JP5245837B2 - 端末装置、中継装置及びプログラム - Google Patents

端末装置、中継装置及びプログラム Download PDF

Info

Publication number
JP5245837B2
JP5245837B2 JP2009000883A JP2009000883A JP5245837B2 JP 5245837 B2 JP5245837 B2 JP 5245837B2 JP 2009000883 A JP2009000883 A JP 2009000883A JP 2009000883 A JP2009000883 A JP 2009000883A JP 5245837 B2 JP5245837 B2 JP 5245837B2
Authority
JP
Japan
Prior art keywords
processing request
relay
terminal device
communication path
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009000883A
Other languages
English (en)
Other versions
JP2010161468A (ja
Inventor
英知 中山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2009000883A priority Critical patent/JP5245837B2/ja
Priority to US12/547,248 priority patent/US8478870B2/en
Priority to CN200910175840.0A priority patent/CN101771529B/zh
Publication of JP2010161468A publication Critical patent/JP2010161468A/ja
Application granted granted Critical
Publication of JP5245837B2 publication Critical patent/JP5245837B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5691Access to open networks; Ingress point selection, e.g. ISP selection
    • H04L12/5692Selection among different networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、端末装置、中継装置及びプログラムに関する。
ネットワークに接続される端末装置の状態を判断し、その判断結果に応じて、端末装置を接続させるネットワークを通常のネットワーク(以下「基幹ネットワーク」という。)と隔離されたネットワーク(以下「隔離ネットワーク」という。)のいずれかに切り替える技術がある。かかる技術が用いられたシステムのことを、ここでは「検疫ネットワークシステム」という。
特開2008−77558号公報
本発明は、検疫ネットワークシステムにおいて、隔離された端末装置の利便性を向上させることを目的とする。
本発明の請求項1に係る端末装置は、処理実行装置が接続されるとともに自装置が予め定められたセキュリティポリシーを満たす場合に自装置が接続される通信路を第1の通信路とし、前記第1の通信路に比べて通信が制限され、自装置が前記セキュリティポリシーを満たさない場合に自装置が接続される通信路を第2の通信路とするとき、前記処理実行装置に対する処理要求を取得する処理要求取得手段と、前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、前記第1の通信路と前記第2の通信路とに接続された中継装置であって、前記中継用処理要求を受信する受信手段と、前記受信手段により受信された中継用処理要求に含まれる処理要求が前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、前記判定手段により前記リソースを改変しないものであると判定された処理要求を前記第1の通信路を介して前記処理実行装置に送信する送信手段とを備える中継装置を示すアドレス情報を取得するアドレス取得手段と、自装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、前記判別手段により自装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、自装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す中継装置あてに送信する一方、前記判別手段により自装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段とを備える構成を有する。
本発明の請求項2に係る端末装置は、請求項1に記載の構成において、前記送信手段は、前記判別手段により自装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求の送信の確認を使用者に促す通知を行う構成を有する。
本発明の請求項3に係る端末装置は、請求項1又は2に記載の構成において、前記中継用処理要求には、前記処理実行装置のIPアドレス及び前記中継装置のIPアドレスが含まれる構成を有する。
本発明の請求項4に係る中継装置は、処理要求に応じた処理を実行する処理実行装置が接続されるとともに、当該処理要求を送信する端末装置が予め定められたセキュリティポリシーを満たす場合に当該端末装置が接続される第1の通信路と接続する第1の接続手段と、前記第1の通信路から論理的に隔離された第2の通信路であって、前記第1の通信路に比べて通信が制限され、前記端末装置が前記セキュリティポリシーを満たさない場合に当該端末装置が接続される第2の通信路と接続する第2の接続手段と、前記処理実行装置に対する処理要求を取得する処理要求取得手段と、前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、自装置を示すアドレス情報を取得するアドレス取得手段と、当該端末装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、前記判別手段により当該端末装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、当該端末装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す自装置あてに送信する一方、前記判別手段により当該端末装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段とを備える端末装置から、前記第2の通信路を介して前記処理要求を含む中継用処理要求を受信する受信手段と、前記受信手段により受信された中継用処理要求に含まれる処理要求が、前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、前記判定手段により前記リソースを改変しないものであると判定された処理要求を、前記第1の通信路を介して前記処理実行装置に送信する送信手段とを備える構成を有する。
本発明の請求項5に係る中継装置は、請求項4に記載の構成において、前記受信手段により受信された中継用処理要求から前記処理実行装置を示すアドレス情報を抽出する抽出手段を備え、前記送信手段が、前記判定手段により前記条件を満たすと判定された処理要求を、前記抽出手段により抽出されたアドレス情報が示す処理実行装置あてに送信する構成を有する。
本発明の請求項6に係るプログラムは、処理実行装置が接続されるとともに端末装置が予め定められたセキュリティポリシーを満たす場合に当該端末装置が接続される通信路を第1の通信路とし、前記第1の通信路に比べて通信が制限され、前記端末装置が前記セキュリティポリシーを満たさない場合に当該端末装置が接続される通信路を第2の通信路とするとき、前記端末装置のコンピュータを、前記処理実行装置に対する処理要求を取得する処理要求取得手段と、前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、前記第1の通信路と前記第2の通信路とに接続された中継装置であって、前記中継用処理要求を受信する受信手段と、前記受信手段により受信された中継用処理要求に含まれる処理要求が前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、前記判定手段により前記リソースを改変しないものであると判定された処理要求を前記第1の通信路を介して前記処理実行装置に送信する送信手段とを備える中継装置を示すアドレス情報を取得するアドレス取得手段と、前記端末装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、前記判別手段により前記端末装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、前記端末装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す中継装置あてに送信する一方、前記判別手段により当該端末装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段として機能させる構成を有する。
本発明の請求項1又は6の構成によれば、自装置が予め定められたセキュリティポリシーを満たさない場合に接続されない通信路(第1の通信路)に接続された処理実行装置に対して、処理要求を送信することができる。
本発明の請求項2の構成によれば、使用者の意図しない処理要求が発生した場合であっても、使用者に処理要求の送信の確認を促すことができる。
本発明の請求項3の構成によれば、処理実行装置のIPアドレス及び前記中継装置のIPアドレスを用いて、自装置が予め定められたセキュリティポリシーを満たさない場合に接続されない通信路(第1の通信路)に接続された処理実行装置に対して、処理要求を送信することができる。
本発明の請求項4の構成によれば、第の通信路から論理的に隔離された第の通信路に接続された処理実行装置に対して、端末装置が処理要求を送信することができる。
本発明の請求項5の構成によれば、中継装置が処理実行装置のアドレス情報をあらかじめ記憶していないでも、処理実行装置に対して処理要求を送信することができる。
検疫ネットワークシステムの概略構成を示す図 端末装置の構成を示すブロック図 端末装置が実現する機能を示す機能ブロック図 中継装置の構成を示すブロック図 中継装置が実現する機能を示す機能ブロック図 端末装置が実行する処理を示すフローチャート 中継装置が実行する処理を示すフローチャート
[実施形態]
図1は、本発明の一実施形態である検疫ネットワークシステムの概略構成を示す図である。この検疫ネットワークシステム10は、例えば、オフィス等のLAN(Local Area Network)に構築されるシステムである。検疫ネットワークシステム10は、ネットワークとして、基幹ネットワークNW1と隔離ネットワークNW2とを含んでいる。基幹ネットワークNW1は、本発明における「第1の通信路」の一例であり、隔離ネットワークNW2は、本発明における「第2の通信路」の一例である。基幹ネットワークNW1は、あらかじめ定められた条件を満たす端末装置が接続されるネットワークであり、隔離ネットワークNW2は、当該あらかじめ定められた条件を満たさない端末装置が接続されるネットワークである。なお、端末装置は、図示した端末装置100に限らず、複数存在し得る。これらの端末装置について、このあらかじめ定められた条件を満たすか否かを判断し、判断結果に応じた対処をすることを、以下においては「検疫」という。また、この検疫に用いる条件のことを、以下においては「検疫条件」という。
本実施形態において、検疫条件は、例えば、システム内におけるセキュリティポリシーに基づいて決められる。検疫条件としては、端末装置におけるアップデートプログラム(いわゆるパッチ)の適用のレベル、オペレーティングシステムやアプリケーションプログラムのバージョン情報、ウィルススキャンの実行の有無、ウィルスを定義する定義ファイルのバージョン情報などが採用され得る。例えば、ある端末装置に最新のパッチが適用されていれば、その端末装置は基幹ネットワークNW1に接続され、別の端末装置に最新のパッチが適用されていなければ、その端末装置は隔離ネットワークNW2に接続される、といった具合で判断が行われる。
なお、基幹ネットワークNW1と隔離ネットワークNW2とは、物理的に別異のネットワークである必要はなく、論理的に区別されていれば足りる。例えば、IP(Internet Protocol)アドレスの範囲を基幹ネットワークNW1と隔離ネットワークNW2とで異ならせることにより、基幹ネットワークNW1と隔離ネットワークNW2とが区別される。本実施形態においては、基幹ネットワークNW1に割り当てられるIPアドレスを「129.249.100.x」とし、隔離ネットワークNW2に割り当てられるIPアドレスを「192.168.10.x」とする(ただし、xは0〜255のいずれかの整数)。なお、以上のIPアドレスの区別は、説明の便宜上定めた一例である。よって、実際に用いられるIPアドレスは、この例に限定されないでよい。IPアドレスは、本発明における「アドレス情報」の一例であり、ネットワークにおいて通信機器を一意的に示す情報である。
隔離ネットワークNW2に接続された端末装置は、そのままでは基幹ネットワークNW1にアクセスできないようになされている。具体的には、隔離ネットワークNW2に接続された端末装置には、基幹ネットワークNW1においてDHCP(Dynamic Host Configuration Protocol)サーバによって割り当てられるIPアドレスとデフォルトゲートウェイアドレスが割り当てられずに、通常のサブネットアドレスと異なるプライベートアドレスが割り当てられる。よって、隔離ネットワークNW2に接続された端末装置は、いわゆる「ルータ越え」ができないようになされており、基幹ネットワークNW1に接続されている場合と同様の物理的接続を行っても、論理的に基幹ネットワークNW1にアクセスできない状態になる。ここにおいて、デフォルトゲートウェイアドレスは、基幹ネットワークNW1における通信の経路を特定するための情報であり、本発明における「経路情報」の一例に相当する。
基幹ネットワークNW1には、ルータ300が含まれるとともに、画像形成装置400が接続されている。ルータ300は、基幹ネットワークNW1においてデフォルトゲートウェイとして機能する。ルータ300は、基幹ネットワークNW1におけるデータの転送を制御する通信機器である。なお、ルータ300は、基幹ネットワークNW1及び隔離ネットワークNW2以外の他のネットワーク(例えば、インターネット)に接続されていてもよい。画像形成装置400は、いわゆるネットワークプリンタであり、基幹ネットワークNW1又は隔離ネットワークNW2に接続された端末装置から処理要求を受信し、受信した処理要求に応じた画像を形成する。画像形成装置400による画像の記録形式としては、電子写真方式やドットインパクト方式など、種々の方式を採用し得る。
本実施形態においては、ルータ300に割り当てられたIPアドレスを「129.249.100.240」であるとし、画像形成装置400に割り当てられたIPアドレスを「129.249.100.10」であるとする。本実施形態においては、ルータ300及び画像形成装置400に割り当てられるIPアドレスを固定値とする。
隔離ネットワークNW2には、治癒サーバ500が接続されている。治癒サーバ500は、(隔離ネットワークNW2に接続された)検疫条件を満たさない端末装置が検疫条件を満たすために必要なデータ(パッチ等)を記憶している。なお、治癒サーバ500は、端末装置に対して対話型のインターフェースを提供するなどして、端末装置の使用者の操作に応じたデータを供給してもよい。治癒サーバ500によって必要な対処がなされた端末装置は、接続されるネットワークが隔離ネットワークNW2から基幹ネットワークNW1に切り替えられる。
端末装置100は、基幹ネットワークNW1又は隔離ネットワークNW2に接続される端末装置である。端末装置100は、例えば、持ち出しの可能ないわゆるノートパソコンであってもよいし、デスクトップ型のコンピュータ等のその他の端末装置であってもよい。また、端末装置100によるネットワーク接続の態様は、有線又は無線のいずれであってもよい。なお、本実施形態においては、端末装置100をネットワーク接続の態様に応じて区別する必要がある場合に、基幹ネットワークNW1に接続された端末装置100を「端末装置100a」と表記し、隔離ネットワークNW2に接続された端末装置100を「端末装置100b」と表記する。
図2は、端末装置100の構成を示すブロック図である。同図に示すように、端末装置100は、制御部110と、記憶部120と、通信部130と、操作部140と、表示部150とを備える。制御部110は、CPU(Central Processing Unit)等の制御手段やメモリを備え、記憶されたプログラムを実行することにより端末装置100の動作を制御する。記憶部120は、制御部110が動作するのに必要なデータを記憶する記憶手段である。通信部130は、基幹ネットワークNW1又は隔離ネットワークNW2に接続する通信インターフェースであり、データの送受信を仲介する。操作部140は、キーボードやマウスによって使用者の操作を受け付け、使用者の操作を表す操作情報を制御部110に供給する。表示部150は、液晶モニタ等の表示装置を備え、使用者の操作を促す画像を表示する。
本実施形態の制御部110は、プログラムを実行することにより、オペレーションシステム(以下「OS」という。)、文書作成アプリケーション及びプリンタドライバを実現する。OSは、ネットワークへの接続状態の判断やデータの送受信など、端末装置100の基本的な機能を有する。文書作成アプリケーションは、文字や画像を含む文書データを生成する機能を有する。プリンタドライバは、文書作成アプリケーションによって生成された文書データに応じた処理要求を生成するとともに、これを管理する機能を有する。プリンタドライバの管理機能には、端末装置100の接続状態に応じたモードの切り替えなどが含まれる。
本実施形態において、「処理要求」とは、画像形成装置400に対する処理(画像を形成する処理)の要求のことをいう。また、本実施形態においては、画像形成装置400が、本発明における「処理実行装置」の一例である。しかしながら、本発明に係る処理実行装置は、画像形成装置に限定されない。
図3は、制御部110が実現する機能を示す機能ブロック図である。同図に示すように、端末装置100の制御部110は、プログラムを実行することにより、処理要求取得手段111、判別手段112、生成手段113、アドレス取得手段114及び送信手段115を実現する。処理要求取得手段111は、処理要求を取得する機能を有する。ここでいう「取得」には、端末装置100自体が処理要求を生成して取得する場合と、外部装置によって生成された処理要求を取得する場合とを含んでよい。判別手段112は、端末装置100のネットワークへの接続状態を判別する機能を有する。すなわち、判別手段112は、端末装置100が基幹ネットワークNW1に接続されるか、あるいは隔離ネットワークNW2に接続されるかを判別する。この判別は、自装置の状態と検疫条件とを比較することにより行われる。
なお、制御部110は、判別手段112による判別結果に応じて、端末装置100の動作を異ならせる。換言すれば、制御部110は、判別手段112による判別結果に応じた動作モードによって端末装置100を動作させる。以下においては、端末装置100が基幹ネットワークNW1に接続されている場合の動作モードを「通常モード」といい、端末装置100が隔離ネットワークNW2に接続されている場合の動作モードを「隔離モード」という。
生成手段113及びアドレス取得手段114は、端末装置100が隔離モードで動作する場合に機能する。生成手段113は、処理要求取得手段111により取得された処理要求を加工し、新たな処理要求を生成する。生成手段113が生成する処理要求のことを、以下においては「中継用処理要求」という。アドレス取得手段114は、端末装置100が隔離モードで動作する場合に、中継装置200のIPアドレスを取得する。なお、中継装置200のIPアドレスは、隔離モードNW2から検出される。送信手段115は、処理要求を送信する機能を有する。送信手段115は、端末装置100が通常モードで動作する場合には、処理要求取得手段111により取得された処理要求を画像形成装置400あてに送信し、端末装置100が隔離モードで動作する場合には、生成手段113により生成された中継用処理要求をアドレス取得手段114により取得されたIPアドレスあて、すなわち中継装置200あてに送信する。なお、画像形成装置400のIPアドレスは、あらかじめメモリ等に記憶されている。
中継装置200は、基幹ネットワークNW1と隔離ネットワークNW2の双方に接続されている。すなわち、中継装置200は、基幹ネットワークNW1に接続する接続手段と、隔離ネットワークNW2に接続する接続手段とを備えている。中継装置200は、隔離ネットワークNW2に接続された端末装置から送信された処理要求、すなわち中継用処理要求を中継し、画像形成装置400あてに送信する通信機器であり、異なるネットワーク間で処理要求の送受信を行うために処理要求の加工を行う。
図4は、中継装置200の構成を示すブロック図である。同図に示すように、中継装置200は、制御部210と、記憶部220と、第1通信部230と、第2通信部240とを備える。制御部210は、CPU等の制御手段やメモリを備え、記憶されたプログラムを実行することにより中継装置200の動作を制御する。記憶部220は、制御部210が動作するのに必要なデータを記憶する記憶手段である。第1通信部230は、基幹ネットワークNW1に接続する通信インターフェースであり、第2通信部240は、隔離ネットワークNW2に接続する通信インターフェースである。第1通信部230は、本発明における「第1の接続手段」の一例に相当し、第2通信部240は、本発明における「第2の接続手段」の一例に相当する。
中継装置200には、基幹ネットワークNW1におけるIPアドレスと、隔離ネットワークNW2におけるIPアドレスとが割り当てられる。換言すれば、中継装置200は、第1通信部230に割り当てられるIPアドレスと第2通信部240に割り当てられるIPアドレスとを有する。本実施形態においては、中継装置200には、基幹ネットワークNW1側のIPアドレスとして「129.249.100.240」、隔離ネットワークNW2側のIPアドレスとして「192.168.10.20」が、それぞれ割り当てられているとする。
図5は、制御部210が実現する機能を示す機能ブロック図である。同図に示すように、中継装置200の制御部210は、受信手段211、抽出手段212、検査手段213、判定手段214及び送信手段215を実現する。受信手段211は、処理要求を受信する機能を有する。受信手段211は、端末装置100bから中継装置200を経由して送信された処理要求(中継用処理要求)を受信する。抽出手段212は、中継用処理要求から生成手段113による加工前の処理要求を抽出する機能を有する。検査手段213は、画像形成装置400への処理要求の送信の適否を検査する機能を有する。検査手段213は、例えば、周知の手法でウィルススキャンを実行するなどして処理要求を検査する。検査手段213による検査内容は、隔離ネットワークNW2から送信された処理要求が基幹ネットワークNW1から送信された処理要求と同等に安全であるとみなせるか否かを判断するものであってもよい。判定手段214は、検査手段213による検査結果に基づいて、画像形成装置400への処理要求の送信の適否を判定する機能を有する。判定手段214は、検査結果が適当であった場合に、処理要求が送信手段215に引き渡され、検査結果が不適当であった場合に、処理要求の送信が行われないように制御する。送信手段215は、隔離ネットワークNW2から送信され、抽出手段212により抽出された処理要求を画像形成装置400あてに送信する機能を有する。
本実施形態の検疫ネットワークシステム10の構成は、以上のとおりである。この構成のもと、端末装置100の使用者は、端末装置100を物理的に接続し、ネットワークに参加する。ネットワークへの参加は、周知のログイン処理などにより行われる。ネットワークへの参加が行われると、端末装置100は、自装置が検疫条件を満たすか否かを判断し、その判断結果に応じてその後の動作を異ならせる。
端末装置100は、自装置が検疫条件を満たす場合に、基幹ネットワークNW1に接続され、端末装置100aとして動作する。端末装置100aは、基幹ネットワークNW1におけるデータの送受信を特に制限されないでよい。つまり、端末装置100aの動作は、通常のネットワークに接続された端末装置のそれと同様のものである。一方、端末装置100は、自装置が検疫条件を満たさない場合に、隔離ネットワークNW2に接続され、端末装置100bとして動作する。端末装置100bは、基幹ネットワークNW1とのデータの送受信を制限される。本実施形態においては、端末装置100bは、中継装置200を経由した処理要求の送信のみが許可され、その他のデータの送受信が許可されない。
図6は、端末装置100b、すなわち隔離ネットワークNW2に接続された端末装置100が実行する処理を示すフローチャートである。同図に示すように、端末装置100bの制御部110は、処理要求を取得する(ステップS11)。続いて、制御部110は、画像形成装置400のIPアドレスをメモリから取得し(ステップS12)、さらに中継装置200のIPアドレスを検索して取得する(ステップS13、S14)。制御部110は、ブロードキャストを用いて中継装置200のIPアドレスを検索する。
制御部110は、処理要求と画像形成装置400のIPアドレスとを取得すると、これらに基づいて中継用処理要求を生成する(ステップS15)。ここにおいて、中継用処理要求とは、処理要求と画像形成装置400のIPアドレスとをまとめ、これらが1つの処理要求であるかのように加工したデータをいう。ただし、中継用処理要求は、あらかじめ決められた規則に従って加工されており、中継装置200において加工前の処理要求とIPアドレスとを抽出できるように構成されている。中継用処理要求を生成したら、制御部110は、これをステップS14において取得したIPアドレスあて、すなわち中継装置200あてに送信する(ステップS16)。
図7は、端末装置100bから中継用処理要求が送信されたときの中継装置200が実行する処理を示すフローチャートである。同図に示すように、中継装置200の制御部210は、まず、隔離ネットワークNW2を介して中継用処理要求を受信する(ステップS21)。制御部210は、受信した中継用処理要求から加工前の処理要求とIPアドレスとを抽出する(ステップS22)。続いて、制御部210は、ステップS22において抽出した処理要求を検査し(ステップS23)、その送信の適否を判断する(ステップS24)。ステップS24における判断は、ステップS23の検査結果に加え、検疫条件に応じた種々の条件を用いてよい。制御部210は、処理要求を適当であると判断した場合(ステップS24:YES)、ステップS22において抽出したIPアドレスあて、すなわち画像形成装置400あてに処理要求を送信し(ステップS25)、処理要求を不適当であると判断した場合(ステップS24:NO)、処理要求を画像形成装置400に送信せずに本処理を終了させる。
以上のとおり、本実施形態の検疫ネットワークシステム10においては、基幹ネットワークNW1と論理的に隔離された隔離ネットワークNW2に接続された端末装置100bによっても、基幹ネットワークNW1に接続された処理実行装置(画像形成装置400)に対して要求した処理が実行される場合がある。かかる場合とは、システム内におけるセキュリティポリシー等に基づいて定められるものであればよいが、例えば、隔離ネットワークNW2側から要求される処理が基幹ネットワークNW1側のリソース(データやファイル)を改変したりしないことが明らかな場合などである。
本実施形態の検疫ネットワークシステム10においては、隔離ネットワークNW2側から基幹ネットワークNW1側に対して一定の処理を許容することにより、例えば、最新のパッチがリリースされた直後において、端末装置が一時的に検疫条件を満たさないようになっても、当該一定の処理の実行は妨げられないようにしつつ、基幹ネットワークNW1側に作用を及ぼすそれ以外の処理の実行を妨げる状態が生じる。
[変形例]
上述した実施形態は、本発明の一例である。本発明は、例えば、以下の変形例を適用しても実施可能である。なお、上述した実施形態及び以下の変形例は、必要に応じて、これらを組み合わせて適用してもよい。
(変形例1)
上述した実施形態は、使用者の意図しない処理要求が発生しないことを前提とした実施形態である。一方で、コンピュータウィルス等によっては、使用者の意図しない処理要求が発生する場合がないわけではない。そこで、本発明は、このような使用者の意図しない処理要求が発生する場合に備えて、上述した中継用処理要求を送信する段階においては、使用者に処理要求の送信の確認を促す通知を行い、使用者が処理要求の送信を事前に知得する構成を採用してもよい。さらに、この構成においては、使用者が承認をする旨の何らか操作をしなければ、中継用処理要求が送信されないようにしてもよい。
(変形例2)
本発明における中継装置には、いわゆるwell-knownポート(よく知られた代表的なポート番号)と異なるポート番号を使用することが望ましい。well-knownポートを使用していると、悪意あるコンピュータウィルス等によって利用される可能性が高くなるからである。本発明における中継装置には、例えば、LPR(Line Printer Remote)プロトコルと異なる独自のポート番号を使用すると望ましい。
(変形例3)
上述したステップS24の判断処理は、その判断基準を動的に異ならせるものであってもよい。本発明は、例えば、判断基準を規定するポリシー情報を記憶するサーバ装置(ポリシーサーバ)を基幹ネットワークNW1上に設け、中継装置がこのポリシーサーバからポリシー情報を取得し、処理要求の送信の適否の判断に用いる構成であってもよい。この場合、ポリシーサーバのポリシー情報は、ネットワークの管理者等により必要に応じて更新される構成であるとする。
(変形例4)
端末装置が検疫条件を満たすか否かの判断は、外部装置によって行われてもよい。この場合、端末装置は、自装置が基幹ネットワークNW1と隔離ネットワークNW2のいずれに接続されているか(換言すれば、いずれのネットワークのIPアドレスが割り当てられているか)によって動作モードを切り替えてもよい。
(変形例5)
図3又は図5に示す各機能は、一のプログラムによって実現されるものであってもよいし、複数のプログラムの組み合わせによって実現されるものであってもよい。また、これらの各機能は、複数の制御手段の協働によって実現されるものであってもよい。
また、本発明に係るプログラムは、その一部又は全部が光ディスクやフラッシュメモリ等の記録媒体に記憶された形態で提供されてもよいし、インターネット等のネットワークを介してダウンロードされてもよい。
10…検疫ネットワークシステム、NW1…基幹ネットワーク、NW2…隔離ネットワーク、100…端末装置、110…制御部、120…記憶部、130…通信部、140…操作部、150…表示部、111…処理要求取得手段、112…判別手段、113…生成手段、114…アドレス取得手段、115…送信手段、200…中継装置、210…制御部、211…受信手段、212…抽出手段、213…検査手段、214…判定手段、215…送信手段、220…記憶部、230…第1通信部、240…第2通信部、300…ルータ、400…画像形成装置、500…治癒サーバ

Claims (6)

  1. 処理実行装置が接続されるとともに自装置が予め定められたセキュリティポリシーを満たす場合に自装置が接続される通信路を第1の通信路とし、
    前記第1の通信路に比べて通信が制限され、自装置が前記セキュリティポリシーを満たさない場合に自装置が接続される通信路を第2の通信路とするとき、
    前記処理実行装置に対する処理要求を取得する処理要求取得手段と、
    前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、
    前記第1の通信路と前記第2の通信路とに接続された中継装置であって、前記中継用処理要求を受信する受信手段と、前記受信手段により受信された中継用処理要求に含まれる処理要求が前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、前記判定手段により前記リソースを改変しないものであると判定された処理要求を前記第1の通信路を介して前記処理実行装置に送信する送信手段とを備える中継装置を示すアドレス情報を取得するアドレス取得手段と、
    自装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、
    前記判別手段により自装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、自装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す中継装置あてに送信する一方、前記判別手段により自装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段と
    を備えることを特徴とする端末装置。
  2. 前記送信手段は、前記判別手段により自装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求の送信の確認を使用者に促す通知を行う
    ことを特徴とする請求項1に記載の端末装置。
  3. 前記中継用処理要求には、前記処理実行装置のIPアドレス及び前記中継装置のIPアドレスが含まれる
    ことを特徴とする請求項1又は2に記載の端末装置。
  4. 処理要求に応じた処理を実行する処理実行装置が接続されるとともに、当該処理要求を送信する端末装置が予め定められたセキュリティポリシーを満たす場合に当該端末装置が接続される第1の通信路と接続する第1の接続手段と、
    前記第1の通信路から論理的に隔離された第2の通信路であって、前記第1の通信路に比べて通信が制限され、前記端末装置が前記セキュリティポリシーを満たさない場合に当該端末装置が接続される第2の通信路と接続する第2の接続手段と、
    前記処理実行装置に対する処理要求を取得する処理要求取得手段と、前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、自装置を示すアドレス情報を取得するアドレス取得手段と、当該端末装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、前記判別手段により当該端末装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、当該端末装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す自装置あてに送信する一方、前記判別手段により当該端末装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段とを備える端末装置から、前記第2の通信路を介して前記処理要求を含む中継用処理要求を受信する受信手段と、
    前記受信手段により受信された中継用処理要求に含まれる処理要求が、前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、
    前記判定手段により前記リソースを改変しないものであると判定された処理要求を、前記第1の通信路を介して前記処理実行装置に送信する送信手段と
    を備えることを特徴とする中継装置。
  5. 前記受信手段により受信された中継用処理要求から前記処理実行装置を示すアドレス情報を抽出する抽出手段を備え、
    前記送信手段が、
    前記判定手段により前記条件を満たすと判定された処理要求を、前記抽出手段により抽出されたアドレス情報が示す処理実行装置あてに送信する
    ことを特徴とする請求項4に記載の中継装置。
  6. 処理実行装置が接続されるとともに端末装置が予め定められたセキュリティポリシーを満たす場合に当該端末装置が接続される通信路を第1の通信路とし、
    前記第1の通信路に比べて通信が制限され、前記端末装置が前記セキュリティポリシーを満たさない場合に当該端末装置が接続される通信路を第2の通信路とするとき、
    前記端末装置のコンピュータを、
    前記処理実行装置に対する処理要求を取得する処理要求取得手段と、
    前記処理要求取得手段により取得された処理要求と前記処理実行装置のアドレス情報とを含む中継用処理要求を生成する生成手段と、
    前記第1の通信路と前記第2の通信路とに接続された中継装置であって、前記中継用処理要求を受信する受信手段と、前記受信手段により受信された中継用処理要求に含まれる処理要求が前記第1の通信路に接続されているリソースを改変しないものであるか否かを判定する判定手段と、前記判定手段により前記リソースを改変しないものであると判定された処理要求を前記第1の通信路を介して前記処理実行装置に送信する送信手段とを備える中継装置を示すアドレス情報を取得するアドレス取得手段と、
    前記端末装置が前記セキュリティポリシーを満たすか否かを判別する判別手段と、
    前記判別手段により前記端末装置が前記セキュリティポリシーを満たさないと判別された場合に、前記生成手段により生成された中継用処理要求を、前記端末装置が接続された前記第2の通信路から前記アドレス取得手段により取得されたアドレス情報が示す中継装置あてに送信する一方、前記判別手段により当該端末装置が前記セキュリティポリシーを満たすと判別された場合に、前記処理要求取得手段により取得された処理要求を、前記第1の通信路に接続された前記処理実行装置あてに送信する送信手段
    として機能させるプログラム。
JP2009000883A 2009-01-06 2009-01-06 端末装置、中継装置及びプログラム Expired - Fee Related JP5245837B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009000883A JP5245837B2 (ja) 2009-01-06 2009-01-06 端末装置、中継装置及びプログラム
US12/547,248 US8478870B2 (en) 2009-01-06 2009-08-25 Terminal apparatus, relay apparatus, processing method, recording medium, and data signal
CN200910175840.0A CN101771529B (zh) 2009-01-06 2009-09-17 终端装置、中继装置和处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009000883A JP5245837B2 (ja) 2009-01-06 2009-01-06 端末装置、中継装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2010161468A JP2010161468A (ja) 2010-07-22
JP5245837B2 true JP5245837B2 (ja) 2013-07-24

Family

ID=42312422

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009000883A Expired - Fee Related JP5245837B2 (ja) 2009-01-06 2009-01-06 端末装置、中継装置及びプログラム

Country Status (3)

Country Link
US (1) US8478870B2 (ja)
JP (1) JP5245837B2 (ja)
CN (1) CN101771529B (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8788707B1 (en) * 2010-05-27 2014-07-22 Crimson Corporation Assigning a random static IP address in a quarantine network
JP5750935B2 (ja) * 2011-02-24 2015-07-22 富士ゼロックス株式会社 情報処理システム、情報処理装置、サーバ装置およびプログラム
JP5962261B2 (ja) * 2012-07-02 2016-08-03 富士ゼロックス株式会社 中継装置
JP5929946B2 (ja) 2014-02-27 2016-06-08 コニカミノルタ株式会社 画像形成システム、中継サーバー、通信制御方法及びプログラム
CN105228219B (zh) * 2015-10-12 2018-12-18 小米科技有限责任公司 中继路由器信息的获取方法及装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6934763B2 (en) * 2000-04-04 2005-08-23 Fujitsu Limited Communication data relay system and method of controlling connectability between domains
JP2001352337A (ja) * 2000-04-04 2001-12-21 Fujitsu Ltd 通信データ中継装置、及び方法
US7130070B2 (en) * 2001-01-17 2006-10-31 Sepialine Incorporated System and method for asynchronous tracking and quantifying of printing events
JP2003244243A (ja) 2002-02-13 2003-08-29 Seiko Epson Corp フィルタリング機能を有するネットワーク接続装置
JP2003271346A (ja) 2002-03-12 2003-09-26 Ricoh Co Ltd ネットワーク機器、ネットワークプリンタシステム
JP4253569B2 (ja) * 2003-12-03 2009-04-15 株式会社日立コミュニケーションテクノロジー 接続制御システム、接続制御装置、及び接続管理装置
JP4339184B2 (ja) * 2004-06-07 2009-10-07 パナソニック株式会社 サーバ装置、通信機器、通信システム、通信方法、プログラム及び記録媒体
JP4321375B2 (ja) * 2004-06-18 2009-08-26 沖電気工業株式会社 アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP4330520B2 (ja) * 2004-12-08 2009-09-16 富士通株式会社 通信装置
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
JP2007006456A (ja) * 2005-05-25 2007-01-11 Sharp Corp 受信装置、送信装置
JP2006352719A (ja) 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
JP2007124486A (ja) * 2005-10-31 2007-05-17 Toshiba Corp 通信制御方法
EP1963984A4 (en) * 2005-12-15 2013-07-24 Barclays Capital Inc SYSTEM AND METHOD FOR SECURE ACCESS TO A REMOTE OFFICE
JP4852379B2 (ja) * 2006-09-06 2012-01-11 アラクサラネットワークス株式会社 パケット通信装置
JP2008077558A (ja) 2006-09-25 2008-04-03 Mitsubishi Electric Corp 検疫ネットワークシステム
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
JP4773987B2 (ja) * 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 端末所属切換システム
CN100550739C (zh) * 2007-02-14 2009-10-14 华为技术有限公司 一种为用户终端发起认证请求的方法、系统和路由设备
JP2008271097A (ja) * 2007-04-19 2008-11-06 Hitachi Ltd 通信装置およびクライアント装置
CN101296177A (zh) * 2007-04-29 2008-10-29 华为技术有限公司 在分组网络中实现过载控制的方法、系统和装置

Also Published As

Publication number Publication date
US20100174827A1 (en) 2010-07-08
US8478870B2 (en) 2013-07-02
JP2010161468A (ja) 2010-07-22
CN101771529A (zh) 2010-07-07
CN101771529B (zh) 2014-09-03

Similar Documents

Publication Publication Date Title
US9811294B2 (en) Relay device, image forming apparatus, relay method, and non-transitory computer-readable recording medium encoded with relay program
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
JP5743589B2 (ja) Webサービスシステム、サーバ管理装置およびWebサービス提供方法
US20140282481A1 (en) Information Processing Apparatus, Relay Server, Information Relay Method, Non-Transitory Computer-Readable Medium Storing Information Relay Program, and Communication System
US8817785B2 (en) Communication apparatus having a plurality of network interfaces, method of communication by the communication apparatus, and storage medium
US20130132576A1 (en) Network Device, Method of Controlling Network Device, and Recording Medium on Which Program for Controlling Network Device Is Recorded
US20130346591A1 (en) Clientless Cloud Computing
US10715489B2 (en) Management server, connection support method, and non-transitory computer-readable recording medium encoded with connection support program
US9134942B2 (en) Printing system, intermediate server, printing device, job system, method for executing print job, and computer-readable storage medium for computer program
US9866407B2 (en) Information processing system, cloud server, device control method, and non-transitory computer-readable recording medium encoded with device control program
JP5245837B2 (ja) 端末装置、中継装置及びプログラム
JP2012146197A (ja) 印刷支援装置及び印刷システム並びに印刷支援プログラム
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
CN106101297B (zh) 一种报文应答方法及装置
US20100332681A1 (en) Communication apparatus capable of selecting a proper source address from a plurality of source addresses assigned thereto, method of controlling the same, and storage medium
CN109218381B (zh) 远程通信控制系统和会话中继系统
US20160117135A1 (en) Apparatus and method for processing information on file or job
JP5736346B2 (ja) 仮想化装置、仮想化制御方法、仮想化装置制御プログラム
US9467501B2 (en) Relay server system
JP6870337B2 (ja) 画像形成装置、アクセス支援方法、およびコンピュータプログラム
JP4888420B2 (ja) 通信制御システム
JP2021111053A (ja) 仲介プログラム、管理プログラム及びデバイス管理システム
US20070058527A1 (en) Peripheral setting apparatus and method
JP7468652B2 (ja) 分散システム、通信端末、機能復旧方法、及びプログラム
JP5248445B2 (ja) 通信エージェント、検疫ネットワークシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130325

R150 Certificate of patent or registration of utility model

Ref document number: 5245837

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160419

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees