WO2012132697A1 - Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program - Google Patents

Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program Download PDF

Info

Publication number
WO2012132697A1
WO2012132697A1 PCT/JP2012/054709 JP2012054709W WO2012132697A1 WO 2012132697 A1 WO2012132697 A1 WO 2012132697A1 JP 2012054709 W JP2012054709 W JP 2012054709W WO 2012132697 A1 WO2012132697 A1 WO 2012132697A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
server
network
control unit
information
Prior art date
Application number
PCT/JP2012/054709
Other languages
French (fr)
Japanese (ja)
Inventor
治 福本
正浩 上野
拓朗 新妻
天峰 馬
惇 木下
純央 緑川
良輔 栗原
Original Assignee
株式会社野村総合研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2011069266A external-priority patent/JP4882030B1/en
Application filed by 株式会社野村総合研究所 filed Critical 株式会社野村総合研究所
Priority to CN201280000402.0A priority Critical patent/CN102822838B/en
Publication of WO2012132697A1 publication Critical patent/WO2012132697A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport

Abstract

A communication management server (11) executes a key-packet transmission AP (21) to intermittently perform multi-address transmission of key-packets to an internal network (4). A local terminal (15) (remote terminal (16)) executes a key-packet reception AP (23) to receive information which has been transmitted by multi-address transmission to the internal network (4), and sets a reception flag on the basis of the presence/absence of the reception of a key-packet from the communication management server (11). Further, the local terminal (15) (remote terminal (16)) executes a connection destination limitation AP (25) to determine whether or not the local terminal itself is physically connected to the internal network (4) on the basis of the reception flag. When it is determined that the local terminal itself is physically connected to the internal network (4), a connection process is executed for the logical connection request.

Description

接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラムConnection destination restriction system, connection destination restriction method, terminal setting control system, terminal setting control method, and program
 本発明は、端末のネットワーク接続を管理するシステム等に関する。特に、本発明は、端末の論理的な接続先を制限する接続先制限システム等に関する。また、本発明は、接続されるネットワークに応じて、端末の設定を制御する端末設定制御システム等に関する。 The present invention relates to a system for managing network connections of terminals. In particular, the present invention relates to a connection destination restriction system that restricts a logical connection destination of a terminal. The present invention also relates to a terminal setting control system for controlling terminal settings according to a connected network.
 従来から、会社内において利用されているPC(Personal Computer)、携帯情報端末(Personal Digital
Assistant)、携帯電話、タブレット端末、スマートフォンなど(以下、単に「端末」という。)の社外への持ち出し利用について、セキュリティ面での問題が指摘されている。これらの端末は、何も制限をかけないと、インターネットや自宅LAN(Local Area Network)などに論理的に直接接続することが可能である。ここで、「インターネットや自宅LANなどに論理的に直接接続する」とは、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)による通信であれば、インターネットを介した外部サーバや自宅に設置されている他の端末などのIPアドレス及びポート番号(アドレス情報)を接続先とする接続形態を意味し、端末が外部ネットワークに設置されている通信機器に物理的に直接接続(有線、無線を問わない。)されている場合も含む。 Conventionally, PCs (Personal Computers) and personal digital assistants (Personal Digital) used in the company
Assistant), mobile phones, tablet terminals, smartphones (hereinafter simply referred to as “terminals”), and security issues have been pointed out. These terminals can be logically directly connected to the Internet, a home LAN (Local Area Network) or the like without any restrictions. Here, “logically directly connected to the Internet, home LAN, etc.” means that, for example, communication using TCP / IP (Transmission Control Protocol / Internet Protocol) is installed on an external server or home via the Internet. This means a connection mode in which the IP address and port number (address information) of another terminal is connected to the terminal, and the terminal is physically connected directly to a communication device installed in an external network (regardless of wired or wireless). Not included).
 端末がインターネットや自宅LANなどに論理的に直接接続された場合、インターネットにおけるウェブサイトのアクセス制限ができなかったり、アンチウィルソフトのパターンファイルが未更新であることを検知できなかったりする為、セキュリティリスクが高まる。また、端末がインターネットや自宅LANなどに論理的に直接接続された場合、通信証跡を取得することができない為、故意の情報漏洩をし易い状況にある。 If the terminal is logically directly connected to the Internet or home LAN, it may not be possible to restrict access to websites on the Internet or detect that the anti-will software pattern file has not been updated. Risk increases. In addition, when a terminal is logically directly connected to the Internet, a home LAN, or the like, a communication trail cannot be acquired, so that it is easy to intentionally leak information.
 例えば、特許文献1には、外出先等でウィルスやスパイウェアなどの不正なプログラムが侵入したコンピュータが、社内LANなどのセキュアネットワークに接続されることを防止することを目的として、以下のようなネットワーク接続制御方法が開示されている。(1)ユーザ端末10を起動して社内LANへの接続を試みると、ネットワークへの接続が一旦停止されて、ユーザ端末10が前回動作した環境との対比、又は社内LAN環境との対比が行われる。(2)前回動作した環境と変化がない場合はそのまま社内LANへの接続が復旧されるが、前回の動作時には社内LAN以外に接続されていたと判断されると、アンチウィルスソフトが最新バージョンであるかを確認した後にウィルス等の検査が行われる。(3)ユーザ端末10の安全性が確認された後に、社内LANへの接続が復旧される。(4)社内LAN環境ではないと判断された場合には、そのまま外部ネットワークへ接続する。 For example, Patent Document 1 discloses the following network for the purpose of preventing a computer into which an illegal program such as a virus or spyware has entered while away from home from being connected to a secure network such as an in-house LAN. A connection control method is disclosed. (1) When the user terminal 10 is activated and attempts to connect to the in-house LAN, the connection to the network is temporarily stopped, and the user terminal 10 is compared with the environment in which the user terminal 10 was operated last time or with the in-house LAN environment. Is called. (2) If there is no change from the previous operating environment, the connection to the in-house LAN is restored as it is, but if it was determined that the connection was outside the in-house LAN during the previous operation, is the anti-virus software the latest version? After confirming, the virus is examined. (3) After the safety of the user terminal 10 is confirmed, the connection to the in-house LAN is restored. (4) If it is determined that the internal LAN environment is not established, the connection is made to the external network as it is.
 また、現在、端末は、ネットワークを経由して多くのサービスを受けている。ここで、ネットワークとは、社内LAN、社内WAN(Wide Area Network)、家庭内LAN等(有線、無線を問わない。)であり、コンピュータや通信機器を接続する局所的なコンピュータネットワークを意味する。このような局所的なネットワークには、通常、インターネットが接続されることが多い。 Currently, the terminal receives many services via the network. Here, the network is an in-house LAN, an in-house WAN (Wide Area Network), a home LAN or the like (regardless of wired or wireless), and means a local computer network for connecting computers and communication devices. Such a local network is usually connected to the Internet.
 企業などの組織に所属するユーザが、ネットワークを経由して(インターネットを経由する場合も含む。)提供されるサービスの一例を挙げると、メールサーバによるメール送受信サービス、OS(Operating System)パッチ更新サーバによるOSパッチファイル更新サービス、ウィルスパターン更新サーバによるウィルスパターンファイル更新サービス、プリントサーバ(複合機やプリンタなども含む。)によるプリント出力サービス、プロキシサーバによるインターネット接続サービス、VPN(Virtual Private Network)サーバによる社内ネットワークへのVPN接続サービスなどがある。これらのサービスを受ける為、通常、端末にはサービス毎に異なるソフトウエアがインストールされている。 An example of a service provided by a user belonging to an organization such as a company via a network (including via the Internet) is a mail transmission / reception service by a mail server, an OS (Operating System) patch update server. OS patch file update service by the virus, virus pattern file update service by the virus pattern update server, print output service by the print server (including multifunction devices and printers), Internet connection service by proxy server, by VPN (Virtual Private Network) server VPN connection service to company network. In order to receive these services, different software is usually installed on the terminal for each service.
 ところで、ユーザが端末を異なるネットワークに接続した場合、ネットワーク経由のサービスを受ける為には、端末の設定情報を変更する必要がある。現状、端末の設定情報の変更は、個々のソフトウエアごとに対応する必要がある。また、ソフトウエアによっては、ユーザが、手動によって設定情報を変更しなければいけない。 By the way, when the user connects the terminal to a different network, it is necessary to change the setting information of the terminal in order to receive services via the network. Currently, it is necessary to change the setting information of the terminal for each individual software. Depending on the software, the user must manually change the setting information.
 例えば、本社勤務、支社勤務、在宅勤務など、働く場所が日によって変わるユーザは、端末が接続されているネットワークを意識せずにサービスを受けたいという要望がある。具体的には、端末が接続されているネットワークが変更になっても、手動によって設定情報を変更したり、端末から設定情報の確認を求められたりすることなく、サービスを受けたいという要望がある。 For example, a user whose working place changes from day to day, such as working at a head office, working at a branch office, or working from home, has a desire to receive a service without being aware of the network to which the terminal is connected. Specifically, even if the network to which the terminal is connected is changed, there is a demand to receive a service without manually changing the setting information or being asked to confirm the setting information from the terminal. .
 特許文献2には、ネットワークの切り替えを簡便に行えるようにする技術が記載されている。具体的には、ルーティングテーブルを間欠的に取得し、ルーティングテーブルに記載されているデフォルトルートのゲートウエイの情報から、ネットワークの変更が生じたか否かを判断する。ネットワークの変更が生じたと判断すると、既にプロファイルが登録されているか否かを判断し、プロファイルが登録されている場合には、そのプロファイルに基づき、そのネットワークへの接続を完了させ、プロファイルが登録されていない場合には、そのネットワークのプロファイルを新規作成し、登録する。 Japanese Patent Application Laid-Open No. H10-228561 describes a technique that enables easy network switching. Specifically, the routing table is acquired intermittently, and it is determined from the gateway information of the default route described in the routing table whether or not a network change has occurred. When it is determined that the network has changed, it is determined whether or not the profile has already been registered. If the profile has been registered, the connection to the network is completed based on the profile, and the profile is registered. If not, create a new network profile and register it.
特開2007-213550号公報JP 2007-213550 A 特開2004-102464号公報JP 2004-102464 A
 しかしながら、特許文献1に記載の仕組みでは、そもそも、端末が外部ネットワークに論理的に直接接続されてしまうことを防止することはできない。そして、少なくとも、インターネットにおけるウェブサイトのアクセス制限、及び通信証跡の取得ができない。従って、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することはできない。 However, the mechanism described in Patent Document 1 cannot prevent the terminal from being logically directly connected to the external network in the first place. In addition, at least website access restrictions on the Internet and acquisition of communication trails are not possible. Therefore, it is impossible to improve the situation where the security risk for the terminal is high and the situation where it is easy to intentionally leak information.
 また、特許文献2の技術では、ネットワーク変更の判定処理において、誤判定が生じる可能性が高い。例えば、ユーザが、社内LANに接続された端末を自宅に持ち帰り、家庭内LANに接続して利用する際、社内LAN及び家庭内LANのゲートウエイの両方において、同一のプライベートアドレス(例えば、192.168.0.1)が設定されている場合が考えられる。この場合、ルーティングテーブルに記載されているデフォルトルートのゲートウエイの情報が一致するので、特許文献2の技術では、ネットワークの変更が生じていないと判定し、誤判定が生じる。このように、特許文献2の技術では、社内LANや家庭内LANなどのネットワークにおいて、端末が接続されているネットワークを意識せずにサービスを受けたいというユーザの要望に応えることができない。 In the technique of Patent Document 2, there is a high possibility that an erroneous determination occurs in the network change determination process. For example, when a user takes a terminal connected to an in-house LAN home and uses it by connecting to a home LAN, the same private address (for example, 192.168.0.1) is used in both the in-house LAN and the home LAN gateway. ) Is set. In this case, since the gateway information of the default route described in the routing table matches, it is determined that there is no network change in the technique of Patent Document 2, and an erroneous determination occurs. As described above, the technique of Patent Document 2 cannot meet a user's desire to receive a service without being aware of the network to which the terminal is connected in a network such as an in-house LAN or a home LAN.
 本発明は、前述した問題点に鑑みてなされたものであり、本発明の目的とすることは、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することである。また、本発明の目的とすることは、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる端末設定制御システム等を提供することである。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a connection destination restriction system capable of preventing a terminal from being logically directly connected to an external server or the like. Etc. is to provide. Another object of the present invention is to provide a terminal setting control system and the like that can reliably receive a service via a network without being conscious of the network to which the terminal is connected.
 前述した目的を達成するために第1の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、前記通信管理サーバは、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する通信制御部、を具備し、前記端末は、前記内部ネットワークに同報送信される情報を受信する通信制御部と、前記端末の前記通信制御部によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定し、自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する制御部と、を具備する接続先制限システムである。第1の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。 In order to achieve the above-described object, the first invention includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network. The communication management server intermittently broadcasts permission information indicating that a logical connection request of the terminal is permitted to the internal network. A communication control unit for transmitting, and when the permission information is received by the communication control unit for receiving information broadcast to the internal network and the communication control unit of the terminal, Determines that it is physically connected to the internal network and determines that it is physically connected to the internal network. The request is a connection destination restriction system comprising a control unit for executing connection processing. According to the first invention, it is possible to prevent the terminal from being logically directly connected to an external server or the like.
 第1の発明の前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、前記VPNサーバは、前記内部ネットワークに同報送信される情報を受信する通信制御部と、前記VPNサーバの前記通信制御部によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する制御部と、を具備し、前記端末の前記通信制御部は、前記端末の前記制御部によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、前記VPNサーバの前記通信制御部は、前記端末からVPN接続要求を受信すると、前記VPNサーバの前記制御部による判定結果を前記端末に送信し、前記端末の前記通信制御部が、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、前記端末の前記制御部は、正当な前記VPNサーバに接続されていると判定し、正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行することが望ましい。これによって、端末が外部ネットワークに物理的に接続されている場合であっても、端末が論理的に直接外部サーバ等に接続することを防止しながら、VPN接続処理によって論理的な接続要求を実行することができる。 The connection destination restriction system according to the first aspect of the present invention further includes a VPN server physically connected to the internal network, and the VPN server receives information broadcasted to the internal network. And when the permission information is received by the communication control unit of the VPN server, the control unit determines that it is physically connected to the internal network, and the communication of the terminal When the control unit determines that the control unit of the terminal is not physically connected to the internal network, the control unit transmits the VPN connection request to the VPN server, and When the communication control unit receives a VPN connection request from the terminal, the communication control unit transmits a determination result by the control unit of the VPN server to the terminal. When the communication control unit receives a determination result from the VPN server that the VPN server is physically connected to the internal network, the control unit of the terminal is connected to the valid VPN server. If it is determined that it is connected to the valid VPN server, it is desirable to execute VPN connection processing in response to the logical connection request. As a result, even when the terminal is physically connected to an external network, a logical connection request is executed by VPN connection processing while preventing the terminal from being directly connected to an external server or the like logically. can do.
 また、第1の発明における前記端末の前記制御部は、常に前記論理的な接続要求に対する応答を行うとともに、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行うことが望ましい。これによって、社外において端末を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用する等によって、正当なVPNサーバ以外のサーバ等にアクセスすることを防止することができる。 In addition, the control unit of the terminal according to the first aspect of the invention always responds to the logical connection request and performs the VPN connection only by using address information of the VPN server stored in advance in the terminal. desirable. As a result, it is possible to prevent a user who uses the terminal outside the company from accessing a server other than a valid VPN server by using a network adapter different from that instructed by the administrator.
 第2の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信し、前記端末が、前記内部ネットワークに同報送信される情報を受信し、前記端末が、前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定し、前記端末が、自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する接続先制限方法である。第2の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。 A second invention includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network, and a connection for restricting a logical connection destination of the terminal A connection restriction method in a destination restriction system, wherein the communication management server intermittently broadcasts permission information indicating permission of a logical connection request of the terminal to the internal network, The terminal receives information broadcast to the internal network, and when the terminal receives the permission information, the terminal determines that it is physically connected to the internal network, and the terminal A connection destination restriction method for executing a connection process in response to the logical connection request when it is determined that it is physically connected to the internal network. . According to the second invention, it is possible to prevent the terminal from being logically directly connected to an external server or the like.
 第3の発明は、サーバと端末とによって構成され、前記端末の設定を制御する端末設定制御システムであって、前記サーバは、前記サーバが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信する通信制御部、を備え、前記端末は、所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいてネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて前記端末の設定を更新する制御部、を備える端末設定制御システムである。第3の発明によって、ユーザは、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる。 A third invention is a terminal setting control system configured by a server and a terminal and for controlling the setting of the terminal, wherein the server uses a multicast address as identification information for identifying a network to which the server is connected. A communication control unit that transmits to a destination or a unicast address, and the terminal determines whether or not the identification information is received within a predetermined time, and if received, determines a network indicated by the identification information. A terminal setting control system comprising: a control unit that acquires setting information related to a service provided via a network based on a determination result, and updates the setting of the terminal based on the acquired setting information. According to the third invention, the user can reliably receive a service via the network without being aware of the network to which the terminal is connected.
 第3の発明における前記端末は、前記端末が接続されているネットワークに対して、前記識別情報の要求を同報送信する通信制御部、を更に備え、前記サーバの前記通信制御部は、前記識別情報の要求を受信すると、前記識別情報の要求の送信元に対してのみ、前記識別情報を送信することが望ましい。これによって、端末の数が比較的少ない場合には、ネットワーク帯域を無駄に消費しなくて済む。 The terminal according to a third aspect of the present invention further includes a communication control unit that broadcasts the request for the identification information to a network to which the terminal is connected, and the communication control unit of the server includes the identification When an information request is received, it is desirable to transmit the identification information only to the transmission source of the identification information request. As a result, when the number of terminals is relatively small, it is not necessary to waste network bandwidth.
 また、第3の発明における前記サーバの前記通信制御部は、前記識別情報とともに、前記サーバが接続されているネットワークの場所に関する情報、前記端末の利用時間に関する情報、及び、前記端末の動作モードに関する情報の中で少なくとも1つを送信することが望ましい。これによって、各ソフトウエアの利用制限をかけたり、利用時間が過ぎると自動的にシャットダウンしたり、或いは、電源の利用制限をかけたりすることができる。 In addition, the communication control unit of the server according to a third aspect of the invention relates to information about a location of a network to which the server is connected, information about a usage time of the terminal, and an operation mode of the terminal together with the identification information. It is desirable to transmit at least one of the information. As a result, it is possible to limit the use of each software, automatically shut down when the usage time elapses, or limit the use of power.
 第4の発明は、サーバと端末とによって構成され、前記端末の設定を制御する端末設定制御システムにおける端末設定制御方法であって、前記サーバは、前記サーバが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信し、前記端末は、所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいてネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて前記端末の設定を更新する端末設定制御方法である。第4の発明によって、ユーザは、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる。 A fourth invention is a terminal setting control method in a terminal setting control system configured by a server and a terminal and controlling the setting of the terminal, wherein the server identifies the network to which the server is connected Transmitting information to a multicast address or a unicast address, the terminal determines whether or not the identification information is received within a predetermined time, and if received, determines a network indicated by the identification information; A terminal setting control method for acquiring setting information related to a service provided via a network based on a determination result, and updating the setting of the terminal based on the acquired setting information. According to the fourth aspect of the invention, the user can reliably receive services via the network without being aware of the network to which the terminal is connected.
 第5の発明は、コンピュータ読取可能なプログラムであって、第1コンピュータを、前記第1コンピュータが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信するように機能させ、第2コンピュータを、所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいて、ネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて、前記第2コンピュータの設定を更新するように機能させるプログラムである。第5の発明のプログラムによって、第3の発明の端末設定制御システムを構築し、第4の発明の端末設定制御方法を実行することができる。 A fifth invention is a computer-readable program, wherein the first computer transmits identification information for identifying a network to which the first computer is connected to a multicast address or a unicast address. The second computer determines whether or not the identification information is received within a predetermined time. If the second computer is received, the second computer determines a network indicated by the identification information, and passes the network based on the determination result. It is a program that acquires setting information related to a provided service and functions to update the setting of the second computer based on the acquired setting information. By the program of the fifth invention, the terminal setting control system of the third invention can be constructed, and the terminal setting control method of the fourth invention can be executed.
 本発明により、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。また、本発明により、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる端末設定制御システム等を提供することができる。 According to the present invention, it is possible to provide a connection destination restriction system that can prevent a terminal from being directly and logically connected to an external server or the like. As a result, it is possible to improve the situation where the security risk for the terminal is high and the situation where it is easy to intentionally leak information. Further, according to the present invention, it is possible to provide a terminal setting control system or the like that can reliably receive a service via a network without being conscious of the network to which the terminal is connected.
接続先制限システム1の概要を示す図The figure which shows the outline of the connection restriction system 1 コンピュータ30のハードウエア構成図Hardware configuration diagram of computer 30 接続先制限AP25の構成を示す図The figure which shows the structure of connection destination restriction | limiting AP25. キーパケット送信AP21によって実現される処理を示すフローチャートThe flowchart which shows the process implement | achieved by key packet transmission AP21 キーパケット受信AP23によって実現される処理を示すフローチャートThe flowchart which shows the process implement | achieved by key packet reception AP23 接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートThe flowchart which shows the process implement | achieved by connection destination restriction | limiting AP25 and VPN connection AP24. 通信証跡管理AP22によって実現される処理を示すフローチャートThe flowchart which shows the process implement | achieved by communication trail management AP22 端末設定制御システムの概要を示す図The figure which shows the outline of the terminal setting control system コンピュータのハードウエア構成図Computer hardware configuration diagram 本社用設定情報の一例Example of head office setting information 支社用設定情報の一例Example of branch office setting information 自宅用設定情報の一例An example of home setting information ユニキャスト通信の場合の端末の動作を示すフローチャートFlow chart showing the operation of the terminal in the case of unicast communication ユニキャスト通信の場合の端末設定制御サーバの動作を示すフローチャートFlow chart showing operation of terminal setting control server in case of unicast communication マルチキャスト通信の場合の端末設定制御サーバの動作を示すフローチャートFlow chart showing operation of terminal setting control server in case of multicast communication マルチキャスト通信の場合の端末の動作を示すフローチャートFlow chart showing operation of terminal in case of multicast communication ロケーションパケットの一例Location packet example
 以下図面に基づいて、本発明の実施形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
<第1の実施形態>
 最初に、図1~図3を参照しながら、第1の実施形態の接続先制限システム1における構成について説明する。第1の実施形態では、例えば、OSI(Open Systems Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層~アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。第1の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。 <First Embodiment>
First, the configuration of the connection destination restriction system 1 according to the first embodiment will be described with reference to FIGS. 1 to 3. In the first embodiment, for example, a physical layer level connection in an OSI (Open Systems Interconnection) reference model is referred to as a “physical connection”. Further, for example, the connection from the data link layer to the application layer level in the OSI reference model is referred to as “logical connection”. In the connection destination restriction system 1 according to the first embodiment, a “logical connection” partner (for example, IP address and port number in the case of TCP / IP communication) is set to a secure network (for example, a company or the like). It is intended to be limited to computers installed in the internal network.
 図1は、接続先制限システム1の概要を示す図である。図1に示すように、第1の実施形態では、内部ネットワーク4、通信管理サーバ11、業務サーバ12、ファイアウォール13、及びVPN(Virtual Private Network)サーバ14、ローカル端末15等が企業等の社内2に存在することを想定している。また、第1の実施形態では、外部ネットワーク5、リモート端末16、及び外部サーバ17などが企業等の社外3に存在することを想定している。 FIG. 1 is a diagram showing an outline of the connection destination restriction system 1. As shown in FIG. 1, in the first embodiment, an internal network 4, a communication management server 11, a business server 12, a firewall 13, a VPN (Virtual Private Network) server 14, a local terminal 15, etc. Is assumed to exist. In the first embodiment, it is assumed that the external network 5, the remote terminal 16, the external server 17, and the like exist outside the company 3.
 尚、説明の都合上、ローカル端末15とリモート端末16に別の符号を付しているが、両者の違いは存在場所だけであり、ハードウエア及びソフトウエアは同一である。すなわち、ローカル端末15が社外3に持ち出されると、リモート端末16となる。 For convenience of explanation, different symbols are attached to the local terminal 15 and the remote terminal 16, but the difference between them is only the location, and the hardware and software are the same. That is, when the local terminal 15 is taken outside the company 3, it becomes the remote terminal 16.
 ローカル端末15(リモート端末16)が論理的に直接外部サーバ等に接続することを防止する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、及びローカル端末15(リモート端末16)である。また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。 The configuration of the connection destination restriction system 1 that is indispensable for preventing the local terminal 15 (remote terminal 16) from being logically directly connected to an external server or the like includes the communication management server 11 and the local terminal 15 (remote terminal 16). ). The configuration of the connection destination restriction system 1 that is indispensable for the remote terminal 16 to execute a logical connection request by the VPN connection processing to the legitimate VPN server 14 includes the communication management server 11, the VPN server 14, and the remote Terminal 16.
 内部ネットワーク4は、企業等の社内LAN、複数の拠点に敷設されているLANが専用線等によって接続されている社内WAN(ワイドエリアネットワーク)等が挙げられる。図1では、内部ネットワーク4を構成する物理的なネットワーク機器として、ファイアウォール13が例示されている。他のネットワーク機器としては、ルータ(有線、無線を問わない。)、スイッチ、ハブ、中継サーバなどが挙げられる。通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。 Examples of the internal network 4 include an in-house LAN of a company or the like, and an in-house WAN (wide area network) in which LANs installed at a plurality of bases are connected by a dedicated line or the like. In FIG. 1, a firewall 13 is illustrated as a physical network device constituting the internal network 4. Examples of other network devices include routers (both wired and wireless), switches, hubs, and relay servers. The communication management server 11, business server 12, VPN server 14, and local terminal 15 are physically connected to the internal network 4. Here, the physical connection form may be wired or wireless. VPN (Virtual Private Network) is a service that can use a public line as if it were a dedicated line, and security equivalent to that of the internal network 4 is ensured.
 ここで、通信管理サーバ11、業務サーバ12、ファイアウォール13、VPN(Virtual Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。 Here, a hardware configuration of a computer for realizing the communication management server 11, the business server 12, the firewall 13, the VPN (Virtual Private Network) server 14, the local terminal 15 (remote terminal 16), the external server 17, and the like will be described. To do.
 図2は、コンピュータ30のハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。 FIG. 2 is a hardware configuration diagram of the computer 30. Note that the hardware configuration in FIG. 2 is an example, and various configurations can be adopted depending on the application and purpose. The computer 30 is connected to a control unit 31, a storage unit 32, an input unit 33, a display unit 34, a communication control unit 35, and the like via a bus 36.
 制御部31は、CPU(Central Processing Unit)、RAM(Random Access
Memory)等で構成される。CPUは、記憶部32、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス36を介して接続された各装置を駆動制御し、コンピュータ30が行う処理を実現する。RAMは、揮発性メモリであり、記憶部32、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。 The control unit 31 includes a CPU (Central Processing Unit), a RAM (Random Access).
Memory) and the like. The CPU calls a program stored in the storage unit 32, a recording medium, etc. to a work memory area on the RAM, executes it, drives and controls each device connected via the bus 36, and realizes processing performed by the computer 30 To do. The RAM is a volatile memory, and temporarily stores a program, data, and the like loaded from the storage unit 32, the recording medium, and the like, and includes a work area used by the control unit 31 for performing various processes.
 記憶部32は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating
System)に相当する制御プログラムや、後述する処理を制御部31に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。 The storage unit 32 is a ROM (Read Only Memory), a flash memory, an HDD (Hard Disk Drive), or the like, and stores a program executed by the control unit 31, data necessary for program execution, and the like. As for programs, BIOS (Basic Input / Output System), boot loader, OS (Operating)
A control program corresponding to (System) and an application program for causing the control unit 31 to execute processing to be described later are stored. Each of these program codes is read by the control unit 31 as necessary, transferred to the RAM, read by the CPU, and executed as various means. The storage unit 32 may be an external storage device (USB memory, external hard disk, etc.) connected via a USB (Universal Serial Bus) or the like.
 入力部33は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。入力部33を介して、コンピュータ30に対して、操作指示、動作指示、データ入力等を行うことができる。表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。 The input unit 33 inputs data and includes, for example, a keyboard, a pointing device such as a mouse, and an input device such as a numeric keypad. An operation instruction, an operation instruction, data input, and the like can be performed on the computer 30 via the input unit 33. The display unit 34 includes a display device such as a CRT monitor and a liquid crystal panel, and a logic circuit (such as a video adapter) for realizing the video function of the computer 30 in cooperation with the display device. The communication control unit 35 includes a communication control device, a communication port, and the like, and is a communication interface that mediates communication between the computer 30 and the internal network 4 or the external network 5. The communication control between the computers 30 is performed. As described above, the internal network 4 or the external network 5 may be wired or wireless. The bus 36 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
 図1の説明に戻る。図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。 Returning to the explanation of FIG. Each apparatus (terminal and server) shown in FIG. 1 may be one or plural. Each server may be realized by one casing (computer 30) or may be realized by a plurality of casings. For example, in the case of the communication management server 11, both the key packet transmission AP (application program) 21 and the communication trail management AP 22 may be installed in one casing, or may be installed in separate casings. good.
 通信管理サーバ11には、キーパケット送信AP21、通信証跡管理AP22などがインストールされる。キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。 In the communication management server 11, a key packet transmission AP 21, a communication trail management AP 22, and the like are installed. The key packet transmission AP 21 is an application program for causing the communication management server 11 to execute processing shown in FIG. The control unit 31 of the communication management server 11 executes the key packet transmission AP 21 to allow permission information (hereinafter referred to as “key packet”) indicating that a terminal logical connection request is permitted to the internal network 4. .) Intermittently.
 具体的には、通信管理サーバ11は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信によってキーパケットを間欠的に送信する。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、キーパケットを送信する。キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。 Specifically, the communication management server 11 intermittently transmits key packets by, for example, IP (Internet Protocol) level broadcast communication. In IP level broadcast communication, a key packet is transmitted by setting a transmission destination address to a special address called “broadcast address”. The key packet is not particularly limited, but for example, it is desirable to have different contents depending on the time zone, such as a one-time password. Further, for example, the key packet may be encrypted and transmitted, and only the legitimate VPN server 14 and the local terminal 16 can be decrypted.
 ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。 As the broadcast address, for example, a so-called limited broadcast address or a directed broadcast address can be designated. The limited broadcast address is an IP address in which all bits are 1. For example, in the case of IPv4 (Internet Protocol version 4), “255.255.255.255” is the limited broadcast address. When broadcast communication is performed by specifying a limited broadcast address, a key packet is transmitted to all computers 30 in a network segment (a collision segment in the case of Ethernet (registered trademark)) to which a transmission source is connected. On the other hand, it is not transmitted to other network segments connected via the router. The directed broadcast address is an IP address in which all bits of the host address part are set to 1 without changing the network address part. For example, for a network address of “192.168.8.0” in IPv4, “192.168.0.255” in which the host address part (lower 8 bits) is all 1 is the directed broadcast address. . When broadcast communication is performed by specifying a directed broadcast address, a key packet is transmitted to all computers 30 having a specific network address (“192.168.8.0” in the above example).
 通信証跡管理AP22は、後述する図7に示す一部の処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。 The communication trail management AP 22 is an application program for causing the communication management server 11 to execute a part of processing shown in FIG. The control unit 31 of the communication management server 11 stores a communication trail log of the local terminal 15 (remote terminal 16) or the like by executing the communication trail management AP 22.
 業務サーバ12は、企業等が行う各業務を実現する為のサーバである。業務サーバ12は、ローカル端末15(リモート端末16)からの要求に応じて、応答処理を実行する。また、業務サーバ12は、予め定められた時刻になると、予め定められたバッチ処理を実行する場合もある。 The business server 12 is a server for realizing each business performed by a company or the like. The business server 12 executes response processing in response to a request from the local terminal 15 (remote terminal 16). In addition, the business server 12 may execute a predetermined batch process at a predetermined time.
 VPNサーバ14には、キーパケット受信AP23、VPN接続AP24などがインストールされる。キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。 In the VPN server 14, a key packet reception AP 23, a VPN connection AP 24, and the like are installed. The key packet reception AP 23 is an application program for causing the VPN server 14, the local terminal 15 (remote terminal 16), and the like to execute processing shown in FIG. The control unit 31 of the VPN server 14 receives information broadcast to the internal network 4 by executing the key packet reception AP 23. Further, the control unit 31 such as the VPN server 14 sets the reception flag stored in the RAM or the like to “Y” (reception) or “N” (reception) based on whether or not the key packet is received from the communication management server 11. None).
 VPN接続AP24は、VPN接続におけるサーバ側の処理、及び後述する図6に示す一部の処理を、VPNサーバ14に実行させる為のアプリケーションプログラムである。VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。 The VPN connection AP 24 is an application program for causing the VPN server 14 to execute server-side processing in VPN connection and some processing shown in FIG. The control unit 31 of the VPN server 14 performs server-side processing in the VPN connection by executing the VPN connection AP 24. Further, the control unit 31 of the VPN server 14 determines whether or not it is physically connected to the internal network 4 based on the reception flag stored in the RAM or the like. In addition, when the VPN connection is established from the remote terminal 16, the control unit 31 of the VPN server 14 transmits a determination result as to whether or not it is connected to the internal network 4 to the remote terminal 16.
 ローカル端末15(リモート端末16)には、キーパケット受信AP23、接続先制限AP25などがインストールされる。キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。 In the local terminal 15 (remote terminal 16), a key packet reception AP 23, a connection destination restriction AP 25, and the like are installed. The key packet reception AP 23 is as described above. That is, the control unit 31 of the local terminal 15 (remote terminal 16) receives the information broadcast to the internal network 4 by executing the key packet reception AP 23. Further, the control unit 31 of the local terminal 15 (remote terminal 16) sets the reception flag stored in the RAM or the like to “Y” or “N” based on whether or not the key packet is received from the communication management server 11. To do.
 接続先制限AP25は、VPN接続におけるクライアント側の処理、及び後述する図6に示す一部の処理を、ローカル端末15(リモート端末16)に実行させる為のアプリケーションプログラムである。ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。 The connection destination restriction AP 25 is an application program for causing the local terminal 15 (remote terminal 16) to execute the client side processing in the VPN connection and a part of the processing shown in FIG. Whether the control unit 31 of the local terminal 15 (remote terminal 16) is physically connected to the internal network 4 based on the reception flag stored in the RAM or the like by executing the connection destination restriction AP 25 Determine whether or not. Further, when it is determined that the control unit 31 of the local terminal 15 (remote terminal 16) is physically connected to the internal network 4, the control unit 31 executes connection processing in response to a logical connection request. .
 一方、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定した場合には、VPNサーバ14に対してVPN接続を行う。更に、ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14が内部ネットワーク4に物理的に接続されているか否かの判定結果(VPNサーバ14から受信する。)に基づいて、正当なVPNサーバ14に接続されているか否かを判定する。ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。 On the other hand, if the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not physically connected to the internal network 4, it makes a VPN connection to the VPN server 14. Further, the control unit 31 of the local terminal 15 (remote terminal 16) is valid based on the determination result (received from the VPN server 14) whether the VPN server 14 is physically connected to the internal network 4 or not. It is determined whether or not it is connected to the VPN server 14. When it is determined that the local terminal 15 (remote terminal 16) is connected to the valid VPN server 14, the control unit 31 executes a connection process in response to a logical connection request.
 図3は、接続先制限AP25の構成を示す図である。接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。 FIG. 3 is a diagram showing the configuration of the connection destination restricted AP 25. The connection destination restriction AP 25 includes an IP address 41 of the VPN server, a port number 42 of the VPN server, a connection determination program 43, a socket API (Application Programming Interface) 44, and the like. The IP address 41 of the VPN server and the port number 42 of the VPN server are stored, for example, in a setting file that can be read and written only by the administrator.
 接続判定プログラム43は、ローカル端末15(リモート端末16)の論理的な接続要求を許可して良いか否かを判定する処理(後述する図6に示す一部の処理)を、ローカル端末15(リモート端末16)に実行させる為のプログラムである。 The connection determination program 43 performs a process for determining whether or not the logical connection request of the local terminal 15 (remote terminal 16) may be permitted (a part of the process shown in FIG. 6 to be described later). This program is executed by the remote terminal 16).
 ソケットAPI44とは、コンピュータ30間の通信や、1つのコンピュータ30上のプロセス間の通信を可能とするコンピュータネットワークに関するライブラリである。例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。 The socket API 44 is a library related to a computer network that enables communication between computers 30 and communication between processes on one computer 30. For example, in the case of TCP communication that is connection-type communication, the control unit 31 of the computer 30 that is a TCP client normally calls the socket function of the socket API 44 to generate a TCP socket, and the logical connection destination is the argument of the connect function. By specifying the address information (IP address and port number), communication with the connection destination is started. The logical connection destination is a computer 30 that is a TCP server.
 ここで、接続先制限AP25がインストールされているローカル端末15(リモート端末16)は、他のプログラム(例えば、ネットワークアダプタのデバイスドライバなど)からの論理的な接続要求に対して、常に接続判定プログラム43が応答する仕組みとすることが望ましい。この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。 Here, the local terminal 15 (remote terminal 16) in which the connection destination restriction AP 25 is installed always responds to a logical connection request from another program (for example, a device driver of a network adapter). It is desirable to have a mechanism in which 43 responds. By this mechanism, even if a user who uses the remote terminal 16 outside the company 3 tries to cheat using a network adapter different from that instructed by the administrator, the connection determination process by the connection destination restriction AP 25 is avoided. It is not possible.
 前述の仕組みを実現する為に、例えば、接続判定プログラム43には、ソケットAPI44に含まれる各関数のラップ関数が記述されている。また、他のプログラムからsocket関数やconnect関数などの呼出しがなされると、接続判定プログラム43のラップ関数が実行されるように設定されている。そして、接続判定プログラム43のラップ関数には、接続判定処理の結果、VPN接続を実行する場合には、他のプログラムによって引数に設定された論理的な接続先のアドレス情報を破棄し、予め定義されているVPNサーバのIPアドレス41、及びVPNサーバのポート番号42を引数に設定して、通常のソケットAPI44に含まれる各関数を呼び出すように記述されている。これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。 In order to realize the above-described mechanism, for example, the connection determination program 43 describes a wrap function of each function included in the socket API 44. In addition, the wrap function of the connection determination program 43 is set to be executed when a socket function or a connect function is called from another program. In the wrap function of the connection determination program 43, when VPN connection is executed as a result of the connection determination process, the logical connection destination address information set as an argument by another program is discarded and defined in advance. The IP address 41 of the VPN server and the port number 42 of the VPN server are set as arguments and each function included in the normal socket API 44 is called. Accordingly, the computer 30 in which the connection destination restriction AP 25 is installed accesses only a predetermined single VPN server 14 when performing the VPN connection. Further, in the connection determination program 43, when not physically connected to the internal network 4, applications other than the connection destination restricted AP 25 have the VPN server IP address 41 and the VPN server port number 42 defined in advance. It also includes a function for preventing VPN connection using. This prevents an unauthorized application from performing unauthorized communication using the IP address 41 of the VPN server and the port number 42 of the VPN server.
 接続先制限システム1を実際に運用する場合、例えば、接続先制限AP25自体をOSとして外部記憶装置に記憶しておき、ローカル端末15(リモート端末16)に電源が投入されると、外部記憶装置に記憶されているOS(=接続先制限AP25)が起動されるように設定しておく手法が考えられる。 When the connection destination restriction system 1 is actually operated, for example, the connection destination restriction AP 25 itself is stored as an OS in an external storage device, and when the local terminal 15 (remote terminal 16) is powered on, the external storage device A method is conceivable in which the OS (= connection destination restriction AP 25) stored in is set to be activated.
 図1の説明に戻る。外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。 Returning to the explanation of FIG. The external server 17 is a WWW (World Wide Web) server on the Internet. The external server 17 executes response processing in response to an HTTP (HyperText Transfer Protocol) request from the local terminal 15 (remote terminal 16) or the like, and returns an HTTP response.
 次に、図4~図7を参照しながら、接続先制限システム1における処理の詳細について説明する。例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。 Next, details of processing in the connection destination restriction system 1 will be described with reference to FIGS. For example, the processes shown in FIGS. 5 and 6 (part of FIG. 6) are executed by the local terminal 15 (remote terminal 16). Therefore, the local terminal 15 (remote terminal 16) executes both processes almost simultaneously by multitasking (an OS mechanism that divides the CPU processing time into short units and makes it appear that multiple processes are performed simultaneously). To do. Other processes executed by a single device and overlapped in time series are similarly realized by multitasking.
 図4は、キーパケット送信AP21によって実現される処理を示すフローチャートである。キーパケット送信AP21は、通信管理サーバ11によって実行される。通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。 FIG. 4 is a flowchart showing processing realized by the key packet transmission AP 21. The key packet transmission AP 21 is executed by the communication management server 11. The control unit 31 of the communication management server 11 broadcasts a key packet to the internal network 4 (S101). Then, the control unit 31 of the communication management server 11 waits for a predetermined time (S102) and repeats the process of S101.
 図5は、キーパケット受信AP23によって実現される処理を示すフローチャートである。キーパケット受信AP23は、VPNサーバ14、及びローカル端末15(リモート端末16)によって実行される。VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。 FIG. 5 is a flowchart showing processing realized by the key packet reception AP 23. The key packet reception AP 23 is executed by the VPN server 14 and the local terminal 15 (remote terminal 16). The control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) monitors the key packet (S201) and checks whether the key packet is received within a predetermined time (S202).
 所定時間内にキーパケットを受信した場合(S202の「Yes」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「Y」に設定し(S203)、S201から繰り返す。 When the key packet is received within the predetermined time (“Yes” in S202), the control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) sets its reception flag stored in the RAM or the like to “Y ”(S203) and repeat from S201.
 一方、所定時間内にキーパケットを受信していない場合(S202の「No」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「N」に設定し(S204)、割込みによって接続中の通信を強制的に切断する強制切断処理を実行し(S205)、S201から繰り返す。 On the other hand, when the key packet is not received within the predetermined time (“No” in S202), the control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) receives its own stored in the RAM or the like. The flag is set to “N” (S204), a forced disconnection process for forcibly disconnecting the connected communication by an interrupt is executed (S205), and the process is repeated from S201.
 図4及び図5に示す処理によって、内部ネットワーク4に物理的に接続されているVPNサーバ14及びローカル端末15は、キーパケットを定期的に受信し、自らが内部ネットワーク4に物理的に接続されていると判定することが可能となる。 4 and 5, the VPN server 14 and the local terminal 15 that are physically connected to the internal network 4 periodically receive key packets and are physically connected to the internal network 4. It can be determined that
 図6は、接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートである。接続先制限AP25は、ローカル端末15(リモート端末16)によって実行される。VPN接続AP24は、VPNサーバ14によって実行される。ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。 FIG. 6 is a flowchart showing processing realized by the connection destination restriction AP 25 and the VPN connection AP 24. The connection destination restriction AP 25 is executed by the local terminal 15 (remote terminal 16). The VPN connection AP 24 is executed by the VPN server 14. When the control unit 31 of the local terminal 15 (remote terminal 16) receives a logical connection request by a user operation or the like (S301), the control unit 31 checks a reception flag stored in its own RAM (S302).
 自らの受信フラグが「Y」の場合(S302の「Y」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定し、論理的な接続要求に対して、そのまま接続処理を実行し(S303)、処理を終了する。 When the own reception flag is “Y” (“Y” in S302), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is physically connected to the internal network 4 and performs logical In response to a typical connection request, the connection process is executed as it is (S303), and the process ends.
 自らの受信フラグが「N」の場合(S302の「N」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定し、VPN接続要求をVPNサーバ14に送信する(S304)。ここで、前述の通り、ローカル端末15(リモート端末16)の制御部31は、予め決められた単一のVPNサーバ14にアクセスする。 When its own reception flag is “N” (“N” in S302), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not physically connected to the internal network 4, and VPN A connection request is transmitted to the VPN server 14 (S304). Here, as described above, the control unit 31 of the local terminal 15 (remote terminal 16) accesses the single VPN server 14 determined in advance.
 VPNサーバ14の制御部31は、自らのRAM等に格納されている受信フラグをローカル端末15(リモート端末16)に送信する(S305)。ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。 The control unit 31 of the VPN server 14 transmits the reception flag stored in its own RAM or the like to the local terminal 15 (remote terminal 16) (S305). The control unit 31 of the local terminal 15 (remote terminal 16) confirms the reception flag of the VPN server 14 (S306).
 VPNサーバ14の受信フラグが「Y」の場合(S306の「Y」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定し、そのままVPN接続処理を実行し(S307)、処理を終了する。 When the reception flag of the VPN server 14 is “Y” (“Y” in S306), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is connected to the legitimate VPN server 14, and continues to the VPN. A connection process is executed (S307), and the process ends.
 一方、VPNサーバ14の受信フラグが「N」の場合(S306の「N」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていないと判定し、エラー処理を実行し(S308)、処理を終了する。S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。 On the other hand, when the reception flag of the VPN server 14 is “N” (“N” in S306), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not connected to the legitimate VPN server 14, Error processing is executed (S308), and the processing is terminated. In the error processing in S308, the control unit 31 of the local terminal 15 (remote terminal 16) indicates, for example, that it is not physically connected to the internal network 4 and that it is not connected to the valid VPN server 14. The message is displayed on the display unit 34.
 図6に示す処理によって、端末が論理的に直接外部サーバ17等に接続することを防止することができる。ローカル端末15の場合(端末が内部ネットワーク4に物理的に接続されている場合)、そのまま接続処理が実行されるので、内部ネットワーク4に設置されている業務サーバ12等に対して論理的に直接接続させることができる。また、リモート端末16の場合(端末が外部ネットワーク5に物理的に接続されている場合)、VPN接続処理が実行されるので、必ずVPNサーバ14を介して、外部サーバ17等に接続させることができる。 The processing shown in FIG. 6 can prevent the terminal from being logically directly connected to the external server 17 or the like. In the case of the local terminal 15 (when the terminal is physically connected to the internal network 4), since the connection process is executed as it is, it is logically directly connected to the business server 12 and the like installed in the internal network 4. Can be connected. Further, in the case of the remote terminal 16 (when the terminal is physically connected to the external network 5), the VPN connection process is executed, so that the connection to the external server 17 or the like is always made via the VPN server 14. it can.
 図7は、通信証跡管理AP22によって実現される処理を示すフローチャートである。通信証跡管理AP22は、通信管理サーバ11によって実行される。 FIG. 7 is a flowchart showing processing realized by the communication trail management AP 22. The communication trail management AP 22 is executed by the communication management server 11.
 図7では、論理的な接続要求の一例として、外部サーバ17に対するHTTP要求の場合の処理を示している。図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。 FIG. 7 shows processing in the case of an HTTP request to the external server 17 as an example of a logical connection request. As a premise of the process shown in FIG. 7, it is assumed that the local terminal 15 (remote terminal 16) is executing the connection process (VPN connection process) shown in FIG. All logical connection requests by the local terminal 15 (remote terminal 16) are transmitted to the external server 17 via the communication management server 11.
 尚、リモート端末16の場合、通信管理サーバ11の前に、VPNサーバ14を介することになるが、通信証跡ログの取得処理に関する説明を分かり易くする為に、図7ではVPNサーバ14の中継処理を省略している。また、リモート端末16の場合、VPNサーバ14が、通信管理サーバ11の処理を代行しても良い。 In the case of the remote terminal 16, the VPN server 14 is routed before the communication management server 11. In order to make the explanation regarding the communication trail log acquisition process easier to understand, FIG. 7 shows the relay process of the VPN server 14. Is omitted. In the case of the remote terminal 16, the VPN server 14 may substitute the processing of the communication management server 11.
 ローカル端末15(リモート端末16)の制御部31は、HTTP要求を通信管理サーバ11に送信する(S401)。リモート端末16の場合、HTTP要求は必ずVPNサーバ14を介して送信される。通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。 The control unit 31 of the local terminal 15 (remote terminal 16) transmits an HTTP request to the communication management server 11 (S401). In the case of the remote terminal 16, the HTTP request is always transmitted via the VPN server 14. The control unit 31 of the communication management server 11 stores the communication trail log (S402), and transmits an HTTP request to the external server 17 (S403).
 外部サーバ17の制御部31は、HTTP要求の応答処理を実行し(S404)、HTTP応答を通信管理サーバ11に送信する(S405)。通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。 The control unit 31 of the external server 17 executes an HTTP request response process (S404), and transmits an HTTP response to the communication management server 11 (S405). The control unit 31 of the communication management server 11 stores the communication trail log (S406), and transmits an HTTP response to the local terminal 15 (remote terminal 16) (S407). In the case of the remote terminal 16, the HTTP response is always transmitted via the VPN server 14. The control unit 31 of the local terminal 15 (remote terminal 16) displays a screen on the display unit 34 based on the HTTP response (S408).
 図7に示す処理によって、ローカル端末15及びリモート端末16の全ての通信証跡ログを一元的に管理することができる。そして、社内2及び社外3を問わず、全ての通信証跡ログを取得していることをユーザに伝えることによって、故意の情報漏洩を抑止することができる。 7, all the communication trail logs of the local terminal 15 and the remote terminal 16 can be managed in an integrated manner. Then, by telling the user that all communication trail logs have been acquired regardless of whether they are in the company 2 or outside the company 3, intentional information leakage can be suppressed.
 また、図7に示す例では、通信管理サーバ11は通信証跡ログの取得処理だけを行っているが、更に、インターネットにおけるウェブサイトのアクセス制限や、アンチウィルソフトのパターンファイルの更新漏れの検知を行うこともできる。これによって、端末に対するセキュリティリスクを低くすることができる。 In the example shown in FIG. 7, the communication management server 11 performs only the process of acquiring the communication trail log. Further, the communication management server 11 detects the access restriction of the website on the Internet and the detection of the update omission of the pattern file of the anti-virus software. It can also be done. This can reduce the security risk for the terminal.
 第1の実施形態の接続先制限システム1によれば、端末が論理的に直接外部サーバ等に接続することを防止することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。 According to the connection destination restriction system 1 of the first embodiment, it is possible to prevent a terminal from being directly and logically connected to an external server or the like. As a result, it is possible to improve the situation where the security risk for the terminal is high and the situation where it is easy to intentionally leak information.
<第2の実施形態>
 最初に、図8、図9を参照しながら、第2の実施形態の端末設定制御システムにおける構成について説明する。図8は、端末設定制御システムの概要を示す図である。端末設定制御システム100は、ユーザが端末105を様々な場所に移動させ、端末105が前回と異なるネットワークに接続されても、確実にネットワーク経由のサービスを受けることができるように、端末の設定を制御するシステムである。図8に示す例では、異なるネットワークとして、本社ネットワーク102a、支社ネットワーク102b、自宅ネットワーク103を例示している。 <Second Embodiment>
First, the configuration of the terminal setting control system according to the second embodiment will be described with reference to FIGS. 8 and 9. FIG. 8 is a diagram showing an outline of the terminal setting control system. The terminal setting control system 100 sets the terminal so that even if the user moves the terminal 105 to various places and the terminal 105 is connected to a network different from the previous time, the terminal 105 can receive a service via the network. It is a system to control. In the example shown in FIG. 8, the head office network 102a, the branch office network 102b, and the home network 103 are illustrated as different networks.
 本社ネットワーク102a及び支社ネットワーク102bは、例えば、拠点ごとのLANや、複数の拠点に敷設されているLANが専用線等によって接続されるWAN等(有線、無線を問わない。)として構成される。尚、例えば、フロアごとにネットワークを分けて、1つの拠点の中に複数のネットワークが存在するように構成しても良い。また、自宅ネットワーク103は、例えば、家庭内LAN(有線、無線を問わない。)として構成される。LANの物理的な形態としては、例えば、有線LANであれば、イーサネット(登録商標)とTCP/IPを組み合わせるタイプ、無線LANであれば、IEEE802.11などが考えられる。 The head office network 102a and the branch office network 102b are configured as, for example, a LAN for each base or a WAN (wired or wireless) in which LANs installed at a plurality of bases are connected by a dedicated line or the like. For example, the network may be divided for each floor so that a plurality of networks exist in one base. The home network 103 is configured as, for example, a home LAN (whether wired or wireless). As a physical form of the LAN, for example, a wired LAN is a type combining Ethernet (registered trademark) and TCP / IP, and a wireless LAN is IEEE 802.11.
 端末設定制御システム100では、ネットワーク(本社ネットワーク102a、支社ネットワーク102b)ごとに、端末設定制御サーバ(本社端末設定制御サーバ104a、支社端末設定制御サーバ104b)が設置される。但し、自宅ネットワーク103のように、端末設定制御サーバが設置されないネットワークが存在しても良い。つまり、端末105は、端末設定制御サーバが設置されるネットワーク(本社ネットワーク102a、支社ネットワーク102b)に接続されても良いし、端末設定制御サーバが設置されないネットワーク(自宅ネットワーク103)に接続されても良い。 In the terminal setting control system 100, a terminal setting control server (head office terminal setting control server 104a, branch terminal setting control server 104b) is installed for each network (head office network 102a, branch office network 102b). However, there may be a network such as the home network 103 in which no terminal setting control server is installed. That is, the terminal 105 may be connected to a network where the terminal setting control server is installed (head office network 102a, branch office network 102b), or may be connected to a network where the terminal setting control server is not installed (home network 103). good.
 本社ネットワーク102aには、本社端末設定制御サーバ104a、本社ゲートウエイ121a、本社OSパッチ更新サーバ122a、本社ウィルス更新サーバ123a、VPNサーバ124、本社プリントサーバ125a、端末105等が接続されている。また、支社ネットワーク102bには、支社端末設定制御サーバ104b、支社ゲートウエイ121b、支社OSパッチ更新サーバ122b、支社ウィルス更新サーバ123b、支社プリントサーバ125b、端末105等が接続されている。また、自宅ネットワーク103には、自宅ゲートウエイ131、自宅プリントサーバ132等が接続されている。また、インターネット109には、外部OSパッチ更新サーバ111、外部ウィルスパターン更新サーバ112等が接続されている。 Connected to the head office network 102a are a head office terminal setting control server 104a, a head office gateway 121a, a head office OS patch update server 122a, a head office virus update server 123a, a VPN server 124, a head office print server 125a, a terminal 105, and the like. Further, the branch office network 102b is connected to the branch terminal setting control server 104b, the branch gateway 121b, the branch OS patch update server 122b, the branch virus update server 123b, the branch print server 125b, the terminal 105, and the like. The home network 103 is connected to a home gateway 131, a home print server 132, and the like. Also, an external OS patch update server 111, an external virus pattern update server 112, and the like are connected to the Internet 109.
 端末設定制御サーバ(本社端末設定制御サーバ104a、支社端末設定制御サーバ104b)は、自らが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信する。ここで、ネットワークは、コンピュータにとっては自らが所在する場所と考えられることから、以下では、識別情報を含むパケットのことを、「ロケーションパケット」と呼ぶことにする。端末設定制御サーバによる処理の詳細は、図14、図15を参照しながら後述する。 The terminal setting control server (head office terminal setting control server 104a, branch terminal setting control server 104b) transmits identification information for identifying a network to which the terminal setting control server is connected to a multicast address or a unicast address. Here, since the network is considered to be a place where the computer is located, a packet including identification information is hereinafter referred to as a “location packet”. Details of processing by the terminal setting control server will be described later with reference to FIGS. 14 and 15.
 端末105は、所定時間内にロケーションパケットを受信したか否かを判定し、受信している場合にはロケーションパケットが示すネットワークを判定し、判定結果に基づいて、ネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された設定情報に基づいて、自らの設定を更新する。これによって、端末105は、ネットワークが変更されても、確実にネットワーク経由のサービスを受けることができる。端末105による処理の詳細は、図13、図16を参照しながら後述する。 The terminal 105 determines whether or not the location packet has been received within a predetermined time. If it has been received, the terminal 105 determines the network indicated by the location packet, and is provided via the network based on the determination result. It acquires setting information regarding the service, and updates its own setting based on the acquired setting information. Thereby, even if the network is changed, the terminal 105 can surely receive the service via the network. Details of processing by the terminal 105 will be described later with reference to FIGS. 13 and 16.
 各ネットワークのゲートウエイ(本社ゲートウエイ121a、支社ゲートウエイ121b、自宅ゲートウエイ131)は、インターネット109への入り口となる。インターネット109では、ルータ等の通信機器、プロキシサーバやファイアウォール等として設置されるコンピュータが、ゲートウエイの役割を果たす。 The gateway of each network (head office gateway 121a, branch office gateway 121b, home gateway 131) is an entrance to the Internet 109. In the Internet 109, communication devices such as routers, computers installed as proxy servers, firewalls, and the like serve as gateways.
 図8に示す例では、ネットワーク経由のサービスを提供するサーバとして、OSパッチ更新サーバ、ウィルスパターン更新サーバ、VPNサーバ、プリントサーバが例示されている。以下、各サーバの概要を説明する。 In the example shown in FIG. 8, an OS patch update server, a virus pattern update server, a VPN server, and a print server are illustrated as servers that provide services via the network. The outline of each server will be described below.
 OSパッチ更新サーバには、組織向けOSパッチ更新サーバと、外部OSパッチ更新サーバ111の2種類がある。組織向けOSパッチ更新サーバ(本社OSパッチ更新サーバ122a、支社OSパッチ更新サーバ122b)は、自らが接続されているネットワーク内の端末105に対して、OSパッチファイル更新サービスを提供する。一方、外部OSパッチ更新サーバ111は、OSを提供する企業などが設置するものであって、対象のOSがインストールされているコンピュータ全てに対して、OSパッチファイル更新サービスを提供する。 There are two types of OS patch update servers: an OS patch update server for organizations and an external OS patch update server 111. The OS patch update server for organization (head office OS patch update server 122a, branch OS patch update server 122b) provides an OS patch file update service to the terminal 105 in the network to which the OS patch update server is connected. On the other hand, the external OS patch update server 111 is installed by a company that provides an OS, and provides an OS patch file update service to all computers on which the target OS is installed.
 同様に、ウィルスパターン更新サーバにも、組織向けウィルスパターン更新サーバと、外部ウィルスパターン更新サーバ112の2種類がある。組織向けウィルスパターン更新サーバ(本社ウィルスパターン更新サーバ123a、支社ウィルスパターン更新サーバ123b)は、自らが接続されているネットワーク内の端末105に対して、ウィルスパターンファイル更新サービスを提供する。一方、外部ウィルスパターン更新サーバ112は、ウィルス対策ソフトを提供する企業などが設置するものであって、対象のウィルス対策ソフトがインストールされているコンピュータ全てに対して、ウィルスパターンファイル更新サービスを提供する。 Similarly, there are two types of virus pattern update servers: an organization virus pattern update server and an external virus pattern update server 112. The virus pattern update server for organizations (head office virus pattern update server 123a, branch virus pattern update server 123b) provides a virus pattern file update service to the terminal 105 in the network to which the virus pattern update server is connected. On the other hand, the external virus pattern update server 112 is installed by a company that provides antivirus software, and provides a virus pattern file update service to all computers on which the target antivirus software is installed. .
 VPNサーバ124は、本社ネットワーク102aへのVPN接続サービスを提供する。VPN接続サービスは、公衆回線をあたかも専用回線であるかのように利用できるサービスである。VPN接続サービスによって、例えば、自宅ネットワーク103に接続されている端末105であっても、セキュリティを維持しながら、本社ネットワーク102aのコンピュータにアクセスすることができる。 The VPN server 124 provides a VPN connection service to the head office network 102a. The VPN connection service is a service that can use a public line as if it were a dedicated line. With the VPN connection service, for example, even the terminal 105 connected to the home network 103 can access the computer of the head office network 102a while maintaining security.
 プリントサーバ(本社プリントサーバ125a、支社プリントサーバ125b、自宅プリンタサーバ132)は、自らが接続されているネットワーク内の端末105に対して、プリント出力サービスを提供する。プリントサーバは、コンピュータに限らず、複合機、プリンタなどであっても良い。 The print server (head office print server 125a, branch office print server 125b, home printer server 132) provides a print output service to the terminal 105 in the network to which the print server is connected. The print server is not limited to a computer, and may be a multifunction machine, a printer, or the like.
 図9は、コンピュータのハードウエア構成図である。図9は、図8に例示される各種サーバ及び端末105を実現するコンピュータ140のハードウエア構成を示している。尚、図9のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。 FIG. 9 is a hardware configuration diagram of the computer. FIG. 9 shows the hardware configuration of a computer 140 that implements the various servers and terminals 105 illustrated in FIG. Note that the hardware configuration in FIG. 9 is an example, and various configurations can be adopted according to applications and purposes.
 図9に示すように、コンピュータ140は、制御部141、記憶部142、入力部143、表示部144、通信制御部145等が、バス146を介して接続される。 As shown in FIG. 9, the computer 140 is connected to a control unit 141, a storage unit 142, an input unit 143, a display unit 144, a communication control unit 145, and the like via a bus 146.
 制御部141は、CPU、RAM等で構成される。CPUは、記憶部142、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス146を介して接続された各装置を駆動制御し、コンピュータ140が行う処理を実現する。RAMは、揮発性メモリであり、記憶部142、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部141が各種処理を行う為に使用するワークエリアを備える。 The control unit 141 includes a CPU, a RAM, and the like. The CPU calls a program stored in the storage unit 142, a recording medium, etc. to a work memory area on the RAM, executes it, drives and controls each device connected via the bus 146, and realizes processing performed by the computer 140 To do. The RAM is a volatile memory, and temporarily stores a program, data, and the like loaded from the storage unit 142, a recording medium, and the like, and includes a work area used by the control unit 141 for performing various processes.
 記憶部142は、ROM、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部141が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS、ブートローダ、OSに相当する制御プログラムや、後述する処理を制御部141に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部141により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。尚、記憶部142は、USB等を介して接続される脱着可能な記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。 The storage unit 142 is a ROM, flash memory, HDD (hard disk drive) or the like, and stores a program executed by the control unit 141, data necessary for program execution, and the like. As for the program, a control program corresponding to a BIOS, a boot loader, and an OS, and an application program for causing the control unit 141 to execute processing to be described later are stored. Each of these program codes is read by the control unit 141 as necessary, transferred to the RAM, read by the CPU, and executed as various means. The storage unit 142 may be a removable storage device (USB memory, external hard disk, etc.) connected via a USB or the like.
 入力部143は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。ユーザは、入力部143を介して、コンピュータ140に対して、操作指示、動作指示、データ入力等を行うことができる。表示部144は、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ140のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。尚、入力部143及び表示部144は、タッチパネルディスプレイのように、一体として構成されるものであっても良い。 The input unit 143 inputs data and includes, for example, a keyboard, a pointing device such as a mouse, and an input device such as a numeric keypad. The user can perform an operation instruction, an operation instruction, data input, or the like on the computer 140 via the input unit 143. The display unit 144 includes a display device such as a liquid crystal panel, and a logic circuit (video adapter or the like) for realizing the video function of the computer 140 in cooperation with the display device. Note that the input unit 143 and the display unit 144 may be configured as a single unit, such as a touch panel display.
 通信制御部145は、通信制御装置、通信ポート等を有し、コンピュータ140とネットワーク間の通信を媒介する通信インタフェースであり、ネットワークを介して、他のコンピュータ140間との通信制御を行う。ネットワークは、有線、無線を問わない。バス146は、各装置間の制御信号、データ信号等の授受を媒介する経路である。 The communication control unit 145 has a communication control device, a communication port, and the like, is a communication interface that mediates communication between the computer 140 and the network, and performs communication control between other computers 140 via the network. The network may be wired or wireless. The bus 146 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
 次に、図10~図12を参照しながら、第2の実施形態における端末105が利用する情報について説明する。図10~図12に示す本社用設定情報、支社用設定情報及び自宅用設定情報は、予め端末105の記憶部142に記憶されていても良い。或いは、これらの情報は、他のコンピュータ(例えば、端末設定制御サーバ)の記憶部142に記憶され、端末105が、必要な時に、他のコンピュータ(例えば、端末設定制御サーバ)から受信するようにしても良い。 Next, information used by the terminal 105 in the second embodiment will be described with reference to FIGS. The head office setting information, branch office setting information, and home setting information shown in FIGS. 10 to 12 may be stored in the storage unit 142 of the terminal 105 in advance. Alternatively, these pieces of information are stored in the storage unit 142 of another computer (for example, terminal setting control server), and the terminal 105 receives the information from another computer (for example, terminal setting control server) when necessary. May be.
 図10は、本社用設定情報の一例である。本社用設定情報151とは、本社ネットワーク102aに接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「本社OSパッチ更新サーバ122aのコンピュータ名又はIPアドレス」が対応付けられている。尚、本社ネットワーク102aに接続されている端末105に対しては、VPN接続サービスを提供する必要が無い為、接続先が未設定(「-」)となっている。 FIG. 10 is an example of head office setting information. The head office setting information 151 is information indicating settings necessary for the terminal 105 connected to the head office network 102a to receive a service via the network. For example, the service name “OS patch file update service” is associated with “the computer name or IP address of the head office OS patch update server 122a” as a connection destination. Note that the connection destination is not set (“−”) to the terminal 105 connected to the head office network 102a because it is not necessary to provide the VPN connection service.
 図11は、支社用設定情報の一例である。支社用設定情報152とは、支社ネットワーク102bに接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「支社OSパッチ更新サーバ122bのコンピュータ名又はIPアドレス」が対応付けられている。尚、支社ネットワーク102bに接続されている端末105に対しては、VPN接続サービスを提供する必要が無い為、接続先が未設定(「-」)となっている。 FIG. 11 is an example of branch office setting information. The branch setting information 152 is information indicating settings necessary for the terminal 105 connected to the branch network 102b to receive services via the network. For example, the service name “OS patch file update service” is associated with “the computer name or IP address of the branch OS patch update server 122b” as a connection destination. Note that the connection destination is not set (“-”) to the terminal 105 connected to the branch office network 102b because it is not necessary to provide the VPN connection service.
 図12は、自宅用設定情報の一例である。自宅用設定情報153とは、自宅ネットワーク103に接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「外部OSパッチ更新サーバ111のURL(Uniform Resource Locator)」が対応付けられている。尚、自宅ネットワーク2bに接続されている端末105に対しては、VPN接続サービスを提供する必要がある為、接続先が「VPNサーバ124のIPアドレス及びポート番号」となっている。 FIG. 12 is an example of home setting information. The home setting information 153 is information indicating settings necessary for the terminal 105 connected to the home network 103 to receive a service via the network. For example, the service name “OS patch file update service” is associated with “URL (Uniform Resource 更新 Locator) of the external OS patch update server 111” as a connection destination. Note that since the VPN connection service needs to be provided for the terminal 105 connected to the home network 2b, the connection destination is “the IP address and port number of the VPN server 124”.
 次に、図13~図16を参照しながら、第2の実施形態における端末設定制御サーバと端末105の処理内容について説明する。以下、本社端末設定制御サーバ104aと支社端末設定制御サーバ104bを区別しない場合、「端末設定制御サーバ4」と表記する。 Next, processing contents of the terminal setting control server and the terminal 105 in the second embodiment will be described with reference to FIGS. Hereinafter, when the head office terminal setting control server 104a and the branch office terminal setting control server 104b are not distinguished, they are referred to as “terminal setting control server 4”.
 図13、図14では、ロケーションパケットをユニキャスト送信する方式(ユニキャスト送信方式)の処理内容について示している。一方、図15、図16では、ロケーションパケットをマルチキャスト送信する方式(マルチキャスト送信方式)の処理内容について示している。 FIG. 13 and FIG. 14 show the processing contents of a method (unicast transmission method) for transmitting location packets by unicast. On the other hand, FIG. 15 and FIG. 16 show the processing contents of a method (multicast transmission method) for multicast transmission of location packets.
 まず、ユニキャスト送信方式について説明する。図13に示すように、端末105の制御部141は、まず、端末105が接続されているネットワークに対して、ロケーションパケットの要求を同報送信する(S501)。同報送信は、ブロードキャスト送信方式とマルチキャスト送信方式のどちらでも良い。 First, the unicast transmission method will be described. As shown in FIG. 13, the control unit 141 of the terminal 105 first broadcasts a location packet request to the network to which the terminal 105 is connected (S501). Broadcast transmission may be either a broadcast transmission method or a multicast transmission method.
 これに対して、図14に示すように、端末設定制御サーバ4の制御部141は、起動後、ロケーションパケットの要求を監視する(S601)。ロケーションパケットの要求を受信すると(S602のYes)、端末設定制御サーバ4の制御部141は、ロケーションパケットをユニキャストアドレス宛てに送信する(S603)。より詳細には、端末設定制御サーバ4の制御部141は、ロケーションパケットの要求の送信元に対してのみ、自らが接続されているネットワークを識別する識別情報を含むロケーションパケットを送信する。 On the other hand, as shown in FIG. 14, the control unit 141 of the terminal setting control server 4 monitors a request for a location packet after activation (S601). When receiving the request for the location packet (Yes in S602), the control unit 141 of the terminal setting control server 4 transmits the location packet to the unicast address (S603). More specifically, the control unit 141 of the terminal setting control server 4 transmits a location packet including identification information for identifying a network to which the control unit 141 is connected only to the transmission source of the request for the location packet.
 図13の説明に戻る。次に、S502では、端末105の制御部141は、ロケーションパケットを要求してから所定時間内にロケーションパケットを受信したかどうかを判定する。端末105の制御部141は、受信している場合(S502のYes)、S503に進み、受信していない場合(S502のNo)、S506に進む。端末105が本社ネットワーク102aや支社ネットワーク102bに接続されている場合、端末105は、本社端末設定制御サーバ104aや支社端末設定制御サーバ104bから、所定時間内にロケーションパケットを受信する。一方、端末105が自宅ネットワーク103に接続されている場合、端末105は、ロケーションパケットを受信しない。 Returning to the explanation of FIG. Next, in S502, the control unit 141 of the terminal 105 determines whether the location packet is received within a predetermined time after requesting the location packet. The control unit 141 of the terminal 105 proceeds to S503 when receiving (Yes in S502), and proceeds to S506 when not receiving (No in S502). When the terminal 105 is connected to the head office network 102a or the branch office network 102b, the terminal 105 receives a location packet from the head office terminal setting control server 104a or the branch office terminal setting control server 104b within a predetermined time. On the other hand, when the terminal 105 is connected to the home network 103, the terminal 105 does not receive the location packet.
 S503では、端末105の制御部141は、受信したロケーションパケットが示すネットワークを判定する。端末105の制御部141は、「本社」を示している場合(S503の本社)、S504に進み、「支社」を示している場合(S505の支社)、S505に進む。 In S503, the control unit 141 of the terminal 105 determines the network indicated by the received location packet. The control unit 141 of the terminal 105 proceeds to S504 when “head office” is indicated (the head office of S503), and proceeds to S505 when “branch office” is indicated (the branch office of S505).
 S504では、端末105の制御部141は、本社用設定情報151を取得する。ここで、本社用設定情報151が予め端末105の記憶部142に記憶されている場合、端末105の制御部141は、記憶部142から本社用設定情報151を抽出する。また、本社用設定情報151が端末設定制御サーバ4の記憶部142に記憶されている場合、端末105の制御部141は、端末設定制御サーバ4から本社用設定情報151を受信する。 In S504, the control unit 141 of the terminal 105 acquires the setting information 151 for the head office. Here, when the head office setting information 151 is stored in the storage unit 142 of the terminal 105 in advance, the control unit 141 of the terminal 105 extracts the head office setting information 151 from the storage unit 142. When the head office setting information 151 is stored in the storage unit 142 of the terminal setting control server 4, the control unit 141 of the terminal 105 receives the head office setting information 151 from the terminal setting control server 4.
 同様に、S505では、端末105の制御部141は、支社用設定情報152を取得する。また、S506では、端末105の制御部141は、自宅用設定情報153を取得する。尚、自宅用設定情報153については、予め端末105の記憶部142に記憶されている必要がある。 Similarly, in S505, the control unit 141 of the terminal 105 acquires the branch setting information 152. In step S <b> 506, the control unit 141 of the terminal 105 acquires home setting information 153. The home setting information 153 needs to be stored in the storage unit 142 of the terminal 105 in advance.
 S507では、端末105の制御部141は、取得された設定情報に基づいて、端末105の設定を更新する。例えば、端末105が本社ネットワーク102aに接続されており、S504において本社用設定情報151を取得した場合、本社用設定情報151に基づいて端末105の設定が更新される。 In S507, the control unit 141 of the terminal 105 updates the setting of the terminal 105 based on the acquired setting information. For example, when the terminal 105 is connected to the head office network 102a and the head office setting information 151 is acquired in S504, the setting of the terminal 105 is updated based on the head office setting information 151.
 次に、マルチキャスト送信方式について説明する。図15に示すように、端末設定制御サーバ4の制御部141は、起動後、ロケーションパケットのマルチキャスト送信(S701)、及び所定時間の待機(S702)を繰返す。より詳細には、端末設定制御サーバ4の制御部141は、間欠的に、自らが接続されているネットワークを識別する識別情報を含むロケーションパケットを、マルチキャストアドレス宛てに送信する。 Next, the multicast transmission method will be described. As illustrated in FIG. 15, the control unit 141 of the terminal setting control server 4 repeats the multicast transmission of the location packet (S701) and the standby for a predetermined time (S702) after the activation. More specifically, the control unit 141 of the terminal setting control server 4 intermittently transmits a location packet including identification information for identifying a network to which the terminal setting control server 4 is connected to the multicast address.
 これに対して、図16に示すように、端末105の制御部141は、起動後、ロケーションパケットを監視する(S801)。監視を始めてから所定時間内にロケーションパケットを受信すると(S802のYes)、S803に進み、受信しないと(S802のNo)、S806に進む。以下、S803~S807の詳細は、図13に示すS503~S507と同様である為、説明を省略する。 On the other hand, as shown in FIG. 16, the control unit 141 of the terminal 105 monitors the location packet after activation (S801). If a location packet is received within a predetermined time from the start of monitoring (Yes in S802), the process proceeds to S803, and if not received (No in S802), the process proceeds to S806. The details of S803 to S807 are the same as S503 to S507 shown in FIG.
 端末105の接続が許可されているネットワークの数が2つである場合、端末105は、S502(又はS802)において、ロケーションパケットの受信有無の判定処理のみを行い、取得すべき設定情報を判断する。一方、端末105の接続が許可されているネットワークの数が3つ以上の場合、端末105は、S503(又はS803)において、ロケーションパケットが示すネットワークの判定も行い、取得すべき設定情報を判断する。 When the number of networks to which the connection of the terminal 105 is permitted is 2, the terminal 105 performs only the determination process of whether or not to receive the location packet in S502 (or S802), and determines the setting information to be acquired. . On the other hand, if the number of networks to which connection of the terminal 105 is permitted is three or more, the terminal 105 also determines the network indicated by the location packet in S503 (or S803), and determines the setting information to be acquired. .
 端末105の数が比較的少ない場合、ネットワーク帯域を無駄に消費しない為に、ユニキャスト送信方式を利用する。一方、端末105の数が多い場合、マルチキャスト送信方式が有効である。なぜなら、端末105の数が多い場合、マルチキャスト送信方式の方が、ネットワーク帯域の消費が少なくなるからである。つまり、ユニキャストアドレス(端末105)が増加すると、ネットワーク帯域を圧迫することも有り得るので、マルチキャスト送信方式の採用が有効となる。 When the number of terminals 105 is relatively small, the unicast transmission method is used in order not to waste network bandwidth. On the other hand, when the number of terminals 105 is large, the multicast transmission method is effective. This is because when the number of terminals 105 is large, the multicast transmission method consumes less network bandwidth. That is, when the unicast address (terminal 105) increases, the network bandwidth may be compressed, so the adoption of the multicast transmission method is effective.
 ここで、図8のシステム構成例における端末設定制御サーバ4及び端末105の2通りの動作例を説明する。動作例1は、ユーザが端末105を本社ネットワーク102aに接続する場合である。動作例2は、ユーザが端末105を自宅ネットワーク103に接続する場合である。 Here, two operation examples of the terminal setting control server 4 and the terminal 105 in the system configuration example of FIG. 8 will be described. Operation example 1 is a case where the user connects the terminal 105 to the head office network 102a. Operation example 2 is a case where the user connects the terminal 105 to the home network 103.
(動作例1)
 端末105が本社ネットワーク102aに接続されると、端末105は、本社端末設定制御サーバ5aからロケーションパケットを受信する。これにより、端末105は、本社用設定情報151を取得し、本社用設定情報151に基づいて、自らの設定を更新する。この結果、端末105は、以下のサーバから、ネットワーク経由の各種サービスを受ける。
・OSパッチファイル更新サービス:本社OSパッチ更新サーバ122a
・ウィルスパターンファイル更新サービス:本社ウィルスパターン更新サーバ123a
・プリント出力サービス:本社プリントサーバ125a (Operation example 1)
When the terminal 105 is connected to the head office network 102a, the terminal 105 receives a location packet from the head office terminal setting control server 5a. Thereby, the terminal 105 acquires the head office setting information 151 and updates its own setting based on the head office setting information 151. As a result, the terminal 105 receives various services via the network from the following servers.
OS patch file update service: head office OS patch update server 122a
Virus pattern file update service: Headquarters virus pattern update server 123a
Print output service: Head office print server 125a
(動作例2)
 端末105が自宅ネットワーク103に接続されても、端末105は、ロケーションパケットを受信しない。これにより、端末105は、自宅用設定情報153を取得し、自宅用設定情報153に基づいて、自らの設定を更新する。この結果、端末105は、以下のサーバから、ネットワーク経由の各種サービスを受ける。
・OSパッチファイル更新サービス:外部OSパッチ更新サーバ111
・ウィルスパターンファイル更新サービス:外部ウィルスパターン更新サーバ112
・プリント出力サービス:自宅プリントサーバ132
・本社ネットワーク102aへのVPN接続サービス:VPNサーバ124 (Operation example 2)
Even if the terminal 105 is connected to the home network 103, the terminal 105 does not receive the location packet. Thereby, the terminal 105 acquires the home setting information 153 and updates its own setting based on the home setting information 153. As a result, the terminal 105 receives various services via the network from the following servers.
OS patch file update service: external OS patch update server 111
Virus pattern file update service: External virus pattern update server 112
Print output service: Home print server 132
-VPN connection service to the head office network 102a: VPN server 124
 図17は、ロケーションパケットの一例である。ロケーションパケット161には、ネットワークを識別する識別情報の他、様々な情報を含めることができる。図17では、情報区分として、「識別情報」、「場所情報」、「利用時間情報」、「動作モード情報」の4つが含まれるロケーションパケット161の例を示している。 FIG. 17 is an example of a location packet. The location packet 161 can include various information in addition to identification information for identifying the network. FIG. 17 shows an example of a location packet 161 that includes four items of “identification information”, “location information”, “use time information”, and “operation mode information” as information classifications.
 「識別情報」は、ネットワークの識別番号であり、例えば、「001」、「002」等である。「場所情報」は、ネットワークの場所に関する情報であり、例えば、「本社1階」、「A支店」等である。「利用時間情報」は、端末105の利用時間に関する情報であり、「制限無し」、「1時間」、「3時間」等である。「動作モード情報」は、端末105の動作モードに関する情報であり、「制限無し」、「休日モード」、「節電モード」等である。 “Identification information” is a network identification number, for example, “001”, “002” or the like. “Location information” is information relating to the location of the network, such as “Head office 1st floor”, “A branch”, and the like. “Usage time information” is information relating to the usage time of the terminal 105, such as “no restriction”, “1 hour”, “3 hours”, and the like. The “operation mode information” is information related to the operation mode of the terminal 105, such as “no restriction”, “holiday mode”, “power saving mode”, and the like.
 例えば、端末105は、「場所情報」に基づいて、各ソフトウエアの利用制限をかけても良い。また、端末105は、「利用時間情報」に基づいて、利用時間が過ぎると自動的にシャットダウンしても良い。また、端末105は、「動作モード」に基づいて、電源の利用制限をかけても良い。 For example, the terminal 105 may place restrictions on the use of each software based on the “location information”. Further, the terminal 105 may be automatically shut down when the usage time passes based on the “use time information”. Further, the terminal 105 may limit the use of the power supply based on the “operation mode”.
 以上、第2の実施形態によれば、端末105は、ロケーションパケットの受信有無や、ロケーションパケットが示すネットワークを判定し、接続されているネットワークに応じた設定情報に基づいて、自らの設定を更新する。これによって、端末105が前回と異なるネットワークに接続されても、確実にネットワーク経由のサービスを受けることができる。また、端末105が、複数のサービスに関する設定を一元的かつ自動的に更新するので、個々のソフトウエアごとの対応が不要であり、かつ、ユーザが手動によって設定情報を変更する必要もない。従って、ユーザは、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる。 As described above, according to the second embodiment, the terminal 105 determines whether or not the location packet is received and the network indicated by the location packet, and updates its own setting based on the setting information corresponding to the connected network. To do. As a result, even if the terminal 105 is connected to a network different from the previous one, the service via the network can be surely received. In addition, since the terminal 105 updates settings related to a plurality of services in an integrated and automatic manner, it is not necessary to deal with each piece of software, and it is not necessary for the user to manually change the setting information. Therefore, the user can surely receive the service via the network without being aware of the network to which the terminal is connected.
 以上、添付図面を参照しながら、本発明に係る端末のネットワーク接続を管理するシステム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 The preferred embodiments of the system for managing the network connection of the terminal according to the present invention have been described above with reference to the accompanying drawings, but the present invention is not limited to such examples. It will be apparent to those skilled in the art that various changes or modifications can be conceived within the scope of the technical idea disclosed in the present application, and these naturally belong to the technical scope of the present invention. Understood.
 1………接続先制限システム
 4………内部ネットワーク
 5………外部ネットワーク
 11………通信管理サーバ
 12………業務サーバ
 13………ファイアウォール
 14………VPNサーバ
 15………ローカル端末
 16………リモート端末
 17………外部サーバ
 21………キーパケット送信AP
 22………通信証跡管理AP
 23………キーパケット受信AP
 24………VPN接続AP
 25………接続先制限AP
 101………端末設定制御システム
 102a………本社ネットワーク
 102b………支社ネットワーク
 103………自宅ネットワーク
 104a………本社端末設定制御サーバ
 104b………支社端末設定制御サーバ
 104………端末設定制御サーバ
 105………端末 1 ......... Connection Destination Restriction System 4 ......... Internal Network 5 ......... External Network 11 ......... Communication Management Server 12 ......... Business Server 13 ......... Firewall 14 ......... VPN Server 15 ......... Local Terminal 16: Remote terminal 17: External server 21: Key packet transmission AP
22 …… Communication trail management AP
23 ... Key packet receiving AP
24 ... VPN connection AP
25 ……… Access restriction AP
101 ......... Terminal setting control system 102a ......... Head office network 102b ......... Branch office network 103 ......... Home network 104a ......... Head office terminal setting control server 104b ......... Branch terminal setting control server 104 ......... Terminal setting Control server 105 ……… Terminal

Claims (9)

  1.  内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、
     前記通信管理サーバは、
     前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する通信制御部、
    を具備し、
     前記端末は、
     前記内部ネットワークに同報送信される情報を受信する通信制御部と、
     前記端末の前記通信制御部によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定し、自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する制御部と、
    を具備する接続先制限システム。     A connection destination restriction system that includes a terminal physically connected to an internal network and an external network, and a communication management server physically connected to the internal network, and restricts a logical connection destination of the terminal. ,
    The communication management server
    A communication control unit that intermittently broadcasts permission information indicating permission of the logical connection request of the terminal to the internal network;
    Comprising
    The terminal
    A communication control unit for receiving information broadcast to the internal network;
    When the permission information is received by the communication control unit of the terminal, it determines that it is physically connected to the internal network, and determines that it is physically connected to the internal network A controller that executes connection processing in response to the logical connection request;
    A destination restriction system comprising:
  2.  前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、
     前記VPNサーバは、
     前記内部ネットワークに同報送信される情報を受信する通信制御部と、
     前記VPNサーバの前記通信制御部によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する制御部と、
    を具備し、
     前記端末の前記通信制御部は、前記端末の前記制御部によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、
     前記VPNサーバの前記通信制御部は、前記端末からVPN接続要求を受信すると、前記VPNサーバの前記制御部による判定結果を前記端末に送信し、
     前記端末の前記通信制御部が、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、前記端末の前記制御部は、正当な前記VPNサーバに接続されていると判定し、正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する
    請求項1に記載の接続先制限システム。     The connection destination restriction system further includes a VPN server physically connected to the internal network,
    The VPN server is
    A communication control unit for receiving information broadcast to the internal network;
    When the permission information is received by the communication control unit of the VPN server, a control unit that determines that it is physically connected to the internal network;
    Comprising
    When the communication control unit of the terminal determines that the communication control unit of the terminal is not physically connected to the internal network, the communication control unit transmits the VPN connection request to the VPN server,
    Upon receiving a VPN connection request from the terminal, the communication control unit of the VPN server transmits a determination result by the control unit of the VPN server to the terminal,
    When the communication control unit of the terminal receives a determination result indicating that the VPN server is physically connected to the internal network from the VPN server, the control unit of the terminal receives the valid VPN server. 2. The connection destination according to claim 1, wherein when it is determined that the connection is established, and it is determined that the connection is made to the valid VPN server, VPN connection processing is executed in response to the logical connection request. Limit system.
  3.  前記端末の前記制御部は、常に前記論理的な接続要求に対する応答を行うとともに、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行う
    請求項2に記載の接続先制限システム。     3. The connection destination restriction according to claim 2, wherein the control unit of the terminal always makes a response to the logical connection request and performs the VPN connection only by using address information of the VPN server stored in advance in the terminal. system.
  4.  内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、
     前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信し、
     前記端末が、前記内部ネットワークに同報送信される情報を受信し、
     前記端末が、前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定し、
     前記端末が、自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する
    接続先制限方法。     Connection destination in a connection destination restriction system that has a terminal physically connected to the internal network and the external network, and a communication management server physically connected to the internal network, and restricts a logical connection destination of the terminal Restriction method,
    The communication management server intermittently broadcasts permission information indicating that the terminal allows a logical connection request to the internal network,
    The terminal receives information broadcast to the internal network;
    When the terminal receives the permission information, it determines that it is physically connected to the internal network,
    A connection destination restriction method for executing connection processing in response to the logical connection request when the terminal determines that the terminal is physically connected to the internal network.
  5.  サーバと端末とによって構成され、前記端末の設定を制御する端末設定制御システムであって、
     前記サーバは、
     前記サーバが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信する通信制御部、
    を備え、
     前記端末は、
     所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいてネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて前記端末の設定を更新する制御部、
    を備える
    端末設定制御システム。     A terminal setting control system configured by a server and a terminal and controlling the setting of the terminal,
    The server
    A communication control unit for transmitting identification information for identifying a network to which the server is connected to a multicast address or a unicast address;
    With
    The terminal
    It is determined whether or not the identification information is received within a predetermined time. If the identification information is received, the network indicated by the identification information is determined, and setting information related to a service provided via the network is acquired based on the determination result. And a control unit for updating the setting of the terminal based on the acquired setting information,
    A terminal setting control system.
  6.  前記端末は、
     前記端末が接続されているネットワークに対して、前記識別情報の要求を同報送信する通信制御部、
    を更に備え、
     前記サーバの前記通信制御部は、前記識別情報の要求を受信すると、前記識別情報の要求の送信元に対してのみ、前記識別情報を送信する
    請求項5に記載の端末設定制御システム。     The terminal
    A communication control unit that broadcasts the request for the identification information to a network to which the terminal is connected;
    Further comprising
    The terminal setting control system according to claim 5, wherein the communication control unit of the server, when receiving the request for identification information, transmits the identification information only to a transmission source of the request for identification information.
  7.  前記サーバの前記通信制御部は、前記識別情報とともに、前記サーバが接続されているネットワークの場所に関する情報、前記端末の利用時間に関する情報、及び、前記端末の動作モードに関する情報の中で少なくとも1つを送信する
    請求項5に記載の端末設定制御システム。     The communication control unit of the server includes at least one of the identification information, information about a location of a network to which the server is connected, information about a usage time of the terminal, and information about an operation mode of the terminal. The terminal setting control system according to claim 5 which transmits.
  8.  サーバと端末とによって構成され、前記端末の設定を制御する端末設定制御システムにおける端末設定制御方法であって、
     前記サーバは、前記サーバが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信し、
     前記端末は、所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいてネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて前記端末の設定を更新する
    端末設定制御方法。     A terminal setting control method in a terminal setting control system configured by a server and a terminal and controlling the setting of the terminal,
    The server transmits identification information for identifying a network to which the server is connected to a multicast address or a unicast address,
    The terminal determines whether or not the identification information is received within a predetermined time, and if it is received, determines the network indicated by the identification information, and relates to a service provided via the network based on the determination result A terminal setting control method for acquiring setting information and updating the setting of the terminal based on the acquired setting information.
  9.  コンピュータ読取可能なプログラムであって、
     第1コンピュータを、
     前記第1コンピュータが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信するように機能させ、
     第2コンピュータを、
     所定時間内の前記識別情報の受信有無を判定し、受信している場合には前記識別情報が示すネットワークを判定し、判定結果に基づいて、ネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された前記設定情報に基づいて、前記第2コンピュータの設定を更新するように機能させる
    プログラム。     A computer readable program comprising:
    The first computer
    Causing identification information for identifying a network to which the first computer is connected to function to transmit to a multicast address or a unicast address;
    The second computer
    It is determined whether or not the identification information is received within a predetermined time. If the identification information is received, the network indicated by the identification information is determined. Based on the determination result, setting information related to the service provided via the network is determined. A program for obtaining and functioning to update the setting of the second computer based on the obtained setting information.
PCT/JP2012/054709 2011-03-28 2012-02-27 Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program WO2012132697A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201280000402.0A CN102822838B (en) 2011-03-28 2012-02-27 Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011-069266 2011-03-28
JP2011069266A JP4882030B1 (en) 2011-03-28 2011-03-28 Connection destination restriction system, connection destination restriction method
JP2011152533 2011-07-11
JP2011-152533 2011-07-11

Publications (1)

Publication Number Publication Date
WO2012132697A1 true WO2012132697A1 (en) 2012-10-04

Family

ID=46930453

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2012/054709 WO2012132697A1 (en) 2011-03-28 2012-02-27 Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program

Country Status (2)

Country Link
CN (1) CN102822838B (en)
WO (1) WO2012132697A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020122040A1 (en) * 2018-12-10 2020-06-18 フリービット株式会社 Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device
JP7146124B1 (en) * 2021-03-31 2022-10-03 アドソル日進株式会社 Terminal, method and program

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11201809348VA (en) * 2016-06-06 2018-11-29 Hitachi Systems Ltd Data migration system and data migration method
EP3564842B1 (en) * 2017-01-20 2021-02-24 Mitsubishi Electric Corporation Data determination device, data determination method, and data determination program
EP3979025A4 (en) 2019-05-29 2023-06-28 Sintokogio, Ltd. Information processing system, gateway, server, and information processing method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318992A (en) * 2002-04-26 2003-11-07 Fujitsu Ltd Gateway, communication terminal device, and communication control program
JP2003323363A (en) * 2002-04-30 2003-11-14 Fujitsu Ltd Environment setting unit, environment setting program and information processor
JP2004246751A (en) * 2003-02-17 2004-09-02 Seiko Epson Corp Network identification method, computer device, computer program and recording medium
JP2009253811A (en) * 2008-04-09 2009-10-29 Nec Corp Terminal device, network connection method, and program
JP2011204056A (en) * 2010-03-26 2011-10-13 Nomura Research Institute Ltd Use management system and use management method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7669229B2 (en) * 2002-11-13 2010-02-23 Intel Corporation Network protecting authentication proxy
KR100728924B1 (en) * 2006-06-05 2007-06-15 삼성전자주식회사 Front-end device connected network system, communication method thereof on the network system and management system for network devices

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003318992A (en) * 2002-04-26 2003-11-07 Fujitsu Ltd Gateway, communication terminal device, and communication control program
JP2003323363A (en) * 2002-04-30 2003-11-14 Fujitsu Ltd Environment setting unit, environment setting program and information processor
JP2004246751A (en) * 2003-02-17 2004-09-02 Seiko Epson Corp Network identification method, computer device, computer program and recording medium
JP2009253811A (en) * 2008-04-09 2009-10-29 Nec Corp Terminal device, network connection method, and program
JP2011204056A (en) * 2010-03-26 2011-10-13 Nomura Research Institute Ltd Use management system and use management method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020122040A1 (en) * 2018-12-10 2020-06-18 フリービット株式会社 Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device
JP7432524B2 (en) 2018-12-10 2024-02-16 フリービット株式会社 Internet connection management system and method for information communication equipment, Internet connection management program installed in information communication equipment
US11979377B2 (en) 2018-12-10 2024-05-07 Freebit Co., Ltd. Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device
JP7146124B1 (en) * 2021-03-31 2022-10-03 アドソル日進株式会社 Terminal, method and program

Also Published As

Publication number Publication date
CN102822838B (en) 2014-03-26
CN102822838A (en) 2012-12-12

Similar Documents

Publication Publication Date Title
US9363285B2 (en) Communication system, network for qualification screening/setting, communication device, and network connection method
US7540013B2 (en) System and methodology for protecting new computers by applying a preconfigured security update policy
US7725932B2 (en) Restricting communication service
JP5090408B2 (en) Method and apparatus for dynamically controlling destination of transmission data in network communication
JP5293580B2 (en) Web service system, web service method and program
EP2792107B1 (en) Timing management in a large firewall cluster
US20130250801A1 (en) Method and apparatus for auto-registering devices in a wireless network
WO2012132697A1 (en) Connection destination limitation system, connection destination limitation method, terminal setting control system, terminal setting control method, and program
US20200252411A1 (en) Enterprise security management packet inspection and monitoring
JP5340041B2 (en) Access control system, access control method, and program
US20050135269A1 (en) Automatic configuration of a virtual private network
JP4636345B2 (en) Security policy control system, security policy control method, and program
JP2008271242A (en) Network monitor, program for monitoring network, and network monitor system
US8584194B1 (en) Network access control using a quarantined server
US8533309B1 (en) Systems and methods for distributed node detection and management
JP4882030B1 (en) Connection destination restriction system, connection destination restriction method
JP2007124258A (en) Network relay program, network relay method, network repeater and communication control program
KR102345265B1 (en) Network System and Network Control Method Performed in the Network System
JP5509999B2 (en) Unauthorized connection prevention device and program
JP6359260B2 (en) Information processing system and firewall device for realizing a secure credit card system in a cloud environment
JP5540679B2 (en) Network device, communication control method, and program
JP5569105B2 (en) Network terminal management system, network terminal management method, network terminal management program
US10887399B2 (en) System, method, and computer program product for managing a connection between a device and a network
JP2006287856A (en) Control apparatus and system
JP2004072453A (en) Network management system and network management method

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201280000402.0

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12763051

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 04/12/2013)

122 Ep: pct application non-entry in european phase

Ref document number: 12763051

Country of ref document: EP

Kind code of ref document: A1