以下図面に基づいて、本発明の実施形態を詳細に説明する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
<第1の実施形態>
最初に、図1~図3を参照しながら、第1の実施形態の接続先制限システム1における構成について説明する。第1の実施形態では、例えば、OSI(Open Systems Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層~アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。第1の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。
<First Embodiment>
First, the configuration of the connection destination restriction system 1 according to the first embodiment will be described with reference to FIGS. 1 to 3. In the first embodiment, for example, a physical layer level connection in an OSI (Open Systems Interconnection) reference model is referred to as a “physical connection”. Further, for example, the connection from the data link layer to the application layer level in the OSI reference model is referred to as “logical connection”. In the connection destination restriction system 1 according to the first embodiment, a “logical connection” partner (for example, IP address and port number in the case of TCP / IP communication) is set to a secure network (for example, a company or the like). It is intended to be limited to computers installed in the internal network.
図1は、接続先制限システム1の概要を示す図である。図1に示すように、第1の実施形態では、内部ネットワーク4、通信管理サーバ11、業務サーバ12、ファイアウォール13、及びVPN(Virtual Private Network)サーバ14、ローカル端末15等が企業等の社内2に存在することを想定している。また、第1の実施形態では、外部ネットワーク5、リモート端末16、及び外部サーバ17などが企業等の社外3に存在することを想定している。
FIG. 1 is a diagram showing an outline of the connection destination restriction system 1. As shown in FIG. 1, in the first embodiment, an internal network 4, a communication management server 11, a business server 12, a firewall 13, a VPN (Virtual Private Network) server 14, a local terminal 15, etc. Is assumed to exist. In the first embodiment, it is assumed that the external network 5, the remote terminal 16, the external server 17, and the like exist outside the company 3.
尚、説明の都合上、ローカル端末15とリモート端末16に別の符号を付しているが、両者の違いは存在場所だけであり、ハードウエア及びソフトウエアは同一である。すなわち、ローカル端末15が社外3に持ち出されると、リモート端末16となる。
For convenience of explanation, different symbols are attached to the local terminal 15 and the remote terminal 16, but the difference between them is only the location, and the hardware and software are the same. That is, when the local terminal 15 is taken outside the company 3, it becomes the remote terminal 16.
ローカル端末15(リモート端末16)が論理的に直接外部サーバ等に接続することを防止する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、及びローカル端末15(リモート端末16)である。また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。
The configuration of the connection destination restriction system 1 that is indispensable for preventing the local terminal 15 (remote terminal 16) from being logically directly connected to an external server or the like includes the communication management server 11 and the local terminal 15 (remote terminal 16). ). The configuration of the connection destination restriction system 1 that is indispensable for the remote terminal 16 to execute a logical connection request by the VPN connection processing to the legitimate VPN server 14 includes the communication management server 11, the VPN server 14, and the remote Terminal 16.
内部ネットワーク4は、企業等の社内LAN、複数の拠点に敷設されているLANが専用線等によって接続されている社内WAN(ワイドエリアネットワーク)等が挙げられる。図1では、内部ネットワーク4を構成する物理的なネットワーク機器として、ファイアウォール13が例示されている。他のネットワーク機器としては、ルータ(有線、無線を問わない。)、スイッチ、ハブ、中継サーバなどが挙げられる。通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。
Examples of the internal network 4 include an in-house LAN of a company or the like, and an in-house WAN (wide area network) in which LANs installed at a plurality of bases are connected by a dedicated line or the like. In FIG. 1, a firewall 13 is illustrated as a physical network device constituting the internal network 4. Examples of other network devices include routers (both wired and wireless), switches, hubs, and relay servers. The communication management server 11, business server 12, VPN server 14, and local terminal 15 are physically connected to the internal network 4. Here, the physical connection form may be wired or wireless. VPN (Virtual Private Network) is a service that can use a public line as if it were a dedicated line, and security equivalent to that of the internal network 4 is ensured.
ここで、通信管理サーバ11、業務サーバ12、ファイアウォール13、VPN(Virtual Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。
Here, a hardware configuration of a computer for realizing the communication management server 11, the business server 12, the firewall 13, the VPN (Virtual Private Network) server 14, the local terminal 15 (remote terminal 16), the external server 17, and the like will be described. To do.
図2は、コンピュータ30のハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。
FIG. 2 is a hardware configuration diagram of the computer 30. Note that the hardware configuration in FIG. 2 is an example, and various configurations can be adopted depending on the application and purpose. The computer 30 is connected to a control unit 31, a storage unit 32, an input unit 33, a display unit 34, a communication control unit 35, and the like via a bus 36.
制御部31は、CPU(Central Processing Unit)、RAM(Random Access
Memory)等で構成される。CPUは、記憶部32、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス36を介して接続された各装置を駆動制御し、コンピュータ30が行う処理を実現する。RAMは、揮発性メモリであり、記憶部32、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
The control unit 31 includes a CPU (Central Processing Unit), a RAM (Random Access).
Memory) and the like. The CPU calls a program stored in the storage unit 32, a recording medium, etc. to a work memory area on the RAM, executes it, drives and controls each device connected via the bus 36, and realizes processing performed by the computer 30 To do. The RAM is a volatile memory, and temporarily stores a program, data, and the like loaded from the storage unit 32, the recording medium, and the like, and includes a work area used by the control unit 31 for performing various processes.
記憶部32は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating
System)に相当する制御プログラムや、後述する処理を制御部31に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
The storage unit 32 is a ROM (Read Only Memory), a flash memory, an HDD (Hard Disk Drive), or the like, and stores a program executed by the control unit 31, data necessary for program execution, and the like. As for programs, BIOS (Basic Input / Output System), boot loader, OS (Operating)
A control program corresponding to (System) and an application program for causing the control unit 31 to execute processing to be described later are stored. Each of these program codes is read by the control unit 31 as necessary, transferred to the RAM, read by the CPU, and executed as various means. The storage unit 32 may be an external storage device (USB memory, external hard disk, etc.) connected via a USB (Universal Serial Bus) or the like.
入力部33は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。入力部33を介して、コンピュータ30に対して、操作指示、動作指示、データ入力等を行うことができる。表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
The input unit 33 inputs data and includes, for example, a keyboard, a pointing device such as a mouse, and an input device such as a numeric keypad. An operation instruction, an operation instruction, data input, and the like can be performed on the computer 30 via the input unit 33. The display unit 34 includes a display device such as a CRT monitor and a liquid crystal panel, and a logic circuit (such as a video adapter) for realizing the video function of the computer 30 in cooperation with the display device. The communication control unit 35 includes a communication control device, a communication port, and the like, and is a communication interface that mediates communication between the computer 30 and the internal network 4 or the external network 5. The communication control between the computers 30 is performed. As described above, the internal network 4 or the external network 5 may be wired or wireless. The bus 36 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
図1の説明に戻る。図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。
Returning to the explanation of FIG. Each apparatus (terminal and server) shown in FIG. 1 may be one or plural. Each server may be realized by one casing (computer 30) or may be realized by a plurality of casings. For example, in the case of the communication management server 11, both the key packet transmission AP (application program) 21 and the communication trail management AP 22 may be installed in one casing, or may be installed in separate casings. good.
通信管理サーバ11には、キーパケット送信AP21、通信証跡管理AP22などがインストールされる。キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。
In the communication management server 11, a key packet transmission AP 21, a communication trail management AP 22, and the like are installed. The key packet transmission AP 21 is an application program for causing the communication management server 11 to execute processing shown in FIG. The control unit 31 of the communication management server 11 executes the key packet transmission AP 21 to allow permission information (hereinafter referred to as “key packet”) indicating that a terminal logical connection request is permitted to the internal network 4. .) Intermittently.
具体的には、通信管理サーバ11は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信によってキーパケットを間欠的に送信する。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、キーパケットを送信する。キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。
Specifically, the communication management server 11 intermittently transmits key packets by, for example, IP (Internet Protocol) level broadcast communication. In IP level broadcast communication, a key packet is transmitted by setting a transmission destination address to a special address called “broadcast address”. The key packet is not particularly limited, but for example, it is desirable to have different contents depending on the time zone, such as a one-time password. Further, for example, the key packet may be encrypted and transmitted, and only the legitimate VPN server 14 and the local terminal 16 can be decrypted.
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。
As the broadcast address, for example, a so-called limited broadcast address or a directed broadcast address can be designated. The limited broadcast address is an IP address in which all bits are 1. For example, in the case of IPv4 (Internet Protocol version 4), “255.255.255.255” is the limited broadcast address. When broadcast communication is performed by specifying a limited broadcast address, a key packet is transmitted to all computers 30 in a network segment (a collision segment in the case of Ethernet (registered trademark)) to which a transmission source is connected. On the other hand, it is not transmitted to other network segments connected via the router. The directed broadcast address is an IP address in which all bits of the host address part are set to 1 without changing the network address part. For example, for a network address of “192.168.8.0” in IPv4, “192.168.0.255” in which the host address part (lower 8 bits) is all 1 is the directed broadcast address. . When broadcast communication is performed by specifying a directed broadcast address, a key packet is transmitted to all computers 30 having a specific network address (“192.168.8.0” in the above example).
通信証跡管理AP22は、後述する図7に示す一部の処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。
The communication trail management AP 22 is an application program for causing the communication management server 11 to execute a part of processing shown in FIG. The control unit 31 of the communication management server 11 stores a communication trail log of the local terminal 15 (remote terminal 16) or the like by executing the communication trail management AP 22.
業務サーバ12は、企業等が行う各業務を実現する為のサーバである。業務サーバ12は、ローカル端末15(リモート端末16)からの要求に応じて、応答処理を実行する。また、業務サーバ12は、予め定められた時刻になると、予め定められたバッチ処理を実行する場合もある。
The business server 12 is a server for realizing each business performed by a company or the like. The business server 12 executes response processing in response to a request from the local terminal 15 (remote terminal 16). In addition, the business server 12 may execute a predetermined batch process at a predetermined time.
VPNサーバ14には、キーパケット受信AP23、VPN接続AP24などがインストールされる。キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。
In the VPN server 14, a key packet reception AP 23, a VPN connection AP 24, and the like are installed. The key packet reception AP 23 is an application program for causing the VPN server 14, the local terminal 15 (remote terminal 16), and the like to execute processing shown in FIG. The control unit 31 of the VPN server 14 receives information broadcast to the internal network 4 by executing the key packet reception AP 23. Further, the control unit 31 such as the VPN server 14 sets the reception flag stored in the RAM or the like to “Y” (reception) or “N” (reception) based on whether or not the key packet is received from the communication management server 11. None).
VPN接続AP24は、VPN接続におけるサーバ側の処理、及び後述する図6に示す一部の処理を、VPNサーバ14に実行させる為のアプリケーションプログラムである。VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。
The VPN connection AP 24 is an application program for causing the VPN server 14 to execute server-side processing in VPN connection and some processing shown in FIG. The control unit 31 of the VPN server 14 performs server-side processing in the VPN connection by executing the VPN connection AP 24. Further, the control unit 31 of the VPN server 14 determines whether or not it is physically connected to the internal network 4 based on the reception flag stored in the RAM or the like. In addition, when the VPN connection is established from the remote terminal 16, the control unit 31 of the VPN server 14 transmits a determination result as to whether or not it is connected to the internal network 4 to the remote terminal 16.
ローカル端末15(リモート端末16)には、キーパケット受信AP23、接続先制限AP25などがインストールされる。キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。
In the local terminal 15 (remote terminal 16), a key packet reception AP 23, a connection destination restriction AP 25, and the like are installed. The key packet reception AP 23 is as described above. That is, the control unit 31 of the local terminal 15 (remote terminal 16) receives the information broadcast to the internal network 4 by executing the key packet reception AP 23. Further, the control unit 31 of the local terminal 15 (remote terminal 16) sets the reception flag stored in the RAM or the like to “Y” or “N” based on whether or not the key packet is received from the communication management server 11. To do.
接続先制限AP25は、VPN接続におけるクライアント側の処理、及び後述する図6に示す一部の処理を、ローカル端末15(リモート端末16)に実行させる為のアプリケーションプログラムである。ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
The connection destination restriction AP 25 is an application program for causing the local terminal 15 (remote terminal 16) to execute the client side processing in the VPN connection and a part of the processing shown in FIG. Whether the control unit 31 of the local terminal 15 (remote terminal 16) is physically connected to the internal network 4 based on the reception flag stored in the RAM or the like by executing the connection destination restriction AP 25 Determine whether or not. Further, when it is determined that the control unit 31 of the local terminal 15 (remote terminal 16) is physically connected to the internal network 4, the control unit 31 executes connection processing in response to a logical connection request. .
一方、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定した場合には、VPNサーバ14に対してVPN接続を行う。更に、ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14が内部ネットワーク4に物理的に接続されているか否かの判定結果(VPNサーバ14から受信する。)に基づいて、正当なVPNサーバ14に接続されているか否かを判定する。ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
On the other hand, if the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not physically connected to the internal network 4, it makes a VPN connection to the VPN server 14. Further, the control unit 31 of the local terminal 15 (remote terminal 16) is valid based on the determination result (received from the VPN server 14) whether the VPN server 14 is physically connected to the internal network 4 or not. It is determined whether or not it is connected to the VPN server 14. When it is determined that the local terminal 15 (remote terminal 16) is connected to the valid VPN server 14, the control unit 31 executes a connection process in response to a logical connection request.
図3は、接続先制限AP25の構成を示す図である。接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。
FIG. 3 is a diagram showing the configuration of the connection destination restricted AP 25. The connection destination restriction AP 25 includes an IP address 41 of the VPN server, a port number 42 of the VPN server, a connection determination program 43, a socket API (Application Programming Interface) 44, and the like. The IP address 41 of the VPN server and the port number 42 of the VPN server are stored, for example, in a setting file that can be read and written only by the administrator.
接続判定プログラム43は、ローカル端末15(リモート端末16)の論理的な接続要求を許可して良いか否かを判定する処理(後述する図6に示す一部の処理)を、ローカル端末15(リモート端末16)に実行させる為のプログラムである。
The connection determination program 43 performs a process for determining whether or not the logical connection request of the local terminal 15 (remote terminal 16) may be permitted (a part of the process shown in FIG. 6 to be described later). This program is executed by the remote terminal 16).
ソケットAPI44とは、コンピュータ30間の通信や、1つのコンピュータ30上のプロセス間の通信を可能とするコンピュータネットワークに関するライブラリである。例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。
The socket API 44 is a library related to a computer network that enables communication between computers 30 and communication between processes on one computer 30. For example, in the case of TCP communication that is connection-type communication, the control unit 31 of the computer 30 that is a TCP client normally calls the socket function of the socket API 44 to generate a TCP socket, and the logical connection destination is the argument of the connect function. By specifying the address information (IP address and port number), communication with the connection destination is started. The logical connection destination is a computer 30 that is a TCP server.
ここで、接続先制限AP25がインストールされているローカル端末15(リモート端末16)は、他のプログラム(例えば、ネットワークアダプタのデバイスドライバなど)からの論理的な接続要求に対して、常に接続判定プログラム43が応答する仕組みとすることが望ましい。この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。
Here, the local terminal 15 (remote terminal 16) in which the connection destination restriction AP 25 is installed always responds to a logical connection request from another program (for example, a device driver of a network adapter). It is desirable to have a mechanism in which 43 responds. By this mechanism, even if a user who uses the remote terminal 16 outside the company 3 tries to cheat using a network adapter different from that instructed by the administrator, the connection determination process by the connection destination restriction AP 25 is avoided. It is not possible.
前述の仕組みを実現する為に、例えば、接続判定プログラム43には、ソケットAPI44に含まれる各関数のラップ関数が記述されている。また、他のプログラムからsocket関数やconnect関数などの呼出しがなされると、接続判定プログラム43のラップ関数が実行されるように設定されている。そして、接続判定プログラム43のラップ関数には、接続判定処理の結果、VPN接続を実行する場合には、他のプログラムによって引数に設定された論理的な接続先のアドレス情報を破棄し、予め定義されているVPNサーバのIPアドレス41、及びVPNサーバのポート番号42を引数に設定して、通常のソケットAPI44に含まれる各関数を呼び出すように記述されている。これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。
In order to realize the above-described mechanism, for example, the connection determination program 43 describes a wrap function of each function included in the socket API 44. In addition, the wrap function of the connection determination program 43 is set to be executed when a socket function or a connect function is called from another program. In the wrap function of the connection determination program 43, when VPN connection is executed as a result of the connection determination process, the logical connection destination address information set as an argument by another program is discarded and defined in advance. The IP address 41 of the VPN server and the port number 42 of the VPN server are set as arguments and each function included in the normal socket API 44 is called. Accordingly, the computer 30 in which the connection destination restriction AP 25 is installed accesses only a predetermined single VPN server 14 when performing the VPN connection. Further, in the connection determination program 43, when not physically connected to the internal network 4, applications other than the connection destination restricted AP 25 have the VPN server IP address 41 and the VPN server port number 42 defined in advance. It also includes a function for preventing VPN connection using. This prevents an unauthorized application from performing unauthorized communication using the IP address 41 of the VPN server and the port number 42 of the VPN server.
接続先制限システム1を実際に運用する場合、例えば、接続先制限AP25自体をOSとして外部記憶装置に記憶しておき、ローカル端末15(リモート端末16)に電源が投入されると、外部記憶装置に記憶されているOS(=接続先制限AP25)が起動されるように設定しておく手法が考えられる。
When the connection destination restriction system 1 is actually operated, for example, the connection destination restriction AP 25 itself is stored as an OS in an external storage device, and when the local terminal 15 (remote terminal 16) is powered on, the external storage device A method is conceivable in which the OS (= connection destination restriction AP 25) stored in is set to be activated.
図1の説明に戻る。外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。
Returning to the explanation of FIG. The external server 17 is a WWW (World Wide Web) server on the Internet. The external server 17 executes response processing in response to an HTTP (HyperText Transfer Protocol) request from the local terminal 15 (remote terminal 16) or the like, and returns an HTTP response.
次に、図4~図7を参照しながら、接続先制限システム1における処理の詳細について説明する。例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。
Next, details of processing in the connection destination restriction system 1 will be described with reference to FIGS. For example, the processes shown in FIGS. 5 and 6 (part of FIG. 6) are executed by the local terminal 15 (remote terminal 16). Therefore, the local terminal 15 (remote terminal 16) executes both processes almost simultaneously by multitasking (an OS mechanism that divides the CPU processing time into short units and makes it appear that multiple processes are performed simultaneously). To do. Other processes executed by a single device and overlapped in time series are similarly realized by multitasking.
図4は、キーパケット送信AP21によって実現される処理を示すフローチャートである。キーパケット送信AP21は、通信管理サーバ11によって実行される。通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。
FIG. 4 is a flowchart showing processing realized by the key packet transmission AP 21. The key packet transmission AP 21 is executed by the communication management server 11. The control unit 31 of the communication management server 11 broadcasts a key packet to the internal network 4 (S101). Then, the control unit 31 of the communication management server 11 waits for a predetermined time (S102) and repeats the process of S101.
図5は、キーパケット受信AP23によって実現される処理を示すフローチャートである。キーパケット受信AP23は、VPNサーバ14、及びローカル端末15(リモート端末16)によって実行される。VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。
FIG. 5 is a flowchart showing processing realized by the key packet reception AP 23. The key packet reception AP 23 is executed by the VPN server 14 and the local terminal 15 (remote terminal 16). The control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) monitors the key packet (S201) and checks whether the key packet is received within a predetermined time (S202).
所定時間内にキーパケットを受信した場合(S202の「Yes」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「Y」に設定し(S203)、S201から繰り返す。
When the key packet is received within the predetermined time (“Yes” in S202), the control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) sets its reception flag stored in the RAM or the like to “Y ”(S203) and repeat from S201.
一方、所定時間内にキーパケットを受信していない場合(S202の「No」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「N」に設定し(S204)、割込みによって接続中の通信を強制的に切断する強制切断処理を実行し(S205)、S201から繰り返す。
On the other hand, when the key packet is not received within the predetermined time (“No” in S202), the control unit 31 of the VPN server 14 and the local terminal 15 (remote terminal 16) receives its own stored in the RAM or the like. The flag is set to “N” (S204), a forced disconnection process for forcibly disconnecting the connected communication by an interrupt is executed (S205), and the process is repeated from S201.
図4及び図5に示す処理によって、内部ネットワーク4に物理的に接続されているVPNサーバ14及びローカル端末15は、キーパケットを定期的に受信し、自らが内部ネットワーク4に物理的に接続されていると判定することが可能となる。
4 and 5, the VPN server 14 and the local terminal 15 that are physically connected to the internal network 4 periodically receive key packets and are physically connected to the internal network 4. It can be determined that
図6は、接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートである。接続先制限AP25は、ローカル端末15(リモート端末16)によって実行される。VPN接続AP24は、VPNサーバ14によって実行される。ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。
FIG. 6 is a flowchart showing processing realized by the connection destination restriction AP 25 and the VPN connection AP 24. The connection destination restriction AP 25 is executed by the local terminal 15 (remote terminal 16). The VPN connection AP 24 is executed by the VPN server 14. When the control unit 31 of the local terminal 15 (remote terminal 16) receives a logical connection request by a user operation or the like (S301), the control unit 31 checks a reception flag stored in its own RAM (S302).
自らの受信フラグが「Y」の場合(S302の「Y」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定し、論理的な接続要求に対して、そのまま接続処理を実行し(S303)、処理を終了する。
When the own reception flag is “Y” (“Y” in S302), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is physically connected to the internal network 4 and performs logical In response to a typical connection request, the connection process is executed as it is (S303), and the process ends.
自らの受信フラグが「N」の場合(S302の「N」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定し、VPN接続要求をVPNサーバ14に送信する(S304)。ここで、前述の通り、ローカル端末15(リモート端末16)の制御部31は、予め決められた単一のVPNサーバ14にアクセスする。
When its own reception flag is “N” (“N” in S302), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not physically connected to the internal network 4, and VPN A connection request is transmitted to the VPN server 14 (S304). Here, as described above, the control unit 31 of the local terminal 15 (remote terminal 16) accesses the single VPN server 14 determined in advance.
VPNサーバ14の制御部31は、自らのRAM等に格納されている受信フラグをローカル端末15(リモート端末16)に送信する(S305)。ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。
The control unit 31 of the VPN server 14 transmits the reception flag stored in its own RAM or the like to the local terminal 15 (remote terminal 16) (S305). The control unit 31 of the local terminal 15 (remote terminal 16) confirms the reception flag of the VPN server 14 (S306).
VPNサーバ14の受信フラグが「Y」の場合(S306の「Y」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定し、そのままVPN接続処理を実行し(S307)、処理を終了する。
When the reception flag of the VPN server 14 is “Y” (“Y” in S306), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is connected to the legitimate VPN server 14, and continues to the VPN. A connection process is executed (S307), and the process ends.
一方、VPNサーバ14の受信フラグが「N」の場合(S306の「N」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていないと判定し、エラー処理を実行し(S308)、処理を終了する。S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。
On the other hand, when the reception flag of the VPN server 14 is “N” (“N” in S306), the control unit 31 of the local terminal 15 (remote terminal 16) determines that it is not connected to the legitimate VPN server 14, Error processing is executed (S308), and the processing is terminated. In the error processing in S308, the control unit 31 of the local terminal 15 (remote terminal 16) indicates, for example, that it is not physically connected to the internal network 4 and that it is not connected to the valid VPN server 14. The message is displayed on the display unit 34.
図6に示す処理によって、端末が論理的に直接外部サーバ17等に接続することを防止することができる。ローカル端末15の場合(端末が内部ネットワーク4に物理的に接続されている場合)、そのまま接続処理が実行されるので、内部ネットワーク4に設置されている業務サーバ12等に対して論理的に直接接続させることができる。また、リモート端末16の場合(端末が外部ネットワーク5に物理的に接続されている場合)、VPN接続処理が実行されるので、必ずVPNサーバ14を介して、外部サーバ17等に接続させることができる。
The processing shown in FIG. 6 can prevent the terminal from being logically directly connected to the external server 17 or the like. In the case of the local terminal 15 (when the terminal is physically connected to the internal network 4), since the connection process is executed as it is, it is logically directly connected to the business server 12 and the like installed in the internal network 4. Can be connected. Further, in the case of the remote terminal 16 (when the terminal is physically connected to the external network 5), the VPN connection process is executed, so that the connection to the external server 17 or the like is always made via the VPN server 14. it can.
図7は、通信証跡管理AP22によって実現される処理を示すフローチャートである。通信証跡管理AP22は、通信管理サーバ11によって実行される。
FIG. 7 is a flowchart showing processing realized by the communication trail management AP 22. The communication trail management AP 22 is executed by the communication management server 11.
図7では、論理的な接続要求の一例として、外部サーバ17に対するHTTP要求の場合の処理を示している。図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。
FIG. 7 shows processing in the case of an HTTP request to the external server 17 as an example of a logical connection request. As a premise of the process shown in FIG. 7, it is assumed that the local terminal 15 (remote terminal 16) is executing the connection process (VPN connection process) shown in FIG. All logical connection requests by the local terminal 15 (remote terminal 16) are transmitted to the external server 17 via the communication management server 11.
尚、リモート端末16の場合、通信管理サーバ11の前に、VPNサーバ14を介することになるが、通信証跡ログの取得処理に関する説明を分かり易くする為に、図7ではVPNサーバ14の中継処理を省略している。また、リモート端末16の場合、VPNサーバ14が、通信管理サーバ11の処理を代行しても良い。
In the case of the remote terminal 16, the VPN server 14 is routed before the communication management server 11. In order to make the explanation regarding the communication trail log acquisition process easier to understand, FIG. 7 shows the relay process of the VPN server 14. Is omitted. In the case of the remote terminal 16, the VPN server 14 may substitute the processing of the communication management server 11.
ローカル端末15(リモート端末16)の制御部31は、HTTP要求を通信管理サーバ11に送信する(S401)。リモート端末16の場合、HTTP要求は必ずVPNサーバ14を介して送信される。通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。
The control unit 31 of the local terminal 15 (remote terminal 16) transmits an HTTP request to the communication management server 11 (S401). In the case of the remote terminal 16, the HTTP request is always transmitted via the VPN server 14. The control unit 31 of the communication management server 11 stores the communication trail log (S402), and transmits an HTTP request to the external server 17 (S403).
外部サーバ17の制御部31は、HTTP要求の応答処理を実行し(S404)、HTTP応答を通信管理サーバ11に送信する(S405)。通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。
The control unit 31 of the external server 17 executes an HTTP request response process (S404), and transmits an HTTP response to the communication management server 11 (S405). The control unit 31 of the communication management server 11 stores the communication trail log (S406), and transmits an HTTP response to the local terminal 15 (remote terminal 16) (S407). In the case of the remote terminal 16, the HTTP response is always transmitted via the VPN server 14. The control unit 31 of the local terminal 15 (remote terminal 16) displays a screen on the display unit 34 based on the HTTP response (S408).
図7に示す処理によって、ローカル端末15及びリモート端末16の全ての通信証跡ログを一元的に管理することができる。そして、社内2及び社外3を問わず、全ての通信証跡ログを取得していることをユーザに伝えることによって、故意の情報漏洩を抑止することができる。
7, all the communication trail logs of the local terminal 15 and the remote terminal 16 can be managed in an integrated manner. Then, by telling the user that all communication trail logs have been acquired regardless of whether they are in the company 2 or outside the company 3, intentional information leakage can be suppressed.
また、図7に示す例では、通信管理サーバ11は通信証跡ログの取得処理だけを行っているが、更に、インターネットにおけるウェブサイトのアクセス制限や、アンチウィルソフトのパターンファイルの更新漏れの検知を行うこともできる。これによって、端末に対するセキュリティリスクを低くすることができる。
In the example shown in FIG. 7, the communication management server 11 performs only the process of acquiring the communication trail log. Further, the communication management server 11 detects the access restriction of the website on the Internet and the detection of the update omission of the pattern file of the anti-virus software. It can also be done. This can reduce the security risk for the terminal.
第1の実施形態の接続先制限システム1によれば、端末が論理的に直接外部サーバ等に接続することを防止することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
According to the connection destination restriction system 1 of the first embodiment, it is possible to prevent a terminal from being directly and logically connected to an external server or the like. As a result, it is possible to improve the situation where the security risk for the terminal is high and the situation where it is easy to intentionally leak information.
<第2の実施形態>
最初に、図8、図9を参照しながら、第2の実施形態の端末設定制御システムにおける構成について説明する。図8は、端末設定制御システムの概要を示す図である。端末設定制御システム100は、ユーザが端末105を様々な場所に移動させ、端末105が前回と異なるネットワークに接続されても、確実にネットワーク経由のサービスを受けることができるように、端末の設定を制御するシステムである。図8に示す例では、異なるネットワークとして、本社ネットワーク102a、支社ネットワーク102b、自宅ネットワーク103を例示している。
<Second Embodiment>
First, the configuration of the terminal setting control system according to the second embodiment will be described with reference to FIGS. 8 and 9. FIG. 8 is a diagram showing an outline of the terminal setting control system. The terminal setting control system 100 sets the terminal so that even if the user moves the terminal 105 to various places and the terminal 105 is connected to a network different from the previous time, the terminal 105 can receive a service via the network. It is a system to control. In the example shown in FIG. 8, the head office network 102a, the branch office network 102b, and the home network 103 are illustrated as different networks.
本社ネットワーク102a及び支社ネットワーク102bは、例えば、拠点ごとのLANや、複数の拠点に敷設されているLANが専用線等によって接続されるWAN等(有線、無線を問わない。)として構成される。尚、例えば、フロアごとにネットワークを分けて、1つの拠点の中に複数のネットワークが存在するように構成しても良い。また、自宅ネットワーク103は、例えば、家庭内LAN(有線、無線を問わない。)として構成される。LANの物理的な形態としては、例えば、有線LANであれば、イーサネット(登録商標)とTCP/IPを組み合わせるタイプ、無線LANであれば、IEEE802.11などが考えられる。
The head office network 102a and the branch office network 102b are configured as, for example, a LAN for each base or a WAN (wired or wireless) in which LANs installed at a plurality of bases are connected by a dedicated line or the like. For example, the network may be divided for each floor so that a plurality of networks exist in one base. The home network 103 is configured as, for example, a home LAN (whether wired or wireless). As a physical form of the LAN, for example, a wired LAN is a type combining Ethernet (registered trademark) and TCP / IP, and a wireless LAN is IEEE 802.11.
端末設定制御システム100では、ネットワーク(本社ネットワーク102a、支社ネットワーク102b)ごとに、端末設定制御サーバ(本社端末設定制御サーバ104a、支社端末設定制御サーバ104b)が設置される。但し、自宅ネットワーク103のように、端末設定制御サーバが設置されないネットワークが存在しても良い。つまり、端末105は、端末設定制御サーバが設置されるネットワーク(本社ネットワーク102a、支社ネットワーク102b)に接続されても良いし、端末設定制御サーバが設置されないネットワーク(自宅ネットワーク103)に接続されても良い。
In the terminal setting control system 100, a terminal setting control server (head office terminal setting control server 104a, branch terminal setting control server 104b) is installed for each network (head office network 102a, branch office network 102b). However, there may be a network such as the home network 103 in which no terminal setting control server is installed. That is, the terminal 105 may be connected to a network where the terminal setting control server is installed (head office network 102a, branch office network 102b), or may be connected to a network where the terminal setting control server is not installed (home network 103). good.
本社ネットワーク102aには、本社端末設定制御サーバ104a、本社ゲートウエイ121a、本社OSパッチ更新サーバ122a、本社ウィルス更新サーバ123a、VPNサーバ124、本社プリントサーバ125a、端末105等が接続されている。また、支社ネットワーク102bには、支社端末設定制御サーバ104b、支社ゲートウエイ121b、支社OSパッチ更新サーバ122b、支社ウィルス更新サーバ123b、支社プリントサーバ125b、端末105等が接続されている。また、自宅ネットワーク103には、自宅ゲートウエイ131、自宅プリントサーバ132等が接続されている。また、インターネット109には、外部OSパッチ更新サーバ111、外部ウィルスパターン更新サーバ112等が接続されている。
Connected to the head office network 102a are a head office terminal setting control server 104a, a head office gateway 121a, a head office OS patch update server 122a, a head office virus update server 123a, a VPN server 124, a head office print server 125a, a terminal 105, and the like. Further, the branch office network 102b is connected to the branch terminal setting control server 104b, the branch gateway 121b, the branch OS patch update server 122b, the branch virus update server 123b, the branch print server 125b, the terminal 105, and the like. The home network 103 is connected to a home gateway 131, a home print server 132, and the like. Also, an external OS patch update server 111, an external virus pattern update server 112, and the like are connected to the Internet 109.
端末設定制御サーバ(本社端末設定制御サーバ104a、支社端末設定制御サーバ104b)は、自らが接続されているネットワークを識別する識別情報を、マルチキャストアドレス宛て又はユニキャストアドレス宛てに送信する。ここで、ネットワークは、コンピュータにとっては自らが所在する場所と考えられることから、以下では、識別情報を含むパケットのことを、「ロケーションパケット」と呼ぶことにする。端末設定制御サーバによる処理の詳細は、図14、図15を参照しながら後述する。
The terminal setting control server (head office terminal setting control server 104a, branch terminal setting control server 104b) transmits identification information for identifying a network to which the terminal setting control server is connected to a multicast address or a unicast address. Here, since the network is considered to be a place where the computer is located, a packet including identification information is hereinafter referred to as a “location packet”. Details of processing by the terminal setting control server will be described later with reference to FIGS. 14 and 15.
端末105は、所定時間内にロケーションパケットを受信したか否かを判定し、受信している場合にはロケーションパケットが示すネットワークを判定し、判定結果に基づいて、ネットワークを経由して提供されるサービスに関する設定情報を取得し、取得された設定情報に基づいて、自らの設定を更新する。これによって、端末105は、ネットワークが変更されても、確実にネットワーク経由のサービスを受けることができる。端末105による処理の詳細は、図13、図16を参照しながら後述する。
The terminal 105 determines whether or not the location packet has been received within a predetermined time. If it has been received, the terminal 105 determines the network indicated by the location packet, and is provided via the network based on the determination result. It acquires setting information regarding the service, and updates its own setting based on the acquired setting information. Thereby, even if the network is changed, the terminal 105 can surely receive the service via the network. Details of processing by the terminal 105 will be described later with reference to FIGS. 13 and 16.
各ネットワークのゲートウエイ(本社ゲートウエイ121a、支社ゲートウエイ121b、自宅ゲートウエイ131)は、インターネット109への入り口となる。インターネット109では、ルータ等の通信機器、プロキシサーバやファイアウォール等として設置されるコンピュータが、ゲートウエイの役割を果たす。
The gateway of each network (head office gateway 121a, branch office gateway 121b, home gateway 131) is an entrance to the Internet 109. In the Internet 109, communication devices such as routers, computers installed as proxy servers, firewalls, and the like serve as gateways.
図8に示す例では、ネットワーク経由のサービスを提供するサーバとして、OSパッチ更新サーバ、ウィルスパターン更新サーバ、VPNサーバ、プリントサーバが例示されている。以下、各サーバの概要を説明する。
In the example shown in FIG. 8, an OS patch update server, a virus pattern update server, a VPN server, and a print server are illustrated as servers that provide services via the network. The outline of each server will be described below.
OSパッチ更新サーバには、組織向けOSパッチ更新サーバと、外部OSパッチ更新サーバ111の2種類がある。組織向けOSパッチ更新サーバ(本社OSパッチ更新サーバ122a、支社OSパッチ更新サーバ122b)は、自らが接続されているネットワーク内の端末105に対して、OSパッチファイル更新サービスを提供する。一方、外部OSパッチ更新サーバ111は、OSを提供する企業などが設置するものであって、対象のOSがインストールされているコンピュータ全てに対して、OSパッチファイル更新サービスを提供する。
There are two types of OS patch update servers: an OS patch update server for organizations and an external OS patch update server 111. The OS patch update server for organization (head office OS patch update server 122a, branch OS patch update server 122b) provides an OS patch file update service to the terminal 105 in the network to which the OS patch update server is connected. On the other hand, the external OS patch update server 111 is installed by a company that provides an OS, and provides an OS patch file update service to all computers on which the target OS is installed.
同様に、ウィルスパターン更新サーバにも、組織向けウィルスパターン更新サーバと、外部ウィルスパターン更新サーバ112の2種類がある。組織向けウィルスパターン更新サーバ(本社ウィルスパターン更新サーバ123a、支社ウィルスパターン更新サーバ123b)は、自らが接続されているネットワーク内の端末105に対して、ウィルスパターンファイル更新サービスを提供する。一方、外部ウィルスパターン更新サーバ112は、ウィルス対策ソフトを提供する企業などが設置するものであって、対象のウィルス対策ソフトがインストールされているコンピュータ全てに対して、ウィルスパターンファイル更新サービスを提供する。
Similarly, there are two types of virus pattern update servers: an organization virus pattern update server and an external virus pattern update server 112. The virus pattern update server for organizations (head office virus pattern update server 123a, branch virus pattern update server 123b) provides a virus pattern file update service to the terminal 105 in the network to which the virus pattern update server is connected. On the other hand, the external virus pattern update server 112 is installed by a company that provides antivirus software, and provides a virus pattern file update service to all computers on which the target antivirus software is installed. .
VPNサーバ124は、本社ネットワーク102aへのVPN接続サービスを提供する。VPN接続サービスは、公衆回線をあたかも専用回線であるかのように利用できるサービスである。VPN接続サービスによって、例えば、自宅ネットワーク103に接続されている端末105であっても、セキュリティを維持しながら、本社ネットワーク102aのコンピュータにアクセスすることができる。
The VPN server 124 provides a VPN connection service to the head office network 102a. The VPN connection service is a service that can use a public line as if it were a dedicated line. With the VPN connection service, for example, even the terminal 105 connected to the home network 103 can access the computer of the head office network 102a while maintaining security.
プリントサーバ(本社プリントサーバ125a、支社プリントサーバ125b、自宅プリンタサーバ132)は、自らが接続されているネットワーク内の端末105に対して、プリント出力サービスを提供する。プリントサーバは、コンピュータに限らず、複合機、プリンタなどであっても良い。
The print server (head office print server 125a, branch office print server 125b, home printer server 132) provides a print output service to the terminal 105 in the network to which the print server is connected. The print server is not limited to a computer, and may be a multifunction machine, a printer, or the like.
図9は、コンピュータのハードウエア構成図である。図9は、図8に例示される各種サーバ及び端末105を実現するコンピュータ140のハードウエア構成を示している。尚、図9のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
FIG. 9 is a hardware configuration diagram of the computer. FIG. 9 shows the hardware configuration of a computer 140 that implements the various servers and terminals 105 illustrated in FIG. Note that the hardware configuration in FIG. 9 is an example, and various configurations can be adopted according to applications and purposes.
図9に示すように、コンピュータ140は、制御部141、記憶部142、入力部143、表示部144、通信制御部145等が、バス146を介して接続される。
As shown in FIG. 9, the computer 140 is connected to a control unit 141, a storage unit 142, an input unit 143, a display unit 144, a communication control unit 145, and the like via a bus 146.
制御部141は、CPU、RAM等で構成される。CPUは、記憶部142、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス146を介して接続された各装置を駆動制御し、コンピュータ140が行う処理を実現する。RAMは、揮発性メモリであり、記憶部142、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部141が各種処理を行う為に使用するワークエリアを備える。
The control unit 141 includes a CPU, a RAM, and the like. The CPU calls a program stored in the storage unit 142, a recording medium, etc. to a work memory area on the RAM, executes it, drives and controls each device connected via the bus 146, and realizes processing performed by the computer 140 To do. The RAM is a volatile memory, and temporarily stores a program, data, and the like loaded from the storage unit 142, a recording medium, and the like, and includes a work area used by the control unit 141 for performing various processes.
記憶部142は、ROM、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部141が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS、ブートローダ、OSに相当する制御プログラムや、後述する処理を制御部141に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部141により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。尚、記憶部142は、USB等を介して接続される脱着可能な記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
The storage unit 142 is a ROM, flash memory, HDD (hard disk drive) or the like, and stores a program executed by the control unit 141, data necessary for program execution, and the like. As for the program, a control program corresponding to a BIOS, a boot loader, and an OS, and an application program for causing the control unit 141 to execute processing to be described later are stored. Each of these program codes is read by the control unit 141 as necessary, transferred to the RAM, read by the CPU, and executed as various means. The storage unit 142 may be a removable storage device (USB memory, external hard disk, etc.) connected via a USB or the like.
入力部143は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。ユーザは、入力部143を介して、コンピュータ140に対して、操作指示、動作指示、データ入力等を行うことができる。表示部144は、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ140のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。尚、入力部143及び表示部144は、タッチパネルディスプレイのように、一体として構成されるものであっても良い。
The input unit 143 inputs data and includes, for example, a keyboard, a pointing device such as a mouse, and an input device such as a numeric keypad. The user can perform an operation instruction, an operation instruction, data input, or the like on the computer 140 via the input unit 143. The display unit 144 includes a display device such as a liquid crystal panel, and a logic circuit (video adapter or the like) for realizing the video function of the computer 140 in cooperation with the display device. Note that the input unit 143 and the display unit 144 may be configured as a single unit, such as a touch panel display.
通信制御部145は、通信制御装置、通信ポート等を有し、コンピュータ140とネットワーク間の通信を媒介する通信インタフェースであり、ネットワークを介して、他のコンピュータ140間との通信制御を行う。ネットワークは、有線、無線を問わない。バス146は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
The communication control unit 145 has a communication control device, a communication port, and the like, is a communication interface that mediates communication between the computer 140 and the network, and performs communication control between other computers 140 via the network. The network may be wired or wireless. The bus 146 is a path that mediates transmission / reception of control signals, data signals, and the like between the devices.
次に、図10~図12を参照しながら、第2の実施形態における端末105が利用する情報について説明する。図10~図12に示す本社用設定情報、支社用設定情報及び自宅用設定情報は、予め端末105の記憶部142に記憶されていても良い。或いは、これらの情報は、他のコンピュータ(例えば、端末設定制御サーバ)の記憶部142に記憶され、端末105が、必要な時に、他のコンピュータ(例えば、端末設定制御サーバ)から受信するようにしても良い。
Next, information used by the terminal 105 in the second embodiment will be described with reference to FIGS. The head office setting information, branch office setting information, and home setting information shown in FIGS. 10 to 12 may be stored in the storage unit 142 of the terminal 105 in advance. Alternatively, these pieces of information are stored in the storage unit 142 of another computer (for example, terminal setting control server), and the terminal 105 receives the information from another computer (for example, terminal setting control server) when necessary. May be.
図10は、本社用設定情報の一例である。本社用設定情報151とは、本社ネットワーク102aに接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「本社OSパッチ更新サーバ122aのコンピュータ名又はIPアドレス」が対応付けられている。尚、本社ネットワーク102aに接続されている端末105に対しては、VPN接続サービスを提供する必要が無い為、接続先が未設定(「-」)となっている。
FIG. 10 is an example of head office setting information. The head office setting information 151 is information indicating settings necessary for the terminal 105 connected to the head office network 102a to receive a service via the network. For example, the service name “OS patch file update service” is associated with “the computer name or IP address of the head office OS patch update server 122a” as a connection destination. Note that the connection destination is not set (“−”) to the terminal 105 connected to the head office network 102a because it is not necessary to provide the VPN connection service.
図11は、支社用設定情報の一例である。支社用設定情報152とは、支社ネットワーク102bに接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「支社OSパッチ更新サーバ122bのコンピュータ名又はIPアドレス」が対応付けられている。尚、支社ネットワーク102bに接続されている端末105に対しては、VPN接続サービスを提供する必要が無い為、接続先が未設定(「-」)となっている。
FIG. 11 is an example of branch office setting information. The branch setting information 152 is information indicating settings necessary for the terminal 105 connected to the branch network 102b to receive services via the network. For example, the service name “OS patch file update service” is associated with “the computer name or IP address of the branch OS patch update server 122b” as a connection destination. Note that the connection destination is not set (“-”) to the terminal 105 connected to the branch office network 102b because it is not necessary to provide the VPN connection service.
図12は、自宅用設定情報の一例である。自宅用設定情報153とは、自宅ネットワーク103に接続されている端末105が、ネットワーク経由のサービスを受ける為に必要な設定を示す情報である。例えば、サービス名が「OSパッチファイル更新サービス」に対しては、接続先として、「外部OSパッチ更新サーバ111のURL(Uniform Resource Locator)」が対応付けられている。尚、自宅ネットワーク2bに接続されている端末105に対しては、VPN接続サービスを提供する必要がある為、接続先が「VPNサーバ124のIPアドレス及びポート番号」となっている。
FIG. 12 is an example of home setting information. The home setting information 153 is information indicating settings necessary for the terminal 105 connected to the home network 103 to receive a service via the network. For example, the service name “OS patch file update service” is associated with “URL (Uniform Resource 更新 Locator) of the external OS patch update server 111” as a connection destination. Note that since the VPN connection service needs to be provided for the terminal 105 connected to the home network 2b, the connection destination is “the IP address and port number of the VPN server 124”.
次に、図13~図16を参照しながら、第2の実施形態における端末設定制御サーバと端末105の処理内容について説明する。以下、本社端末設定制御サーバ104aと支社端末設定制御サーバ104bを区別しない場合、「端末設定制御サーバ4」と表記する。
Next, processing contents of the terminal setting control server and the terminal 105 in the second embodiment will be described with reference to FIGS. Hereinafter, when the head office terminal setting control server 104a and the branch office terminal setting control server 104b are not distinguished, they are referred to as “terminal setting control server 4”.
図13、図14では、ロケーションパケットをユニキャスト送信する方式(ユニキャスト送信方式)の処理内容について示している。一方、図15、図16では、ロケーションパケットをマルチキャスト送信する方式(マルチキャスト送信方式)の処理内容について示している。
FIG. 13 and FIG. 14 show the processing contents of a method (unicast transmission method) for transmitting location packets by unicast. On the other hand, FIG. 15 and FIG. 16 show the processing contents of a method (multicast transmission method) for multicast transmission of location packets.
まず、ユニキャスト送信方式について説明する。図13に示すように、端末105の制御部141は、まず、端末105が接続されているネットワークに対して、ロケーションパケットの要求を同報送信する(S501)。同報送信は、ブロードキャスト送信方式とマルチキャスト送信方式のどちらでも良い。
First, the unicast transmission method will be described. As shown in FIG. 13, the control unit 141 of the terminal 105 first broadcasts a location packet request to the network to which the terminal 105 is connected (S501). Broadcast transmission may be either a broadcast transmission method or a multicast transmission method.
これに対して、図14に示すように、端末設定制御サーバ4の制御部141は、起動後、ロケーションパケットの要求を監視する(S601)。ロケーションパケットの要求を受信すると(S602のYes)、端末設定制御サーバ4の制御部141は、ロケーションパケットをユニキャストアドレス宛てに送信する(S603)。より詳細には、端末設定制御サーバ4の制御部141は、ロケーションパケットの要求の送信元に対してのみ、自らが接続されているネットワークを識別する識別情報を含むロケーションパケットを送信する。
On the other hand, as shown in FIG. 14, the control unit 141 of the terminal setting control server 4 monitors a request for a location packet after activation (S601). When receiving the request for the location packet (Yes in S602), the control unit 141 of the terminal setting control server 4 transmits the location packet to the unicast address (S603). More specifically, the control unit 141 of the terminal setting control server 4 transmits a location packet including identification information for identifying a network to which the control unit 141 is connected only to the transmission source of the request for the location packet.
図13の説明に戻る。次に、S502では、端末105の制御部141は、ロケーションパケットを要求してから所定時間内にロケーションパケットを受信したかどうかを判定する。端末105の制御部141は、受信している場合(S502のYes)、S503に進み、受信していない場合(S502のNo)、S506に進む。端末105が本社ネットワーク102aや支社ネットワーク102bに接続されている場合、端末105は、本社端末設定制御サーバ104aや支社端末設定制御サーバ104bから、所定時間内にロケーションパケットを受信する。一方、端末105が自宅ネットワーク103に接続されている場合、端末105は、ロケーションパケットを受信しない。
Returning to the explanation of FIG. Next, in S502, the control unit 141 of the terminal 105 determines whether the location packet is received within a predetermined time after requesting the location packet. The control unit 141 of the terminal 105 proceeds to S503 when receiving (Yes in S502), and proceeds to S506 when not receiving (No in S502). When the terminal 105 is connected to the head office network 102a or the branch office network 102b, the terminal 105 receives a location packet from the head office terminal setting control server 104a or the branch office terminal setting control server 104b within a predetermined time. On the other hand, when the terminal 105 is connected to the home network 103, the terminal 105 does not receive the location packet.
S503では、端末105の制御部141は、受信したロケーションパケットが示すネットワークを判定する。端末105の制御部141は、「本社」を示している場合(S503の本社)、S504に進み、「支社」を示している場合(S505の支社)、S505に進む。
In S503, the control unit 141 of the terminal 105 determines the network indicated by the received location packet. The control unit 141 of the terminal 105 proceeds to S504 when “head office” is indicated (the head office of S503), and proceeds to S505 when “branch office” is indicated (the branch office of S505).
S504では、端末105の制御部141は、本社用設定情報151を取得する。ここで、本社用設定情報151が予め端末105の記憶部142に記憶されている場合、端末105の制御部141は、記憶部142から本社用設定情報151を抽出する。また、本社用設定情報151が端末設定制御サーバ4の記憶部142に記憶されている場合、端末105の制御部141は、端末設定制御サーバ4から本社用設定情報151を受信する。
In S504, the control unit 141 of the terminal 105 acquires the setting information 151 for the head office. Here, when the head office setting information 151 is stored in the storage unit 142 of the terminal 105 in advance, the control unit 141 of the terminal 105 extracts the head office setting information 151 from the storage unit 142. When the head office setting information 151 is stored in the storage unit 142 of the terminal setting control server 4, the control unit 141 of the terminal 105 receives the head office setting information 151 from the terminal setting control server 4.
同様に、S505では、端末105の制御部141は、支社用設定情報152を取得する。また、S506では、端末105の制御部141は、自宅用設定情報153を取得する。尚、自宅用設定情報153については、予め端末105の記憶部142に記憶されている必要がある。
Similarly, in S505, the control unit 141 of the terminal 105 acquires the branch setting information 152. In step S <b> 506, the control unit 141 of the terminal 105 acquires home setting information 153. The home setting information 153 needs to be stored in the storage unit 142 of the terminal 105 in advance.
S507では、端末105の制御部141は、取得された設定情報に基づいて、端末105の設定を更新する。例えば、端末105が本社ネットワーク102aに接続されており、S504において本社用設定情報151を取得した場合、本社用設定情報151に基づいて端末105の設定が更新される。
In S507, the control unit 141 of the terminal 105 updates the setting of the terminal 105 based on the acquired setting information. For example, when the terminal 105 is connected to the head office network 102a and the head office setting information 151 is acquired in S504, the setting of the terminal 105 is updated based on the head office setting information 151.
次に、マルチキャスト送信方式について説明する。図15に示すように、端末設定制御サーバ4の制御部141は、起動後、ロケーションパケットのマルチキャスト送信(S701)、及び所定時間の待機(S702)を繰返す。より詳細には、端末設定制御サーバ4の制御部141は、間欠的に、自らが接続されているネットワークを識別する識別情報を含むロケーションパケットを、マルチキャストアドレス宛てに送信する。
Next, the multicast transmission method will be described. As illustrated in FIG. 15, the control unit 141 of the terminal setting control server 4 repeats the multicast transmission of the location packet (S701) and the standby for a predetermined time (S702) after the activation. More specifically, the control unit 141 of the terminal setting control server 4 intermittently transmits a location packet including identification information for identifying a network to which the terminal setting control server 4 is connected to the multicast address.
これに対して、図16に示すように、端末105の制御部141は、起動後、ロケーションパケットを監視する(S801)。監視を始めてから所定時間内にロケーションパケットを受信すると(S802のYes)、S803に進み、受信しないと(S802のNo)、S806に進む。以下、S803~S807の詳細は、図13に示すS503~S507と同様である為、説明を省略する。
On the other hand, as shown in FIG. 16, the control unit 141 of the terminal 105 monitors the location packet after activation (S801). If a location packet is received within a predetermined time from the start of monitoring (Yes in S802), the process proceeds to S803, and if not received (No in S802), the process proceeds to S806. The details of S803 to S807 are the same as S503 to S507 shown in FIG.
端末105の接続が許可されているネットワークの数が2つである場合、端末105は、S502(又はS802)において、ロケーションパケットの受信有無の判定処理のみを行い、取得すべき設定情報を判断する。一方、端末105の接続が許可されているネットワークの数が3つ以上の場合、端末105は、S503(又はS803)において、ロケーションパケットが示すネットワークの判定も行い、取得すべき設定情報を判断する。
When the number of networks to which the connection of the terminal 105 is permitted is 2, the terminal 105 performs only the determination process of whether or not to receive the location packet in S502 (or S802), and determines the setting information to be acquired. . On the other hand, if the number of networks to which connection of the terminal 105 is permitted is three or more, the terminal 105 also determines the network indicated by the location packet in S503 (or S803), and determines the setting information to be acquired. .
端末105の数が比較的少ない場合、ネットワーク帯域を無駄に消費しない為に、ユニキャスト送信方式を利用する。一方、端末105の数が多い場合、マルチキャスト送信方式が有効である。なぜなら、端末105の数が多い場合、マルチキャスト送信方式の方が、ネットワーク帯域の消費が少なくなるからである。つまり、ユニキャストアドレス(端末105)が増加すると、ネットワーク帯域を圧迫することも有り得るので、マルチキャスト送信方式の採用が有効となる。
When the number of terminals 105 is relatively small, the unicast transmission method is used in order not to waste network bandwidth. On the other hand, when the number of terminals 105 is large, the multicast transmission method is effective. This is because when the number of terminals 105 is large, the multicast transmission method consumes less network bandwidth. That is, when the unicast address (terminal 105) increases, the network bandwidth may be compressed, so the adoption of the multicast transmission method is effective.
ここで、図8のシステム構成例における端末設定制御サーバ4及び端末105の2通りの動作例を説明する。動作例1は、ユーザが端末105を本社ネットワーク102aに接続する場合である。動作例2は、ユーザが端末105を自宅ネットワーク103に接続する場合である。
Here, two operation examples of the terminal setting control server 4 and the terminal 105 in the system configuration example of FIG. 8 will be described. Operation example 1 is a case where the user connects the terminal 105 to the head office network 102a. Operation example 2 is a case where the user connects the terminal 105 to the home network 103.
(動作例1)
端末105が本社ネットワーク102aに接続されると、端末105は、本社端末設定制御サーバ5aからロケーションパケットを受信する。これにより、端末105は、本社用設定情報151を取得し、本社用設定情報151に基づいて、自らの設定を更新する。この結果、端末105は、以下のサーバから、ネットワーク経由の各種サービスを受ける。
・OSパッチファイル更新サービス:本社OSパッチ更新サーバ122a
・ウィルスパターンファイル更新サービス:本社ウィルスパターン更新サーバ123a
・プリント出力サービス:本社プリントサーバ125a
(Operation example 1)
When the terminal 105 is connected to the head office network 102a, the terminal 105 receives a location packet from the head office terminal setting control server 5a. Thereby, the terminal 105 acquires the head office setting information 151 and updates its own setting based on the head office setting information 151. As a result, the terminal 105 receives various services via the network from the following servers.
OS patch file update service: head office OS patch update server 122a
Virus pattern file update service: Headquarters virus pattern update server 123a
Print output service: Head office print server 125a
(動作例2)
端末105が自宅ネットワーク103に接続されても、端末105は、ロケーションパケットを受信しない。これにより、端末105は、自宅用設定情報153を取得し、自宅用設定情報153に基づいて、自らの設定を更新する。この結果、端末105は、以下のサーバから、ネットワーク経由の各種サービスを受ける。
・OSパッチファイル更新サービス:外部OSパッチ更新サーバ111
・ウィルスパターンファイル更新サービス:外部ウィルスパターン更新サーバ112
・プリント出力サービス:自宅プリントサーバ132
・本社ネットワーク102aへのVPN接続サービス:VPNサーバ124
(Operation example 2)
Even if the terminal 105 is connected to the home network 103, the terminal 105 does not receive the location packet. Thereby, the terminal 105 acquires the home setting information 153 and updates its own setting based on the home setting information 153. As a result, the terminal 105 receives various services via the network from the following servers.
OS patch file update service: external OS patch update server 111
Virus pattern file update service: External virus pattern update server 112
Print output service: Home print server 132
-VPN connection service to the head office network 102a: VPN server 124
図17は、ロケーションパケットの一例である。ロケーションパケット161には、ネットワークを識別する識別情報の他、様々な情報を含めることができる。図17では、情報区分として、「識別情報」、「場所情報」、「利用時間情報」、「動作モード情報」の4つが含まれるロケーションパケット161の例を示している。
FIG. 17 is an example of a location packet. The location packet 161 can include various information in addition to identification information for identifying the network. FIG. 17 shows an example of a location packet 161 that includes four items of “identification information”, “location information”, “use time information”, and “operation mode information” as information classifications.
「識別情報」は、ネットワークの識別番号であり、例えば、「001」、「002」等である。「場所情報」は、ネットワークの場所に関する情報であり、例えば、「本社1階」、「A支店」等である。「利用時間情報」は、端末105の利用時間に関する情報であり、「制限無し」、「1時間」、「3時間」等である。「動作モード情報」は、端末105の動作モードに関する情報であり、「制限無し」、「休日モード」、「節電モード」等である。
“Identification information” is a network identification number, for example, “001”, “002” or the like. “Location information” is information relating to the location of the network, such as “Head office 1st floor”, “A branch”, and the like. “Usage time information” is information relating to the usage time of the terminal 105, such as “no restriction”, “1 hour”, “3 hours”, and the like. The “operation mode information” is information related to the operation mode of the terminal 105, such as “no restriction”, “holiday mode”, “power saving mode”, and the like.
例えば、端末105は、「場所情報」に基づいて、各ソフトウエアの利用制限をかけても良い。また、端末105は、「利用時間情報」に基づいて、利用時間が過ぎると自動的にシャットダウンしても良い。また、端末105は、「動作モード」に基づいて、電源の利用制限をかけても良い。
For example, the terminal 105 may place restrictions on the use of each software based on the “location information”. Further, the terminal 105 may be automatically shut down when the usage time passes based on the “use time information”. Further, the terminal 105 may limit the use of the power supply based on the “operation mode”.
以上、第2の実施形態によれば、端末105は、ロケーションパケットの受信有無や、ロケーションパケットが示すネットワークを判定し、接続されているネットワークに応じた設定情報に基づいて、自らの設定を更新する。これによって、端末105が前回と異なるネットワークに接続されても、確実にネットワーク経由のサービスを受けることができる。また、端末105が、複数のサービスに関する設定を一元的かつ自動的に更新するので、個々のソフトウエアごとの対応が不要であり、かつ、ユーザが手動によって設定情報を変更する必要もない。従って、ユーザは、端末が接続されているネットワークを意識せずに、確実にネットワーク経由のサービスを受けることができる。
As described above, according to the second embodiment, the terminal 105 determines whether or not the location packet is received and the network indicated by the location packet, and updates its own setting based on the setting information corresponding to the connected network. To do. As a result, even if the terminal 105 is connected to a network different from the previous one, the service via the network can be surely received. In addition, since the terminal 105 updates settings related to a plurality of services in an integrated and automatic manner, it is not necessary to deal with each piece of software, and it is not necessary for the user to manually change the setting information. Therefore, the user can surely receive the service via the network without being aware of the network to which the terminal is connected.
以上、添付図面を参照しながら、本発明に係る端末のネットワーク接続を管理するシステム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
The preferred embodiments of the system for managing the network connection of the terminal according to the present invention have been described above with reference to the accompanying drawings, but the present invention is not limited to such examples. It will be apparent to those skilled in the art that various changes or modifications can be conceived within the scope of the technical idea disclosed in the present application, and these naturally belong to the technical scope of the present invention. Understood.