JP2004157672A - クライアント管理装置、クライアント及びネットワークシステム - Google Patents
クライアント管理装置、クライアント及びネットワークシステム Download PDFInfo
- Publication number
- JP2004157672A JP2004157672A JP2002321477A JP2002321477A JP2004157672A JP 2004157672 A JP2004157672 A JP 2004157672A JP 2002321477 A JP2002321477 A JP 2002321477A JP 2002321477 A JP2002321477 A JP 2002321477A JP 2004157672 A JP2004157672 A JP 2004157672A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- client
- communication restriction
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】セキュリティ性の向上を図ることが可能なクライアント管理装置、クライアント及びネットワークシステムを提供する。
【解決手段】第1ネットワークIF45と、ハブ4に接続される第2ネットワークインターフェイス46と、受付金額を入力する現金受付部44と、通信制限情報を記憶する記憶部42と、現金受付部44によって入力された受付金額に基づいて記憶部42に記憶されている通信制限情報を書き換える通信制限情報書き換え部412と、記憶部42に記憶されている通信制限情報に基づいて、クライアント端末部20の通信を制限する通信制限部411とを備えるクライアント管理部40と、第1ネットワークIF45に接続された、利用者が操作するクライアント端末部20とを備えるバルクヘッドPC10。
【選択図】 図1
【解決手段】第1ネットワークIF45と、ハブ4に接続される第2ネットワークインターフェイス46と、受付金額を入力する現金受付部44と、通信制限情報を記憶する記憶部42と、現金受付部44によって入力された受付金額に基づいて記憶部42に記憶されている通信制限情報を書き換える通信制限情報書き換え部412と、記憶部42に記憶されている通信制限情報に基づいて、クライアント端末部20の通信を制限する通信制限部411とを備えるクライアント管理部40と、第1ネットワークIF45に接続された、利用者が操作するクライアント端末部20とを備えるバルクヘッドPC10。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、利用者が操作するクライアント端末を管理するクライアント管理装置、クライアント端末及びクライアント管理装置を備えるクライアント、及び、複数のクライアントが接続されているネットワークシステムに関するものである。
【0002】
【従来の技術】
従来、ホテル、インターネットカフェ、企業等では、客等の不特定の者が使用できる複数のクライアントが設置されている。複数のクライアントは、LAN(ローカルエリアネットワーク)等に接続され、ハブ、ファイアウォールサーバ、ルータ等を介してインターネット等の外部ネットワークに接続されている(例えば、特許文献1参照。)。なお、クライアントとは、通信回線を介して、他のコンピュータ(サーバ)に対して要求を行うことによって、サーバが提供する、webブラウザで閲覧可能なコンテンツ提供サービス、共有ファイルサービス、データベースサービス等のサービスを受けることができるコンピュータである。
【0003】
ファイアウォールサーバは、通信回線を介した通信を制御する2つのネットワークインターフェイス(以下、「ネットワークインターフェイス」を「ネットワークIF」という。)を備え、いずれのネットワークIFから、ネットワーク上で通信されるひとまとまりのデータであるパケットを受信するかによって、通信の方向を示す通信方向情報を入力する。パケットは、ヘッダ及びデータを含み、ネットワークプロトコルの各階層におけるパケットのヘッダ部分には、送信先及び送信元のコンピュータを識別する送信先識別情報(送信先MACアドレス、送信先IPアドレス)及び送信元識別情報(送信元MACアドレス、送信元IPアドレス)、HTTP、HTTPS、FTP等の通信プロトコルを識別する通信プロトコル識別情報(送信元及び送信先ポート番号)等の情報が含まれている。ファイアウォールサーバは、ネットワークI/Fから入力した各パケットについて、通信方向情報及びパケットに含まれるこれらの情報をチェックし、所定の条件を満たすか否かを判定し、肯と判定した場合に通過させ、否の場合には、パケットを排除し、通信を遮断することによって、ネットワーク間の通信を制限するフィルタリング機能等の外部ネットワークからLAN等の内部ネットワークへの不正アクセスやハッキング等を防止する諸機能を備え、様々なセキュリティサービスを提供するサーバである。
【0004】
ファイアウォールサーバは、代理アクセス等を行うプロキシ機能、プライベートアドレスのグローバルアドレスへの変換等を行うIPアドレス変換機能、パケットの監視及び不正パケットの排除等を行うIPフィルタリング機能、アプリケーションレベルゲートウェイでのアクセス制御等を行う認証及びアクセス制限機能、トランスポートレベルでのポートアクセスの制御等を行うポート管理機能、電子メールの内容監視等を行う電子メールフィルタリング機能、通過データ、アクセスログ、通過パケット等の通信履歴の記憶を行う通信履歴記憶機能、データの送受信管理、不正アクセス及びハッキングの監視、管理者への通知等を行う運用監視機能等の諸機能を備えている。
なお、ファイアウォールサーバは、アクセス単位(要求及び応答単位)で通信を制限する。例えば、ファイアウォールサーバは、外部ネットワークに接続されている外部情報処理装置から内部ネットワークに接続されている内部情報処理装置へ送信される、データ送信を要求するパケットを排除せずに通過させた場合には、内部情報処理装置から外部情報処理装置へ送信される応答のデータを含む複数のパケットも通過させる。アクセスとは、対象となる情報処理装置へ情報の書き込み及び書き換え、情報の読み出し等を行うためにその旨の要求をこの情報処理装置へ送信し、その処理結果(応答)を受信する一連の処理である。
【0005】
しかし、外部ネットワークとの間にファイアウォールサーバを備えていても、例えば、ホテルの一室に設置されているクライアントから他の部屋に設置されているクライアントへ不正アクセスを行う等、LAN内部からの不正アクセスが容易であり、セキュリティ性に欠けるという問題があった。
この問題を解決するため、クライアントへのアクセス権限についてID、パスワードをそれぞれのクライアントに設定する方法がある。また、個々のクライアントにファイアウォール等のソフトウェアを搭載し、装置外部からのアクセスを制限するという方法がある。
【0006】
【特許文献1】
特開2002−149613号(第3頁、図1)
【0007】
【発明が解決しようとする課題】
しかし、クライアントにおいて、ID、パスワードを設定した場合には、LAN内部であれば認証パケットを盗聴する、OS内のパスワードファイルやアクセス管理ファイルを解析する等、パスワードを比較的容易に盗み出すことができ、やはり、セキュリティ性に欠けるという問題があった。
また、ファイアウォール等のアクセス制限用ソフトウェアをクライアントコンピュータに搭載した場合には、このクライアントコンピュータの利用者が設定を変更することができ、無力化されるおそれがあった。また、このアクセス制限用ソフトウェアの設定権限についてID、パスワードを設定した場合であっても、上記のようにセキュリティ性に欠け、同様の結果を招くおそれがあった。更に、このシステムを管理するシステム管理装置に外部からの不正アクセスを通知する等、セキュリティ上の問題が発生した場合の通知に関する設定を行っても、同様に設定を変更されるおそれがあった。
【0008】
本発明の課題は、セキュリティ性の向上を図ることが可能なクライアント管理装置、クライアント及びネットワークシステムを提供することである。
【0009】
【課題を解決するための手段】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。すなわち、請求項1の発明は、利用者が操作するクライアント端末(20)が接続される第1のインターフェイス(45)と、ネットワーク(2,3,4)に接続される第2のインターフェイス(46)と、利用する権限を示す利用権限情報を入力する利用権限情報入力手段(44、44−2)と、通信制限情報を記憶する通信制限情報記憶手段(42)と、前記利用権限情報入力手段によって入力された利用権限情報に基づいて前記通信制限情報記憶手段に記憶されている通信制限情報を書き換える通信制限情報書き換え手段(412)と、前記通信制限情報記憶手段に記憶されている通信制限情報に基づいて、前記ネットワークを介した、前記第1のインターフェイスに接続されるクライアント端末への通信、及び、前記クライアント端末からの前記ネットワークを介した通信を制限する第1の通信制限手段(411)とを備えるクライアント管理装置(40、40−2、40−3)である。
【0010】
請求項2の発明は、請求項1に記載のクライアント管理装置において、前記利用権限情報入力手段は、利用のために利用者から受け付ける対価の価値を示す対価価値情報を入力する対価価値情報入力手段であり、前記通信制限情報書き換え手段は、前記対価価値情報入力手段によって入力される対価価値情報に基づいて前記通信制限情報の書き換えを行うこと、を特徴とするクライアント管理装置(40、40−2、40−3)である。
【0011】
請求項3の発明は、請求項1又は請求項2に記載のクライアント管理装置において、前記第1の通信制限手段は、前記第1のインターフェイスにクライアント端末が接続され、前記第1のインターフェイスから入力する情報に含まれる送信元識別情報がこのクライアント端末を示すものでない場合に通信を制限すること、を特徴とするクライアント管理装置(40、40−2、40−3)である。
【0012】
請求項4の発明は、請求項1から請求項3までのいずれか1項に記載のクライアント管理装置(40、40−2、40−3)と、前記クライアント管理装置の第1のインターフェイスに接続されているクライアント端末(20)とを備えるクライアント(10、10−2)である。
【0013】
請求項5の発明は、複数の請求項4に記載のクライアント(10、10−2)と、前記ネットワークに接続され、前記複数のクライアントを管理するネットワーク管理装置(50)とを備えるネットワークシステム(1)であって、
前記ネットワーク管理装置は、前記クライアント管理装置の通信制限情報記憶手段によって記憶されている通信制限情報を書き換える通信制限情報書き換え手段(511)を備えること、を特徴とするネットワークシステム(1)である。
【0014】
請求項6の発明は、請求項5に記載のネットワークシステムにおいて、前記ネットワーク管理装置及び前記ネットワーク間に、前記ネットワークを介した前記ネットワーク管理装置への通信を制限する第2の通信制限手段(72)を備えること、を特徴とするネットワークシステム(1)である。
【0015】
請求項7の発明は、請求項6に記載のネットワークシステムにおいて、外部ネットワーク(5)からの通信を制限する第3の通信制限手段(71)と、公開サーバ(61)とを備え、前記第1の通信制限手段及び/又は前記第2の通信制限手段、前記第3の通信制限手段、及び、前記公開サーバは、前記ネットワークの一のセグメント(2)に接続されていること、を特徴とするネットワークシステム(1)である。
【0016】
【発明の実施の形態】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
(第1実施形態)
図1は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態を示すブロック図である。第1実施形態におけるクライアント管理装置、クライアント及びネットワークシステムは、クライアント管理部40、バルクヘッドPC10及びネットワークシステム1である。
図1に示すように、ネットワークシステム1は、ホテルに設けられており、複数のコンピュータが有線又は無線の通信回線によって互いに接続されているLANであって、図示しないインターネットサービスプロバイダ、ルータ等を介してインターネット等の外部ネットワーク5に接続されている。ネットワーク管理システム1は、第1、第2及び第3のセグメントの3つのセグメントを形成するハブ2,3,4と、外部ネットワーク5及び第1のセグメント(ハブ2)間、第1(ハブ2)及び第2のセグメント(ハブ3)間、及び、第1(ハブ2)及び第3のセグメント(ハブ4)間にそれぞれファイアウォールサーバ71,72,73と、第1、第2又は第3のセグメントに接続されているバルクヘッドPC10等の各種コンピュータとを備えている。以下、各セグメントに分けて説明する。
【0017】
ファイアウォールサーバ71,72,73は、プロキシ機能、IPアドレス変換機能、IPフィルタリング機能、認証及びアクセス制限機能、ポート管理機能、電子メールフィルタリング機能、通信履歴記憶機能、運用監視機能等を備え、通信制限情報を記憶している。
通信制限情報は、ファイアウォールサーバ71,72,73を通過させるパケットについての通信方向情報及びパケットに含まれる各情報の条件を示す情報である。ファイアウォールサーバ71,72,73は、ネットワークI/Fから入力したパケットが記憶している通信制限情報の示す条件を満たすか否かを判定し、肯と判定した場合に通過させ、否の場合には、パケットを排除し、通信を遮断することによって、ネットワーク間の通信を制限する。なお、通信制限の詳細については、図4を用いて後述する。
【0018】
ハブ2で構成される第1のセグメントは、DMZ(Demilitarized Zone;非武装地帯)を形成する。DMZは、ファイアウォール等のネットワークを介した通信を制限する通信制限手段で囲まれ、外部ネットワーク5及び内部ネットワーク(第2及び第3のセグメント)からの不正なアクセスから保護されるとともに、外部ネットワーク5からの不正アクセスによる、内部ネットワークへの被害の拡散を防止するセグメントである。なお、セキュリティ性の向上のためにも、DMZを形成する3つのファイアウォールサーバ71,72,73は、別製品であることが望ましい。DMZのセグメントであるハブ2には、webサーバ、メールサーバ、FTPサーバ等の外部ネットワークに公開するための公開サーバ61、クライアント端末部20にビデオデータを送信するためのビデオオンデマンドサーバ(VOD)62、管理ネットワークのPC54等がアクセス可能な共有ファイルを記憶するファイルサーバ63等が接続されている。
【0019】
ハブ3で構成される第2のセグメントには、ネットワーク管理装置50、このネットワーク管理装置50にデータを供給するデータベースサーバ52、プリンタ53、ホテルの従業員が個々に使用するパーソナルコンピュータ54等が接続され、管理ネットワークを形成している。ネットワーク管理装置50は、パーソナルコンピュータ等、コンピュータ本体、ディスプレイ、キーボード、マウス等のハードウェアを備えるパーソナルコンピュータ等の汎用コンピュータで構築することができる。ネットワーク管理装置50は、クライアント管理部40を制御するクライアント管理制御部51等を備えている。
クライアント管理制御部51は、所定の通信制限情報書き換え要求をクライアント管理部40へ送信することによって、記憶部42に記憶されている通信制限情報を書き換える通信制限情報書き換え部511、所定の初期化要求をクライアント管理部40へ送信することによって、クライアント端末部20の初期化を行う初期化部512等を備えている。
【0020】
データベースサーバ52は、各部屋に設置されているバルクヘッドPC10−(1),10−(2),・・・,10−(n)(以下、「バルクヘッドPC10−(1),10−(2),・・・,10−(n)」を総称して「バルクヘッドPC10」という。)毎の利用の履歴を示す利用履歴情報、この利用に対して受け付けた現金の額である受付現金額等、バルクヘッドPC10の利用についての情報を格納している。ネットワーク管理装置50は、この情報をプリンタ53から出力することによって、領収書を発行することが可能である。また、データベースサーバ52は、ファイアウォールサーバ71,72,73、クライアント管理部40を通過した通信又はファイアウォールサーバ71,72,73等によって遮断された通信の履歴であって、ファイアウォールサーバ71,72,73等から受信した通信履歴を格納している。
【0021】
ハブ4で構成される第3のセグメントには、客室にそれぞれ設置されている複数のバルクヘッドPC10が接続され、利用者ネットワークを形成している。
図2及び図3は、本発明によるクライアント管理装置及びクライアントの第1実施形態を示す外観図及びブロック図である。
図2に示すように、バルクヘッドPC10は、本体10Aと、本体10Aに接続されているディスプレイ26、キーボード27、マウス28、通話機29等を備え、ホテルの各部屋に1台ずつ設置されている。また、図3に示すように、バルクヘッドPC10は、互いにネットワークIF25,35で接続されているクライアント端末部20及びクライアント管理部40を備えている。クライアント端末部20及びクライアント管理部40は、それぞれがCPU21,31、記憶部22,32、ネットワークIF25,45,46等を備え、それぞれが個々に処理を行うコンピュータである。
【0022】
クライアント端末部20は、ホテルの利用者等の不特定の者が書面作成等の情報処理、インターネット、電子メール、ビデオ鑑賞、TV鑑賞、IP電話等のために利用することができるコンピュータであって、クライアント管理部40を介してハブ4に接続されている。クライアント端末部20は、バス30に接続されているCPU21、記憶部22及びI/Oインターフェイス23と、I/Oインターフェイス23に接続されている、CD、DVD等のリムーバルディスクと情報の入出力を行うディスクドライブ24、ネットワークIF25、ディスプレイ26、利用者の要求を入力するキーボード27及びマウス28、通話機29等とを備えている。
【0023】
CPU21は、記憶部22に記憶されているプログラムを実行することによって、クライアント端末部20を統括制御する中央処理装置であるとともに、キーボード27、マウス28等から入力する情報に応じて記憶部22に記憶されているプログラムを実行し、利用者の要求に応じた処理を行う。また、CPU21は、ネットワーク管理装置50又はクライアント管理部40から受信する要求に応じた処理を行う。
記憶部22は、RAM等の揮発性メモリ、読み出し専用メモリ、書換可能な不揮発性メモリ等を備え、CPU21が実行するための種々のプログラム、プログラムの実行に必要なデータを記憶している。
ディスクドライブ24は、フレキシブルディスク、CD、DVD等のリムーバルディスクから情報の読み出し及び情報の書き込みを行う入出力装置である。なお、リムーバルディスクからのブートはできない。
通話機29は、マイク、スピーカー等を有し、音声データの入出力を行う音声入出力装置であって、ネットワークを介した音声通話を実現するIP電話に用いられる通話機である。
【0024】
クライアント管理部40は、クライアント端末部20を管理するコンピュータであって、バス47に接続されているCPU41、記憶部42及びI/Oインターフェイス43等と、I/Oインターフェイス43に接続されている、現金受付部44、第1及び第2のネットワークIF45,46等とを備えている。第1ネットワークIF45は、クライアント端末部20、第2ネットワークIF46は、ハブ4に接続されている。なお、クライアント管理部40は、利用者からバルクヘッドPC10の利用に対する対価を現金受付部44から受け付けるが、キーボード、マウス等の利用者の要求を入力する入力装置及びディスプレイ等の利用者へ情報の内容を通知する出力装置を備えず、利用者が操作する、処理内容を知ることはできない。
【0025】
CPU41は、記憶部42に記憶されているプログラムを実行することによって、通信制限部411、通信制限情報書き換え部412、初期化部413等を実現する。また、CPU41は、ネットワーク管理装置50から受信した要求に応じた処理を行う。
通信制限部411は、第3のセグメントを介した、他のコンピュータからクライアント端末部20へのアクセス及びクライアント端末部20から他のコンピュータへのアクセス、つまり、クライアント端末部20の第3のセグメントを介した通信を制限する通信制限手段であって、プロキシ機能、IPアドレス変換機能、IPフィルタリング機能、認証及びアクセス制限機能、ポート管理機能、電子メールフィルタリング機能、通信履歴記憶機能、運用監視機能等、ファイアウォールサーバ71,72,73と同様の機能を備えている。通信制限についての詳細については、図4を用いて後述する。
【0026】
通信制限情報書き換え部412は、現金受付部44から受付金額を入力した場合、又は、ネットワーク管理装置50から通信制限情報書き換え要求を受信した場合に、受付金額に基づいて通信制限情報を書き換える通信情報書き換え処理を行う。
初期化部413は、ネットワーク管理装置50から初期化要求を受信した場合に、記憶部42に記憶されている初期化プログラム及び初期化データ等をクライアント端末部20へ送信し、クライアント端末部20の設定を利用者の操作前の状態に戻す初期化処理を行う。
【0027】
記憶部42は、CPU41が実行するための種々のプログラム、プログラムの実行に必要なデータを記憶している。また、記憶部42は、通信制限情報及び通信履歴情報と、及びクライアント端末部20の設定を初期化するための初期化プログラム及び初期化データとを記憶している。通信制限情報のデフォルトは、通信制限部411がクライアント端末部20からのアクセスを全て遮断するように設定されている。通信履歴情報は、クライアント端末部20が第3のセグメントを介して行った通信、及び、通信制限部411が遮断した通信の履歴を示す情報である。
【0028】
現金受付部44は、利用者が唯一情報をクライアント管理部40へ入力可能な入力装置であって、現金投入口44aから利用者が投入した紙幣、貨幣等の現金を受け付け、CPU41が算出するお釣りを返却口44bから返却することによって、バルクヘッドPC10の利用のための対価である現金を受け付け、この受け付けた現金の価値を示す対価価値情報である受付金額を入力する対価価値情報入力手段である。
なお、バルクヘッドPC10は、本体10Aの分解、キーボード27、マウス28、通話機29、LANケーブル等の本体10Aに接続されている接続ケーブルの取り外しには、特殊な工具が必要であって、通常の工具では、分解等ができないように構築されている。
【0029】
図4は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における通信制限について説明するための図である。なお、矢印の方向は、アクセス要求の送信方向(通信の方向)を示している。
図4に示すように、ネットワークシステム1は、通信制限手段として、ハブ2に接続され、DMZを形成する3つのファイアウォールサーバ71,72,73と、各バルクヘッドPC10に含まれ、ハブ4に接続されているクライアント管理部40の通信制限部411とを備えている。
【0030】
ファイアウォールサーバ71は、ネットワークシステム1及び外部ネットワーク5を介した通信を制限する。ファイアウォールサーバ71は、ネットワークシステム1及び外部ネットワーク5にそれぞれ接続されている2つのネットワークI/Fから入力するパケットをチェックし、外部ネットワーク5からネットワークシステム1方向のアクセスについては、送信先が公開サーバであって、HTTP、SMTP、DNS等の所定の通信プロトコルである場合に通過させ、ネットワークシステム1から外部ネットワーク5方向については、管理装置50又はクライアント端末部50からのアクセス、及び、送信元が公開サーバ61からの通信プロトコルがSMTP、DNSであるアクセスを通過させ、他のアクセスを遮断する。
【0031】
ファイアウォールサーバ72は、第1及び第2のセグメントを介した通信を制限する。ファイアウォールサーバ72は、第1のセグメントから第2のセグメントへのアクセスを全て遮断し、第2のセグメントから第1のセグメントへのアクセスを通過させる。
ファイアウォールサーバ73は、第1及び第2のセグメントを介した通信を制限する。ファイアウォールサーバ73は、第1のセグメントから第3のセグメント方向については、管理装置50からのアクセスを通過させ、第3のセグメントから第1のセグメント方向については、外部ネットワーク5方向、又は、VODサーバ62、ファイルサーバ63へのアクセスを通過させ、他のアクセスを遮断する。
なお、ファイアウォールサーバ71,72,73への通信回線を介したアクセスは、ネットワーク管理装置50のみが可能である。
【0032】
通信制限部411は、クライアント端末部20の通信を制限する。通信制限部411は、外部ネットワーク5、公開サーバ61等又は管理装置50等からクライアント端末部20方向については、管理装置50からのアクセスを通過させ、他のアクセスを遮断する。1号室に設置されているクライアント10−(1)の通信制限部411−(1)及び2号室に設置されているクライアント10−(2)の通信制限部411−(2)は、原則として、クライアント端末部20−(1)及びクライアント端末部20−(2)間の通信をすべて遮断する。但し、1号室の客が許可した場合等非アクセス側の利用者の許可を得た場合には、管理装置50は、1号室及び2号室のクライアント管理部40−(1),40−(2)の記憶部に記憶されている通信制限情報を書き換え、通信制限部411−(1),411−(2)は、クライアント端末部20−(2)からクライアント端末部20−(1)へのアクセスを通過させる。なお、他のクライアント端末部20間のアクセスについても同様である。
【0033】
また、通信制限部411は、クライアント端末部20からネットワーク管理装置50等へのアクセスを遮断し、クライアント端末部20から他のコンピュータへのアクセスについては、受付金額に応じて書き換えられる通信制限情報に基づいて制限を行う。通信制限部411は、クライアント端末部20から送信されるパケットについては、送信元識別情報がこのクライアント端末部20を示す送信識別情報を含むもののみを通過させる。
【0034】
図5は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における動作を示すフローチャートである。以下、利用者がバルクヘッドPC10を利用してビデオを見る場合に、クライアント端末部20及びクライアント管理部40が行う処理について説明する。
ステップ100(以下、「ステップ」を「S」という。)において、クライアント端末部20及びクライアント管理部40は、電源がONの状態にあり、クライアント端末部20は、ディスプレイ26に利用者が利用したいサービスの種類(Eメール、ホームページ閲覧、ビデオ鑑賞、IP電話等)の選択を要求する旨を表示している。利用者は、キーボード27、マウス28等によって利用したいサービスであるビデオ鑑賞を選択し、クライアント端末部20は、ビデオ鑑賞のサービスを種別するサービス種別情報を入力し(S110)、ビデオ鑑賞のサービスに応じた対価である現金の投入を要求する旨をディスプレイ26に表示する(S120)。利用者は、現金を現金投入口44aへ投入し、現金受付部44は、投入金額を入力し(S310)、クライアント管理部40は、処理を開始する。
【0035】
クライアント管理部40は、クライアント端末部20へ要求することによって、サービス種別情報を受信し、CPU41は、このサービス種別情報に基づいておつりの額を算出し、現金受付部44は、返却口44bからおつりを返却することによって、精算を行い、受付現金額を入力する(S320)。精算後に、通信制限情報書き換え部412は、クライアント端末部20から受信したサービス種別情報が示すサービスをクライアント端末部20が利用者に提供可能なように、つまり、利用者から受け付けた現金額に応じて、記憶部42に記憶されている通信制限情報のデフォルトを書き換える(S330)。具体的には、通信制限情報書き換え部412は、サービス種別情報がビデオ鑑賞を示しているため、クライアント端末部20から第1ネットワークIF45から入力したパケットの送信元識別情報がクライアント端末部20を示し、送信先識別情報がVODサーバ62を示し、かつ、要求内容がビデオデータの読み出しである等、所定の要求である場合には、このパケットをそのまま第2ネットワークIF46から出力し、クライアント管理部40を通過させるように通信制限情報を書き換える。
【0036】
S340において、クライアント管理部40は、精算及び通信制限情報の書き換えが終了した旨をクライアント端末部20に通知し、この通知を受信したクライアント端末部20は、鑑賞する映画の選択を要求する等、サービス内容についての選択を利用者に要求する旨をディスプレイ26に表示する(S140,S150)。利用者は、キーボード27、マウス28等によって鑑賞したい映画を選択し、クライアント端末部20は、利用者がクライアント端末部20に実行を要求する処理を識別する実行要求処理識別情報を入力する(S160)。クライアント端末部20は、この入力に応じて処理を行い、利用者が選択した映画のビデオデータの読み出しを要求する旨のアクセス要求をVODサーバ62へ送信する(S170)。クライアント管理部40は、このアクセス要求のパケットを次々に第1ネットワークIF45から入力し(S350)、通信制限部411は、通信制限情報を参照してこれらのパケットが通信制限情報の条件を満たすものであることを確認して通過させ(S360,S370)、通信履歴を記憶部42に書き込む(S380)。
【0037】
S390において、クライアント管理部40は、VODサーバ62がクライアント端末部20へ送信したパケットを受信し、通信制限部411は、このパケットがS370において通過させたアクセス要求に対する応答であるため、そのまま通過させ、通信履歴を記憶部42に書き込み(S400)、クライアント管理部40は、現金が投入されるまで、又は、アクセス要求を受信するまで待機状態となり、その後同様の処理を繰り返す(S350からS410まで又はS310からS410まで)。クライアント端末部20は、アクセス要求の正常な応答を受信し(S180,S190)、映画鑑賞のサービスが終了するまで同様の処理を繰り返す(S170からS200まで)。クライアント端末部20は、VODサーバ62から終了通知を受信した場合、又は、利用者から新たに別のサービス種別情報若しくは終了要求の入力した場合には、処理を終了する(S200,S210)。
【0038】
なお、S370において、例えば、クライアント端末部20から他のバルクヘッドPC10のクライアント端末部20へ送信されたアクセス要求をネットワークIF45から入力した場合等、アクセス要求が通信制限情報の条件を満たさない場合又は送信元識別情報がクライアント端末部20を示すものでない場合には、通信制限部411は、このアクセス要求のパケットを排除して通信を遮断し、クライアント管理部40は、その旨を示すエラーをクライアント端末部20へ送信し(S430)、同様の処理を繰り返す(S350,S360)。
【0039】
図6は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における具体例を示す図である。
図6に示すように、ネットワークシステム1における第1のセグメントであるハブ2と、ハブ2に接続されている公開サーバ61、VODサーバ62、ファイルサーバ63及びファイアウォールサーバ72,73とをデジタル・ボックス株式会社製の製品であるVoX1を利用して構築することができる。
【0040】
図7は、VoX1を説明するための図である。図7(a)は、VoX1(8)の上部カバー84を取り外した状態であって、CPUボード及び電源ボードを格納していない状態を示し、図7(b)は、水平方向の概略断面図である。
図7に示すように、VoX1(8)は、前面にCPUボードCBを抜き差しするための第1開口部81fと、その内側に20枚のCPUボードCBを鉛直に格納する20個のCPUボードスロット80fが設けられている第1格納部8fと、第1格納部8fの最深面にCPUボードスロット80fに格納される複数のCPUボードCBが接続されるセグメントであって、ハブ2として機能する第1バックプレーン82fと、上面に上部カバー84と上部カバーの内側に冷却用ファン85とを備えている。ネットワークシステム1のVoX1(8)には、CPUボードスロット80fに、それぞれ公開サーバ61、VODサーバ62、ファイルサーバ63、ファイアウォールサーバ71,72,73等として機能する複数のCPUボードCBが格納される。
【0041】
また、VoX1(8)は、背面に電源ボードPBを抜き差しするための第2開口部81bと、その内側に8枚の電源ボードPBを鉛直に格納する8個の電源ボードスロット80bが設けられている第2格納部8bとを備え、第2格納部8bの最深面に第2バックプレーン82bを備えている。電源ボードスロット80bに格納されている電源ボードPBは、第2格納部8bの最深面に設けられている第2バックプレーン82b及びケーブル83を介してCPUボードスロット80fに格納されているCPUボードCBに電源を供給する。VoX1(8)のサイズは、高さ約17.78cm(=4U)、幅約48.26cm(=19インチ)である。
なお、CPUボードスロット80fには、最大20枚のCPUボードCBを格納することができるため、ファイアウォールサーバを増やして、ハブを接続して他のセグメントを増やす、他のサーバを増やすことも可能である。
【0042】
このように、第1実施形態によれば、バルクヘッドPC10は、利用者が操作するクライアント端末部20と、クライアント端末部20の通信を制限するクライアント管理部40とを備えるため、ネットワークシステム1内外の他のコンピュータによるクライアント端末部20への不正アクセス、ハッキングだけでなく、クライアント端末部20から他のコンピュータへの不正アクセス、ハッキング等を防止し、セキュリティ性を向上することが可能となった。
また、クライアント管理部20及びクライアント端末部20は、それぞれ個々に処理を行い、利用者は、クライアント端末部20からクライアント管理部40へアクセスできず、クライアント管理部20を操作できず、バルクヘッドPC10を分解することもできないため、セキュリティ性をより一層向上することが可能となった。
【0043】
更に、通信制限部411は、第1ネットワークIF45から入力したパケットに含まれる送信元識別情報に基づいてクライアント端末部20の通信を制限するため、クライアント端末部20の利用者の送信元詐称による不正アクセス、ハッキング等をより効果的に防止することが可能となった。
更にまた、受付現金額に基づいて通信制限情報を書き換える通信制限情報書き換え部411を備えるため、利用者は、クライアント端末部20が提供するサービスのうち、利用したいサービスに見合った対価だけを支払うことができ、利便性の向上を図ることが可能となった。また、利用者は、利用の前に対価を支払うため、利用後にその時間に応じて対価を支払う場合に比べて、支払い額を気にせず利用でき、利用環境を向上することが可能となった。
【0044】
更にまた、クライアント管理部40は、利用者から受け付ける対価の価値に応じて利用の制限、つまり、対価に応じた利用を提供する機能と、他のコンピュータからクライアント端末部20への不正アクセス、ハッキング等を防止する機能との二つの機能を通信制限部411がクライアント端末部20の通信制限をするという同様の処理内容によって実現するため、簡易にこの二つの機能を同時に実現することが可能であって、製造コストの低減、処理の迅速化を図ることが可能となった。
また、バルクヘッドPC10は、クライアント管理部40の記憶部42に初期化プログラム及び初期化データを記憶し、クライアント管理部40に初期化部413を備えるため、利用者がクライアント端末部20の記憶部22に記憶されている情報の書き換え等を行った場合であっても容易に初期化を行うことが可能となった。更に、同様にネットワーク管理装置50は、初期化部512を備えるため、より一層容易に初期化を行うことが可能となった。
【0045】
更にまた、ネットワーク管理装置50は、通信制御情報書き換え部511を備えるため、例えば、チェックイン時に同一グループの複数の宿泊客が利用する部屋に設置されているクライアント端末部20間の通信を制限しない等、容易に通信制限情報を書き換えることができ、利便性の向上を図ることが可能となった。また、ネットワークシステム1は、外部ネットワーク5及び公開サーバ61が接続されている第1のセグメント間、第1のセグメント及び管理装置50等が接続されている第2のセグメント間、第2のセグメント及びバルクヘッドPC10が接続されている第3のセグメント間にそれぞれファイアウォールサーバ71,72,73を備えるため、各セグメントに接続されているコンピュータの役割に応じて通信を制限することによって、効果的に利便性の向上及びセキュリティ性の向上を図ることが可能となった。
更にまた、VoX1(8)を利用した場合には、複数のサーバをコンパクトに1台の装置に集約するため、ネットワークシステム1の構築及び管理の容易化、省スペースを図ることが可能となった。
【0046】
(第2実施形態)
図8は、本発明によるクライアント管理装置及びクライアントの第2実施形態を示すブロック図である。第2実施形態におけるクライアント管理装置及びクライアントは、クライアント管理部40−2及び公衆PC10−2である。
なお、前述した第1実施形態と同様の機能を果たす部分には、同一の符号を付して、重複する説明を適宜省略する。
図8に示すように、公衆PC10−2は、病院のフロント、駅、街頭、公衆PC用BOX等、公衆電話と同様の場所に設置され、公衆電話のように不特定の者が利用可能な、第1実施形態のバルクヘッドPC10と略同様の構成を有するコンピュータであって、電話回線、光ケーブルその他の有線、又は、赤外線その他の無線の通信回線5−2を介して、公衆PC10−2を管理するネットワーク管理装置(図示しない)等に接続され、ネットワークを構成している。
【0047】
公衆PC10−2は、クライアント端末部20と、リーダライタ44−2を有するクライアント管理部40−2とを備えている。
リーダライタ44−2は、IDカード、クレジットカード、キャッシュカード、デビットカード、プリペイドカード等の接触型ICカード、非接触型ICカード、磁気カード等のカードから、ID番号、クレジット番号、口座番号等の識別番号、残金等のカードに記憶されているカード情報を受信し、利用者の認証のためにパスワード等の利用者認証情報、カード情報を書き換えるための書き換え要求等をカードへ送信するカードIFであって、利用権限情報を入力する利用権限情報入力手段である。
【0048】
例えば、利用者が身体障害者カード、社員カード、顧客カード等の属性識別情報を記憶するカードを使用して公衆PC10−2を利用する場合には、リーダライタ44−2は、挿入されたこのカードから利用権限情報となる属性識別情報を読み取り、通信制限情報書き換え部413は、利用者がクライアント端末部20から属性識別情報に応じたサービスを受けられるように記憶部42に記憶されている通信制限情報を書き換える。
一方、クレジットカード、キャッシュカード、デビットカード、プリペイドカード等、公衆PC10−2の利用のための対価について精算可能なカードであれば、第1実施形態と同様に、リーダライタ44−2は、利用残量情報を書き換える等、精算を行って、利用権限情報を入力し、通信制限情報書き換え部413は、通信情報の書き換えを行う。
【0049】
このように、第2実施形態によれば、公衆PC10−2は、公衆電話と同様に設置され、カードから利用権限情報を入力するリーダライタ44−2を備えるため、第1実施形態と同様の効果に加え、利用者の利便性を一層向上することが可能となった。
【0050】
(変形形態)
以上説明した実施形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。例えば、各実施形態において、通信制限部411は、受付現金額、利用権限情報に応じてクライアント端末部20から外部ネットワーク5,5−2を介したwebサーバへのアクセス、つまり、利用者が閲覧できるホームページを制限してもよい。通信制限部411が通信を制限する方法、バルクヘッドPC10又は公衆PC10−2の利用の対価及び通信制限情報の関連づけは、限定されず、ネットワークシステム1の管理者が任意に選択、設定することが可能である。
【0051】
図9は、本発明によるクライアント管理装置及びクライアントの変形形態を示す外観図である。
各実施形態において、バルクヘッドPC10又は公衆PC10−2は、クライアント管理部40,40−2及びクライアント端末部20を備えるが、クライアント管理部40,40−2と同様の機能を備えるクライアント管理装置40−3及びクライアント管理装置40−3とケーブル6で接続される、一般的なパーソナルコンピュータであるクライアント端末20−3とを備えていてもよい。クライアント管理装置40−3は、I/Oインターフェイス43に接続された通話機49を備えている。ホテル等にクライアント管理装置40−3を設置しておくことによって、利用者が持ち込むパーソナルコンピュータを使用する場合であっても各実施形態と同様の効果を得ることが可能である。
【0052】
各実施形態において、バルクヘッドPC10又は公衆PC10−2のクライアント管理部40,40−2,40−3は、クライアント端末部20,20−3が利用者にサービスを提供している時間を計測するタイマーを備え、通信制限部411は、受け付けた対価に応じた時間等の所定の時間経過後に通信を遮断する等、時間によって通信を制限してもよい。提供できるサービスを細分化することによってより一層、利用者の利便性を向上することが可能である。
【0053】
第1実施形態において、クライアント端末部20は、TV電波を受信するためのTVアンテナ、I/OインターフェイスであるTVチューナ等のTVの画像情報及び音声情報を受信するTV部等の他のサービスを提供する機能を備えていてもよい。バルクヘッドPC10の1台で幅広いサービスを利用者に提供することができ、利用者の利便性向上、また、客室の居住スペースを確保し、居住性の向上を図ることが可能である。
【0054】
第1実施形態において、クライアント管理部40は、第2実施形態におけるリーダライタ44−2を備えていてもよく、また、クライアント管理部40−2が現金受付部44を備えていてもよく、対価価値情報等の利用権限情報を入力できれば入力装置及び入力方法は、限定されない。
また、第1実施形態において、例えば、利用者がチェックインした時に利用者の希望を受け、ネットワーク管理装置50の通信制限情報書き換え部511が通信制限情報の書き換えを行い、その設定のもとで利用者がバルクヘッドPC10を利用してもよい。
【0055】
第1実施形態において、ネットワーク管理装置50等の各部屋のクライアント端末部20へアクセス可能な一のコンピュータがクライアント端末部20の初期化プログラム及び初期化データを記憶していてもよい。記憶する場所を集約することによって管理が容易となるとともに、各クライアント端末部20の初期下のための初期化プログラム及び初期化データが同一である場合には、記憶に必要なメモリ領域の容量を減少させることが可能である。
【0056】
【発明の効果】
以上詳しく説明したように、本発明によれば、以下のような効果を得ることが可能となった。
(1)利用者が操作するクライアント端末へのネットワークを介した通信、及び、クライアント端末からのネットワークを介した通信を通信制限情報に基づいて制限する第1の通信制限手段を備えることによって、他のコンピュータからクライアント端末への不正アクセス、ハッキングだけでなく、クライアント端末から他のコンピュータへの不正アクセス、ハッキング等を防止し、セキュリティ性を向上する。
(2)利用権限情報又は対価価値情報に基づいて通信制限情報を書き換え、この通信制限情報に基づいて通信を制限し、利用者が利用者制限情報の入力又は対価の支払い後にその情報又は対価に見合った分だけ利用することによって、対価の支払い等を気にせずに利用できる利用環境を実現する。
(3)対価価値情報に基づいて通信制限情報を書き換える通信制限情報書き換え手段を備えることによって、利用者から利用に見合った対価を受け付け、利用者の利便性の向上を図る。
(4)クライアント管理装置は、利用者が操作するクライアント端末とは、別個独立して、通信の制限を行うことによって、利用者のクライアント管理装置へのアクセスを制限し、セキュリティ性を向上する。
(5)第1のインターフェイスから入力する情報に含まれる送信元識別情報がクライアント端末を示すものでない場合に通信を制限することによって、利用者の送信元詐称による不正アクセス、ハッキング等をより効果的に防止する。
(6)クライアント端末の通信を制限するという同様の処理を行うことによって、利用権限情報又は対価価値情報に応じて通信を制限、つまり、対価に応じたクライアント端末からの通信を可能とするとともに、他のコンピュータからクライアント端末への不正アクセス、ハッキング等を防止するという二つの効果を簡易に実現し、製造コストの低減、処理の迅速化を図る。
(7)ネットワーク管理装置が通信制御情報書き換え部を備えることによって、例えば、チェックイン時に同一グループの複数の宿泊客が利用する部屋に設置されているクライアント端末間の通信を制限しない等、容易に通信制限情報を書き換え、利便性を向上する。
(8)クライアント端末からのアクセスを制限する等、ネットワーク管理装置へのアクセスを制限する第2の通信制限手段を備えることによって、セキュリティ性を向上する。
(9)第1の通信制限手段及び/又は第2の通信制限手段、及び、第3の通信制限手段を一のセグメントに接続し、公開サーバを備えることによって、DMZを形成し、セキュリティ性を向上するとともに、各セグメントに接続されているコンピュータの役割に応じて通信を制限することによって、効果的に利便性の向上及びセキュリティ性の向上を図る。
【図面の簡単な説明】
【図1】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態を示すブロック図である。
【図2】本発明によるクライアント管理装置及びクライアントの第1実施形態を示す外観図である。
【図3】本発明によるクライアント管理装置及びクライアントの第1実施形態を示すブロック図である。
【図4】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における通信制限について説明するための図である。
【図5】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における動作を示すフローチャートである。
【図6】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における具体例を示す図である。
【図7】VoX1を説明するための図である。
【図8】本発明によるクライアント管理装置及びクライアントの第2実施形態を示すブロック図である。
【図9】本発明によるクライアント管理装置及びクライアントの変形形態を示す外観図である。
【符号の説明】
1 ネットワークシステム
2,3,4 ハブ
5 外部ネットワーク
10 バルクヘッドPC
10−2 公衆PC
20 クライアント端末部
40,40−2 クライアント管理部
41 CPU
42 記憶部
44 現金受付部
44−2 リーダライタ
45 第1ネットワークIF
46 第2ネットワークIF
50 ネットワーク管理装置
61 公開サーバ
71,72,73 ファイアウォールサーバ
411 通信制限部
412,511 通信制限情報書き換え部
【発明の属する技術分野】
本発明は、利用者が操作するクライアント端末を管理するクライアント管理装置、クライアント端末及びクライアント管理装置を備えるクライアント、及び、複数のクライアントが接続されているネットワークシステムに関するものである。
【0002】
【従来の技術】
従来、ホテル、インターネットカフェ、企業等では、客等の不特定の者が使用できる複数のクライアントが設置されている。複数のクライアントは、LAN(ローカルエリアネットワーク)等に接続され、ハブ、ファイアウォールサーバ、ルータ等を介してインターネット等の外部ネットワークに接続されている(例えば、特許文献1参照。)。なお、クライアントとは、通信回線を介して、他のコンピュータ(サーバ)に対して要求を行うことによって、サーバが提供する、webブラウザで閲覧可能なコンテンツ提供サービス、共有ファイルサービス、データベースサービス等のサービスを受けることができるコンピュータである。
【0003】
ファイアウォールサーバは、通信回線を介した通信を制御する2つのネットワークインターフェイス(以下、「ネットワークインターフェイス」を「ネットワークIF」という。)を備え、いずれのネットワークIFから、ネットワーク上で通信されるひとまとまりのデータであるパケットを受信するかによって、通信の方向を示す通信方向情報を入力する。パケットは、ヘッダ及びデータを含み、ネットワークプロトコルの各階層におけるパケットのヘッダ部分には、送信先及び送信元のコンピュータを識別する送信先識別情報(送信先MACアドレス、送信先IPアドレス)及び送信元識別情報(送信元MACアドレス、送信元IPアドレス)、HTTP、HTTPS、FTP等の通信プロトコルを識別する通信プロトコル識別情報(送信元及び送信先ポート番号)等の情報が含まれている。ファイアウォールサーバは、ネットワークI/Fから入力した各パケットについて、通信方向情報及びパケットに含まれるこれらの情報をチェックし、所定の条件を満たすか否かを判定し、肯と判定した場合に通過させ、否の場合には、パケットを排除し、通信を遮断することによって、ネットワーク間の通信を制限するフィルタリング機能等の外部ネットワークからLAN等の内部ネットワークへの不正アクセスやハッキング等を防止する諸機能を備え、様々なセキュリティサービスを提供するサーバである。
【0004】
ファイアウォールサーバは、代理アクセス等を行うプロキシ機能、プライベートアドレスのグローバルアドレスへの変換等を行うIPアドレス変換機能、パケットの監視及び不正パケットの排除等を行うIPフィルタリング機能、アプリケーションレベルゲートウェイでのアクセス制御等を行う認証及びアクセス制限機能、トランスポートレベルでのポートアクセスの制御等を行うポート管理機能、電子メールの内容監視等を行う電子メールフィルタリング機能、通過データ、アクセスログ、通過パケット等の通信履歴の記憶を行う通信履歴記憶機能、データの送受信管理、不正アクセス及びハッキングの監視、管理者への通知等を行う運用監視機能等の諸機能を備えている。
なお、ファイアウォールサーバは、アクセス単位(要求及び応答単位)で通信を制限する。例えば、ファイアウォールサーバは、外部ネットワークに接続されている外部情報処理装置から内部ネットワークに接続されている内部情報処理装置へ送信される、データ送信を要求するパケットを排除せずに通過させた場合には、内部情報処理装置から外部情報処理装置へ送信される応答のデータを含む複数のパケットも通過させる。アクセスとは、対象となる情報処理装置へ情報の書き込み及び書き換え、情報の読み出し等を行うためにその旨の要求をこの情報処理装置へ送信し、その処理結果(応答)を受信する一連の処理である。
【0005】
しかし、外部ネットワークとの間にファイアウォールサーバを備えていても、例えば、ホテルの一室に設置されているクライアントから他の部屋に設置されているクライアントへ不正アクセスを行う等、LAN内部からの不正アクセスが容易であり、セキュリティ性に欠けるという問題があった。
この問題を解決するため、クライアントへのアクセス権限についてID、パスワードをそれぞれのクライアントに設定する方法がある。また、個々のクライアントにファイアウォール等のソフトウェアを搭載し、装置外部からのアクセスを制限するという方法がある。
【0006】
【特許文献1】
特開2002−149613号(第3頁、図1)
【0007】
【発明が解決しようとする課題】
しかし、クライアントにおいて、ID、パスワードを設定した場合には、LAN内部であれば認証パケットを盗聴する、OS内のパスワードファイルやアクセス管理ファイルを解析する等、パスワードを比較的容易に盗み出すことができ、やはり、セキュリティ性に欠けるという問題があった。
また、ファイアウォール等のアクセス制限用ソフトウェアをクライアントコンピュータに搭載した場合には、このクライアントコンピュータの利用者が設定を変更することができ、無力化されるおそれがあった。また、このアクセス制限用ソフトウェアの設定権限についてID、パスワードを設定した場合であっても、上記のようにセキュリティ性に欠け、同様の結果を招くおそれがあった。更に、このシステムを管理するシステム管理装置に外部からの不正アクセスを通知する等、セキュリティ上の問題が発生した場合の通知に関する設定を行っても、同様に設定を変更されるおそれがあった。
【0008】
本発明の課題は、セキュリティ性の向上を図ることが可能なクライアント管理装置、クライアント及びネットワークシステムを提供することである。
【0009】
【課題を解決するための手段】
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。すなわち、請求項1の発明は、利用者が操作するクライアント端末(20)が接続される第1のインターフェイス(45)と、ネットワーク(2,3,4)に接続される第2のインターフェイス(46)と、利用する権限を示す利用権限情報を入力する利用権限情報入力手段(44、44−2)と、通信制限情報を記憶する通信制限情報記憶手段(42)と、前記利用権限情報入力手段によって入力された利用権限情報に基づいて前記通信制限情報記憶手段に記憶されている通信制限情報を書き換える通信制限情報書き換え手段(412)と、前記通信制限情報記憶手段に記憶されている通信制限情報に基づいて、前記ネットワークを介した、前記第1のインターフェイスに接続されるクライアント端末への通信、及び、前記クライアント端末からの前記ネットワークを介した通信を制限する第1の通信制限手段(411)とを備えるクライアント管理装置(40、40−2、40−3)である。
【0010】
請求項2の発明は、請求項1に記載のクライアント管理装置において、前記利用権限情報入力手段は、利用のために利用者から受け付ける対価の価値を示す対価価値情報を入力する対価価値情報入力手段であり、前記通信制限情報書き換え手段は、前記対価価値情報入力手段によって入力される対価価値情報に基づいて前記通信制限情報の書き換えを行うこと、を特徴とするクライアント管理装置(40、40−2、40−3)である。
【0011】
請求項3の発明は、請求項1又は請求項2に記載のクライアント管理装置において、前記第1の通信制限手段は、前記第1のインターフェイスにクライアント端末が接続され、前記第1のインターフェイスから入力する情報に含まれる送信元識別情報がこのクライアント端末を示すものでない場合に通信を制限すること、を特徴とするクライアント管理装置(40、40−2、40−3)である。
【0012】
請求項4の発明は、請求項1から請求項3までのいずれか1項に記載のクライアント管理装置(40、40−2、40−3)と、前記クライアント管理装置の第1のインターフェイスに接続されているクライアント端末(20)とを備えるクライアント(10、10−2)である。
【0013】
請求項5の発明は、複数の請求項4に記載のクライアント(10、10−2)と、前記ネットワークに接続され、前記複数のクライアントを管理するネットワーク管理装置(50)とを備えるネットワークシステム(1)であって、
前記ネットワーク管理装置は、前記クライアント管理装置の通信制限情報記憶手段によって記憶されている通信制限情報を書き換える通信制限情報書き換え手段(511)を備えること、を特徴とするネットワークシステム(1)である。
【0014】
請求項6の発明は、請求項5に記載のネットワークシステムにおいて、前記ネットワーク管理装置及び前記ネットワーク間に、前記ネットワークを介した前記ネットワーク管理装置への通信を制限する第2の通信制限手段(72)を備えること、を特徴とするネットワークシステム(1)である。
【0015】
請求項7の発明は、請求項6に記載のネットワークシステムにおいて、外部ネットワーク(5)からの通信を制限する第3の通信制限手段(71)と、公開サーバ(61)とを備え、前記第1の通信制限手段及び/又は前記第2の通信制限手段、前記第3の通信制限手段、及び、前記公開サーバは、前記ネットワークの一のセグメント(2)に接続されていること、を特徴とするネットワークシステム(1)である。
【0016】
【発明の実施の形態】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
(第1実施形態)
図1は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態を示すブロック図である。第1実施形態におけるクライアント管理装置、クライアント及びネットワークシステムは、クライアント管理部40、バルクヘッドPC10及びネットワークシステム1である。
図1に示すように、ネットワークシステム1は、ホテルに設けられており、複数のコンピュータが有線又は無線の通信回線によって互いに接続されているLANであって、図示しないインターネットサービスプロバイダ、ルータ等を介してインターネット等の外部ネットワーク5に接続されている。ネットワーク管理システム1は、第1、第2及び第3のセグメントの3つのセグメントを形成するハブ2,3,4と、外部ネットワーク5及び第1のセグメント(ハブ2)間、第1(ハブ2)及び第2のセグメント(ハブ3)間、及び、第1(ハブ2)及び第3のセグメント(ハブ4)間にそれぞれファイアウォールサーバ71,72,73と、第1、第2又は第3のセグメントに接続されているバルクヘッドPC10等の各種コンピュータとを備えている。以下、各セグメントに分けて説明する。
【0017】
ファイアウォールサーバ71,72,73は、プロキシ機能、IPアドレス変換機能、IPフィルタリング機能、認証及びアクセス制限機能、ポート管理機能、電子メールフィルタリング機能、通信履歴記憶機能、運用監視機能等を備え、通信制限情報を記憶している。
通信制限情報は、ファイアウォールサーバ71,72,73を通過させるパケットについての通信方向情報及びパケットに含まれる各情報の条件を示す情報である。ファイアウォールサーバ71,72,73は、ネットワークI/Fから入力したパケットが記憶している通信制限情報の示す条件を満たすか否かを判定し、肯と判定した場合に通過させ、否の場合には、パケットを排除し、通信を遮断することによって、ネットワーク間の通信を制限する。なお、通信制限の詳細については、図4を用いて後述する。
【0018】
ハブ2で構成される第1のセグメントは、DMZ(Demilitarized Zone;非武装地帯)を形成する。DMZは、ファイアウォール等のネットワークを介した通信を制限する通信制限手段で囲まれ、外部ネットワーク5及び内部ネットワーク(第2及び第3のセグメント)からの不正なアクセスから保護されるとともに、外部ネットワーク5からの不正アクセスによる、内部ネットワークへの被害の拡散を防止するセグメントである。なお、セキュリティ性の向上のためにも、DMZを形成する3つのファイアウォールサーバ71,72,73は、別製品であることが望ましい。DMZのセグメントであるハブ2には、webサーバ、メールサーバ、FTPサーバ等の外部ネットワークに公開するための公開サーバ61、クライアント端末部20にビデオデータを送信するためのビデオオンデマンドサーバ(VOD)62、管理ネットワークのPC54等がアクセス可能な共有ファイルを記憶するファイルサーバ63等が接続されている。
【0019】
ハブ3で構成される第2のセグメントには、ネットワーク管理装置50、このネットワーク管理装置50にデータを供給するデータベースサーバ52、プリンタ53、ホテルの従業員が個々に使用するパーソナルコンピュータ54等が接続され、管理ネットワークを形成している。ネットワーク管理装置50は、パーソナルコンピュータ等、コンピュータ本体、ディスプレイ、キーボード、マウス等のハードウェアを備えるパーソナルコンピュータ等の汎用コンピュータで構築することができる。ネットワーク管理装置50は、クライアント管理部40を制御するクライアント管理制御部51等を備えている。
クライアント管理制御部51は、所定の通信制限情報書き換え要求をクライアント管理部40へ送信することによって、記憶部42に記憶されている通信制限情報を書き換える通信制限情報書き換え部511、所定の初期化要求をクライアント管理部40へ送信することによって、クライアント端末部20の初期化を行う初期化部512等を備えている。
【0020】
データベースサーバ52は、各部屋に設置されているバルクヘッドPC10−(1),10−(2),・・・,10−(n)(以下、「バルクヘッドPC10−(1),10−(2),・・・,10−(n)」を総称して「バルクヘッドPC10」という。)毎の利用の履歴を示す利用履歴情報、この利用に対して受け付けた現金の額である受付現金額等、バルクヘッドPC10の利用についての情報を格納している。ネットワーク管理装置50は、この情報をプリンタ53から出力することによって、領収書を発行することが可能である。また、データベースサーバ52は、ファイアウォールサーバ71,72,73、クライアント管理部40を通過した通信又はファイアウォールサーバ71,72,73等によって遮断された通信の履歴であって、ファイアウォールサーバ71,72,73等から受信した通信履歴を格納している。
【0021】
ハブ4で構成される第3のセグメントには、客室にそれぞれ設置されている複数のバルクヘッドPC10が接続され、利用者ネットワークを形成している。
図2及び図3は、本発明によるクライアント管理装置及びクライアントの第1実施形態を示す外観図及びブロック図である。
図2に示すように、バルクヘッドPC10は、本体10Aと、本体10Aに接続されているディスプレイ26、キーボード27、マウス28、通話機29等を備え、ホテルの各部屋に1台ずつ設置されている。また、図3に示すように、バルクヘッドPC10は、互いにネットワークIF25,35で接続されているクライアント端末部20及びクライアント管理部40を備えている。クライアント端末部20及びクライアント管理部40は、それぞれがCPU21,31、記憶部22,32、ネットワークIF25,45,46等を備え、それぞれが個々に処理を行うコンピュータである。
【0022】
クライアント端末部20は、ホテルの利用者等の不特定の者が書面作成等の情報処理、インターネット、電子メール、ビデオ鑑賞、TV鑑賞、IP電話等のために利用することができるコンピュータであって、クライアント管理部40を介してハブ4に接続されている。クライアント端末部20は、バス30に接続されているCPU21、記憶部22及びI/Oインターフェイス23と、I/Oインターフェイス23に接続されている、CD、DVD等のリムーバルディスクと情報の入出力を行うディスクドライブ24、ネットワークIF25、ディスプレイ26、利用者の要求を入力するキーボード27及びマウス28、通話機29等とを備えている。
【0023】
CPU21は、記憶部22に記憶されているプログラムを実行することによって、クライアント端末部20を統括制御する中央処理装置であるとともに、キーボード27、マウス28等から入力する情報に応じて記憶部22に記憶されているプログラムを実行し、利用者の要求に応じた処理を行う。また、CPU21は、ネットワーク管理装置50又はクライアント管理部40から受信する要求に応じた処理を行う。
記憶部22は、RAM等の揮発性メモリ、読み出し専用メモリ、書換可能な不揮発性メモリ等を備え、CPU21が実行するための種々のプログラム、プログラムの実行に必要なデータを記憶している。
ディスクドライブ24は、フレキシブルディスク、CD、DVD等のリムーバルディスクから情報の読み出し及び情報の書き込みを行う入出力装置である。なお、リムーバルディスクからのブートはできない。
通話機29は、マイク、スピーカー等を有し、音声データの入出力を行う音声入出力装置であって、ネットワークを介した音声通話を実現するIP電話に用いられる通話機である。
【0024】
クライアント管理部40は、クライアント端末部20を管理するコンピュータであって、バス47に接続されているCPU41、記憶部42及びI/Oインターフェイス43等と、I/Oインターフェイス43に接続されている、現金受付部44、第1及び第2のネットワークIF45,46等とを備えている。第1ネットワークIF45は、クライアント端末部20、第2ネットワークIF46は、ハブ4に接続されている。なお、クライアント管理部40は、利用者からバルクヘッドPC10の利用に対する対価を現金受付部44から受け付けるが、キーボード、マウス等の利用者の要求を入力する入力装置及びディスプレイ等の利用者へ情報の内容を通知する出力装置を備えず、利用者が操作する、処理内容を知ることはできない。
【0025】
CPU41は、記憶部42に記憶されているプログラムを実行することによって、通信制限部411、通信制限情報書き換え部412、初期化部413等を実現する。また、CPU41は、ネットワーク管理装置50から受信した要求に応じた処理を行う。
通信制限部411は、第3のセグメントを介した、他のコンピュータからクライアント端末部20へのアクセス及びクライアント端末部20から他のコンピュータへのアクセス、つまり、クライアント端末部20の第3のセグメントを介した通信を制限する通信制限手段であって、プロキシ機能、IPアドレス変換機能、IPフィルタリング機能、認証及びアクセス制限機能、ポート管理機能、電子メールフィルタリング機能、通信履歴記憶機能、運用監視機能等、ファイアウォールサーバ71,72,73と同様の機能を備えている。通信制限についての詳細については、図4を用いて後述する。
【0026】
通信制限情報書き換え部412は、現金受付部44から受付金額を入力した場合、又は、ネットワーク管理装置50から通信制限情報書き換え要求を受信した場合に、受付金額に基づいて通信制限情報を書き換える通信情報書き換え処理を行う。
初期化部413は、ネットワーク管理装置50から初期化要求を受信した場合に、記憶部42に記憶されている初期化プログラム及び初期化データ等をクライアント端末部20へ送信し、クライアント端末部20の設定を利用者の操作前の状態に戻す初期化処理を行う。
【0027】
記憶部42は、CPU41が実行するための種々のプログラム、プログラムの実行に必要なデータを記憶している。また、記憶部42は、通信制限情報及び通信履歴情報と、及びクライアント端末部20の設定を初期化するための初期化プログラム及び初期化データとを記憶している。通信制限情報のデフォルトは、通信制限部411がクライアント端末部20からのアクセスを全て遮断するように設定されている。通信履歴情報は、クライアント端末部20が第3のセグメントを介して行った通信、及び、通信制限部411が遮断した通信の履歴を示す情報である。
【0028】
現金受付部44は、利用者が唯一情報をクライアント管理部40へ入力可能な入力装置であって、現金投入口44aから利用者が投入した紙幣、貨幣等の現金を受け付け、CPU41が算出するお釣りを返却口44bから返却することによって、バルクヘッドPC10の利用のための対価である現金を受け付け、この受け付けた現金の価値を示す対価価値情報である受付金額を入力する対価価値情報入力手段である。
なお、バルクヘッドPC10は、本体10Aの分解、キーボード27、マウス28、通話機29、LANケーブル等の本体10Aに接続されている接続ケーブルの取り外しには、特殊な工具が必要であって、通常の工具では、分解等ができないように構築されている。
【0029】
図4は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における通信制限について説明するための図である。なお、矢印の方向は、アクセス要求の送信方向(通信の方向)を示している。
図4に示すように、ネットワークシステム1は、通信制限手段として、ハブ2に接続され、DMZを形成する3つのファイアウォールサーバ71,72,73と、各バルクヘッドPC10に含まれ、ハブ4に接続されているクライアント管理部40の通信制限部411とを備えている。
【0030】
ファイアウォールサーバ71は、ネットワークシステム1及び外部ネットワーク5を介した通信を制限する。ファイアウォールサーバ71は、ネットワークシステム1及び外部ネットワーク5にそれぞれ接続されている2つのネットワークI/Fから入力するパケットをチェックし、外部ネットワーク5からネットワークシステム1方向のアクセスについては、送信先が公開サーバであって、HTTP、SMTP、DNS等の所定の通信プロトコルである場合に通過させ、ネットワークシステム1から外部ネットワーク5方向については、管理装置50又はクライアント端末部50からのアクセス、及び、送信元が公開サーバ61からの通信プロトコルがSMTP、DNSであるアクセスを通過させ、他のアクセスを遮断する。
【0031】
ファイアウォールサーバ72は、第1及び第2のセグメントを介した通信を制限する。ファイアウォールサーバ72は、第1のセグメントから第2のセグメントへのアクセスを全て遮断し、第2のセグメントから第1のセグメントへのアクセスを通過させる。
ファイアウォールサーバ73は、第1及び第2のセグメントを介した通信を制限する。ファイアウォールサーバ73は、第1のセグメントから第3のセグメント方向については、管理装置50からのアクセスを通過させ、第3のセグメントから第1のセグメント方向については、外部ネットワーク5方向、又は、VODサーバ62、ファイルサーバ63へのアクセスを通過させ、他のアクセスを遮断する。
なお、ファイアウォールサーバ71,72,73への通信回線を介したアクセスは、ネットワーク管理装置50のみが可能である。
【0032】
通信制限部411は、クライアント端末部20の通信を制限する。通信制限部411は、外部ネットワーク5、公開サーバ61等又は管理装置50等からクライアント端末部20方向については、管理装置50からのアクセスを通過させ、他のアクセスを遮断する。1号室に設置されているクライアント10−(1)の通信制限部411−(1)及び2号室に設置されているクライアント10−(2)の通信制限部411−(2)は、原則として、クライアント端末部20−(1)及びクライアント端末部20−(2)間の通信をすべて遮断する。但し、1号室の客が許可した場合等非アクセス側の利用者の許可を得た場合には、管理装置50は、1号室及び2号室のクライアント管理部40−(1),40−(2)の記憶部に記憶されている通信制限情報を書き換え、通信制限部411−(1),411−(2)は、クライアント端末部20−(2)からクライアント端末部20−(1)へのアクセスを通過させる。なお、他のクライアント端末部20間のアクセスについても同様である。
【0033】
また、通信制限部411は、クライアント端末部20からネットワーク管理装置50等へのアクセスを遮断し、クライアント端末部20から他のコンピュータへのアクセスについては、受付金額に応じて書き換えられる通信制限情報に基づいて制限を行う。通信制限部411は、クライアント端末部20から送信されるパケットについては、送信元識別情報がこのクライアント端末部20を示す送信識別情報を含むもののみを通過させる。
【0034】
図5は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における動作を示すフローチャートである。以下、利用者がバルクヘッドPC10を利用してビデオを見る場合に、クライアント端末部20及びクライアント管理部40が行う処理について説明する。
ステップ100(以下、「ステップ」を「S」という。)において、クライアント端末部20及びクライアント管理部40は、電源がONの状態にあり、クライアント端末部20は、ディスプレイ26に利用者が利用したいサービスの種類(Eメール、ホームページ閲覧、ビデオ鑑賞、IP電話等)の選択を要求する旨を表示している。利用者は、キーボード27、マウス28等によって利用したいサービスであるビデオ鑑賞を選択し、クライアント端末部20は、ビデオ鑑賞のサービスを種別するサービス種別情報を入力し(S110)、ビデオ鑑賞のサービスに応じた対価である現金の投入を要求する旨をディスプレイ26に表示する(S120)。利用者は、現金を現金投入口44aへ投入し、現金受付部44は、投入金額を入力し(S310)、クライアント管理部40は、処理を開始する。
【0035】
クライアント管理部40は、クライアント端末部20へ要求することによって、サービス種別情報を受信し、CPU41は、このサービス種別情報に基づいておつりの額を算出し、現金受付部44は、返却口44bからおつりを返却することによって、精算を行い、受付現金額を入力する(S320)。精算後に、通信制限情報書き換え部412は、クライアント端末部20から受信したサービス種別情報が示すサービスをクライアント端末部20が利用者に提供可能なように、つまり、利用者から受け付けた現金額に応じて、記憶部42に記憶されている通信制限情報のデフォルトを書き換える(S330)。具体的には、通信制限情報書き換え部412は、サービス種別情報がビデオ鑑賞を示しているため、クライアント端末部20から第1ネットワークIF45から入力したパケットの送信元識別情報がクライアント端末部20を示し、送信先識別情報がVODサーバ62を示し、かつ、要求内容がビデオデータの読み出しである等、所定の要求である場合には、このパケットをそのまま第2ネットワークIF46から出力し、クライアント管理部40を通過させるように通信制限情報を書き換える。
【0036】
S340において、クライアント管理部40は、精算及び通信制限情報の書き換えが終了した旨をクライアント端末部20に通知し、この通知を受信したクライアント端末部20は、鑑賞する映画の選択を要求する等、サービス内容についての選択を利用者に要求する旨をディスプレイ26に表示する(S140,S150)。利用者は、キーボード27、マウス28等によって鑑賞したい映画を選択し、クライアント端末部20は、利用者がクライアント端末部20に実行を要求する処理を識別する実行要求処理識別情報を入力する(S160)。クライアント端末部20は、この入力に応じて処理を行い、利用者が選択した映画のビデオデータの読み出しを要求する旨のアクセス要求をVODサーバ62へ送信する(S170)。クライアント管理部40は、このアクセス要求のパケットを次々に第1ネットワークIF45から入力し(S350)、通信制限部411は、通信制限情報を参照してこれらのパケットが通信制限情報の条件を満たすものであることを確認して通過させ(S360,S370)、通信履歴を記憶部42に書き込む(S380)。
【0037】
S390において、クライアント管理部40は、VODサーバ62がクライアント端末部20へ送信したパケットを受信し、通信制限部411は、このパケットがS370において通過させたアクセス要求に対する応答であるため、そのまま通過させ、通信履歴を記憶部42に書き込み(S400)、クライアント管理部40は、現金が投入されるまで、又は、アクセス要求を受信するまで待機状態となり、その後同様の処理を繰り返す(S350からS410まで又はS310からS410まで)。クライアント端末部20は、アクセス要求の正常な応答を受信し(S180,S190)、映画鑑賞のサービスが終了するまで同様の処理を繰り返す(S170からS200まで)。クライアント端末部20は、VODサーバ62から終了通知を受信した場合、又は、利用者から新たに別のサービス種別情報若しくは終了要求の入力した場合には、処理を終了する(S200,S210)。
【0038】
なお、S370において、例えば、クライアント端末部20から他のバルクヘッドPC10のクライアント端末部20へ送信されたアクセス要求をネットワークIF45から入力した場合等、アクセス要求が通信制限情報の条件を満たさない場合又は送信元識別情報がクライアント端末部20を示すものでない場合には、通信制限部411は、このアクセス要求のパケットを排除して通信を遮断し、クライアント管理部40は、その旨を示すエラーをクライアント端末部20へ送信し(S430)、同様の処理を繰り返す(S350,S360)。
【0039】
図6は、本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における具体例を示す図である。
図6に示すように、ネットワークシステム1における第1のセグメントであるハブ2と、ハブ2に接続されている公開サーバ61、VODサーバ62、ファイルサーバ63及びファイアウォールサーバ72,73とをデジタル・ボックス株式会社製の製品であるVoX1を利用して構築することができる。
【0040】
図7は、VoX1を説明するための図である。図7(a)は、VoX1(8)の上部カバー84を取り外した状態であって、CPUボード及び電源ボードを格納していない状態を示し、図7(b)は、水平方向の概略断面図である。
図7に示すように、VoX1(8)は、前面にCPUボードCBを抜き差しするための第1開口部81fと、その内側に20枚のCPUボードCBを鉛直に格納する20個のCPUボードスロット80fが設けられている第1格納部8fと、第1格納部8fの最深面にCPUボードスロット80fに格納される複数のCPUボードCBが接続されるセグメントであって、ハブ2として機能する第1バックプレーン82fと、上面に上部カバー84と上部カバーの内側に冷却用ファン85とを備えている。ネットワークシステム1のVoX1(8)には、CPUボードスロット80fに、それぞれ公開サーバ61、VODサーバ62、ファイルサーバ63、ファイアウォールサーバ71,72,73等として機能する複数のCPUボードCBが格納される。
【0041】
また、VoX1(8)は、背面に電源ボードPBを抜き差しするための第2開口部81bと、その内側に8枚の電源ボードPBを鉛直に格納する8個の電源ボードスロット80bが設けられている第2格納部8bとを備え、第2格納部8bの最深面に第2バックプレーン82bを備えている。電源ボードスロット80bに格納されている電源ボードPBは、第2格納部8bの最深面に設けられている第2バックプレーン82b及びケーブル83を介してCPUボードスロット80fに格納されているCPUボードCBに電源を供給する。VoX1(8)のサイズは、高さ約17.78cm(=4U)、幅約48.26cm(=19インチ)である。
なお、CPUボードスロット80fには、最大20枚のCPUボードCBを格納することができるため、ファイアウォールサーバを増やして、ハブを接続して他のセグメントを増やす、他のサーバを増やすことも可能である。
【0042】
このように、第1実施形態によれば、バルクヘッドPC10は、利用者が操作するクライアント端末部20と、クライアント端末部20の通信を制限するクライアント管理部40とを備えるため、ネットワークシステム1内外の他のコンピュータによるクライアント端末部20への不正アクセス、ハッキングだけでなく、クライアント端末部20から他のコンピュータへの不正アクセス、ハッキング等を防止し、セキュリティ性を向上することが可能となった。
また、クライアント管理部20及びクライアント端末部20は、それぞれ個々に処理を行い、利用者は、クライアント端末部20からクライアント管理部40へアクセスできず、クライアント管理部20を操作できず、バルクヘッドPC10を分解することもできないため、セキュリティ性をより一層向上することが可能となった。
【0043】
更に、通信制限部411は、第1ネットワークIF45から入力したパケットに含まれる送信元識別情報に基づいてクライアント端末部20の通信を制限するため、クライアント端末部20の利用者の送信元詐称による不正アクセス、ハッキング等をより効果的に防止することが可能となった。
更にまた、受付現金額に基づいて通信制限情報を書き換える通信制限情報書き換え部411を備えるため、利用者は、クライアント端末部20が提供するサービスのうち、利用したいサービスに見合った対価だけを支払うことができ、利便性の向上を図ることが可能となった。また、利用者は、利用の前に対価を支払うため、利用後にその時間に応じて対価を支払う場合に比べて、支払い額を気にせず利用でき、利用環境を向上することが可能となった。
【0044】
更にまた、クライアント管理部40は、利用者から受け付ける対価の価値に応じて利用の制限、つまり、対価に応じた利用を提供する機能と、他のコンピュータからクライアント端末部20への不正アクセス、ハッキング等を防止する機能との二つの機能を通信制限部411がクライアント端末部20の通信制限をするという同様の処理内容によって実現するため、簡易にこの二つの機能を同時に実現することが可能であって、製造コストの低減、処理の迅速化を図ることが可能となった。
また、バルクヘッドPC10は、クライアント管理部40の記憶部42に初期化プログラム及び初期化データを記憶し、クライアント管理部40に初期化部413を備えるため、利用者がクライアント端末部20の記憶部22に記憶されている情報の書き換え等を行った場合であっても容易に初期化を行うことが可能となった。更に、同様にネットワーク管理装置50は、初期化部512を備えるため、より一層容易に初期化を行うことが可能となった。
【0045】
更にまた、ネットワーク管理装置50は、通信制御情報書き換え部511を備えるため、例えば、チェックイン時に同一グループの複数の宿泊客が利用する部屋に設置されているクライアント端末部20間の通信を制限しない等、容易に通信制限情報を書き換えることができ、利便性の向上を図ることが可能となった。また、ネットワークシステム1は、外部ネットワーク5及び公開サーバ61が接続されている第1のセグメント間、第1のセグメント及び管理装置50等が接続されている第2のセグメント間、第2のセグメント及びバルクヘッドPC10が接続されている第3のセグメント間にそれぞれファイアウォールサーバ71,72,73を備えるため、各セグメントに接続されているコンピュータの役割に応じて通信を制限することによって、効果的に利便性の向上及びセキュリティ性の向上を図ることが可能となった。
更にまた、VoX1(8)を利用した場合には、複数のサーバをコンパクトに1台の装置に集約するため、ネットワークシステム1の構築及び管理の容易化、省スペースを図ることが可能となった。
【0046】
(第2実施形態)
図8は、本発明によるクライアント管理装置及びクライアントの第2実施形態を示すブロック図である。第2実施形態におけるクライアント管理装置及びクライアントは、クライアント管理部40−2及び公衆PC10−2である。
なお、前述した第1実施形態と同様の機能を果たす部分には、同一の符号を付して、重複する説明を適宜省略する。
図8に示すように、公衆PC10−2は、病院のフロント、駅、街頭、公衆PC用BOX等、公衆電話と同様の場所に設置され、公衆電話のように不特定の者が利用可能な、第1実施形態のバルクヘッドPC10と略同様の構成を有するコンピュータであって、電話回線、光ケーブルその他の有線、又は、赤外線その他の無線の通信回線5−2を介して、公衆PC10−2を管理するネットワーク管理装置(図示しない)等に接続され、ネットワークを構成している。
【0047】
公衆PC10−2は、クライアント端末部20と、リーダライタ44−2を有するクライアント管理部40−2とを備えている。
リーダライタ44−2は、IDカード、クレジットカード、キャッシュカード、デビットカード、プリペイドカード等の接触型ICカード、非接触型ICカード、磁気カード等のカードから、ID番号、クレジット番号、口座番号等の識別番号、残金等のカードに記憶されているカード情報を受信し、利用者の認証のためにパスワード等の利用者認証情報、カード情報を書き換えるための書き換え要求等をカードへ送信するカードIFであって、利用権限情報を入力する利用権限情報入力手段である。
【0048】
例えば、利用者が身体障害者カード、社員カード、顧客カード等の属性識別情報を記憶するカードを使用して公衆PC10−2を利用する場合には、リーダライタ44−2は、挿入されたこのカードから利用権限情報となる属性識別情報を読み取り、通信制限情報書き換え部413は、利用者がクライアント端末部20から属性識別情報に応じたサービスを受けられるように記憶部42に記憶されている通信制限情報を書き換える。
一方、クレジットカード、キャッシュカード、デビットカード、プリペイドカード等、公衆PC10−2の利用のための対価について精算可能なカードであれば、第1実施形態と同様に、リーダライタ44−2は、利用残量情報を書き換える等、精算を行って、利用権限情報を入力し、通信制限情報書き換え部413は、通信情報の書き換えを行う。
【0049】
このように、第2実施形態によれば、公衆PC10−2は、公衆電話と同様に設置され、カードから利用権限情報を入力するリーダライタ44−2を備えるため、第1実施形態と同様の効果に加え、利用者の利便性を一層向上することが可能となった。
【0050】
(変形形態)
以上説明した実施形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。例えば、各実施形態において、通信制限部411は、受付現金額、利用権限情報に応じてクライアント端末部20から外部ネットワーク5,5−2を介したwebサーバへのアクセス、つまり、利用者が閲覧できるホームページを制限してもよい。通信制限部411が通信を制限する方法、バルクヘッドPC10又は公衆PC10−2の利用の対価及び通信制限情報の関連づけは、限定されず、ネットワークシステム1の管理者が任意に選択、設定することが可能である。
【0051】
図9は、本発明によるクライアント管理装置及びクライアントの変形形態を示す外観図である。
各実施形態において、バルクヘッドPC10又は公衆PC10−2は、クライアント管理部40,40−2及びクライアント端末部20を備えるが、クライアント管理部40,40−2と同様の機能を備えるクライアント管理装置40−3及びクライアント管理装置40−3とケーブル6で接続される、一般的なパーソナルコンピュータであるクライアント端末20−3とを備えていてもよい。クライアント管理装置40−3は、I/Oインターフェイス43に接続された通話機49を備えている。ホテル等にクライアント管理装置40−3を設置しておくことによって、利用者が持ち込むパーソナルコンピュータを使用する場合であっても各実施形態と同様の効果を得ることが可能である。
【0052】
各実施形態において、バルクヘッドPC10又は公衆PC10−2のクライアント管理部40,40−2,40−3は、クライアント端末部20,20−3が利用者にサービスを提供している時間を計測するタイマーを備え、通信制限部411は、受け付けた対価に応じた時間等の所定の時間経過後に通信を遮断する等、時間によって通信を制限してもよい。提供できるサービスを細分化することによってより一層、利用者の利便性を向上することが可能である。
【0053】
第1実施形態において、クライアント端末部20は、TV電波を受信するためのTVアンテナ、I/OインターフェイスであるTVチューナ等のTVの画像情報及び音声情報を受信するTV部等の他のサービスを提供する機能を備えていてもよい。バルクヘッドPC10の1台で幅広いサービスを利用者に提供することができ、利用者の利便性向上、また、客室の居住スペースを確保し、居住性の向上を図ることが可能である。
【0054】
第1実施形態において、クライアント管理部40は、第2実施形態におけるリーダライタ44−2を備えていてもよく、また、クライアント管理部40−2が現金受付部44を備えていてもよく、対価価値情報等の利用権限情報を入力できれば入力装置及び入力方法は、限定されない。
また、第1実施形態において、例えば、利用者がチェックインした時に利用者の希望を受け、ネットワーク管理装置50の通信制限情報書き換え部511が通信制限情報の書き換えを行い、その設定のもとで利用者がバルクヘッドPC10を利用してもよい。
【0055】
第1実施形態において、ネットワーク管理装置50等の各部屋のクライアント端末部20へアクセス可能な一のコンピュータがクライアント端末部20の初期化プログラム及び初期化データを記憶していてもよい。記憶する場所を集約することによって管理が容易となるとともに、各クライアント端末部20の初期下のための初期化プログラム及び初期化データが同一である場合には、記憶に必要なメモリ領域の容量を減少させることが可能である。
【0056】
【発明の効果】
以上詳しく説明したように、本発明によれば、以下のような効果を得ることが可能となった。
(1)利用者が操作するクライアント端末へのネットワークを介した通信、及び、クライアント端末からのネットワークを介した通信を通信制限情報に基づいて制限する第1の通信制限手段を備えることによって、他のコンピュータからクライアント端末への不正アクセス、ハッキングだけでなく、クライアント端末から他のコンピュータへの不正アクセス、ハッキング等を防止し、セキュリティ性を向上する。
(2)利用権限情報又は対価価値情報に基づいて通信制限情報を書き換え、この通信制限情報に基づいて通信を制限し、利用者が利用者制限情報の入力又は対価の支払い後にその情報又は対価に見合った分だけ利用することによって、対価の支払い等を気にせずに利用できる利用環境を実現する。
(3)対価価値情報に基づいて通信制限情報を書き換える通信制限情報書き換え手段を備えることによって、利用者から利用に見合った対価を受け付け、利用者の利便性の向上を図る。
(4)クライアント管理装置は、利用者が操作するクライアント端末とは、別個独立して、通信の制限を行うことによって、利用者のクライアント管理装置へのアクセスを制限し、セキュリティ性を向上する。
(5)第1のインターフェイスから入力する情報に含まれる送信元識別情報がクライアント端末を示すものでない場合に通信を制限することによって、利用者の送信元詐称による不正アクセス、ハッキング等をより効果的に防止する。
(6)クライアント端末の通信を制限するという同様の処理を行うことによって、利用権限情報又は対価価値情報に応じて通信を制限、つまり、対価に応じたクライアント端末からの通信を可能とするとともに、他のコンピュータからクライアント端末への不正アクセス、ハッキング等を防止するという二つの効果を簡易に実現し、製造コストの低減、処理の迅速化を図る。
(7)ネットワーク管理装置が通信制御情報書き換え部を備えることによって、例えば、チェックイン時に同一グループの複数の宿泊客が利用する部屋に設置されているクライアント端末間の通信を制限しない等、容易に通信制限情報を書き換え、利便性を向上する。
(8)クライアント端末からのアクセスを制限する等、ネットワーク管理装置へのアクセスを制限する第2の通信制限手段を備えることによって、セキュリティ性を向上する。
(9)第1の通信制限手段及び/又は第2の通信制限手段、及び、第3の通信制限手段を一のセグメントに接続し、公開サーバを備えることによって、DMZを形成し、セキュリティ性を向上するとともに、各セグメントに接続されているコンピュータの役割に応じて通信を制限することによって、効果的に利便性の向上及びセキュリティ性の向上を図る。
【図面の簡単な説明】
【図1】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態を示すブロック図である。
【図2】本発明によるクライアント管理装置及びクライアントの第1実施形態を示す外観図である。
【図3】本発明によるクライアント管理装置及びクライアントの第1実施形態を示すブロック図である。
【図4】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における通信制限について説明するための図である。
【図5】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における動作を示すフローチャートである。
【図6】本発明によるクライアント管理装置、クライアント及びネットワークシステムの第1実施形態における具体例を示す図である。
【図7】VoX1を説明するための図である。
【図8】本発明によるクライアント管理装置及びクライアントの第2実施形態を示すブロック図である。
【図9】本発明によるクライアント管理装置及びクライアントの変形形態を示す外観図である。
【符号の説明】
1 ネットワークシステム
2,3,4 ハブ
5 外部ネットワーク
10 バルクヘッドPC
10−2 公衆PC
20 クライアント端末部
40,40−2 クライアント管理部
41 CPU
42 記憶部
44 現金受付部
44−2 リーダライタ
45 第1ネットワークIF
46 第2ネットワークIF
50 ネットワーク管理装置
61 公開サーバ
71,72,73 ファイアウォールサーバ
411 通信制限部
412,511 通信制限情報書き換え部
Claims (7)
- 利用者が操作するクライアント端末が接続される第1のインターフェイスと、
ネットワークに接続される第2のインターフェイスと、
利用する権限を示す利用権限情報を入力する利用権限情報入力手段と、
通信制限情報を記憶する通信制限情報記憶手段と、
前記利用権限情報入力手段によって入力された利用権限情報に基づいて前記通信制限情報記憶手段に記憶されている通信制限情報を書き換える通信制限情報書き換え手段と、
前記通信制限情報記憶手段に記憶されている通信制限情報に基づいて、前記ネットワークを介した、前記第1のインターフェイスに接続されるクライアント端末への通信、及び、前記クライアント端末からの前記ネットワークを介した通信を制限する第1の通信制限手段と
を備えるクライアント管理装置。 - 請求項1に記載のクライアント管理装置において、
前記利用権限情報入力手段は、利用のために利用者から受け付ける対価の価値を示す対価価値情報を入力する対価価値情報入力手段であり、
前記通信制限情報書き換え手段は、前記対価価値情報入力手段によって入力される対価価値情報に基づいて前記通信制限情報の書き換えを行うこと、
を特徴とするクライアント管理装置。 - 請求項1又は請求項2に記載のクライアント管理装置において、
前記第1の通信制限手段は、前記第1のインターフェイスにクライアント端末が接続され、前記第1のインターフェイスから入力する情報に含まれる送信元識別情報がこのクライアント端末を示すものでない場合に通信を制限すること、
を特徴とするクライアント管理装置。 - 請求項1から請求項3までのいずれか1項に記載のクライアント管理装置と、
前記クライアント管理装置の第1のインターフェイスに接続されているクライアント端末と
を備えるクライアント。 - 複数の請求項4に記載のクライアントと、前記ネットワークに接続され、前記複数のクライアントを管理するネットワーク管理装置とを備えるネットワークシステムであって、
前記ネットワーク管理装置は、前記クライアント管理装置の通信制限情報記憶手段によって記憶されている通信制限情報を書き換える通信制限情報書き換え手段を備えること、
を特徴とするネットワークシステム。 - 請求項5に記載のネットワークシステムにおいて、
前記ネットワーク管理装置及び前記ネットワーク間に、前記ネットワークを介した前記ネットワーク管理装置への通信を制限する第2の通信制限手段を備えること、
を特徴とするネットワークシステム。 - 請求項6に記載のネットワークシステムにおいて、
外部ネットワークからの通信を制限する第3の通信制限手段と、
公開サーバとを備え、
前記第1の通信制限手段及び/又は前記第2の通信制限手段、前記第3の通信制限手段及び前記公開サーバは、前記ネットワークの一のセグメントに接続されていること、
を特徴とするネットワークシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002321477A JP2004157672A (ja) | 2002-11-05 | 2002-11-05 | クライアント管理装置、クライアント及びネットワークシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002321477A JP2004157672A (ja) | 2002-11-05 | 2002-11-05 | クライアント管理装置、クライアント及びネットワークシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004157672A true JP2004157672A (ja) | 2004-06-03 |
Family
ID=32802007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002321477A Pending JP2004157672A (ja) | 2002-11-05 | 2002-11-05 | クライアント管理装置、クライアント及びネットワークシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004157672A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011244450A (ja) * | 2010-05-18 | 2011-12-01 | General Electric Co <Ge> | 監視システムおよび監視システムのためのバックプレーン |
JP2017138661A (ja) * | 2016-02-01 | 2017-08-10 | 大日本印刷株式会社 | 画像データ提供システム、サーバシステム、及び印画物作製装置 |
-
2002
- 2002-11-05 JP JP2002321477A patent/JP2004157672A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011244450A (ja) * | 2010-05-18 | 2011-12-01 | General Electric Co <Ge> | 監視システムおよび監視システムのためのバックプレーン |
JP2017138661A (ja) * | 2016-02-01 | 2017-08-10 | 大日本印刷株式会社 | 画像データ提供システム、サーバシステム、及び印画物作製装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9311506B1 (en) | Storing and transmitting sensitive data | |
US20180349892A1 (en) | Processing a financial transaction using single-use financial account card number via portable communication device | |
US10198598B2 (en) | Information processing device and method, program, and recording medium | |
KR101486602B1 (ko) | 광고 자금지원 데이터 액세스 서비스 | |
WO2015180440A1 (zh) | 网络服务提供商系统数据访问控制方法及设备 | |
US10430789B1 (en) | System, method and computer program product for secure retail transactions (SRT) | |
CN105210327A (zh) | 提供设备即服务 | |
CN110443047B (zh) | 数据交换群组系统及方法 | |
JP2008525864A (ja) | ライセンスセントリックでコンテンツを消費する方法、システムおよびデバイス | |
JP4916020B2 (ja) | リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法 | |
JP2008546065A (ja) | ファイル分配用グリッドネットワーク | |
US20070204350A1 (en) | Secure Internet | |
CN110266686B (zh) | 数据共享方法、装置、设备与计算机可读存储介质 | |
JP2004157672A (ja) | クライアント管理装置、クライアント及びネットワークシステム | |
CN108496169B (zh) | 用于控制数据信令的网络架构 | |
US20080300998A1 (en) | Method for Online Buying | |
JP3099924U (ja) | アカウント生成システム | |
JP2003228684A (ja) | チケット管理システム、チケット管理装置、携帯端末、icカード、入場管理装置、チケット管理方法、チケット販売方法、および入場管理方法 | |
EP1181688A2 (en) | Compact disc authentication system and method | |
JP2008521126A (ja) | ライセンスされたコンテンツをレンダリングする方法、及びdrmプラットフォーム間の相互運用性を提供する方法 | |
JP3732835B2 (ja) | 通信プロファイル管理装置及び通信装置、ならびに通信プロファイル提供方法 | |
JP2002325207A (ja) | ハードウェア・キー入力部を備えたデジタル・テレビジョン受像機システム | |
Rajaraman | Essentials of E-commerce Technology | |
JP4789418B2 (ja) | コンピュータ・システム | |
JP2022029925A (ja) | 情報システム、情報処理装置、承認端末、情報処理方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051104 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090414 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090804 |