JP6690836B2 - Monitoring device, user terminal, communication system, communication method and program - Google Patents
Monitoring device, user terminal, communication system, communication method and program Download PDFInfo
- Publication number
- JP6690836B2 JP6690836B2 JP2017177441A JP2017177441A JP6690836B2 JP 6690836 B2 JP6690836 B2 JP 6690836B2 JP 2017177441 A JP2017177441 A JP 2017177441A JP 2017177441 A JP2017177441 A JP 2017177441A JP 6690836 B2 JP6690836 B2 JP 6690836B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- connection
- failure
- authentication information
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、監視装置、ユーザ端末、通信システム、通信方法及びプログラムに関する。 The present invention relates to a monitoring device, a user terminal, a communication system, a communication method and a program.
顧客と保守契約を結んだ、保守対象の装置(サーバ装置、ネットワーク機器等)において障害が発生した場合には、障害復旧作業を行う作業員は、障害が発生した装置の設置場所へ行き、障害復旧作業を行う場合がある。しかし、作業員のスケジュール、及び/又は作業員が現地(障害が発生した装置の設置場所)に到着するまでの移動時間等の事情が影響して、障害発生後、速やかに、作業員が現地へ行き、障害復旧作業を行えない場合がある。 When a failure occurs in a maintenance target device (server device, network device, etc.) that has a maintenance contract with a customer, the worker who performs the failure recovery work goes to the installation location of the failed device and Recovery work may be performed. However, due to factors such as the worker's schedule and / or circumstances such as the travel time required for the worker to arrive at the site (the installation location of the device where the failure occurred), after the failure occurred, the worker was promptly on-site. There is a case that you cannot go to the disaster recovery work.
そこで、保守対象の装置がネットワークに接続されている場合には、障害復旧作業を行う作業員は、自身が使用するユーザ端末(PC(Personal Computer)、タブレット端末等)を用いて、当該装置に接続(リモート接続)し、障害復旧作業等を行う場合がある。 Therefore, when the device to be maintained is connected to the network, the worker who performs the failure recovery work uses the user terminal (PC (Personal Computer), tablet terminal, etc.) that he or she uses to connect to the device. Connection (remote connection) may be performed, and failure recovery work may be performed.
しかし、保守対象の装置が、インターネット、公衆無線LAN(Local Area Network)、携帯電話通信網等のネットワークを介した接続を許可すると、任意の者が、保守対象の装置に接続可能(アクセス可能)になる恐れがある。そのため、保守対象の装置が、インターネット、公衆無線LAN、携帯電話通信網等のネットワークを介した接続を許可すると、意図しない(悪意のある)第三者が当該装置に対して接続する恐れがある。また、意図しない(悪意ある)第三者が、保守対象の装置に対して接続した場合、障害復旧作業を行う作業員が使用するユーザ端末は、保守対象の装置から接続を拒否される場合がある。 However, if the device to be maintained permits connection via networks such as the Internet, public wireless LAN (Local Area Network), and mobile phone communication networks, any person can connect (access) to the device to be maintained. May become. Therefore, if the device to be maintained permits connection via networks such as the Internet, public wireless LAN, and mobile phone communication network, an unintended (malicious) third party may connect to the device. . In addition, when an unintended (malicious) third party connects to the maintenance target device, the user terminal used by the worker who performs the failure recovery work may be refused the connection from the maintenance target device. is there.
特許文献1においては、接続先の装置(監視用通信端末)が、接続先の装置(監視用通信端末)にアクセスするためのアクセス情報として、アクセスを許可するユーザ端末(保安用通信端末)に、電話番号等を通知する技術が記載されている。特許文献1に記載された技術では、アクセス情報を受信したユーザ端末(保安用通信端末)は、受信したアクセス情報(電話番号等)に基づいて、接続先の装置(監視用通信端末)にアクセスする。
In
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明の観点からなされたものである。 The disclosure of the above-mentioned prior art documents is incorporated herein by reference. The following analysis has been made in view of the present invention.
上記の通り、保守対象の装置が、インターネット、公衆無線LAN、携帯電話通信網等のネットワークを介したリモート接続を許可すると、意図しない(悪意ある)第三者が当該装置に対してリモート接続する恐れがある。 As described above, when the device to be maintained permits remote connection via the Internet, public wireless LAN, mobile phone communication network, or the like, an unintended (malicious) third party remotely connects to the device. There is a fear.
そこで、例えば、Group−VPN(Virtual Private Network)回線、又は保守対象の装置にリモート接続するための専用回線を利用することで、意図しない(悪意ある)第三者が当該装置に対してリモート接続することを防止し得る。しかし、その場合、障害復旧作業を行う作業員は、Group−VPN回線、又は上記の専用回線にリモート接続可能な場所において復旧作業等を行う必要がある。つまり、Group−VPN回線、又は保守対象の装置にリモート接続するための専用回線を利用する場合、作業員は、任意の場所から障害復旧作業を行えない。その結果、保守対象の装置において障害が発生したとき、作業員のスケジュール、及び/又は、作業員が現地(障害が発生した装置にリモート接続可能な場所)に到着するまでの移動時間等の事情が影響して、作業員は、速やかに、障害復旧作業を行えない場合がある。 Therefore, for example, by using a Group-VPN (Virtual Private Network) line or a dedicated line for remotely connecting to a device to be maintained, an unintended (malicious) third party remotely connects to the device. Can be prevented. However, in that case, the worker who performs the failure recovery work needs to perform the recovery work or the like at a place that can be remotely connected to the Group-VPN line or the dedicated line. That is, when using the Group-VPN line or the dedicated line for remote connection to the maintenance target device, the worker cannot perform the failure recovery work from any place. As a result, when a failure occurs in the maintenance target device, the worker's schedule and / or circumstances such as the travel time until the worker arrives at the site (a place where the failure can be remotely connected to the device) As a result, the workers may not be able to quickly perform the failure recovery work.
また、障害復旧作業を行う作業員が、手動で、保守対象の装置にリモート接続するための設定を行う場合、作業員が設定を誤ると、作業員が使用するユーザ端末は、接続したい装置とは異なる装置にリモート接続するおそれがある。 In addition, when the worker who performs the disaster recovery work manually makes the settings for remote connection to the device requiring maintenance, if the worker makes an error in the settings, the user terminal used by the worker will not be connected to the device to be connected. May connect remotely to a different device.
特許文献1においては、接続先の装置(監視用通信端末)が正常に動作することが前提になっており、接続先の装置(監視用通信端末)において、障害が発生した場合については記載されていない。
In
また、特許文献1においては、リモート接続については記載されていない。そのため、特許文献1に記載された技術では、意図しない(悪意のある)第三者が、接続先の装置に対してリモート接続することを防止できない。
Further,
そこで、本発明は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置、ユーザ端末、通信システム、通信方法及びプログラムを提供することを目的とする。 Therefore, the present invention provides a monitoring device, a user terminal, a communication system, a communication method, and a program that contribute to preventing unauthorized access to a device to be monitored and contribute to preventing unnecessary access. With the goal.
本発明の第1の視点によれば、監視装置が提供される。前記監視装置は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部を備える。
さらに、前記監視装置は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部を備える。
According to a first aspect of the present invention, a monitoring device is provided. The monitoring device includes a storage unit that includes at least a part of the monitoring target device and that stores first authentication information that is necessary when connecting to a predetermined connection target.
Furthermore, the monitoring device includes a monitoring unit that monitors the state of one or more of the monitoring target devices via a network.
Further, the monitoring device, when the monitoring unit detects a failure of the monitoring target device, a port used for connection with the monitoring target device in which the failure is detected, and a port used for connection with a user terminal. Is opened for a predetermined connection permission time.
Furthermore, when the monitoring unit detects the failure of the monitoring target device, the monitoring device generates second authentication information, authenticates the user terminal based on the second authentication information, and authenticates the user terminal. A connection management unit is provided that permits connection from the user terminal to the self-monitoring device and connects to the connection target using the first authentication information.
本発明の第2の視点によれば、ユーザ端末が提供される。前記ユーザ端末は、ネットワークを介して、監視装置に接続する、端末接続部を備える。
さらに、前記ユーザ端末は、前記監視装置から、障害通報と第2の認証情報とを受信した場合、受信した前記第2の認証情報を前記監視装置に応答する、通報受信部を備える。
さらに、前記ユーザ端末は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する、端末接続管理部を備える。
According to a second aspect of the present invention, a user terminal is provided. The user terminal includes a terminal connection unit that connects to a monitoring device via a network.
Further, the user terminal includes a notification receiving unit that responds to the monitoring device with the received second authentication information when receiving a failure notification and second authentication information from the monitoring device.
Further, the user terminal connects to the monitoring target device corresponding to the failure notification via the monitoring device when the monitoring device permits the connection between the own user terminal and the monitoring device, terminal connection management Section.
本発明の第3の視点によれば、通信システムが提供される。前記通信システムは、1又は2以上の監視対象装置と、監視装置と、前記監視装置を経由して前記監視対象装置に接続する、端末接続部を備える、ユーザ端末と、を含んで構成される。
前記監視装置は、前記監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部を備える。
さらに、前記監視装置は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部を備える。
さらに、前記監視装置は、前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部を備える。
前記ユーザ端末は、前記監視装置から、障害通報と前記第2の認証情報とを受信する、通報受信部を備える。
さらに、前記ユーザ端末は、前記通報受信部が、障害通報と前記第2の認証情報とを受信した場合、受信した前記認証情報を前記監視装置に応答する、端末接続管理部を備える。
さらに、前記端末接続管理部は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する。
According to a third aspect of the present invention, a communication system is provided. The communication system is configured to include one or more monitoring target devices, a monitoring device, and a user terminal including a terminal connection unit that connects to the monitoring target device via the monitoring device. .
The monitoring device includes a storage unit that includes at least a part of the monitoring target device and that stores first authentication information that is necessary when connecting to a predetermined connection target.
Furthermore, the monitoring device includes a monitoring unit that monitors the state of one or more of the monitoring target devices via a network.
Further, the monitoring device, when the monitoring unit detects a failure of the monitoring target device, a port used for connection with the monitoring target device in which the failure is detected, and a port used for connection with a user terminal. Is opened for a predetermined connection permission time.
Furthermore, when the monitoring unit detects the failure of the monitoring target device, the monitoring device generates second authentication information, authenticates the user terminal based on the second authentication information, and authenticates the user terminal. A connection management unit is provided that permits connection from the user terminal to the self-monitoring device and connects to the connection target using the first authentication information.
The user terminal includes a notification receiving unit that receives a failure notification and the second authentication information from the monitoring device.
Further, the user terminal includes a terminal connection management unit that responds to the monitoring device with the received authentication information when the notification receiving unit receives a failure notification and the second authentication information.
Further, when the monitoring device permits the connection between the own user terminal and the monitoring device, the terminal connection management unit connects to the monitoring target device corresponding to the failure notification via the monitoring device.
本発明の第4の視点によれば、通信方法が提供される。前記通信方法は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する工程を含む。
さらに、前記通信方法は、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する工程を含む。
さらに、前記通信方法は、前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置と監視装置との接続に使用するポート、及びユーザ端末と前記監視装置との接続に使用するポートを、所定の接続許可時間、開放する工程を含む。
さらに、前記通信方法は、前記監視対象装置の障害が検知された場合、第2の認証情報を生成する工程を含む。
さらに、前記通信方法は、前記第2の認証情報に基づいて前記ユーザ端末を認証する工程を含む。
さらに、前記通信方法は、認証した前記ユーザ端末から前記監視装置への接続を許可する工程を含む。
さらに、前記通信方法は、前記第1の認証情報を使用して前記接続対象に接続する工程を含む。
なお、本方法は、1又は2以上の装置の状態を監視する監視装置という、特定の機械に結び付けられている。
According to a fourth aspect of the present invention, a communication method is provided. The communication method includes a step of storing first authentication information, which is necessary when connecting to a predetermined connection target including at least a part of a monitored device.
Furthermore, the communication method includes a step of monitoring the status of one or more of the monitoring target devices via a network.
Further, in the communication method, when a failure of the monitoring target device is detected, a port used for connecting the monitoring target device in which the failure is detected and the monitoring device, and a connection between the user terminal and the monitoring device. And the step of opening the port used for the predetermined connection permission time.
Further, the communication method includes a step of generating second authentication information when a failure of the monitored device is detected.
Further, the communication method includes a step of authenticating the user terminal based on the second authentication information.
Further, the communication method includes a step of permitting connection from the authenticated user terminal to the monitoring device.
Further, the communication method includes a step of connecting to the connection target using the first authentication information.
It should be noted that the method is tied to a specific machine, a monitoring device that monitors the status of one or more devices.
本発明の第5の視点によれば、ユーザ端末の制御方法が提供される。前記制御方法は、ネットワークを介して、監視装置に接続する工程を含む。
さらに、前記制御方法は、障害通報と前記第2の認証情報とを受信する工程を含む。
さらに、前記制御方法は、障害通報と前記第2の認証情報とが受信された場合、受信した前記認証情報を前記監視装置に応答する工程を含む。
さらに、前記制御方法は、前記監視装置との接続が許可された場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する工程を含む。
なお、本方法は、ネットワークを介して、監視装置に接続するユーザ端末という、特定の機械に結び付けられている。
According to a fifth aspect of the present invention, a method for controlling a user terminal is provided. The control method includes a step of connecting to a monitoring device via a network.
Further, the control method includes a step of receiving a fault notification and the second authentication information.
Further, the control method includes a step of responding the received authentication information to the monitoring device when a failure notification and the second authentication information are received.
Further, the control method includes a step of connecting to the monitoring target device corresponding to the failure notification via the monitoring device when the connection with the monitoring device is permitted.
It should be noted that the method is tied to a specific machine, which is a user terminal connected to the monitoring device via a network.
本発明の第6の視点によれば、プログラムが提供される。前記プログラムは、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する処理を、監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視対象装置の障害が検知された場合、第2の認証情報を生成する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記第2の認証情報に基づいて前記ユーザ端末を認証する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、認証した前記ユーザ端末から監視装置への接続を許可する処理を、前記監視装置を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記第1の認証情報を使用して前記接続対象に接続する処理を、前記監視装置を制御するコンピュータに実行させる。
According to a sixth aspect of the present invention, a program is provided. The program causes a computer controlling the monitoring device to perform a process of storing the first authentication information, which is necessary when connecting to a predetermined connection target, including at least a part of the monitoring target device.
Further, the program causes a computer controlling the monitoring device to execute a process of monitoring the state of one or more of the monitoring target devices via a network.
Further, when a failure of the monitored device is detected, the program sets a port used for connection with the monitored device in which the failure is detected and a port used for connection with a user terminal to a predetermined value. The computer controlling the monitoring device is caused to execute the processing of releasing the connection permission time.
Further, the program causes a computer controlling the monitoring device to execute a process of generating second authentication information when a failure of the monitoring target device is detected.
Further, the program causes a computer controlling the monitoring device to execute a process of authenticating the user terminal based on the second authentication information.
Further, the program causes a computer controlling the monitoring device to execute a process of permitting connection from the authenticated user terminal to the monitoring device.
Further, the program causes a computer that controls the monitoring device to execute a process of connecting to the connection target using the first authentication information.
本発明の第7の視点によれば、プログラムが提供される。前記プログラムは、ネットワークを介して、監視装置に接続する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、障害通報と前記第2の認証情報とを受信する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、障害通報と前記第2の認証情報とが受信された場合、受信した前記認証情報を前記監視装置に応答する処理を、ユーザ端末を制御するコンピュータに実行させる。
さらに、前記プログラムは、前記監視装置との接続が許可された場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する処理を、ユーザ端末を制御するコンピュータに実行させる。
なお、これらのプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
According to a seventh aspect of the present invention, a program is provided. The program causes a computer controlling a user terminal to execute a process of connecting to a monitoring device via a network.
Further, the program causes a computer that controls the user terminal to execute a process of receiving a failure notification and the second authentication information.
Further, when the fault notification and the second authentication information are received, the program causes the computer controlling the user terminal to execute a process of responding the received authentication information to the monitoring device.
Further, when the connection with the monitoring device is permitted, the program causes a computer controlling a user terminal to execute a process of connecting to the monitoring target device corresponding to the failure notification via the monitoring device. .
Note that these programs can be recorded in a computer-readable storage medium. The storage medium may be a non-transient one such as a semiconductor memory, a hard disk, a magnetic recording medium, an optical recording medium, or the like. The present invention can also be embodied as a computer program product.
本発明の各視点によれば、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置、ユーザ端末、通信システム、通信方法及びプログラムが提供される。 According to each of the aspects of the present invention, a monitoring device, a user terminal, a communication system, a communication method, and a program that contribute to preventing unauthorized access to a device to be monitored and contribute to preventing unnecessary access are provided. Provided.
初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各ブロック図のブロック間の接続線は、双方向及び単方向の双方を含む。 First, the outline of one embodiment will be described with reference to FIG. Note that the reference numerals attached to the outline are added to the respective elements for convenience as an example for facilitating understanding, and the description of the outline is not intended to limit the invention. Further, the connecting lines between blocks in each block diagram include both bidirectional and unidirectional.
上述の通り、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する監視装置が望まれる。 As described above, there is a demand for a monitoring device that contributes to preventing unauthorized access to the device to be monitored and contributes to preventing unnecessary access.
そこで、一例として、図1に示す監視装置1000を提供する。監視装置1000は、記憶部1001と、監視部1002と、ポート管理部1003と、接続管理部1004とを備える。
Therefore, as an example, the monitoring apparatus 1000 shown in FIG. 1 is provided. The monitoring device 1000 includes a
記憶部1001は、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する。
The
監視部1002は、ネットワークを介して、1又は2以上の監視対象装置の状態を監視する。ここで、ネットワークは、インターネット、イントラネット、公衆無線LAN、携帯電話通信網等であってもよく、その詳細は問わない。つまり、ネットワークは、例えば、Group−VPN回線、又は監視対象装置に接続するための専用回線等である必要はない。
The
ポート管理部1003は、監視部1002が監視対象装置の障害を検知した場合、障害が検知された監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の時間(以下、接続許可時間と呼ぶ)、開放する。つまり、ポート管理部1003は、監視部1002が監視対象装置の障害を検知した時に、障害が検知された監視対象装置、及びユーザ端末との接続(リモート接続)を可能とする。
When the
ここで、リモート接続とは、所定の装置(コンピュータ)が、ネットワークで接続された装置(コンピュータ)を操作する機能を意味する。リモート接続は、プログラム、コマンド、プロトコル等、各種の手段を用いて実現可能であるが、実現手段の詳細は問わない。 Here, the remote connection means a function that a predetermined device (computer) operates a device (computer) connected via a network. The remote connection can be realized by using various means such as a program, a command, and a protocol, but the details of the realizing means are not limited.
接続管理部1004は、監視部1002が監視対象装置の障害を検知した場合、第2の認証情報を生成する。そして、接続管理部1004は、第2の認証情報に基づいてユーザ端末を認証し、認証したユーザ端末から自監視装置1000への接続を許可する。そして、接続管理部1004は、第1の認証情報を使用して、監視対象装置の少なくとも一部を含む、接続対象に接続する。なお、記憶部1001は、監視部1002が監視対象装置の障害を検知する前に、当該監視対象装置に対応する、第1の認証情報を予め記憶しているものとする。
The
従って、監視対象装置において障害が発生した場合、監視装置1000は、監視装置1000を経由して、監視対象装置に接続することを、認証したユーザ端末に許可する。つまり、監視装置1000は、監視対象装置に接続可能なユーザ端末を制限できる。さらに、監視装置1000が、監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を保有することで、ユーザ端末が監視対象装置に対して、直接に接続することを防止できる。 Therefore, when a failure occurs in the monitored device, the monitored device 1000 allows the authenticated user terminal to connect to the monitored device via the monitored device 1000. That is, the monitoring device 1000 can limit the user terminals that can be connected to the monitored device. Further, since the monitoring device 1000 holds the first authentication information that is necessary when connecting to a predetermined connection target including at least a part of the monitoring target device, the user terminal can monitor the monitoring target device. , Can be prevented from connecting directly.
また、監視装置1000は、監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間に制限して開放することで、監視対象装置に対して接続可能な時間を制限する。さらに、監視装置1000から監視対象装置に接続するための第1の認証情報は、上記の所定の接続対象に接続する際に使用される情報である。そのため、監視装置1000は、ユーザ端末が接続可能である、監視対象装置の範囲を限定できる。 In addition, the monitoring apparatus 1000 limits the port used for connection with the monitored apparatus and the port used for connection with the user terminal to a predetermined connection permission time and opens the port, thereby opening the monitored apparatus. Limit the connectable time. Furthermore, the first authentication information for connecting from the monitoring device 1000 to the monitoring target device is information used when connecting to the above-mentioned predetermined connection target. Therefore, the monitoring device 1000 can limit the range of devices to be monitored to which the user terminal can be connected.
以上より、監視装置1000は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する。 As described above, the monitoring device 1000 contributes to preventing unauthorized access to the device to be monitored and also contributes to preventing unnecessary access.
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[First Embodiment]
The first embodiment will be described in more detail with reference to the drawings.
図2は、本実施形態に係る通信システム1の全体構成の一例を示すブロック図である。通信システム1は、監視装置100と、ユーザ端末200と、1又は2以上の監視対象装置(410a〜410d)を含んで構成される。
FIG. 2 is a block diagram showing an example of the overall configuration of the
監視装置100と、ユーザ端末200と、監視対象装置410とは、夫々、ネットワーク600を介して接続する。ネットワーク600は、インターネット、イントラネット、公衆無線LAN、携帯電話通信網等であってもよく、その詳細は問わない。
The monitoring device 100, the
図2に示す通信システム1においては、監視対象装置410aは、ネットワーク機器510aを介して、ネットワーク600に接続する。監視対象装置410bは、ネットワーク機器510bを介して、ネットワーク600に接続する。監視対象装置410c及び監視対象装置410dは、ネットワーク機器510bとネットワーク機器510cとを介して、ネットワーク600に接続する。また、監視装置100、ユーザ端末200は、ネットワーク機器510dを介して、ネットワーク600に接続する。
In the
なお、図2は、監視対象装置410a〜410dを示すが、これは、監視対象の装置を4つに限定する趣旨ではない。通信システム1は、3つ以下、又は5つ以上の監視対象の装置を含んで構成されてもよい。同様に、図2は、一つのユーザ端末200を示すが、これは、ユーザ端末200の数を、1つに限定する趣旨ではない。通信システム1は、2以上のユーザ端末200を含んで構成されてもよい。なお、以下の説明においては、監視対象装置410a〜410dを、夫々区別する必要が無い場合、監視対象装置410と表記する。同様に、以下の説明においては、ネットワーク機器510a〜510dを、夫々区別する必要が無い場合、ネットワーク機器510と表記する。
2 shows the monitored devices 410a to 410d, this does not mean that the number of monitored devices is limited to four. The
本実施形態に係る通信システム1において、監視対象装置410の数、ネットワーク機器510の数、ユーザ端末200の数は限定されない。図2は、本実施形態に係る通信システム1の一例であり、本実施形態に係る通信システム1を図2に示す構成に限定する趣旨ではない。
In the
なお、以下の説明において、前提条件として、監視装置100とユーザ端末200とが、監視対象装置410及びネットワーク機器510に対するアクセス権を有するものとする。ネットワーク機器510は、ルータ、レイヤ3スイッチ、ファイアウォール等を含み、その詳細は問わない。ここで、アクセス権とは、アクセス対象(接続対象)の装置が記憶する情報を参照する権限を、少なくとも含むものとする。
In the following description, it is assumed that the monitoring device 100 and the
監視対象装置410は、監視装置100が監視する対象である、情報処理装置(コンピュータ)である。監視対象装置410は、PC、携帯情報端末(例えば、タブレット端末、スマートフォン)等であってもよい。また、監視対象装置410は、ルータ機能等、ネットワーク機能を実現する装置であってもよい。監視対象装置410は、以下において説明する機能を実現できれば、その詳細は問わない。
The
また、監視対象装置410は、仮想マシンを含んでもよい。すなわち、監視装置100は、仮想マシン、及び/又は仮想マシンがアクセスする記憶領域にリモート接続してもよい。
Further, the monitored
ユーザ端末200は、ユーザ(例えば、監視対象装置410の保守作業等を行う作業員等)が操作する、情報処理装置(コンピュータ)である。例えば、ユーザ端末200は、PC、携帯情報端末(例えば、タブレット端末、スマートフォン)等であってもよく、以下において説明する機能を実現できれば、その詳細は問わない。
The
監視装置100は、ネットワーク600に接続し、1又は2以上の監視対象装置410を監視する情報処理装置(コンピュータ)である。具体的には、監視装置100は、監視対象装置410に対して、死活監視及び状態監視を行い、監視対象装置410における障害の有無を判断する。
The monitoring device 100 is an information processing device (computer) that is connected to the network 600 and monitors one or more
監視装置100、ユーザ端末200、監視対象装置410は、IP(Internet Protocol)アドレスと、Pingコマンド、SNMP(Simple Network Management Protocol)ポーリング機能、リモート接続、接続許可機能、認証(Authentication)機能を実現(実行)可能であるものとする。
The monitoring device 100, the
ここで、Pingコマンドとは、ICMP(Internet Control Message Protocol)のechoコマンドを使用して、装置が、指定した相手先(IPアドレス、又はホスト名)に文字列を送り、その戻りの信号(パケット)の有無に基づいて、ネットワークの接続を確認するコマンドである。 Here, the Ping command uses an echo command of ICMP (Internet Control Message Protocol), and the device sends a character string to a specified destination (IP address or host name) ) Is a command that confirms the network connection based on the presence or absence of.
接続許可機能とは、TCP(Transmission Control Protocol)ポート番号とIPアドレスとを指定し、外部からの不正アクセスを遮断(ポート閉塞)、外部からの特定の接続を許可(ポート開放)する機能を意味する。 The connection permission function means a function of designating a TCP (Transmission Control Protocol) port number and an IP address, blocking unauthorized access from the outside (blocking the port), and permitting a specific connection from the outside (opening the port). To do.
認証機能とは、装置が接続要求を受信した場合、接続要求元のユーザが、正規のユーザであるか否かを、接続要求を受信した装置が確認する機能を意味する。例えば、装置が接続要求を受信した場合、接続要求を受信した装置は、ユーザ名とパスワードとの組み合わせに基づいて、接続要求元のユーザが、正規のユーザであるか否かを確認してもよい。 The authentication function means a function of confirming whether or not the connection request source user is a legitimate user when the device receives the connection request. For example, when the device receives the connection request, the device that receives the connection request checks whether or not the connection request source user is a legitimate user based on the combination of the user name and the password. Good.
監視対象装置410において障害が発生していない場合、監視装置100のポートのうち、監視装置100から監視対象装置410に対するリモート接続に使用されるポートは、閉じている状態であるものとする。つまり、監視対象装置410において障害が発生していない場合、監視装置100は、監視対象装置410に対してリモート接続できない状態であるものとする。
When no failure has occurred in the monitored
同様に、監視対象装置410において障害が発生していない場合、監視装置100のポートのうち、ユーザ端末200から監視装置100に対するリモート接続に使用されるポートは、閉じている状態であるものとする。つまり、監視対象装置410において障害が発生していない場合、ユーザ端末200は、監視装置100に対してリモート接続できない状態であるものとする。監視装置100のポートを開く処理の詳細については、後述する。
Similarly, when there is no failure in the monitored
[監視対象装置の構成]
次に、図2を参照しながら、監視対象装置410について詳細に説明する。
[Configuration of monitored device]
Next, the
監視対象装置410は、対象装置記憶部411を含んで構成される。また、監視対象装置410は、通信を制御する通信部(図示せず)、監視対象装置410の全体を制御する制御部(図示せず)等、監視対象装置410を動作させるために必要なハードウェア及び/又はソフトウェアを含んで構成される。なお、監視対象装置(410a〜410d)は、以下において説明する機能を実現できれば、その詳細は問わない。例えば、監視対象装置(410a〜410d)は、夫々、異なるハードウェア及び/又はソフトウェアを含んで構成されてもよい。
The
対象装置記憶部411は、監視対象装置410を動作させるために必要な情報を記憶する。対象装置記憶部411は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSD(Solid State Drive)であり、フラッシュメモリを使用したものでもよく、DRAM(Dynamic Random Access Memory)を含んでもよい。
The target device storage unit 411 stores information necessary for operating the
具体的には、対象装置記憶部411は、通報部412と、通報記録413と、IPアドレス414と、MAC(Media Access Control)アドレス415とを少なくとも記憶する。
Specifically, the target device storage unit 411 stores at least a
IPアドレス414、MACアドレス415は、各管理対象装置410に割り当てられたIPアドレス及びMACアドレスである。
The
通報部412は、自監視対象装置410の状態を監視する。監視対象装置410において障害が発生した場合、通報部412は、障害発生日時と障害メッセージとを含む障害情報を生成する。そして、通報部412は、障害発生日時と障害メッセージとを含む障害情報と、IPアドレス414と、MACアドレス415とを、監視装置100に通知する。
The
なお、監視対象装置410は、障害発生日時と障害メッセージとを含む障害情報と、MACアドレス415とを、監視装置100に通知してもよい。監視装置100は、監視対象装置410からの通知にIPアドレス414が含まれていない場合、通信に用いられた送信元IPアドレスを、IPアドレス414として扱ってもよい。
The
そして、通報部412は、障害発生日時と障害メッセージとを含む障害情報を、通報記録413として、対象装置記憶部411に格納する。
Then, the
また、監視対象装置410は、監視装置100が監視対象装置410の障害を検知していない時、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続するための第1の認証情報を含む情報を、所定の条件に基づいて、監視装置100に送信する。例えば、監視対象装置410は、所定の時間間隔(第2の時間間隔)で、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続するための第1の認証情報を含む情報を、監視装置100に送信する。
In addition, the monitored
ここで、第1の認証情報とは、監視対象装置410の少なくとも一部を含む、所定の接続対象に接続する際に必要である、アカウントとパスワードとの組み合わせを含む情報である。
Here, the first authentication information is information including a combination of an account and a password, which is necessary when connecting to a predetermined connection target including at least a part of the
例えば、第1の認証情報は、監視対象装置410にリモート接続する際に必要である、アカウントとパスワードとの組み合わせであってもよい。
For example, the first authentication information may be a combination of an account and a password, which is necessary when remotely connecting to the monitored
または、第1の認証情報は、第1の認証情報を送信元の監視対象装置410に関して、所定の記憶領域にリモート接続する際に必要である、アカウントとパスワードとの組み合わせであってもよい。なお、所定の記憶領域とは、例えば、監視対象装置410のハードディスクの仮想マシン格納領域、ネットワークブート用のOS(Operating System)のイメージ格納領域等であってもよい。
Alternatively, the first authentication information may be a combination of an account and a password, which is required when remotely connecting to the predetermined storage area with respect to the monitored
なお、通報部412は、監視対象装置410に上記の処理を実行させるプログラムとして、対象装置記憶部411に格納されてもよい。
The
[監視装置の構成]
次に、図2を参照しながら、監視装置100について詳細に説明する。
[Configuration of monitoring device]
Next, the monitoring device 100 will be described in detail with reference to FIG.
監視装置100は、監視装置接続部101と、監視装置入力部102と、監視装置出力部103と、監視装置制御部104と、監視装置記憶部(記憶部)105とを含んで構成される。
The monitoring device 100 includes a monitoring device connection unit 101, a monitoring
監視装置接続部101は、ネットワーク600を介して、ユーザ端末200、監視対象装置410、ネットワーク機器510と接続する処理を制御する。監視装置接続部101は、例えば、NIC(Network Interface Card)を用いて実現される。
The monitoring device connection unit 101 controls processing for connecting to the
監視装置入力部102は、外部からの情報、信号等の入力を受け付ける装置、インタフェース等である。監視装置入力部102は、キーボード、タッチパネル、マウス等であってもよい。監視装置入力部102は、外部からの情報等の入力を受け付けることができればよく、その詳細は問わない。
The monitoring
監視装置出力部103は、外部に情報を出力する。監視装置出力部103は、監視装置100が接続する表示装置(図示せず)、印刷装置(図示せず)等に情報を出力してもよい。
The monitoring
監視装置制御部104は、監視装置100を動作させるための処理を制御する。監視装置制御部104は、CPU(Central Processing Unit)等を用いて実現される。監視装置制御部104は、監視装置記憶部105が記憶するプログラムを呼び出し、監視装置接続部101、監視装置入力部102、監視装置出力部103、監視装置記憶部105を制御する。
The monitoring device control unit 104 controls a process for operating the monitoring device 100. The monitoring device control unit 104 is realized by using a CPU (Central Processing Unit) or the like. The monitoring device control unit 104 calls a program stored in the monitoring
監視装置記憶部105は、監視装置100を動作させるために必要な情報を記憶する。監視装置記憶部105は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSDであり、フラッシュメモリを使用したものでもよく、DRAMを含んでもよい。
The monitoring
具体的には、監視装置記憶部105は、監視対象装置DB(Database)(監視対象装置データベース)106と、監視部107と、ポート管理部108と、接続管理部109とを少なくとも記憶する。
Specifically, the monitoring
監視対象装置DB106は、監視対象装置410の第1の認証情報を含む、装置情報を格納する。具体的には、監視対象装置DB106は、各監視対象装置410に対応する、第1の認証情報と、IPアドレスと、MACアドレスと、障害発生の有無を示す情報とを含む、装置情報を格納する。なお、以下の説明では、障害発生の有無を示す情報を、障害発生フラグと呼ぶ。
The monitoring
例えば、図2に示す装置情報111は、監視対象装置410aに対応するとする。図2に示す装置情報112は、監視対象装置410bに対応するとする。図2に示す装置情報113は、監視対象装置410cに対応するとする。図2に示す装置情報114は、監視対象装置410dに対応するとする。なお、図示しないが、図2に示す装置情報112〜114は、装置情報111と同様に、夫々、IPアドレスと、MACアドレスと、障害発生フラグと、第1の認証情報とを含んで構成されるものとする。
For example, the device information 111 illustrated in FIG. 2 corresponds to the monitoring target device 410a. The device information 112 illustrated in FIG. 2 corresponds to the monitoring target device 410b. The
その場合、装置情報111は、監視対象装置410aのIPアドレスと、監視対象装置410aのMACアドレスと、監視対象装置410aに対応する障害発生フラグと、監視対象装置410aに対応する第1の認証情報とを含んで構成される。また、装置情報112は、監視対象装置410bのIPアドレスと、監視対象装置410bのMACアドレスと、監視対象装置410bに対応する障害発生フラグと、監視対象装置410bに対応する第1の認証情報とを含んで構成される。装置情報113、装置情報114についても、同様であるが、詳細な説明は省略する。
In that case, the device information 111 includes the IP address of the monitored device 410a, the MAC address of the monitored device 410a, the failure occurrence flag corresponding to the monitored device 410a, and the first authentication information corresponding to the monitored device 410a. It is configured to include and. The device information 112 includes the IP address of the monitored device 410b, the MAC address of the monitored device 410b, the failure occurrence flag corresponding to the monitored device 410b, and the first authentication information corresponding to the monitored device 410b. It is configured to include. The same applies to the
監視部107は、ネットワーク600を介して、1又は2以上の監視対象装置410を監視する。
The monitoring unit 107 monitors one or more
監視対象装置410において障害が発生した場合、監視部107は、障害が発生した監視対象装置410から、障害発生日時と障害メッセージとを含む障害情報と、当該監視対象装置410のIPアドレス414と、MACアドレス415とを受信する。なお、上記の通り、監視装置100は、障害通知を受信する際に通信に用いられた送信元IPアドレスを、障害が発生した監視対象装置410のIPアドレス414として扱ってもよい。
When a failure occurs in the monitored
例えば、監視部107は、監視対象装置410から、障害発生日時と障害メッセージとを含む障害情報を受信した場合、当該監視対象装置410において、障害が発生した、と判断してもよい。
For example, when the monitoring unit 107 receives failure information including a failure occurrence date and a failure message from the
または、監視部107は、SNMP、ICMPを用いて、夫々の監視対象装置410に対して、所定の時間間隔で、問い合わせを実行(即ち、ポーリング)してもよい。そして、監視部107は、夫々の監視対象装置410から、標準MIB(Management Information Base)情報を取得してもよい。
Alternatively, the monitoring unit 107 may execute an inquiry (that is, polling) to each of the
監視部107は、当該問い合わせの応答結果、及び/又は監視対象装置410からの通知(例えば、SNMPトラップ)に基づいて、監視対象装置410において、障害が発生したか否かを判断してもよい。そして、監視部107は、監視対象装置410において障害が発生した、と判断した場合には、当該監視対象装置410に、障害発生日時と障害メッセージとを含む障害情報と、IPアドレス414と、MACアドレス415とを要求してもよい。
The monitoring unit 107 may determine whether or not a failure has occurred in the monitored
また、監視対象装置410において障害が発生していない場合、監視部107は、所定の時間間隔(第2の時間間隔)(例えば、1日1回)で、第1の認証情報を、監視対象装置410から取得し、取得した第1の認証情報を、監視装置記憶部105に格納する。
When no failure has occurred in the
具体的には、監視対象装置410において障害が発生していない場合、監視部107は、所定の時間間隔(第2の時間間隔)で、監視対象装置410のIPアドレスと、第1の認証情報とを対応付けて、監視対象装置410から取得する。そして、監視部107は、取得した第1の認証情報と、監視対象装置410のIPアドレスとを、監視対象装置DB106に格納し、当該監視対象装置410に対応する装置情報を更新する。
Specifically, when no failure has occurred in the monitored
ポート管理部108は、監視部107が監視対象装置410の障害を検知した場合、障害が検知された監視対象装置410との接続に使用するポート、及びユーザ端末200との接続に使用するポートを、所定の時間(接続許可時間)、開放する。
When the monitoring unit 107 detects a failure of the monitored
具体的には、ポート管理部108は、障害が検知された監視対象装置410に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。さらに、ポート管理部108は、ユーザ端末200から監視装置100に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。
Specifically, the port management unit 108 opens the port of the monitoring device 100, which is used for remote connection to the
接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、第2の認証情報を生成する。そして、接続管理部109は、第2の認証情報に基づいてユーザ端末200を認証し、認証したユーザ端末200から自監視装置100への接続を許可する。そして、接続管理部109は、監視対象装置410の少なくとも一部を含む、所定の接続対象に、第1の認証情報を使用して接続する。
The
ここで、第2の認証情報とは、ユーザ端末200から、監視装置100にリモート接続する際に必要である、パスワードを含む情報である。ここで、第2の認証情報は、一時的に有効であり、作成される度に異なる情報であってもよい。例えば、第2の認証情報は、使い捨てのパスワード(所謂、ワンタイムパスワード)を含む情報であってもよい。
Here, the second authentication information is information including a password, which is necessary when the
具体的には、監視部107が監視対象装置410の障害を検知した場合、接続管理部109は、障害発生日時等に基づいて、第2の認証情報を生成する。そして、接続管理部109は、生成した第2の認証情報に有効期限を設定する。
Specifically, when the monitoring unit 107 detects a failure in the monitored
そして、接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、ユーザ端末200に、障害通報と、生成した第2の認証情報とを送信する。ここで、障害通報とは、監視対象装置410において、障害が発生したことを、ユーザ端末200に通知する情報である。
Then, when the monitoring unit 107 detects a failure of the
例えば、接続管理部109は、監視部107が監視対象装置410の障害を検知した場合、障害が検知された監視対象装置410の装置情報を含む、障害通報と、第2の認証情報とを、ユーザ端末200に送信してもよい。この場合、接続管理部109は、監視対象装置DB106を参照し、障害が検知された監視対象装置410に対応する装置情報を、監視対象装置DB106から抽出する。接続管理部109は、抽出した装置情報を含む、障害通報を生成する。そして、接続管理部109は、生成した障害通報と、生成した第2の認証情報とを、ユーザ端末200に送信する。
For example, when the monitoring unit 107 detects a failure in the
または、接続管理部109は、生成した第2の認証情報を含む、障害通報を生成してもよい。その場合、接続管理部109は、生成した第2の認証情報を含む、障害通報を、ユーザ端末200に送信してもよい。
Alternatively, the
接続管理部109は、生成した第2の認証情報に一致する、認証情報を、ユーザ端末200から受信した場合、ユーザ端末200を認証する。そして、接続管理部109は、認証したユーザ端末200から、障害通報に対応する監視対象装置410に対する接続を許可する。
The
接続管理部109は、送信した障害通報に対応する監視対象装置410を、接続対象の監視対象装置410として特定する。または、接続管理部109は、ユーザ端末200から、装置情報と第2の認証情報とを受信した場合、受信した装置情報に基づいて、接続対象の監視対象装置410を特定してもよい。
The
そして、接続管理部109は、監視対象装置DB106を参照し、接続対象の監視対象装置410に対応する、第1の認証情報を抽出する。
Then, the
さらに、接続管理部109は、受信した第2の認証情報を使用することでユーザ端末200から自監視装置100への接続を許可するように、自監視装置100に設定する。そして、接続管理部109は、監視対象装置410の少なくとも一部を含む、所定の接続対象に、抽出した第1の認証情報を使用して接続する。つまり、接続管理部109は、接続対象の監視対象装置410、又は監視対象装置410の所定の記憶領域に、抽出した第1の認証情報を使用して、リモート接続する。
Furthermore, the
なお、監視部107、ポート管理部108、接続管理部109は、夫々、監視装置制御部104に上記の処理を実行させるプログラムとして、監視装置記憶部105に格納されてもよい。
The monitoring unit 107, the port management unit 108, and the
[ユーザ端末の構成]
次に、図2を参照しながら、ユーザ端末200について詳細に説明する。
[User terminal configuration]
Next, the
ユーザ端末200は、端末接続部201と、端末入力部202と、端末出力部203と、端末制御部204と、端末記憶部205と、を含んで構成される。
The
端末接続部201は、ネットワーク600を介して、監視装置100、監視対象装置410、ネットワーク機器510と接続する処理を制御する。端末接続部201は、例えば、NICを用いて実現される。
The
端末入力部202は、外部からの情報、信号等の入力を受け付ける装置、インタフェース等である。端末入力部202は、キーボード、タッチパネル、マウス等であってもよい。端末入力部202は、外部からの情報等の入力を受け付けることができればよく、その詳細は問わない。
The
端末出力部203は、外部に情報を出力する。端末出力部203は、ユーザ端末200が接続する表示装置(図示せず)、印刷装置(図示せず)等に情報を出力してもよい。
The
端末制御部204は、ユーザ端末200を動作させるための処理を制御する。端末制御部204は、CPU等を用いて実現される。端末制御部204は、端末記憶部205が記憶するプログラムを呼び出し、端末接続部201、端末入力部202、端末出力部203、端末記憶部205を制御する。
The terminal control unit 204 controls processing for operating the
端末記憶部205は、ユーザ端末200を動作させるために必要な情報を記憶する。端末記憶部205は、磁気ディスク装置や光ディスク装置、半導体メモリによって実現される。なお、半導体メモリは、例えば、SSDであり、フラッシュメモリを使用したものでもよく、DRAMを含んでもよい。具体的には、端末記憶部205は、通報受信部206と、端末接続管理部207とを少なくとも記憶する。
The terminal storage unit 205 stores information necessary for operating the
通報受信部206は、監視装置100から、障害通報と認証情報(第2の認証情報)とを受信した場合、受信した認証情報(第2の認証情報)を監視装置100に応答する。
When receiving the failure notification and the authentication information (second authentication information) from the monitoring device 100, the
または、通報受信部206は、障害が検知された、監視対象装置410の装置情報を含む障害通報と、第2の認証情報とを受信した場合、受信した装置情報と、受信した第2の認証情報とを、監視装置100に応答してもよい。
Alternatively, when the
端末接続管理部207は、監視装置100が自ユーザ端末200と監視装置100との接続を許可した場合、監視装置100を経由して、障害通報に対応する監視対象装置410に接続する。具体的には、端末接続管理部207は、監視装置100が自ユーザ端末200と監視装置100とのリモート接続を許可した場合、監視装置100を経由して、障害通報に対応する監視対象装置410、又は監視対象装置410の所定の記憶領域にリモート接続する。
When the monitoring device 100 permits the connection between the
なお、通報受信部206、端末接続管理部207は、夫々、端末制御部204に上記の処理を実行させるプログラムとして、端末記憶部205に格納されてもよい。
The
[通信システムの動作]
次に、通信システム1の動作について詳細に説明する。
[Operation of communication system]
Next, the operation of the
図3、図4は、通信システム1の動作の一例を示すフローチャートである。なお、図3、図4は、通信システム1の動作は一例であり、通信システム1の動作を、図3、図4に示す動作に限定する趣旨ではない。
3 and 4 are flowcharts showing an example of the operation of the
まず、図3を参照しながら、監視対象装置410において、障害が発生していない場合について説明する。
First, a case where no failure has occurred in the monitored
監視装置100の監視部107は、1又は2以上の監視対象装置410の死活監視及び状態監視を実行する(ステップA1)。例えば、監視装置100の監視部107は、SNMP、ICMPを用いて、夫々の監視対象装置410に対して、所定の時間間隔(第1の時間間隔)で、問い合わせを実行(即ち、ポーリング)してもよい。
The monitoring unit 107 of the monitoring device 100 executes alive monitoring and status monitoring of one or more monitoring target devices 410 (step A1). For example, the monitoring unit 107 of the monitoring device 100 uses SNMP and ICMP to make an inquiry (that is, polling) to each of the
監視対象装置410は、監視対象装置410の少なくとも一部を含む、所定の接続対象にリモート接続する際に必要である、第1の認証情報と、監視対象装置410のIPアドレスとを、監視装置100に送信する(ステップA2)。例えば、監視対象装置410は、1日1回、第1の認証情報と、監視対象装置410のIPアドレスとを、監視装置100に送信してもよい。
The
監視装置100の監視部107は、監視対象装置410から送信された、第1の認証情報と、監視対象装置410のIPアドレスとを、監視対象装置DB106に格納し、監視対象装置DB106を更新する(ステップA3)。
The monitoring unit 107 of the monitoring device 100 stores the first authentication information transmitted from the
監視装置100が、監視対象装置410の障害を検知するまで、監視装置100及び監視対象装置410は、上記のステップA1〜A3の処理を繰り返す。
The monitoring device 100 and the
次に、図4を参照しながら、監視対象装置410において、障害が発生した場合について説明する。具体的には、図4を参照しながら、図2に示す監視対象装置410aにおいて、障害が発生した場合について説明する。なお、少なくとも一の監視対象装置410において障害が発生した場合であっても、監視装置100と、障害が発生していない監視対象装置410とは、上記のステップA1〜A3の処理を繰り返す。例えば、図2に示す監視対象装置410b〜410dにおいて、障害が発生していない場合、監視装置100は、監視対象装置410b〜410dに対して、上記のステップA1の処理、及びA3の処理を繰り返す。
Next, a case where a failure occurs in the monitored
監視対象装置410aにおいて、障害が発生したとする(ステップA11)。その場合、監視装置100の監視部107は、監視対象装置410aにおいて、障害が発生したことを検知する(ステップA12)。 It is assumed that a failure has occurred in the monitored device 410a (step A11). In that case, the monitoring unit 107 of the monitoring device 100 detects that a failure has occurred in the monitoring target device 410a (step A12).
ステップA13において、監視装置100のポート管理部108は、リモート接続に必要なポートを、所定の接続許可時間、開放する。具体的には、監視装置100のポート管理部108は、監視対象装置410に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。さらに、監視装置100のポート管理部108は、ユーザ端末200から監視装置100に対するリモート接続に使用する、監視装置100のポートを、所定の接続許可時間、開放する。なお、監視装置100のIPアドレス、ポート番号、ポートを開放する時間(接続許可時間)に関しては、監視装置100のユーザが、監視装置入力部102を使用して設定してもよい。
In step A13, the port management unit 108 of the monitoring apparatus 100 opens the port required for remote connection for a predetermined connection permission time. Specifically, the port management unit 108 of the monitoring device 100 opens the port of the monitoring device 100 used for remote connection to the monitored
ステップA14において、監視装置100の接続管理部109は、障害が発生した監視対象装置410aに対応する装置情報111を、監視対象装置DB106から抽出する。
In step A14, the
ステップA15において、監視装置100の接続管理部109は、抽出した装置情報111から、第1の認証情報を抽出する。
In step A15, the
ステップA16において、監視装置100の接続管理部109は、監視装置100へリモート接続するために必要な第2の認証情報を生成する。
In step A16, the
ステップA17において、監視装置100の接続管理部109は、生成した第2の認証情報に、有効期限を設定する。
In step A17, the
ステップA18において、監視装置100の接続管理部109は、第2の認証情報を使用することで、監視装置100にリモート接続可能となるように、監視装置100に対するリモート接続の権限を設定する。
In step A18, the
ステップA19において、監視装置100の接続管理部109は、生成した第2の認証情報と、障害通報とを、ユーザ端末200へ送信する。
In step A19, the
ステップA20において、ユーザ端末200の通報受信部206は、第2の認証情報と、障害通報とを受信する。
In step A20, the
ステップA21において、ユーザ端末200の端末接続管理部207は、第2の認証情報を応答することで、監視装置100に対して、リモート接続を実行する。つまり、ユーザ端末200は、第2の認証情報と障害通報とを受信すると、ユーザ端末200のユーザの操作を介することなく、自動的に、監視装置100に対して、リモート接続を実行する。
In step A21, the terminal
ステップA22において、監視装置100の接続管理部109は、第1の認証情報を使用して、障害が発生した監視対象機器410aに対してリモート接続を実行する。その結果、ユーザ端末200は、監視装置100を経由して、ユーザ端末200と監視対象装置410a間で、リモート接続を行い、セッションを張ることができる。
In step A22, the
以上のように、本実施形態に係る監視装置100は、監視対象装置410において障害が発生した場合に、所定の時間に制限して、認証したユーザ端末200から監視対象装置410に対して、監視装置100を介してリモート接続できるようにする。そのため、本実施形態に係る監視装置100は、認証したユーザ端末200以外の装置が、監視装置100及び監視対象装置410に対して、リモート接続することを防止できる。
As described above, in the monitoring device 100 according to the present embodiment, when a failure occurs in the monitored
また、本実施形態に係る監視装置100は、監視対象装置410が正常に動作している場合には、監視装置100から監視対象装置410に対するリモート接続を不可能にする。
Further, the monitoring device 100 according to the present embodiment disables remote connection from the monitoring device 100 to the
さらに、本実施形態に係る監視装置100は、監視対象装置410の障害を検知した場合に、ユーザ端末200を認証するための認証情報を生成する。そして、本実施形態に係る監視装置100は、生成した認証情報に基づいて、ユーザ端末200を認証する。そのため、本実施形態に係る監視装置100は、監視対象装置410の障害を検知する度に、異なる認証情報を用いて、ユーザ端末200を認証できる。
Furthermore, the monitoring device 100 according to the present embodiment generates authentication information for authenticating the
また、本実施形態に係る監視装置100は、監視対象装置410が備える機能及び/又は記憶領域のうち、リモート接続を可能な機能及び/又は記憶領域を制限する。
Further, the monitoring device 100 according to the present embodiment limits functions and / or storage areas that can be remotely connected, among the functions and / or storage areas of the monitored
従って、本実施形態に係る監視装置100は、監視対象の装置に対する不正なアクセスを防止することに貢献するとともに、不要なアクセスを防止することに貢献する。 Therefore, the monitoring device 100 according to the present embodiment contributes to prevent unauthorized access to the device to be monitored and also helps prevent unnecessary access.
[変形例1]
本実施形態に係る通信システム1の変形例1として、監視対象装置410は疑似的に障害が発生したことを、監視装置100に通知してもよい。
[Modification 1]
As a first modification of the
具体的には、ユーザ端末200の端末接続管理部207は、監視装置100を経由して、ユーザ端末200がリモート接続したい監視対象装置410に、所定のコマンドを送信してもよい。監視対象装置410は、ユーザ端末200から所定のコマンドを受信した場合、監視装置100に疑似障害情報を送信する。ここで、疑似障害情報とは、監視対象装置410において、疑似的に障害が発生したことを示す情報である。
Specifically, the terminal
監視装置100の監視部107は、自監視装置100が疑似障害情報を受信した場合、疑似障害情報の送信元である監視対象装置410の障害を検知した、と判断する。つまり、監視装置100の監視部107は、自監視装置100が疑似障害情報を受信した場合、疑似障害情報の送信元である監視対象装置において、障害が発生した、と判断する。
When the self-monitoring device 100 receives the pseudo fault information, the monitoring unit 107 of the monitoring device 100 determines that a fault has been detected in the monitored
そして、監視装置100及びユーザ端末200は、上記の処理(図4に示すステップA13〜A22の処理)を行う。その結果、監視対象装置410において、障害が発生していない場合であっても、ユーザ端末200は、監視装置100を経由して、監視対象装置410に、所定の接続許可時間、リモート接続できる。
Then, the monitoring device 100 and the
[変形例2]
本実施形態に係る通信システム1の変形例2として、ユーザ端末200が、所定の接続許可時間内に、監視装置100を経由して監視対象装置410とリモート接続した場合、監視装置100は、リモート接続が終了するまで、ポートを開放してもよい。具体的には、ポート管理部108は、ポートを開放してから所定の接続許可時間内に、障害が検知された監視対象装置410と、ユーザ端末200とが、自監視装置100を経由してリモート接続したとする。その場合、ポート管理部108は、ポートを開放してから上記の所定の接続許可時間を経過した後であっても、リモート接続が終了するまで、リモート接続に使用するポートを開放してもよい。
[Modification 2]
As a second modification of the
[第2の実施形態]
第2の実施形態について、図面を用いてより詳細に説明する。
[Second Embodiment]
The second embodiment will be described in more detail with reference to the drawings.
本実施形態は、ユーザ端末から監視対象装置にリモート接続する時に、障害の内容に応じて、監視対象装置に対する権限を変更する形態である。なお、本実施形態における説明では、上記の実施形態と重複する部分の説明は省略する。さらに、本実施形態における説明では、上記の実施形態と同一の構成要素には、同一の符号を付し、その説明を省略する。また、本実施形態における説明では、上記の実施形態と同一の作用効果についても、その説明を省略する。以下、他の形態においても同様であるものとする。 In this embodiment, when a user terminal remotely connects to a monitored device, the authority for the monitored device is changed according to the content of the failure. In the description of this embodiment, the description of the same parts as those in the above embodiment will be omitted. Further, in the description of the present embodiment, the same components as those in the above-described embodiment are designated by the same reference numerals, and the description thereof will be omitted. Further, in the description of this embodiment, the description of the same effects as those of the above embodiment will be omitted. Hereinafter, the same applies to other modes.
本実施形態に係る通信システム1の全体構成は、図2に示す通りである。
The overall configuration of the
本実施形態に係る監視装置記憶部105は、監視対象装置410毎に、障害の内容と、監視対象装置410に対する権限とを対応付けた情報を記憶する。例えば、監視装置100の管理者等が、監視対象装置410毎に、障害の内容に応じた、監視対象装置410に対する権限を、監視装置100に入力してもよい。
The monitoring
例えば、監視装置100の管理者等が、監視対象装置410毎に、障害の内容に応じて、管理者権限、又は、管理者権限よりもアクセス可能な範囲が制限される、一般ユーザ権限を、ユーザ端末200に付与する権限として、監視装置100に入力してもよい。ここで、監視対象装置410が、2種類以上の一般ユーザ権限を予め設定、登録していてもよいことは勿論である。その場合、監視装置100は、当該監視対象装置410について、障害の内容に応じて、管理者権限、又は、いずれかの一般ユーザ権限を、ユーザ端末200に付与する権限として、監視装置100に入力してもよいことは勿論である。
For example, an administrator or the like of the monitoring apparatus 100 may have administrator authority for each monitored
本実施形態に係る監視装置制御部104は、入力された情報に基づいて、監視対象装置410毎に、障害の内容と、監視対象装置410に対する権限とを対応付けた情報を生成してもよい。そして、監視装置制御部104は、生成した情報を、監視装置記憶部105に格納する。
The monitoring device control unit 104 according to the present embodiment may generate information in which, for each
本実施形態に係る接続管理部109は、障害の内容に応じて、障害が発生した監視対象装置410に対する権限を決定する。そして、接続管理部109は、決定した権限を、認証したユーザ端末200に付与する。ユーザ端末200は、監視装置100を経由して監視対象装置410にリモート接続するとき、付与された権限に対してアクセスを許可された、監視対象装置410の機能、及び/又は記憶領域に対してアクセス可能となる
The
以上のように、本実施形態に係る監視装置100は、ユーザ端末200から監視対象装置410にリモート接続する時に、接続先の監視対象装置410の障害の内容に応じた、アクセス権限を、ユーザ端末200に付与する。そのため、本実施形態に係る監視装置100は、障害の内容に応じて、ユーザ端末200が利用可能な監視対象装置410の機能、アクセス可能な記憶領域等を制限できる。つまり、本実施形態に係る監視装置100は、監視対象装置410の機能、記憶領域のうち、障害に関係の無い機能、障害に関係の無い記憶領域等に対して、ユーザ端末200がアクセスすることを防止できる。従って、本実施形態に係る監視装置100は、監視対象の装置に対する不正なアクセスを防止するとともに、より一層、不要なアクセスを防止することに貢献する。
As described above, when the monitoring apparatus 100 according to the present embodiment remotely connects from the
上述の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。 The whole or part of the exemplary embodiments disclosed above can be described as, but not limited to, the following supplementary notes.
(付記1)上記第1の視点に係る監視装置の通りである。 (Supplementary Note 1) As in the monitoring device according to the first aspect.
(付記2)前記監視部は、所定の時間間隔で、前記第1の認証情報を、前記監視対象装置から取得し、取得した前記第1の認証情報を、前記記憶部に格納する、付記1に記載の監視装置。 (Supplementary Note 2) The monitoring unit acquires the first authentication information from the monitoring target device at predetermined time intervals, and stores the acquired first authentication information in the storage unit. The monitoring device described in 1.
(付記3)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記ユーザ端末に、障害通報と、前記第2の認証情報とを送信し、前記ユーザ端末から、前記第2の認証情報を受信した場合、前記ユーザ端末を認証する、付記1又は2に記載の監視装置。
(Supplementary Note 3) When the monitoring unit detects a failure of the monitored device, the connection management unit transmits a failure notification and the second authentication information to the user terminal, and the
(付記4)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置の装置情報を含む、前記障害通報と、前記第2の認証情報とを、前記ユーザ端末に送信する、付記3に記載の監視装置。
(Supplementary Note 4) When the monitoring unit detects a failure of the monitoring target device, the connection management unit includes the failure notification including the device information of the monitoring target device in which the failure is detected, and the second The monitoring device according to
(付記5)前記記憶部は、前記第1の認証情報を含む、前記装置情報を格納する、監視対象装置データベースを記憶し、
前記接続管理部は、前記ユーザ端末から、前記装置情報と前記第2の認証情報とを受信した場合、受信した前記装置情報に基づいて、接続対象の前記監視対象装置を特定し、前記監視対象装置データベースを参照し、接続対象の前記監視対象装置に対応する、前記第1の認証情報を抽出し、受信した前記第2の認証情報を使用することで前記ユーザ端末から自監視装置へ接続を許可するように、自監視装置に設定する、付記4に記載の監視装置。
(Supplementary Note 5) The storage unit stores a monitoring target device database that stores the device information, including the first authentication information,
When the connection management unit receives the device information and the second authentication information from the user terminal, the connection management unit identifies the monitoring target device to be connected based on the received device information, By referring to the device database, extracting the first authentication information corresponding to the monitoring target device to be connected, and using the received second authentication information, the user terminal is connected to the own monitoring device. The monitoring device according to
(付記6)前記接続管理部は、前記障害の内容に応じて、前記障害が発生した前記監視対象装置に対する権限を決定し、決定した前記権限を、認証した前記ユーザ端末に付与する、付記1乃至5のいずれか一に記載の監視装置。 (Supplementary Note 6) The connection management unit determines the authority to the monitored device in which the failure has occurred in accordance with the content of the failure, and grants the determined authority to the authenticated user terminal. 5. The monitoring device according to any one of 5 to 5.
(付記7)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、障害発生日時に基づいて、前記第2の認証情報を生成し、生成した前記第2の認証情報に有効期限を設定する、付記1乃至6のいずれか一に記載の監視装置。
(Supplementary Note 7) The connection management unit, when the monitoring unit detects a failure of the monitoring target device, generates the second authentication information based on a failure occurrence date and time, and generates the second authentication information. 7. The monitoring device according to any one of
(付記8)前記監視部は、前記所定の時間間隔で、前記監視対象装置のIP(Internet Protocol)アドレスと、前記第1の認証情報とを、前記監視対象装置から取得する、付記1乃至7のいずれか一に記載の監視装置。 (Supplementary Note 8) The monitoring unit acquires the IP (Internet Protocol) address of the monitored device and the first authentication information at the predetermined time interval from the monitored device. The monitoring device according to any one of 1.
(付記9)前記ポート管理部は、前記ポートを開放してから前記接続許可時間内に、前記障害が検知された前記監視対象装置と、前記ユーザ端末とが、自監視装置を経由して接続した場合には、前記接続が終了するまで、前記ポートを開放する、付記1乃至8のいずれか一に記載の監視装置。
(Supplementary Note 9) The port management unit connects the monitoring target device in which the failure is detected and the user terminal via the self-monitoring device within the connection permission time after opening the port. In that case, the monitoring device according to any one of
(付記10)上記第2の視点に係るユーザ端末の通りである。 (Supplementary note 10) As in the user terminal according to the second aspect.
(付記11)上記第3の視点に係る通信システムの通りである。 (Supplementary Note 11) As in the communication system according to the third aspect.
(付記12)前記接続管理部は、前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置の装置情報を含む、障害通報と、前記第2の認証情報とを、前記ユーザ端末に送信し、前記端末接続管理部は、前記通報受信部が前記装置情報を含む前記障害通報と、前記第2の認証情報とを受信した場合、受信した前記装置情報と、受信した前記第2の認証情報を前記監視装置に応答し、前記接続管理部は、生成した前記第2の認証情報を、前記ユーザ端末から受信した場合、前記ユーザ端末を認証し、認証した前記ユーザ端末から、前記装置情報に対応する前記監視対象装置に、前記監視装置を経由して接続することを許可する、付記11に記載の通信システム。 (Supplementary Note 12) The connection management unit, when the monitoring unit detects a failure of the monitoring target device, a failure notification including device information of the monitoring target device in which the failure is detected, and the second authentication. Information is transmitted to the user terminal, and the terminal connection management unit receives the device information when the notification receiving unit receives the failure notification including the device information and the second authentication information. When the received second authentication information is received from the user terminal, the connection management unit authenticates the user terminal and authenticates the received second authentication information. 12. The communication system according to appendix 11, which permits connection from the user terminal to the monitoring target device corresponding to the device information via the monitoring device.
(付記13)前記端末接続管理部は、前記監視装置を経由して、前記監視対象装置に所定のコマンドを送信し、前記監視対象装置は、前記所定のコマンドを受信した場合、前記監視装置に疑似障害情報を送信し、前記監視部は、自監視装置が前記疑似障害情報を受信した場合、前記疑似障害情報の送信元である前記監視対象装置の障害を検知したと判断する、付記11又は12に記載の通信システム。 (Supplementary Note 13) The terminal connection management unit transmits a predetermined command to the monitoring target device via the monitoring device, and the monitoring target device notifies the monitoring device when the predetermined command is received. The pseudo failure information is transmitted, and when the monitoring unit receives the pseudo failure information, the monitoring unit determines that a failure has been detected in the monitoring target apparatus that is the transmission source of the pseudo failure information. 12. The communication system according to item 12.
(付記14)前記監視対象装置は、所定の時間間隔で、前記第1の認証情報を含む情報を、前記監視装置に送信し、前記記憶部は、前記監視対象装置のIP(Internet Protocol)アドレスと、前記第1の認証情報とを対応付けて格納する、付記11乃至13のいずれか一に記載の通信システム。 (Supplementary Note 14) The monitoring target device transmits information including the first authentication information to the monitoring device at a predetermined time interval, and the storage unit stores the IP (Internet Protocol) address of the monitoring target device. And the first authentication information are stored in association with each other, and the communication system according to any one of appendices 11 to 13.
(付記15)上記第4の視点に係る通信方法の通りである。 (Supplementary Note 15) As in the communication method according to the fourth aspect.
(付記16)上記第5の視点に係るユーザ端末の制御方法の通りである。 (Supplementary Note 16) The control method of the user terminal according to the fifth aspect is as described above.
(付記17)上記第6の視点に係るプログラムの通りである。 (Supplementary Note 17) As the program according to the sixth aspect.
(付記18)上記第7の視点に係るプログラムの通りである。 (Supplementary Note 18) The program is according to the seventh aspect.
上記の付記15、17に示す形態は、付記1に示す形態と同様に、付記2乃至9に示す形態に展開することが可能である。
The forms shown in appendices 15 and 17 can be expanded to the forms shown in appendices 2 to 9 similarly to the form shown in
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。 The disclosures of the above patent documents are incorporated herein by reference. Modifications and adjustments of the exemplary embodiment are possible within the scope of the overall disclosure (including the claims) of the present invention and based on the basic technical concept thereof. Further, various combinations of various disclosed elements (including each element of each claim, each element of each embodiment, each element of each drawing, and the like) are possible or selected within the scope of the entire disclosure of the present invention. is there. That is, it goes without saying that the present invention includes various variations and modifications that can be made by those skilled in the art according to the entire disclosure including the claims and the technical idea. In particular, regarding the numerical ranges described in this specification, any numerical values or small ranges included in the ranges should be construed as being specifically described even if not otherwise specified.
1 通信システム
100、1000 監視装置
101 監視装置接続部
102 監視装置入力部
103 監視装置出力部
104 監視装置制御部
105 監視装置記憶部
106 監視対象装置DB
107、1002 監視部
108、1003 ポート管理部
109、1004 接続管理部
111〜114 装置情報
200 ユーザ端末
201 端末接続部
202 端末入力部
203 端末出力部
204 端末制御部
205 端末記憶部
206 通報受信部
207 端末接続管理部
410、410a〜410d 監視対象装置
411 対象装置記憶部
412 通報部
413 通報記録
414 IPアドレス
415 MACアドレス
510、510a〜510d ネットワーク機器
600 ネットワーク
1001 記憶部
1 Communication Systems 100, 1000 Monitoring Device 101 Monitoring
107, 1002
Claims (9)
ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部と、
前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部と、
前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部と、
を備える監視装置。 A storage unit that stores at least a part of the monitoring target device and that stores first authentication information that is necessary when connecting to a predetermined connection target;
A monitoring unit for monitoring the status of one or more of the monitored devices via a network;
When the monitoring unit detects a failure in the monitoring target device, the port used for connection with the monitoring target device in which the failure is detected and the port used for connection with the user terminal are set to a predetermined connection permission time. , Open, port management,
When the monitoring unit detects the failure of the device to be monitored, second authentication information is generated, the user terminal is authenticated based on the second authentication information, and the authenticated user terminal monitors its own monitoring device. A connection management unit that permits connection to the connection target and connects to the connection target using the first authentication information;
Monitoring device.
監視装置と、
前記監視装置を経由して前記監視対象装置に接続する、端末接続部を備える、ユーザ端末と、
を含んで構成される通信システムであって、
前記監視装置は、
前記監視対象装置の少なくとも一部を含む、所定の接続対象に接続する際に必要である、第1の認証情報を記憶する、記憶部と、
ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する、監視部と、
前記監視部が前記監視対象装置の障害を検知した場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する、ポート管理部と、
前記監視部が前記監視対象装置の前記障害を検知した場合、第2の認証情報を生成し、前記第2の認証情報に基づいて前記ユーザ端末を認証し、認証した前記ユーザ端末から自監視装置への接続を許可し、前記第1の認証情報を使用して前記接続対象に接続する、接続管理部と、
を備え、
前記ユーザ端末は、
前記監視装置から、障害通報と前記第2の認証情報とを受信する、通報受信部と、
前記通報受信部が障害通報と前記第2の認証情報とを受信した場合、前記通報受信部が受信した前記第2の認証情報を前記監視装置に応答する、端末接続管理部と、
を備え、
前記端末接続管理部は、前記監視装置が自ユーザ端末と前記監視装置との接続を許可した場合、前記監視装置を経由して、前記障害通報に対応する監視対象装置に接続する、通信システム。 One or more monitored devices,
A monitoring device,
A user terminal, comprising a terminal connection unit, which is connected to the monitoring target device via the monitoring device,
A communication system comprising:
The monitoring device is
A storage unit that stores at least a part of the monitoring target device and stores first authentication information that is necessary when connecting to a predetermined connection target;
A monitoring unit for monitoring the status of one or more of the monitored devices via a network;
When the monitoring unit detects a failure in the monitoring target device, the port used for connection with the monitoring target device in which the failure is detected and the port used for connection with the user terminal are set to a predetermined connection permission time. , Open, port management,
When the monitoring unit detects the failure of the device to be monitored, second authentication information is generated, the user terminal is authenticated based on the second authentication information, and the authenticated user terminal monitors its own monitoring device. A connection management unit that permits connection to the connection target and connects to the connection target using the first authentication information;
Equipped with
The user terminal is
A notification receiving unit that receives a failure notification and the second authentication information from the monitoring device;
A terminal connection management unit that responds to the monitoring device with the second authentication information received by the notification receiving unit when the notification receiving unit receives the failure notification and the second authentication information;
Equipped with
A communication system in which the terminal connection management unit connects to a monitoring target device corresponding to the failure notification via the monitoring device when the monitoring device permits the connection between the own user terminal and the monitoring device.
前記端末接続管理部は、前記通報受信部が前記装置情報を含む前記障害通報と、前記第2の認証情報とを受信した場合、受信した前記装置情報と、受信した前記第2の認証情報を前記監視装置に応答し、
前記接続管理部は、生成した前記第2の認証情報を、前記ユーザ端末から受信した場合、前記ユーザ端末を認証し、認証した前記ユーザ端末から、前記装置情報に対応する前記監視対象装置に、前記監視装置を経由して接続することを許可する、請求項5に記載の通信システム。 When the monitoring unit detects a failure of the monitoring target device, the connection management unit includes a failure notification including device information of the monitoring target device in which the failure is detected, and the second authentication information, Sent to the user terminal,
When the notification receiving unit receives the failure notification including the device information and the second authentication information, the terminal connection management unit determines the received device information and the received second authentication information. Responding to the monitoring device,
When the connection management unit receives the generated second authentication information from the user terminal, the connection management unit authenticates the user terminal, and from the authenticated user terminal to the monitoring target device corresponding to the device information, The communication system according to claim 5 , which permits connection via the monitoring device.
前記監視対象装置は、前記所定のコマンドを受信した場合、前記監視装置に疑似障害情報を送信し、
前記監視部は、自監視装置が前記疑似障害情報を受信した場合、前記疑似障害情報の送信元である前記監視対象装置の障害を検知したと判断する、請求項5又は6に記載の通信システム。 The terminal connection management unit transmits a predetermined command to the monitoring target device via the monitoring device,
The monitoring target device, when receiving the predetermined command, transmits pseudo fault information to the monitoring device,
The monitoring unit, the self if the monitoring device receives the pseudo fault information, the it is determined that the error is detected in a monitored device that is the source of the pseudo error information, the communication system according to claim 5 or 6 .
ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する工程と、
前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置と監視装置との接続に使用するポート、及びユーザ端末と前記監視装置との接続に使用するポートを、所定の接続許可時間、開放する工程と、
前記監視対象装置の障害が検知された場合、第2の認証情報を生成する工程と、
前記第2の認証情報に基づいて前記ユーザ端末を認証する工程と、
認証した前記ユーザ端末から前記監視装置への接続を許可する工程と、
前記第1の認証情報を使用して前記接続対象に接続する工程と、
を含む通信方法。 Storing the first authentication information, which is necessary when connecting to a predetermined connection target, including at least a part of the monitoring target device;
Monitoring the status of one or more of the monitored devices via a network;
When a failure of the monitoring target device is detected, a port used for connecting the monitoring target device where the failure is detected and the monitoring device, and a port used for connecting the user terminal and the monitoring device are predetermined. Connection permission time, opening process,
Generating a second authentication information when a failure of the monitored device is detected;
Authenticating the user terminal based on the second authentication information;
Allowing the authenticated user terminal to connect to the monitoring device;
Connecting to the connection target using the first authentication information;
Communication method including.
ネットワークを介して、1又は2以上の前記監視対象装置の状態を監視する処理と、
前記監視対象装置の障害が検知された場合、前記障害が検知された前記監視対象装置との接続に使用するポート、及びユーザ端末との接続に使用するポートを、所定の接続許可時間、開放する処理と、
前記監視対象装置の障害が検知された場合、第2の認証情報を生成する処理と、
前記第2の認証情報に基づいて前記ユーザ端末を認証する処理と、
認証した前記ユーザ端末から監視装置への接続を許可する処理と、
前記第1の認証情報を使用して前記接続対象に接続する処理と、
を、前記監視装置を制御するコンピュータに実行させるプログラム。 A process of storing first authentication information, which is necessary when connecting to a predetermined connection target, including at least a part of the monitoring target device;
A process of monitoring the status of one or more of the monitored devices via a network;
When a failure of the monitored device is detected, the port used for connection with the monitored device where the failure is detected and the port used for connection with the user terminal are opened for a predetermined connection permission time. Processing and
A process of generating second authentication information when a failure of the monitored device is detected,
A process of authenticating the user terminal based on the second authentication information;
A process of permitting connection from the authenticated user terminal to the monitoring device;
Connecting to the connection target using the first authentication information;
A program that causes a computer that controls the monitoring device to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017177441A JP6690836B2 (en) | 2017-09-15 | 2017-09-15 | Monitoring device, user terminal, communication system, communication method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017177441A JP6690836B2 (en) | 2017-09-15 | 2017-09-15 | Monitoring device, user terminal, communication system, communication method and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019054422A JP2019054422A (en) | 2019-04-04 |
| JP6690836B2 true JP6690836B2 (en) | 2020-04-28 |
Family
ID=66013688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017177441A Active JP6690836B2 (en) | 2017-09-15 | 2017-09-15 | Monitoring device, user terminal, communication system, communication method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6690836B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7336291B2 (en) * | 2019-07-25 | 2023-08-31 | Tis株式会社 | Server device, program, and information processing method |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8572254B2 (en) * | 2004-04-08 | 2013-10-29 | Worldextend, Llc | Systems and methods for establishing and validating secure network sessions |
| JP4462126B2 (en) * | 2005-06-15 | 2010-05-12 | 富士ゼロックス株式会社 | Information processing apparatus and information processing system |
| JP2011210190A (en) * | 2010-03-30 | 2011-10-20 | Mizuho Information & Research Institute Inc | System, method and program for control of authority |
| US10237903B2 (en) * | 2015-06-23 | 2019-03-19 | Kabushiki Kaisha Toshiba | Remote maintenance system |
-
2017
- 2017-09-15 JP JP2017177441A patent/JP6690836B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019054422A (en) | 2019-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
| EP2127312B1 (en) | Self-initiated end-to-end monitoring for authentication gateway | |
| WO2016062002A1 (en) | Connection management method and apparatus, electrical device | |
| WO2009087702A1 (en) | Virtual machine execution program, user authentication program and information processor | |
| JP6470597B2 (en) | VPN communication terminal compatible with captive portal, communication control method thereof and program thereof | |
| JP2019500800A (en) | Method and apparatus for environmental isolation | |
| CN108874573B (en) | Techniques for repairing inoperable secondary device using another device | |
| JP6117050B2 (en) | Network controller | |
| US20150143526A1 (en) | Access point controller and control method thereof | |
| JP2007156669A (en) | Remote maintenance system | |
| JP6690836B2 (en) | Monitoring device, user terminal, communication system, communication method and program | |
| JP4501498B2 (en) | Network-compatible analyzer and system | |
| US20190098011A1 (en) | Network security management system | |
| GB2523123A (en) | Method and hardware device for remotely connecting to and controlling a private branch exchange | |
| US11032102B2 (en) | Bridge between communication networks | |
| Waedt et al. | Chipset level cybersecurity issues | |
| CN114629683B (en) | Access method, device, equipment and storage medium of management server | |
| KR102609368B1 (en) | System for controlling network access and method of the same | |
| WO2024057557A1 (en) | Diagnostic device and diagnosis method | |
| US20230344798A1 (en) | Roaming dns firewall | |
| KR101897982B1 (en) | Authentication server implementing wireless intranet authentication and ahthentication service method thereof | |
| JP4437259B2 (en) | Network management method and network management system | |
| KR20110060271A (en) | System and method for monitoring and blocking of spoofing attack | |
| JP6800902B2 (en) | Information processing equipment, information processing programs, recording media and information processing methods | |
| JP6590763B2 (en) | Power system monitoring and control system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191227 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200310 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200402 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6690836 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |