Pat
J-GLOBAL ID:200903072236778955

ファイアウォールを通過するコンピュータ資源への外部アクセス

Inventor:
ジェイド、プラシャント

About ジェイド、プラシャント

ムーア、ビクター、スチュアート

About ムーア、ビクター、スチュアート

ラオ、アルン、モハン

About ラオ、アルン、モハン

ウォルターズ、グレン、ロバート

About ウォルターズ、グレン、ロバート


Applicant, Patent owner:
インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン

About インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン


Agent (1): 坂口 博 (外1名)
Gazette classification:公表公報
Application number (International application number):1998519056
Publication number (International publication number):2000505270
Application date: Oct. 02, 1997
Publication date: Apr. 25, 2000
Summary:
【要約】ファイアウォールが、ファイアウォール内部のコンピュータ資源およびネットワーク資源を、ファイアウォール外部のコンピュータおよびコンピュータ・アプリケーションから分離する。典型的には、内部資源は私有データベースおよびローカル・エリア・ネットワーク(LAN)が考えられ、外部オブジェクトはインターネットなどの公衆通信ネットワークを介して操作する個人およびコンピュータ・アプリケーションを含む。通例、ファイアウォールは内部のユーザまたはオブジェクトが外部のオブジェクトまたはネットワークへの接続を開始することはできるようにするが、その逆方向、すなわち外部から内部への接続は行われないようにする。開示の本発明は、ファイアウォールの両側で動作し、ファイアウォール外部の特定の「トラステッド」個人、オブジェクト、またはアプリケーションによって要求された場合に、そのような「外部から内部への」接続を確立する特別な「トンネル」機構を提供する。本発明の意図は、「トンネル」接続(外部から有効に要求されたファイアウォールを介した接続)を確立するのに必要な資源を最小限にすると同時に、そのような接続を行う許可に伴うセキュリティ上のリスクを最小限にする。この機構は、ファイアウォールの内部と外部のインターフェイス・サーバ上で実行される特別なトンネル・アプリケーションと、内部トンネルアプリケーションによって作成され、維持される「トラステッド・ソケット」の特別なテーブルとを含む。トラステッド・ソケット・テーブル内の項目は、ファイアウォール内部のオブジェクトを規定し、特別な内部ポートと、各ポートで使用される通信プロトコルと、各ポートに関連づけられたホスト・オブジェクトとから成る。各項目は、外部からファイアウォールを通過する「トンネル」アクセス権を持つことを許可された個人にしかわからないと考えられるという意味で「トラステッド」である。これらのアプリケーションは、有効なテーブル項目を識別した外部要求に応答して、テーブルを使用してファイアウォールを介した接続を行う。
Claim (excerpt):
ファイアウォールが内部領域と外部領域を規定し、前記外部領域内のオブジェクトが前記内部領域内のオブジェクトへのアクセスを直接開始するのを防止するセキュリティ障壁を形成すると同時に、前記内部領域内のオブジェクトが前記外部領域内のオブジェクトへのアクセスを直接開始し、アクセスを獲得することを許すファイアウォール(1)を含むデータ通信ネットワークのためのトンネル装置であって、 前記ファイアウォール(1)と前記外部領域内のオブジェクトとの間のインタフェースをとる、前記外部領域内の外部インタフェース・コンピュータ(3)と、 前記ファイアウォール(1)と前記内部領域内のオブジェクトとの間のインタフェースをとる、前記内部領域内の内部インタフェース・コンピュータ(2)と、 前記内部と外部の両方のインタフェース・コンピュータにおいて、前記外部領域からのアクセスが許可されている前記内部領域内の所定のトラステッド・オブジェクトの識別情報を確認する手段と、 前記外部インタフェース・コンピュータにおいて、前記外部領域内のオブジェクトから送られた要求に応答して、前記確認手段と協調して、前記要求が前記トラステッド・オブジェクトのうちの1つのオブジェクトに宛てられたものであるか否かを判断し、前記要求がそのように宛てられたものである場合、前記要求を前記内部インタフェース・コンピュータにルーティングする手段と、 前記内部と外部の両方のインタフェース・コンピュータにおいて、前記トラステッド・オブジェクトのうちの前記1つのオブジェクトに宛てられた前記要求に応答して、前記トラステッド・オブジェクトのうちの前記1つのオブジェクトとそれぞれの前記要求を送った外部オブジェクトとの間のデータ通信接続を形成する手段とを含み、前記データ通信接続のうちの前記内部領域にあるセグメントと前記ファイアウォールを通って延びるセグメントが前記内部インタフェース・コンピュータの排他的制御下で形成され、前記データ通信接続のうちの前記外部インタフェース・コンピュータから前記要求を送った前記オブジェクトまでのセグメントが前記外部インタフェース・コンピュータの制御下で形成されるトンネル装置。
IPC (5):
H04L 12/66 ,  G06F 13/00 351 ,  H04L 12/28 ,  H04L 12/46 ,  H04L 12/56
FI (4):
H04L 11/20 B ,  G06F 13/00 351 Z ,  H04L 11/20 102 Z ,  H04L 11/00 310 C

Return to Previous Page

TOP

BOTTOM