[发明专利]安全网关系统及其方法以及程序

权利要求书

1.一种安全网关方法，对于分别利用进行了标准化并公开了规格的标 准协议的多个网络间进行连接，其特征在于，

利用物理上的硬件、用于利用上述物理上的硬件的操作系统、以及2 个子网关进行处理；

上述物理上的硬件构成1台实际计算机的计算机硬件；

上述2个子网关，分别作为虚拟计算机实现，分别连接至作为连接对 象的2个网络，该虚拟计算机具有在上述实际计算机的物理上的硬件上构 成的、其上工作有虚拟硬件用操作系统的虚拟硬件；

各子网关的各虚拟硬件用操作系统在链路保护的特权等级比用于利用 上述物理上的硬件的上述操作系统弱的保护下动作，从而上述虚拟计算机 对于上述物理上的硬件不直接访问而仅经由用于利用上述物理上的硬件的 上述操作系统访问，并且不互相直接访问而仅经由用于利用上述物理上的 硬件的上述操作系统访问；

各子网关具有：标准协议通信部，利用上述标准协议与连接至本子网 关一侧的上述网络进行通信；非标准协议通信部，利用规格未被公开的非 标准协议与其他子网关进行通信；协议转换部，在标准协议与非标准协议 之间进行通信数据的协议转换；以及中继许可设定信息存储部，保存用于 确认有无对于通信数据的中继许可的中继许可设定信息；而且，

上述标准协议通信部安装了位于上述物理上的硬件层的LAN硬件，该 LAN硬件通过上述虚拟硬件和上述虚拟硬件用操作系统，作为虚拟化的硬 件来进行动作；

上述非标准协议通信部安装了位于上述物理上的硬件层的独立硬件， 该独立硬件通过上述虚拟硬件和上述虚拟硬件用操作系统，作为虚拟化的 硬件来进行动作；

上述处理包括：

网关间通信处理，在上述2个子网关的上述非标准协议通信部之间利 用上述非标准协议进行数据收发；

网关内通信处理，仅在开放型相互连接系统OSI的第7层的应用层上 进行上述各子网关内的上述非标准协议通信部与上述标准协议通信部之间 的数据收发，对于从第1层至第6层的范围，禁止数据收发；以及

中继许可确认/协议转换处理，由上述各子网关的上述协议转换部进行 通信数据的协议转换时，参照上述中继许可设定信息进行该通信数据的中 继许可的确认，仅在有中继许可的情况下进行该通信数据的协议转换。