的Web服務器7進行HTTP通信。
[0062]圖6是顯示含有實施方式2涉及的傳感器裝置I的通信系統的通信的實例的時序圖。圖6中,未設定代理服務器5的訪問信息的對象裝置2與Web服務器7的HTTP通信,在傳感器裝置I中被許可,通過傳感器裝置I和代理服務器5而實現。另外,本通信的實例中,通過傳感器裝置I的設定單元27,Web服務器7的主機名事先被設定在許可服務器列表中。
[0063]步驟S601及S602中,與實施方式I相同,發送ARP請求及ARP應答,傳感器裝置I的MAC地址被注冊在對象裝置2的ARP表中。
[0064]對象裝置2為了進行Web服務器7主機名的名字解析而發送DNS詢問(步驟S603 )。此時的發送數據包,由于目標MAC地址是傳感器裝置的MAC地址,因此傳感器裝置I接收DNS詢問。
[0065]接收了 DNS詢問的傳感器裝置I的邏輯地址回復單元28,將傳感器裝置I的IP地址回復給對象裝置2 (步驟S604)。
[0066]對象裝置2將用于與Web服務器7通信的HTTP請求消息發送給傳感器裝置I (步驟S605)。此時的目標IP地址是對于DNS詢問而回復的傳感器裝置I的IP地址。
[0067]接收到請求消息的傳感器裝置I的識別信息獲取單元23,從請求消息獲取主機名,許可決定單元24根據主機名許可HTTP通信。傳感器裝置I的通信許可單元25,將接收自對象裝置2的請求消息變更為面向代理服務器5的請求消息,傳輸給代理服務器5(步驟S606)。
[0068]步驟S607?S609中,與實施方式I相同,代理服務器5與Web服務器7進行代理通信。
[0069]與實施方式I相同,傳感器裝置I將響應消息傳輸給請求消息的發送方的對象裝置2 (步驟S610)。
[0070]〈傳感器裝置的處理流程〉
以上的通信的實例通過傳感器裝置I的接收數據的處理而實現。使用圖7及圖8的流程圖,說明實施方式2涉及的傳感器裝置I的接收數據的處理流程。另外,流程圖所示的處理的具體內容及順序是一個實例,處理內容及順序優選適當采用與實施方式相適應的。
[0071]圖7是顯示實施方式2涉及的傳感器裝置I中的來自對象裝置2的接收數據處理流程的流程圖。來自對象裝置2的接收數據處理,是以傳感器裝置I接收到了對象裝置2發送的數據為契機開始的。
[0072]步驟S701及S702中,與實施方式I的圖4的步驟401及402相同,進行來自對象裝置2的ARP請求的處理。
[0073]步驟S703?S705中,對象裝置2進行對于DNS詢問的處理。首先,邏輯地址回復單元28判定接收數據是否構成DNS詢問(步驟S703)。步驟S703中,判斷為接收數據構成DNS詢問時,邏輯地址回復單元28判定被詢問的名字是否顯示HTTP通信被許可的Web服務器7 (步驟S704)。步驟S704中,判定為被詢問的名字顯示HTTP通信被許可的Web服務器
7時,邏輯地址回復單元28回復傳感器裝置I的IP地址(步驟S705)。步驟S703中,判定為接收數據不構成DNS詢問時,進入步驟S706的處理。步驟S704中,判定為被詢問的名字不顯示HTTP通信被許可的Web服務器7時,進入步驟S707的處理。
[0074]步驟S706及S707中,與實施方式I的圖4的步驟S403及S404相同,對于來自對象裝置2的接收數據的傳輸進行處理。
[0075]步驟S708?S710中,與實施方式I的圖4的步驟S405、S406及S408相同,接收數據被銷毀。
[0076]步驟S711?S714中,請求消息被傳輸。首先,通信許可單元25判定接收數據的目標IP地址是否是傳感器裝置I的IP地址并且請求消息是否是面向代理服務器5的消息(步驟S711)。當請求消息中含有以主機名為基準的相對信息時,判定為不是面向代理服務器5的消息。此外,請求消息中不含以主機名為基準的相對信息時,判定為是面向代理服務器5的消息。
[0077]實施方式2中,請求消息中是否包含以主機名為基準的相對信息,是根據請求行的URI是否是相對形式的URI。圖9是面向Web服務器7的HTTP請求消息的請求頭的實例(一部分)。圖10是面向代理服務器5的HTTP請求消息的請求頭的實例(一部分)。圖9及圖10均是用于獲取"http://www.pfu.C0.jp"所示資源的請求頭。圖9的URI是"/",是以主機名"www.pfu.c0.jp"為基準的相對形式的URI。圖10的URI是"http://www.pfu.c0.jp",是絕對形式的URI。
[0078]步驟S711中,判定為接收數據的目標IP地址是傳感器裝置I的IP地址并且請求消息不是面向代理服務器5的消息時,通信許可單元25通過將請求行的URI換寫為上述的絕對形式,將請求消息變更為面向代理服務器5 (步驟S712)。接著,通信許可單元25通過代理服務器通信單元29,將在步驟S712變更的請求消息傳輸給代理服務器5(步驟S713)。步驟S711中,判定為接收數據的目標IP地址是傳感器裝置I的IP地址并且請求消息是面向代理服務器5的消息時,與實施方式I的圖4的步驟S407相同,通信許可單元25將請求消息傳輸給接收數據中的目標IP地址及端口號所示的裝置(步驟S714)。步驟S714中,請求消息未變更為面向代理服務器5而被傳輸。
[0079]圖8顯示的是實施方式2涉及的傳感器裝置I中,來自代理服務器5的接收數據處理流程的流程圖。來自代理服務器5的接收數據處理,是以傳感器裝置I從圖7步驟S713中的通信許可單元25的請求消息傳輸時確立的TCP連接接收到數據為契機而開始。另外,從圖7步驟S714中的通信許可單元25的請求消息傳輸時確立的TCP連接接收到數據時的處理,與使用圖5進行了說明的實施方式I的處理相同,在此省略說明。[0080]首先,傳感器裝置I判定接收數據是否是響應消息(步驟S801)。步驟S801中,接收數據被判定為響應消息時,將請求消息變更為面向對象裝置2 (步驟S802),將變更的響應消息傳輸給請求消息的傳輸方之對象裝置2 (步驟S803)。步驟S801中,接收數據被判定為不是響應消息時,接收數據被銷毀(步驟S804)。
[0081]有的手機終端等無法進行對代理服務器5的通信設定。以往,此種無法進行對代理服務器5進行通信設定的信息處理裝置和沒有進行對代理服務器5的通信設定的信息處理裝置,存在無法進行通過代理服務器5進行通信的問題。因此,特別是企業想要導入新的云服務時,產生了必須對用于云服務的所有信息處理裝置進行對代理服務器5的通信設定操作的問題、以及未設定代理服務器5通信的手機終端等不能用于云服務的問題。
[0082]根據實施方式2涉及的傳感器裝置1,未設定代理服務器5或無法設定代理服務器5的對象裝置2,可與通過了代理服務器5的Web服務器7進行通信。此外,根據實施方式2涉及的傳感器裝置I,在為了與Web服務器7進行通信而必須通過代理服務器5的網絡環境中,未設定代理服務器5或無法設定代理服務器5的對象裝置2進行的HTTP通信中,可根據其通信目標,許可對部分Web服務器7的通信,屏蔽對其他Web服務器7的通信。另夕卜,即使是設定有代理服務器5的對象裝置2與未設定代理服務器5或無法設定代理服務器5的對象裝置2混雜著與網絡段3連接的情況下,也可通過一個設定而統一管理HTTP通信的許可及屏蔽。
【權利要求】
1.一種通信屏蔽裝置,其屏蔽與網絡連接的信息處理裝置的通信,所述通信屏蔽裝置的特征在于,包括: 通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述通信屏蔽裝置的引導單元; 滿足規定條件時,通過不傳輸由所述引導單元引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽單元; 從所述引導單元引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元; 至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述消息的通信的許可決定單元;和 滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不考慮所述通信屏蔽單元的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可單元。
2.根據權利要求1所述的通信屏蔽裝置,其特征在于,還包括引導信息傳輸單元,其在不滿足所述規定條件時,將所述引導單元引導的信息傳輸至所述其他裝置。
3.根據權利要求1或權利要求2所述的通信屏蔽裝置,其特征在于,所述通信許可單元向所述其他裝置傳輸所述消息。
4.根據權利要求1~3任意一項所述的通信屏蔽裝置,其特征在于,還包括設定單元,其設定所述消息的通信被許可的被通知方或所述消息的通信不被許可的被通知方的所述識別信息的全部或一部分, 所述許可決定單元根據所述識別信息獲取單元獲取的所述識別信息是否包含所述設定單元設定的所述識別信息的全部或一部分,來決定是否許可所述消息的通信。
5.根據權利要求1~4任意一項所述的通信屏蔽裝置,其特征在于,還包括,邏輯地址回復單元,其在所述引導單元引導的信息構成與所述識別信息對應的邏輯地址的詢問時,將不是所述識別信息所識別的被通知方的邏輯地址的規定邏輯地址回復給所述詢問。
6.根據權利要求5所述的通信屏蔽裝置,其特征在于,所述邏輯地址回復單元的所述回復中,附加有所述規定邏輯地址的有效期, 所述規定邏輯地址的有效期,與將所述識別信息所識別的被通知方的邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期是不同的有效期。
7.根據權利要求6所述的通信屏蔽裝置,其特征在于,所述規定邏輯地址的有效期,短于將所述識別信息識別的被通知方邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期。
8.根據權利要求5~7任意一項所述的通信屏蔽裝置,其特征在于,還包括,代理服務器通信單元,其與代理所述規定協議的通信的代理服務器進行通信, 所述通信許可單元,在所述引導單元引導的信息將所述規定邏輯地址作為目標邏輯地址的情況下,當所述消息中包含以所述識別信息為基準的相對信息時,將所述消息內的所述相對信息變更為不以所述識別信息為基準的絕對信息,通過使用所述代理服務器通信單元將變更后的消息傳輸給所述代理服務器,許可所述信息處理裝置的通信。
9.一種通信屏蔽方法,其屏蔽與網絡連接的信息處理裝置的通信,其特征在于, 通過計算機執行如下步驟:通過將所述計算機的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導步驟, 滿足規定條件時,通過不傳輸經過所述引導步驟引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽步驟, 從所述引導步驟引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取步驟, 至少根據所述識別信息獲取步驟獲取的所述識別信息,決定是否許可所述消息的通信的許可決定步驟, 滿足所述 規定條件的情況下,當所述許可決定步驟中決定許可時,不考慮所述通信屏蔽步驟中的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可步驟。
【文檔編號】H04L29/06GK103634289SQ201310368170
【公開日】2014年3月12日 申請日期:2013年8月21日 優先權日:2012年8月21日
【發明者】今村慎哉 申請人:株式會社Pfu
【專利摘要】本發明提供對于來自與網絡連接的信息處理裝置的通信,即使是通過代理服務器的通信,也可進行恰當的許可及屏蔽的通信屏蔽裝置和通信屏蔽方法。其具有:對于屏蔽與網絡連接的對象裝置(2)的通信的傳感器裝置(1),將對象裝置(2)發送的信息引導至傳感器裝置(1)的引導單元(21);從引導單元(21)引導的信息構成的傳輸層上層的規定協議消息中,獲取識別信息的被通知方的識別信息的識別信息獲取單元(23);至少根據識別信息獲取單元(23)獲取的識別信息,決定是否許可信息通信的許可決定單元(24);許可決定單元(24)決定許可時,不論通信屏蔽單元(22)的通信屏蔽,通過傳輸信息,許可對象裝置(2)進行通信的通信許可單元(25)。
【專利說明】通信屏蔽裝置及通信屏蔽方法
【技術領域】
[0001]本發明涉及屏蔽與網絡連接的信息處理裝置的通信的通信屏蔽裝置。
【背景技術】
[0002]以往的網絡通信系統中,有提案提出一種通信控制裝置,通過網絡接收從客戶端接收到的對于其他機器的訪問請求,提取目標IP地址,將該IP地址作為自己的地址注冊在臨時注冊IP地址表中,將接收到的數據幀的復制件重發至網絡(參照專利文獻I)。此外,有提案提出一種網絡訪問控制方法,接收到訪問請求裝置的請求后,代理請求裝置向認證處理裝置以自己的認證數據發出請求,認證處理裝置接收該請求后,根據認證處理結果,將訪問控制數據發布給訪問控制裝置(參照專利文獻2)。
現有技術文獻 專利文獻
[0003]【專利文獻I】日本專利特開2007-336401號公報 【專利文獻2】國際公開第2007/138663號
【發明內容】
[0004]例如,企業內網中,出于通過通信量的平均化減輕網絡負荷和提升安全性的目的,多會設置代理服務器。這一連接在網絡上的信息處理裝置,必須通過代理服務器與互聯網上的Web服務器等進行通信。
[0005]此外例如,企業內網中,為了防止網絡的不正當使用造成信息泄露和惡意軟件等的感染,與網絡連接的信息處理裝置進行的通信中,僅許可目的在于下載安全補丁和安全軟件的定義文件、網絡的使用申請等的必要通信,屏蔽除此以外的通信。以往,進行此種通信許可及屏蔽的裝置和系統中,采用的是根據在網絡中流轉的IP數據包的目標IP地址和目標端口號,屏蔽與被許可的服務器以外的通信的方式等。
[0006]但是,該方式中,對于通過了代理服務器的通信,存在無法進行恰當的許可及屏蔽的問題。這是因為,發送給代理服務器的IP數據包的目標IP地址及目標端口號,是代理服務器的IP地址及端口號,無法判斷是否構成與IP數據包得到許可的服務器的通信。
[0007]本發明鑒于上述問題,課題是提供對于來自與網絡連接的信息處理裝置的通信,即使是通過了代理服務器的通信,也可進行恰當的許可及屏蔽的裝置。
解決問題的手段
[0008]本發明中,為了解決上述課題,采用了以下的單元。即,本發明是一種通信屏蔽裝置,屏蔽與網絡連接的信息處理裝置的通信,所述通信屏蔽裝置的特征在于,包括:通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述通信屏蔽裝置的引導單元;滿足規定條件時,通過不傳輸由所述引導單元引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽單元;從所述引導單元引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元;至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述消息的通信的許可決定單元;和滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不考慮所述通信屏蔽單元的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可單元。
[0009]此外,本發明涉及的通信屏蔽裝置,還可具備有引導信息傳輸單元,其在不滿足所述規定條件時,將所述弓I導單元引導的信息傳輸至所述其他裝置。
[0010]此外,本發明中,所述通信許可單元向所述其他裝置傳輸所述消息。
[0011]此外,本發明涉及的通信屏蔽裝置,還包括設定單元,其設定所述消息的通信被許可的被通知方或所述消息的通信不被許可的被通知方的所述識別信息的全部或一部分,所述許可決定單元根據所述識別信息獲取單元獲取的所述識別信息是否包含所述設定單元設定的所述識別信息的全部或一部分,來決定是否許可所述消息的通信。
[0012]此外,本發明涉及的通信屏蔽裝置,還包括,邏輯地址回復單元,其在所述引導單元引導的信息構成與所述識別信息對應的邏輯地址的詢問時,將不是所述識別信息所識別的被通知方的邏輯地址的規定邏輯地址回復給所述詢問。
[0013]此外,本發明中,所述邏輯地址回復單元的所述回復中,附加有所述規定邏輯地址的有效期,所述規定邏輯地址的有效期,與將所述識別信息所識別的被通知方的邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期是不同的有效期。
[0014]此外,本發明中,所述規定邏輯地址的有效期,短于將所述識別信息識別的被通知方邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期。
[0015]此外,本發明涉及的通信屏蔽裝置,還包括,代理服務器通信單元,其與代理所述規定協議的通信的代理服務器進行通信,所述通信許可單元,在所述引導單元引導的信息將所述規定邏輯地址作為目標邏輯地址的情況下,當所述消息中包含以所述識別信息為基準的相對信息時,將所述消息內的所述相對信息變更為不以所述識別信息為基準的絕對信息,通過使用所述代理服務器通信單元將變更后的消息傳輸給所述代理服務器,許可所述信息處理裝置的通信。
[0016]此外,本發明也可是一種通信屏蔽方法,其屏蔽與網絡連接的信息處理裝置的通信,通過計算機執行如下步驟:通過將所述計算機的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導步驟,滿足規定條件時,通過不傳輸經過所述引導步驟引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽步驟,從所述引導步驟引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取步驟,至少根據所述識別信息獲取步驟獲取的所述識別信息,決定是否許可所述消息的通信的許可決定步驟,滿足所述規定條件的情況下,當所述許可決定步驟中決定許可時,不考慮所述通信屏蔽步驟中的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可步驟。
[0017]此外,本發明可以是一種程序,使計算機發揮以下功能:通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給與網絡連接的信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導單元;滿足規定條件時,通過不傳輸經過所述引導步驟引導的消息,屏蔽所述信息處理裝置的通信的通信屏蔽單元;從所述引導單元引導的信息構成的傳輸層上層的規定協議消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元;至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述信息通信的許可決定單元;滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不論所述通信屏蔽單元的通信屏蔽,通過傳輸所述信息,許可所述信息處理裝置進行通信的通信許可單元。
[0018]此外,本發明也可以是將此種程序記錄在計算機以外的其他裝置、機械等可讀取的存儲介質。在這里,計算機等可讀取的存儲介質指的是,將數據和程序等信息通過電性、磁性、光學、機械或化學作用而存儲、可以從計算機等讀取的存儲介質。
[0019]根據本發明,對于來自與網絡連接的信息處理裝置的通信,即使是通過了代理服務器的通信,也可進行恰當的許可及屏蔽。
【專利附圖】
【附圖說明】
[0020]圖1是顯示含有本實施方式涉及的傳感器裝置的通信系統的構成的概略圖。
圖2是顯示本實施方式涉及的傳感器裝置的功能構成的概略圖。
圖3是顯示含有實施方式I涉及的傳感器裝置的通信系統的通信的實例的時序圖。
圖4是顯示實施方式I涉及的傳感器裝置中來自對象裝置的接收數據處理流程的流程圖。
圖5是顯示實施方式I涉及的傳感器裝置中來自請求消息被傳輸放的接收數據處理流程的流程圖。
圖6是顯示含有實施方式2涉及的傳感器裝置的通信系統的通信的實例的時序圖。
圖7是顯示實施方式2涉及的傳感器裝置中來自對象裝置的接收數據處理流程的流程圖。
圖8是顯示實施方式2涉及的傳感器裝置中來自代理服務器的接收數據處理流程的流程圖。
圖9是面向Web服務器的HTTP請求消息的請求頭的實例(一部分)。
圖10是面向代理服務器的HTTP請求消息的請求頭的實例(一部分)。
符號說明
1傳感器裝置(通信屏蔽裝置)
2對象裝置(信息處理裝置)
3網絡段
4路由器
5代理服務器
6互聯網
7Web服務器
8DNS服務器 21引導單元
22通信屏蔽單元 23識別信息獲取單元 24許可決定單元 25通信許可單元26引導信息傳輸單兀 27設定單元 28邏輯地址回復單元 29代理服務器通信單元
【具體實施方式】
[0021]以下根據【專利附圖】
【附圖說明】本發明的實施方式。本實施方式中,本發明涉及的通信屏蔽裝置,作為傳感器裝置實施,屏蔽作為與網絡連接的信息處理裝置的對象裝置的通信。此外,傳感器裝置,作為OSI基本參照模型中的傳輸層的上層規定協議,許可HTTP (Hyper TextTransfer Protocol:超文本傳輸協議)的信息的通信。另外,以下說明的實施方式,是顯示本發明的一個實施例,本發明并不限定于以下說明的具體構成。實施本發明時,優選適當采用與實施方式相應的具體構成。
[0022]〈構成〉
圖1是顯示包含本實施方式涉及的傳感器裝置的通信系統的構成概略圖。本實施方式涉及的通信系統,具備有:傳感器裝置1、具有Web瀏覽器等的信息處理裝置即對象裝置2、構成IP網絡的網絡段3、路由器4、可代理HTTP通信的代理服務器5、互聯網6、Web服務器7及管理與Web服務器7的主機名對應的IP地址并進行名字解析的DNS服務器8。傳感器裝置1、對象裝置2、路由器4及代理服務器5與網絡段3連接。網絡段3通過路由器4與互聯網6連接。Web服務器7及DNS服務器8與互聯網6連接。另外,本通信系統,作為互聯網6的替代,也可由企業內部網、WAN (Wide Area Network:廣域網)等構成。
[0023]由于路由器4許可從代理服務器5向互聯網6的通信,因此代理服務器5可與Web服務器7及DNS服務器8通信。另一方面,由于路由器4不許可從對象裝置2向互聯網6的通信,因此對象裝置2不 通過代理服務器5的話,無法與Web服務器7進行HTTP消息的通信。此外,對象裝置2無法與DNS服務器8通信。
[0024]傳感器裝置I 是具有 CPU11、RAM12、R0M13、NIC (Network Interface Card:網絡接口卡)14、HDD (Hard Disk Drive:硬盤驅動器)等輔助存儲器15的計算機。CPUll是中央處理器,通過處理RAM12等展開的命令及數據,控制RAM12、NIC14、輔助存儲器15等。RAMl2是主存儲器,由CPUll控制,寫入、讀出各種命令和數據。輔助存儲器15是非揮發性的輔助存儲器,寫入、讀出RAM12上加載的OS (Operating System:操作系統)和通信控制程序等各種程序等的主要在計算機關機時也想要保持的信息。
[0025]此外,輔助存儲器15存儲的是,顯示特別許可數據包傳輸的傳輸目的方的IP地址和端口號的組的列表即傳輸IP地址/端口列表、顯示許可從對象裝置2進行HTTP通信的Web服務器7的許可服務器列表、及IP地址、端口號、認證信息等的對于代理服務器5的訪問信息。
[0026]對象裝置2與傳感器裝置I相同,是具備有CPU、RAM、ROM、NIC、HDD等輔助存儲器15等的計算機。對象裝置2上裝載有Web瀏覽器等的程序,可通過NIC進行HTTP消息的通?目。
[0027]圖2是顯示本實施方式涉及的傳感器裝置I的功能構成概略的圖。傳感器裝置1,通過記錄在輔助存儲器15中的程序被RAM12讀出、通過CPUll被執行,從而作為具備有引導單元21、通信屏蔽單元22、識別信息獲取單元23、許可決定單元24、通信許可單元25、引導信息傳輸單元26、設定單元27、邏輯地址回復單元28及代理服務器通信單元29的計算機發揮功能。另外,本實施方式中,計算機具備的各功能通過通用處理器之CPUll而被執行,但這些功能的一部分或全部也可通過I個或多個專用處理器執行。
[0028]本實施方式中,引導單元21從NIC14獲取在網絡段3流轉的MAC數據幀(數據),以及其目標MAC地址不是傳感器裝置I的MAC地址的幀,根據發送方MAC地址,判定是否為通信屏蔽對象的對象裝置2。在獲取的數據是對象裝置2發送的數據的情況下,當該數據構成ARP請求數據包時,引導單元21對于發送方的對象裝置2,通過ARP應答數據包返回傳感器裝置I的物理地址即MAC地址。
[0029]在這里,作為ARP應答返回給ARP請求發送方的MAC地址,是偽裝成傳感器裝置I的MAC地址的默認網關和網絡段3內其他裝置的MAC地址。因此,根據引導單元21,接收了ARP應答的對象裝置2,將想要發送IP數據包的網絡段3內其他裝置的IP地址與作為該其他裝置MAC地址的傳感器裝置I的MAC地址關聯起來,注冊到ARP表中。因此,引導單元21可以將對象裝置2發送的IP數據包引導給傳感器裝置I。
[0030]通信屏蔽單元22從NIC14獲取被引導單元21引導的IP數據包。通信屏蔽單元22,除了獲取的IP數據包中的目標IP地址及目標端口號包含在輔助存儲器15存儲的傳輸IP地址/端口列表中的情況,原則上不進行該IP數據包的傳輸。因此,原則上,被引導的IP數據包不會傳輸給其他裝置,對象裝置2向其他裝置的通信被屏蔽。
[0031 ] 本實施方式中,通信屏蔽單元22屏蔽通信的規定條件,是目標IP地址未包含在傳輸IP地址/端口列表中。另外,屏蔽通信的規定條件,可以是與傳感器裝置I引導的數據包內的目標端口號無關的條件,也可以是與發送方MAC地址、IP數據包的發送方IP地址等其他要素相關的條件。
[0032]引導信息傳輸單元26從NIC14獲取被引導單元21引導的IP數據包。當獲取的IP數據包中的目標IP地址及目標端口號包含在輔助存儲器15存儲的傳輸IP地址/端口列表中時,即,不滿足通信屏蔽單元22屏蔽通信的規定條件時,引導信息傳輸單元26向目標IP地址對應的具有未偽裝的MAC地址的其他裝置傳輸IP數據包。因此,對象裝置2的通信不會被屏蔽,可進行部分通信。
[0033]識別信息獲取單元23解析被引導單元21引導的IP數據包,當IP數據包含有HTTP的請求消息的情況下,從請求頭內的Host獲取作為識別請求消息的被通知方的識別信息的主機名。另外,主機名也可根據請求消息請求行的URI (Uniform esource dendtifier)而獲取。
[0034]設定單元27通過通信許可單元25,不考慮通信屏蔽單元22的通信屏蔽,設定許可來自對象裝置2的HTTP通信的Web服務器7。設定通過域名列表記述,作為許可服務器列表存儲在輔助存儲器15中。作為列表要素的域名也可記述為FQDN (Fully QualifiedDomain Name:完全合格域名)的域名及非FQDN域名的任意形式。例如,作為FQDN可記述為"www.pfu.c0.jp",作為非FQDN的域名可記述為"pfu.c0.jp"。FQDN是將主機名全部記述,非FQDN的域名記述主機名的一部分。記述非FQDN的域名,表示設定為許可向屬于該域名所示域的所有主機(Web服務器7)的HTTP通信。例如,記述"pfu.c0.jp"表示設定為許可向"www.pfu.c0.jp"、" web.pfu.c0.jp"等多個Web服務器7的HTTP通信。[0035]大規模的通信系統和主干系統等中,大多具備有用于冗余化和處理能力提升的多個服務器。根據設定單元27,即使有多個被許可的Web服務器7時,也可以通過域名統一記述設定許可通信的Web服務器7,因此,較之于分別記述每一臺Web服務器7的情況,可以減輕系統管理員的操作負擔。此外,即使在通信系統的網絡構成變更、IP地址變更的情況下,根據設定單元27,由于通過域名記述設定,因此無需變更設定,可以減輕系統管理員的操作負擔。另外,對于許可來自對象裝置2的HTTP通信的Web服務器7的設定,也可記述、存儲不被許可的服務器的列表。此外,許可服務器列表的要素也可使用正則表達式和通配符記述。
[0036]許可決定單元24,將識別信息獲取單元23獲取的主機名與許可服務器列表的各要素作為文字列進行比較。主機名包含許可服務器列表內的要素(主機名全部或表示部分主機名的非FQDN的域名的文字列)時(也包括與主機名的某要素一致的情況),許可決定單元24決定許可來自對象裝置2的HTTP通信。許可服務器列表內的全部要素不含主機名的情況下,許可決定單元24決定不許可來自對象裝置2的HTTP通信。另外,許可決定單元24也可在識別信息獲取單元23獲取的主機名之外,根據例如,請求消息中的方法名、顯示資源的URI等是否滿足規定條件而決定是否許可。
[0037]通信許可單元25,當許可決定單元24決定許可HTTP通信時,通過傳輸通信屏蔽單元22不傳輸的數據包構成的HTTP請求消息,許可對象裝置2進行HTTP通信。通信許可單元25在傳輸請求消息時,確立傳感器裝置I與傳輸目的方之間的TCP (TransmissionControl Protocol:傳輸控制協議)連接。
[0038]通過代理服務器5的HTTP通信,即使提供實質資源(Web內容)的Web服務器7不同,由于使用的是代理服務器5的目標IP地址和目標端口號,因此在傳輸層以下的協議消息解析中,無法區分通信目標的Web服務器7。根據本實施方式的識別信息獲取單元23、許可決定單元24及通信許可單元25,基于來自對象裝置2的HTTP消息所含的通信目標主機名而許可通信,因此即使是通過了代理服務器5的通信,也可許可對部分Web服務器7的通信、屏蔽對其他Web服務器7的通信。
[0039]邏輯地址回復單元28,在被引導單元21引導的IP數據包構成主機名對應的邏輯地址的詢問即DNS詢問的情況下,當被詢問的名字顯示的是來自設定單元27所設定的被許可的對象裝置2的HTTP通信的Web服務器7時,對于DNS詢問,回復作為規定邏輯地址的傳感器裝置I的IP地址,而不是Web服務器7的IP地址。因此,即使在無法與DNS服務器進行通信的環境下,對象裝置2也可進行Web服務器7的名字解析。特別是,未設定向代理服務器5通信的對象裝置2,為了通信而想要進行Web服務器7的名字解析,可通過邏輯地址回復單元28,防止該名字解析失敗。另外,邏輯地址回復單元28回復的規定邏輯地址也可以是傳感器裝置I的IP地址以外的IP地址。
[0040]邏輯地址回復單元28在回復DNS詢問時,將小于DNS服務器8進行Web服務器7主機名名字解析時設定的TTL (Time To Live)值的值(例如,60秒)設定為回復消息的TTL值。接收了回復消息的對象裝置2,將該TTL值作為與Web服務器7的主機名對應的邏輯地址即傳感器裝置I的IP地址的有效期。因此,在傳感器裝置I與未設置的別的網絡連接、未受到傳感器裝置I的通信屏蔽作用的情況下,對象裝置2可以從DNS服務器8立即獲取正規的DNS信息。另外,邏輯地址回復單元28設定的TTL值,也可以是DNS服務器8進行Web服務器7主機名名字解析時設定的TTL值以上的值。
[0041]代理服務器通信單元29,使用輔助存儲器15存儲的向代理服務器5的訪問信息,通過NIC14與代理服務器5通信。
[0042]《實施方式I》
對于實施方式I中的通信及處理,使用附圖進行說明。
[0043]〈通信系統的通信流程〉
對于包含實施方式I涉及的傳感器裝置I的通信系統中的通信流程進行說明。實施方式I的通信系統中,來自對象裝置2的通過了代理服務器5的通信中,許可對部分Web服務器7的通信、屏蔽對其他服務器的通信。
[0044]圖3是顯示包含實施方式I涉及的傳感器裝置I的通信系統的通信的實例的時序圖。實施方式I中,對象裝置2中設定有代理服務器5的訪問信息。此外,傳感器裝置I中,Web服務器7的主機名被設定在許可服務器列表中。圖3中,對象裝置2與Web服務器7的HTTP通信,在傳感器裝置I中被許可,通過傳感器裝置I和代理服務器5實現。
[0045]與網絡段3連接的對象裝置2,為了與代理服務器5進行通信,廣播發送對于代理服務器5的ARP請求(步驟S301)。接收了該ARP請求的傳感器裝置I的引導單元21,將傳感器裝置I的MAC地址作為ARP應答數據包返回給發送方的對象裝置2 (步驟S302)。接收了 ARP應答數據包的對象裝置2,將傳感器裝置I的MAC地址作為與代理服務器5的IP地址對應的MAC地址,注冊在ARP表中。
[0046]對象裝置2,將用于與Web服務器7通信的HTTP請求消息發送給代理服務器5(步驟S303)。此時的發送數據包,目標MAC地址是傳感器裝置I的MAC地址,目標IP地址是發送給代理服務器5的,請求頭的Host是Web服務器7的主機名。接收了請求消息的傳感器裝置I的引導信息傳輸單元26,由于代理服務器5的IP地址沒有包含在傳輸IP地址/端口列表中,因此不傳輸構成請求消息的IP數據包。
[0047]接著,傳感器裝置I的識別信息獲取單元23從請求消息獲取主機名,許可決定單元24根據該主機名而許可HTTP通信。傳感器裝置I的通信許可單元25,將接收自對象裝置2的請求消息傳輸給代理服務器5 (步驟S304)。另外,當Web服務器7的主機名未被設定在許可服務器列表中時,識別信息獲取單元23不許可HTTP通信,因此HTTP通信被屏蔽。
[0048]步驟S305?S307中,代理服務器5與Web服務器7進行代理通信。接收了請求消息的代理服務器5,向Web服務器7代理發送請求消息(步驟S305)。接收了來自代理服務器5的請求消息的Web服務器7,會生成響應消息,發送給代理服務器5(步驟S306)。從Web服務器7接收了響應消息的代理服務器5,代理發送響應消息(步驟S307)。
[0049]接收了響應消息的傳感器裝置1,將響應消息傳輸給請求消息發送方的對象裝置
2(步驟 S308)。
[0050]〈傳感器裝置的處理流程〉
以上的通信的實例,通過傳感器裝置I的接收數據的處理而實現。使用圖4及圖5的流程圖,說明實施方式I涉及的傳感器裝置I的接收數據的處理流程。另外,流程圖所示處理的具體內容及順序是一個實例,處理內容及順序優選適當采用與實施方式相適應的。
[0051]圖4是顯示實施方式I涉及的傳感器裝置I中來自對象裝置2的接收數據處理流程的流程圖。來自對象裝置2的接收數據處理,是以傳感器裝置I接收了對象裝置2發送的數據為契機開始的。
[0052]步驟S401及S402中,進行來自對象裝置2的ARP請求的處理。首先,引導單元21判定來自對象裝置2的接收數據是否為ARP請求(步驟S401)。步驟S401中,來自對象裝置2的接收數據被判定為是ARP請求時,引導單元21將傳感器裝置I的MAC地址作為ARP應答數據包返回給發送方對象裝置2 (步驟S402)。步驟S401中,來自對象裝置2的接收數據被判定為不是ARP請求時,進入步驟S403的處理。
[0053]步驟S403及S404中,對于來自對象裝置2的接收數據的傳輸進行處理。首先,通信屏蔽單元22及引導信息傳輸單元26,判定來自對象裝置2的接收數據是否發往被傳輸的IP地址、端口,即,判定接收數據內的目標IP地址及目標端口號是否包含在傳輸IP地址/端口列表中(步驟S403)。步驟S403中,來自對象裝置2的接收數據被判定為發往被傳輸的IP地址、端口時,引導信息傳輸單元26向目標IP地址對應的具有未偽裝的MAC地址的其他裝置傳輸接收數據(步驟S404)。步驟S403中,來自對象裝置2的接收數據被判定為不是發往被傳輸的IP地址、端口時,進入步驟S405的處理。
[0054]步驟S405?S407中,對HTTP請求消息的傳輸進行處理。首先,識別信息獲取單元23解析接收數據,判定是否構成HTTP請求消息(步驟S405)。步驟S405中,當判定為構成HTTP請求消息時,識別信息獲取單元23從接收數據獲取請求消息的通信目標的主機名,另外,許可決定單元24根據識別信息獲取單元23獲取的主機名,判定請求消息是否發往許可通信的Web服務器7(步驟S406)。步驟S406中,判定為請求消息發往許可通信的Web服務器7時,許可決定單元24決定許可來自對象裝置2的HTTP通信,通信許可單元25將請求消息傳輸給接收數據中的目標IP地址及端口號所示的裝置(步驟S407)。
[0055]步驟S405中判定為沒有構成HTTP請求消息或步驟S406中判斷為請求消息不是發往許可通信的Web服務器7時,接收數據被銷毀,不傳輸HTTP請求消息(步驟S408)。另外,接收數據構成HTTP請求消息時,步驟S408中,傳感器裝置I也可將用于向規定URL重定向的響應消息發送給對象裝置2。通過該發送,傳感器裝置I可以向HTTP通信被屏蔽的對象裝置2提供用于進行通信系統使用申請的網頁等的規定信息。此外,接收數據構成HTTP請求消息時,步驟S408中,傳感器裝置I也可切斷與請求消息關聯的連接。
[0056]圖5是顯示實施方式I涉及的傳感器裝置I中來自請求消息傳輸目的方的接收數據處理流程的流程圖。來自請求消息傳輸目的方的接收數據處理,是以傳感器裝置I從圖4步驟S407中的通信許可單元25在傳輸請求消息時確立的TCP連接接收到數據為契機開始的。
[0057]步驟S501?S503中,對接收到的HTTP響應消息的傳輸進行處理。首先,傳感器裝置I判定接收數據是否是響應消息(步驟S501)。步驟S501中,接收數據被判定為是響應消息時,傳感器裝置I向請求消息的傳輸方之對象裝置2傳輸響應消息(步驟S502)。步驟S501中判定為接收數據不是響應消息時,傳感器裝置I將接收數據銷毀(步驟S503)。
[0058]根據實施方式I涉及的傳感器裝置1,來自與網絡段3連接的對象裝置2的HTTP通信中,即使是通過了代理服務器5的HTTP通信,也可根據其通信目標,許可對部分Web服務器7的通信、屏蔽對其他Web服務器7的通信。此外,根據實施方式I涉及的傳感器裝置1,決定是否許可HTTP消息的通信與是否是發往代理服務器5的通信無關,因此即使是對于不通過代理服務器5的HTTP通信,也可根據主機名的設定而進行許可及屏蔽。此外,對于已經設置有代理服務器5、對象裝置2設定有代理服務器5的通信系統,無需變更網絡構成和IP地址等的設定,僅設置傳感器裝置I即可進行包含通過代理服務器5的HTTP通信在內的來自對象裝置2的HTTP通信的許可及屏蔽。
[0059]另外,實施方式I涉及的傳感器裝置I進行HTTP通信的許可及屏蔽,但也可進行例如SMTP (Simple Mail Transfer Protocol:簡易郵件傳輸協議)等的通信的許可及屏蔽。
[0060]《實施方式2》
對于實施方式2中的通信及處理,使用附圖進行說明。
[0061]〈通信系統的通信流程〉
對于包含實施方式2涉及的傳感器裝置I的通信系統中的通信流程進行說明。實施方式2的通信系統中,未設定代理服務器5的訪問信息的對象裝置2可以與被許可通信的Web服務器7進行HTTP通信。
[0062]圖6是顯示含有實施方式2涉及的傳感器裝置I的通信系統的通信的實例的時序圖。圖6中,未設定代理服務器5的訪問信息的對象裝置2與Web服務器7的HTTP通信,在傳感器裝置I中被許可,通過傳感器裝置I和代理服務器5而實現。另外,本通信的實例中,通過傳感器裝置I的設定單元27,Web服務器7的主機名事先被設定在許可服務器列表中。
[0063]步驟S601及S602中,與實施方式I相同,發送ARP請求及ARP應答,傳感器裝置I的MAC地址被注冊在對象裝置2的ARP表中。
[0064]對象裝置2為了進行Web服務器7主機名的名字解析而發送DNS詢問(步驟S603 )。此時的發送數據包,由于目標MAC地址是傳感器裝置的MAC地址,因此傳感器裝置I接收DNS詢問。
[0065]接收了 DNS詢問的傳感器裝置I的邏輯地址回復單元28,將傳感器裝置I的IP地址回復給對象裝置2 (步驟S604)。
[0066]對象裝置2將用于與Web服務器7通信的HTTP請求消息發送給傳感器裝置I (步驟S605)。此時的目標IP地址是對于DNS詢問而回復的傳感器裝置I的IP地址。
[0067]接收到請求消息的傳感器裝置I的識別信息獲取單元23,從請求消息獲取主機名,許可決定單元24根據主機名許可HTTP通信。傳感器裝置I的通信許可單元25,將接收自對象裝置2的請求消息變更為面向代理服務器5的請求消息,傳輸給代理服務器5(步驟S606)。
[0068]步驟S607?S609中,與實施方式I相同,代理服務器5與Web服務器7進行代理通信。
[0069]與實施方式I相同,傳感器裝置I將響應消息傳輸給請求消息的發送方的對象裝置2 (步驟S610)。
[0070]〈傳感器裝置的處理流程〉
以上的通信的實例通過傳感器裝置I的接收數據的處理而實現。使用圖7及圖8的流程圖,說明實施方式2涉及的傳感器裝置I的接收數據的處理流程。另外,流程圖所示的處理的具體內容及順序是一個實例,處理內容及順序優選適當采用與實施方式相適應的。
[0071]圖7是顯示實施方式2涉及的傳感器裝置I中的來自對象裝置2的接收數據處理流程的流程圖。來自對象裝置2的接收數據處理,是以傳感器裝置I接收到了對象裝置2發送的數據為契機開始的。
[0072]步驟S701及S702中,與實施方式I的圖4的步驟401及402相同,進行來自對象裝置2的ARP請求的處理。
[0073]步驟S703?S705中,對象裝置2進行對于DNS詢問的處理。首先,邏輯地址回復單元28判定接收數據是否構成DNS詢問(步驟S703)。步驟S703中,判斷為接收數據構成DNS詢問時,邏輯地址回復單元28判定被詢問的名字是否顯示HTTP通信被許可的Web服務器7 (步驟S704)。步驟S704中,判定為被詢問的名字顯示HTTP通信被許可的Web服務器
7時,邏輯地址回復單元28回復傳感器裝置I的IP地址(步驟S705)。步驟S703中,判定為接收數據不構成DNS詢問時,進入步驟S706的處理。步驟S704中,判定為被詢問的名字不顯示HTTP通信被許可的Web服務器7時,進入步驟S707的處理。
[0074]步驟S706及S707中,與實施方式I的圖4的步驟S403及S404相同,對于來自對象裝置2的接收數據的傳輸進行處理。
[0075]步驟S708?S710中,與實施方式I的圖4的步驟S405、S406及S408相同,接收數據被銷毀。
[0076]步驟S711?S714中,請求消息被傳輸。首先,通信許可單元25判定接收數據的目標IP地址是否是傳感器裝置I的IP地址并且請求消息是否是面向代理服務器5的消息(步驟S711)。當請求消息中含有以主機名為基準的相對信息時,判定為不是面向代理服務器5的消息。此外,請求消息中不含以主機名為基準的相對信息時,判定為是面向代理服務器5的消息。
[0077]實施方式2中,請求消息中是否包含以主機名為基準的相對信息,是根據請求行的URI是否是相對形式的URI。圖9是面向Web服務器7的HTTP請求消息的請求頭的實例(一部分)。圖10是面向代理服務器5的HTTP請求消息的請求頭的實例(一部分)。圖9及圖10均是用于獲取"http://www.pfu.C0.jp"所示資源的請求頭。圖9的URI是"/",是以主機名"www.pfu.c0.jp"為基準的相對形式的URI。圖10的URI是"http://www.pfu.c0.jp",是絕對形式的URI。
[0078]步驟S711中,判定為接收數據的目標IP地址是傳感器裝置I的IP地址并且請求消息不是面向代理服務器5的消息時,通信許可單元25通過將請求行的URI換寫為上述的絕對形式,將請求消息變更為面向代理服務器5 (步驟S712)。接著,通信許可單元25通過代理服務器通信單元29,將在步驟S712變更的請求消息傳輸給代理服務器5(步驟S713)。步驟S711中,判定為接收數據的目標IP地址是傳感器裝置I的IP地址并且請求消息是面向代理服務器5的消息時,與實施方式I的圖4的步驟S407相同,通信許可單元25將請求消息傳輸給接收數據中的目標IP地址及端口號所示的裝置(步驟S714)。步驟S714中,請求消息未變更為面向代理服務器5而被傳輸。
[0079]圖8顯示的是實施方式2涉及的傳感器裝置I中,來自代理服務器5的接收數據處理流程的流程圖。來自代理服務器5的接收數據處理,是以傳感器裝置I從圖7步驟S713中的通信許可單元25的請求消息傳輸時確立的TCP連接接收到數據為契機而開始。另外,從圖7步驟S714中的通信許可單元25的請求消息傳輸時確立的TCP連接接收到數據時的處理,與使用圖5進行了說明的實施方式I的處理相同,在此省略說明。[0080]首先,傳感器裝置I判定接收數據是否是響應消息(步驟S801)。步驟S801中,接收數據被判定為響應消息時,將請求消息變更為面向對象裝置2 (步驟S802),將變更的響應消息傳輸給請求消息的傳輸方之對象裝置2 (步驟S803)。步驟S801中,接收數據被判定為不是響應消息時,接收數據被銷毀(步驟S804)。
[0081]有的手機終端等無法進行對代理服務器5的通信設定。以往,此種無法進行對代理服務器5進行通信設定的信息處理裝置和沒有進行對代理服務器5的通信設定的信息處理裝置,存在無法進行通過代理服務器5進行通信的問題。因此,特別是企業想要導入新的云服務時,產生了必須對用于云服務的所有信息處理裝置進行對代理服務器5的通信設定操作的問題、以及未設定代理服務器5通信的手機終端等不能用于云服務的問題。
[0082]根據實施方式2涉及的傳感器裝置1,未設定代理服務器5或無法設定代理服務器5的對象裝置2,可與通過了代理服務器5的Web服務器7進行通信。此外,根據實施方式2涉及的傳感器裝置I,在為了與Web服務器7進行通信而必須通過代理服務器5的網絡環境中,未設定代理服務器5或無法設定代理服務器5的對象裝置2進行的HTTP通信中,可根據其通信目標,許可對部分Web服務器7的通信,屏蔽對其他Web服務器7的通信。另夕卜,即使是設定有代理服務器5的對象裝置2與未設定代理服務器5或無法設定代理服務器5的對象裝置2混雜著與網絡段3連接的情況下,也可通過一個設定而統一管理HTTP通信的許可及屏蔽。
【權利要求】
1.一種通信屏蔽裝置,其屏蔽與網絡連接的信息處理裝置的通信,所述通信屏蔽裝置的特征在于,包括: 通過將所述通信屏蔽裝置的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述通信屏蔽裝置的引導單元; 滿足規定條件時,通過不傳輸由所述引導單元引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽單元; 從所述引導單元引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取單元; 至少根據所述識別信息獲取單元獲取的所述識別信息,決定是否許可所述消息的通信的許可決定單元;和 滿足所述規定條件的情況下,當所述許可決定單元決定許可時,不考慮所述通信屏蔽單元的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可單元。
2.根據權利要求1所述的通信屏蔽裝置,其特征在于,還包括引導信息傳輸單元,其在不滿足所述規定條件時,將所述引導單元引導的信息傳輸至所述其他裝置。
3.根據權利要求1或權利要求2所述的通信屏蔽裝置,其特征在于,所述通信許可單元向所述其他裝置傳輸所述消息。
4.根據權利要求1~3任意一項所述的通信屏蔽裝置,其特征在于,還包括設定單元,其設定所述消息的通信被許可的被通知方或所述消息的通信不被許可的被通知方的所述識別信息的全部或一部分, 所述許可決定單元根據所述識別信息獲取單元獲取的所述識別信息是否包含所述設定單元設定的所述識別信息的全部或一部分,來決定是否許可所述消息的通信。
5.根據權利要求1~4任意一項所述的通信屏蔽裝置,其特征在于,還包括,邏輯地址回復單元,其在所述引導單元引導的信息構成與所述識別信息對應的邏輯地址的詢問時,將不是所述識別信息所識別的被通知方的邏輯地址的規定邏輯地址回復給所述詢問。
6.根據權利要求5所述的通信屏蔽裝置,其特征在于,所述邏輯地址回復單元的所述回復中,附加有所述規定邏輯地址的有效期, 所述規定邏輯地址的有效期,與將所述識別信息所識別的被通知方的邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期是不同的有效期。
7.根據權利要求6所述的通信屏蔽裝置,其特征在于,所述規定邏輯地址的有效期,短于將所述識別信息識別的被通知方邏輯地址回復給所述詢問的服務器向該回復附加的該邏輯地址的有效期。
8.根據權利要求5~7任意一項所述的通信屏蔽裝置,其特征在于,還包括,代理服務器通信單元,其與代理所述規定協議的通信的代理服務器進行通信, 所述通信許可單元,在所述引導單元引導的信息將所述規定邏輯地址作為目標邏輯地址的情況下,當所述消息中包含以所述識別信息為基準的相對信息時,將所述消息內的所述相對信息變更為不以所述識別信息為基準的絕對信息,通過使用所述代理服務器通信單元將變更后的消息傳輸給所述代理服務器,許可所述信息處理裝置的通信。
9.一種通信屏蔽方法,其屏蔽與網絡連接的信息處理裝置的通信,其特征在于, 通過計算機執行如下步驟:通過將所述計算機的物理地址作為其他裝置的物理地址通知給所述信息處理裝置,將所述信息處理裝置發送的信息引導至所述計算機的引導步驟, 滿足規定條件時,通過不傳輸經過所述引導步驟引導的信息,屏蔽所述信息處理裝置的通信的通信屏蔽步驟, 從所述引導步驟引導的信息構成的、比傳輸層上層的規定的協議的消息中,獲取識別所述消息的被通知方的識別信息的識別信息獲取步驟, 至少根據所述識別信息獲取步驟獲取的所述識別信息,決定是否許可所述消息的通信的許可決定步驟, 滿足所述 規定條件的情況下,當所述許可決定步驟中決定許可時,不考慮所述通信屏蔽步驟中的通信屏蔽,通過傳輸所述消息,許可所述信息處理裝置進行通信的通信許可步驟。
【文檔編號】H04L29/06GK103634289SQ201310368170
【公開日】2014年3月12日 申請日期:2013年8月21日 優先權日:2012年8月21日
【發明者】今村慎哉 申請人:株式會社Pfu
相關技術
網友詢問留言
已有0條留言
- 還沒有人留言評論。精彩留言會獲得點贊!
1