JP2005026856A - Remote access system - Google Patents

Remote access system Download PDF

Info

Publication number
JP2005026856A
JP2005026856A JP2003188329A JP2003188329A JP2005026856A JP 2005026856 A JP2005026856 A JP 2005026856A JP 2003188329 A JP2003188329 A JP 2003188329A JP 2003188329 A JP2003188329 A JP 2003188329A JP 2005026856 A JP2005026856 A JP 2005026856A
Authority
JP
Japan
Prior art keywords
user
connection
computer device
operator terminal
support center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003188329A
Other languages
Japanese (ja)
Inventor
Keisuke Mori
啓 介 森
Masanori Eguchi
口 正 則 江
Masafumi Tsuru
留 雅 文 津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Technologies KK
Original Assignee
Phoenix Technologies KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Technologies KK filed Critical Phoenix Technologies KK
Priority to JP2003188329A priority Critical patent/JP2005026856A/en
Publication of JP2005026856A publication Critical patent/JP2005026856A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a remote access system which ensures security without requesting the user to do complicated settings. <P>SOLUTION: The remote access system maintains and manages a user's PC connected over a communication network 5 by the remote control from an operator terminal in a support center. It is composed of unspecified many users' PC 1, a support center server 2 enabling the user's PC to be remote-controllable by tunnel-connecting in a connection established between the user's PC and the support center according to the connection request from the user's PC, and an operator terminal 3 comprising a Web browser for remote-controlling the user's PC. The user's PC comprises a remote access Web server for receiving the remote control from the operator terminal by the tunnel connection, and a remote support application for maintaining and managing the user's PC by the remote control from the operator terminal. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、通信ネットワークに接続されているコンピュータ装置をセンターからの遠隔操作によって維持・管理するもので、より詳しくはコンピュータ装置からの要求によってコネクションを確立し、このコネクション内部でトンネル接続を行うことによってサポートサービスを行うリモートアクセスシステムに関するものである。
【0002】
【従来の技術】
近年、家庭電化製品やオフィス機器等の各種の電子機器に組み込まれたものも含めて、PC(パーソナルコンピュータ)に代表されるような各種のコンピュータ装置の高機能化に伴い、これらを所有するエンドユーザに対するサポート業務がより重要になってきているが、機器のメインテナンス等のサポートを行うために、従来はPC等をサポートセンターに持ち込むか、或いはサポートスタッフをPC等の設置場所に派遣するなどの必要があり、非常にコストがかかっているという現状がある。この問題を解決する方法として、インターネット等の通信ネットワーク接続を利用して、サポートセンターのオペレータがPC等にリモートアクセスを行ってサポートを行う方式が考えられている。
【0003】
一方、近年のブロードバンド通信の普及により、一般家庭や各企業においてインターネットへ安価に常時接続を行うことが可能となっている。インターネットにおいては、ネットワーク越しのPC等への不正アクセスやDoS(Denial of Service attack)/ping/RIP(Routing Information Protocol)攻撃等のセキュリティの問題が存在しており、そのため、インターネット接続に使用されるいわゆるブロードバンドルータ等の機材においては、NAT(Network Address Translation)機能やファイヤウォール機能を持つものが一般的に普及している。
【0004】
NAT機能は、家庭内もしくは企業内でのみ通信できるプライベートIPアドレスとインターネット上で通信できるユニークなグローバルIPアドレスとを変換する機能であり、またファイヤウォール機能は、インターネットと内部ネットワークとの間で特定の通信のみを許可する機能である。どちらの機能も、内部ネットワークからインターネットに向けて発生した正当な通信は許可するが、インターネット側から内部ネットワークに向けて発生した通信は、予め設定されている通信以外は不正なものとして遮断する、という動作を行うもので、インターネット接続に使用されるブロードバンドルータ等の機材ではそのような機能が一般的である。
【0005】
このような背景から、リモート操作を受けるコンピュータからのコール信号に基づきサポート対象のコンピュータを特定して遠隔操作等を行うリモート操作方法及びそのシステムが特許文献1に見られる。また、クライアント側コンピュータから一旦WWWサーバに接続させることでクライアント側コンピュータのIPアドレスを特定してクライアント側コンピュータを遠隔操作するサポートシステムが特許文献2に開示されている。
【0006】
【特許文献1】
特開2003−44431号公報
【特許文献2】
特開2002−169776号公報
【0007】
【発明が解決しようとする課題】
しかしながら、特許文献1の技術では、ユーザ側のゲートウェイルータにアドレス変換等の専用の機能を持たせる必要があり、特許文献2の技術では、サーバ側からユーザ側へグローバルIPアドレスを指定してコネクションを確立する必要があり、いずれの場合もユーザ側のネットワークがNAT機能或いはファイヤウォール越しに接続されている場合、グローバルIPアドレスの特定だけではサーバからのアクセスが不可能である。
【0008】
このように従来のリモートアクセスサービスでは、サポートセンター側からユーザ側コンピュータへコネクションを確立するため、ユーザ側コンピュータがインターネットからのコネクションを受け付ける必要があるが、これは第三者による不正接続やDoS攻撃等によるセキュリティ上のリスクの発生を伴う。
また、現在、家庭や企業では上記セキュリティ対策のため、NAT機能やファイヤウォール等の機能を持つルータを経由してインターネットに接続することが一般的であるが、これらのルータを経由した場合、簡単にはサポートセンター側からユーザ側コンピュータへログインできない、という問題を抱えており、このNAT機能やファイヤウォール機能を持つルータ経由でサポートセンターからのログインを可能とするには、ユーザ側のルータにリモートアクセス専用の機能や複雑な設定が必要となるだけでなく、本来ユーザをサポートすべき業務がユーザにとって利用困難なシステムという内容になってしまう。
【0009】
以上のような問題を解決するために本発明では、NAT機能やファイヤウォール越しにコネクションを確立することが可能で、ユーザに複雑な設定をさせずにセキュリティを確保しながら、通信ネットワークに接続されたユーザのコンピュータ装置をサポートセンターからの遠隔操作によって維持・管理するリモートアクセスシステムを提供することを目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するため、請求項1に記載の発明は、通信ネットワークに接続されたユーザ側のコンピュータ装置をサポートセンター側のオペレータ端末からの遠隔操作によって維持・管理するリモートアクセスシステムであって、
前記通信ネットワークに接続された不特定多数のユーザ側のコンピュータ装置と、前記ユーザ側のコンピュータ装置と前記通信ネットワークを介して接続し該コンピュータ装置を維持・管理するためのサポートセンタサーバと、前記サポートセンタサーバと接続し該サポートセンタサーバを介して前記コンピュータ装置を遠隔操作するための少なくともWebブラウザを備えたオペレータ端末とで構成され、
前記サポートセンタサーバは、ユーザ側のコンピュータ装置の接続要求を待ち該コンピュータ装置からの接続要求により該コンピュータ装置と該サポートセンタサーバとの間のコネクションを確立するコネクション管理手段と、前記コネクションの確立により該コネクションの内部でトンネル接続を行うことで前記オペレータ端末から前記ユーザ側のコンピュータ装置を遠隔操作可能にするトンネル接続管理手段とを備え、
前記ユーザ側のコンピュータ装置は、前記サポートセンタサーバとのコネクションを行うコネクション手段と、前記サポートセンタサーバを介して前記オペレータ端末とのトンネル接続を行うトンネル接続手段と、前記トンネル接続手段により前記サポートセンタサーバを介して前記オペレータ端末からの遠隔操作を受け付けるリモートアクセス用Webサーバと、前記オペレータ端末からの遠隔操作により該コンピュータ装置の維持・管理を行うためのリモートサポート手段とを備えていることを特徴としている。
請求項2に記載の前記サポートセンタサーバのトンネル接続管理手段は、該サポートセンタサーバ側でトンネル接続用のポートを割り当てて前記オペレータ端末からの接続要求を待ち受け、該オペレータ端末から行われた接続要求を前記コネクション管理手段で確立したコネクションを通して前記ユーザ側のコンピュータ装置へ転送し、前記コンピュータ装置のトンネル接続手段は、前記コネクション手段で確立したコネクションを通してトンネル接続を確立し、確立した該トンネルを通して前記オペレータ端末からの接続要求を前記リモートアクセス用Webサーバに転送することを特徴としている。
【0011】
請求項3に記載の前記サポートセンタサーバは、前記オペレータ端末と前記ユーザ側コンピュータ装置との間の情報の送受信を行うためのWebプロキシーサーバを備え、前記ユーザ側のコンピュータ装置は、前記サポートセンタサーバのWebプロキシーサーバ及び該コンピュータ装置のリモートアクセス用Webサーバを介して前記オペレータ端末のWebブラウザ上から遠隔操作されるように構成されていることを特徴としている。
請求項4に記載の前記ユーザ側のコンピュータ装置は、ファイヤウォール及び/又はNAT機能を有するルータを介して通信ネットワークに接続されていることを特徴としている。
請求項5に記載の発明は、前記ユーザ側のコンピュータ装置と前記サポートセンタサーバとの間で相互に認証・暗号化を行い、該サポートセンタサーバ及び該コンピュータ装置により前記オペレータ端末の認証を行うことによって該オペレータ端末から該コンピュータ装置への遠隔操作を許可するように構成されていることを特徴としている。
請求項6に記載の前記サポートセンタサーバは、遠隔操作を要求している前記ユーザ側のコンピュータ装置の接続状況を管理して前記オペレータ端末に通知し、前記オペレータ端末は、前記サポートセンタサーバから通知されWebブラウザ上に表示した接続状況画面からオペレータによって選択・指定された特定のユーザ側のコンピュータ装置に対する遠隔操作を可能に構成されていることを特徴としている。
請求項7に記載の前記オペレータ端末の画面には、遠隔操作を要求中のユーザを特定するユーザ情報と、該ユーザ側のコンピュータ装置へのトンネル接続を待ち受けるポート番号を含むURLリンクとが表示され、オペレータによって該URLを指定されることにより遠隔操作を行うユーザの選択が可能に構成されていることを特徴としている。
請求項8に記載の前記オペレータ端末は、オペレータによるWebブラウザの操作により前記トンネル接続を介して前記ユーザ側のコンピュータ装置に接続し、前記リモートサポート手段を介して該コンピュータ装置内及び/又は該コンピュータ装置に接続されている機器の情報の収集・設定・変更等の処理を実行し、実行された該処理結果を該コンピュータ装置から受信して該オペレータ端末のWebブラウザ上に表示することを特徴としている。
請求項9に記載の前記オペレータ端末は、インターネットと接続する手段をさらに有し、前記サポートセンタサーバと該インターネットを介し接続して前記ユーザ側のコンピュータ装置を遠隔操作によって維持・管理するように構成されていることを特徴としている。
【0012】
【発明の実施の形態】
次に、本発明に係るリモートアクセスシステムの、実施の形態の具体例を、図面を参照しながら説明する。
図1は、本実施の形態におけるリモートアクセスシステムの構成を示す概略図である。
図2は、図1に示すシステムの処理の流れを示す概略図である。
【0013】
図1に示すように、遠隔操作を受け付けるユーザ側のコンピュータ装置(本実施の形態ではユーザ側のコンピュータ装置としてユーザ側PCを用いることを一例に説明する)は、インターネット等の通信ネットワークに接続されており、ユーザ側PC1とインターネット5との間にはNAT機能やファイヤウォール機能を有する通称ブロードバンドルータと称される装置4が介在している。本システムはこのルータ4越しにセキュリティを確保しつつルータ4への特別な設定を必要とせずにサポートセンタサーバ2からの遠隔操作によりユーザ側PC1の維持・管理を行えるように構成したものである。
【0014】
サポートセンタサーバ2はコネクション待ち受け機能24によりユーザ側PC1からの接続要求を待っているので、ユーザ側PC1からコネクション接続機能13によりサポートセンタサーバ2にアクセスして最初のコネクションを確立する。サポートセンタサーバ2はユーザ側PC1とのコネクション確立によってオペレータ端末3にサポート要求があったことを通知し、オペレータの操作によってオペレータ端末3のWebブラウザ31上からサポート要求に応える。ユーザ側PC1は遠隔操作のためのリモートアクセス用Webサーバ11を備えており、サポートセンタサーバのWebプロキシーサーバ21を介してオペレータ端末3のWebブラウザ31からアクセスすることが可能になる。この際の接続手段がトンネル接続であり、最初に確立したコネクションの内部にトンネル接続部分を構成することで実現される。
【0015】
トンネル接続とは、一般に下位層プロトコルパケットを上位層のプロトコルパケットでカプセル化して、ネットワーク間の通信を行うものを指し、通信する両者の間でパケットをカプセル化する機能とパケットから基のパケットを取り出す機能を持たせることで、VPN(Virtual Private Network)等のように通信を外部から遮断する場合などにも使用される。本実施の形態では、WebによるHTTP(Hyper Text Transfer Protocol)よりコネクションを確立し、このHTTP内でトンネル接続を実現する。26がサポートセンタサーバ2側のトンネル接続機能であり、15がユーザ側PC1のトンネル接続機能である。
【0016】
図1に示す処理概要を図2に示す流れ図によって説明する。先ずユーザ側PC1からリモートサポート要求を行うと(S1)、サポートセンタサーバ2は、ユーザ側PC1からのサポート要求をオペレータ端末3に通知してオペレータ端末3のWebブラウザ上にサポート要求があったユーザ表示を行う(S2)。オペレータはオペレータ端末に表示されたユーザを選択し、選択したユーザ側PCへログインする(S3)。サポートセンタサーバ2とユーザ側PC1で確立されたトンネル接続経由でユーザ側PC1へログイン要求が転送され(S4)、オペレータ認証後、オペレータ操作によるリモートアクセスが可能になる(S5)。ユーザ側PC1はオペレータ端末3からの操作要求に応えて、リモートサポート処理を実行する(S6)。
【0017】
図3は、システム全体の構成を示すもので、1a〜1nがインターネット等の通信ネットワークに接続された不特定多数のユーザ側PC、2がサポートセンタサーバ、3がサポートセンタサーバに接続されてユーザ側PC1a〜1nを遠隔操作するオペレータ端末である。ユーザ側PC1a〜1nそれぞれとインターネット5との間にはNAT機能/ファイヤウォール機能を有するルータ4a〜4nが挿入されている。
【0018】
サポートセンタサーバ2内の、22はユーザ登録やコネクション要求、及びコネクション要求通知をオペレータ端末に送信する際に使用するWebサーバであり、21はユーザ側PC1a〜1n(以降、第3図においてもユーザ側PC1として説明する)を遠隔操作する際に使用するWebプロキシーザーバである。23はWebサーバ22或いは電子メール(図示せず)等によってリモートサポートを受けるユーザ側PC1を特定するために予め行うユーザ登録手段であり、この登録情報はデータベース28に保管される。24はユーザ側PC1からの要求に応えてコネクションを確立するためのコネクション管理手段であり、この際の通信には暗号化処理が施される。25はユーザ認証手段であり、ユーザもしくはユーザ側PC1を特定するもので、予めデータベース28に登録されたユーザ登録情報と照合する。26はオペレータ端末3からの要求に応えてユーザ側PC1とサポートセンタサーバ2との間の通信を行うために、ユーザ側PC1からの要求に応えて確立したコネクションの内部でトンネル接続を行うトンネル接続管理手段である。27はユーザ側PC1とサポートセンタサーバ2間のログインやアクセス状況を監視するセッション管理手段である。セッション情報及びその履歴はデータベース28に保存される。
サポートセンタサーバ2に接続されるオペレータ端末3にはユーザ側PC1を操作するためのWebブラウザ31が備わっている。
【0019】
ユーザ側PC1内の、11はオペレータ端末3からの遠隔操作を受け入れるためのリモートアクセス用Webサーバである。12はユーザ側PC1内もしくはユーザ側PC1に接続されている機器からの情報収集、情報の更新、或いはユーザ側PC1や接続機器の設定を行うためのリモートサポートアプリケーションのプログラムであり、リモートアクセス用Webサーバ11を介しオペレータ端末3からの要求に応えて実行される。13はユーザ側PC1からサポートセンタサーバ2へのコネクション要求によって行われるコネクション手段であり、14はサポートセンタサーバ2へのアクセスの際のユーザ認証に伴うユーザ側PC1でのユーザ認証手続手段である。15はコネクション確立後にオペレータ端末3からの操作を受け入れるためのユーザ側PC1でのトンネル接続手段であり、16はオペレータ端末3からの操作を受け入れる際のオペレータ認証手段である。
【0020】
なお、ユーザ側PC1、ユーザ側PC1内のリモートアクセスサーバ11、サポートセンタサーバ2内のWebプロキシーサーバ21、Webサーバ22、及びオペレータ端末3等は、市販のワークステーションやパーソナルコンピュータ及びネットワーク接続機器等で構成され、ユーザ側PC1及びサポートセンタサーバ2に含まれる各手段は、これらワークステーションやパーソナルコンピュータを利用したソフトウェア処理により実現されているもので、ワークステーションやパーソナルコンピュータ等を構成するCPU(中央制御装置)、メモリやハードディスク等の記憶装置、画像やテキスト等を表示する表示装置、キーボードやマウス等の入力装置、通信回線との入出力装置、及びネットワーク接続機器等の専用機器や周辺機器類等に関する説明及びその構成図面は省略する。
【0021】
図3に示すシステム構成の各手段を実現している各機能の詳細を図4に示す。ここでは、上述した説明の繰り返しになる部分はその説明を省略する。サポート対象のユーザ側PC1のユーザインターフェース部分と関連する機能には、ユーザ登録機能、コネクション接続機能、被認証側としてユーザが入力したユーザIDやパスワードをサポートセンタサーバ2に送るユーザ認証機能、及びトンネル接続確立機能がある。サポートセンタサーバ2には、サポート対象とする不特定多数のユーザ側PC1からのユーザ登録を受け付けるユーザ登録機能があり、ユーザ或いはユーザ側PC1を特定する情報を予めユーザデータベースに登録・保存しておく。登録するユーザ情報には、ユーザの名前、住所、電話番号、電子メールアドレス等の個人情報と、ユーザが使用するユーザ側PC1のシリアルID等のハードウェア情報がある。
【0022】
ユーザ登録機能は、一般的なWebサーバ、Webブラウザ(ユーザ側PC内のWebブラウザは図示していない)の構成で行うことができ、http/https(Hypertext Transfer Protocol Security)通信で実現できる。httpsはWebサーバとWebブラウザ等によるクライアント間のデータの送受信に使われるHTTPにSSL(Secure Sockets Layer)によるデータ暗号化機能を付加したものである。SSLは公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数等のセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことを可能にしたもので、HTTP等の上位のプロトコルを利用するアプリケーションソフトからは、特に意識することなく透過的に利用することが可能となっている。また、ユーザ登録の際には電子メール(図示せず)と併用する事で、よりセキュリティを考慮した登録を行うことができる。電子メールにもセキュリティ機能を持たせたS/MIME(Secure Multipurpose Internet Mail Extensions)を用いることが望ましい。
【0023】
コネクション確立を含むユーザ側PC1とサポートセンタサーバ2間の通信では暗号通信を用いる。暗号通信には前述のSSLやssh(Secure Shell)を用いることができる。sshは主にUNIX(R)コンピュータで利用されており、ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするためのプログラムである。このようにしてネットワーク上を流れるデータは暗号化されるためインターネット経由でも一連の操作を安全に行うことができる。
【0024】
コネクション確立の際のサーバ認証処理及びユーザ認証処理には、RSA(Rivest Shamir Adleman)認証やPKI(Public Key Infrastructure)システム等の方式を利用する事ができる。RSA認証は公開鍵暗号方式の一つで公開鍵暗号の標準として広く普及している。RSA暗号を解読するには巨大な整数を素因数分解する必要があり鍵の発見が困難であることからセキュリティが確保される。公開鍵の交換は予めユーザ登録の際にユーザ側PC1とサポートセンタサーバ2間で行っておく。PKIは公開鍵基盤又は公開鍵暗号基盤とも称され、電子署名と暗号技術を兼ね備え安全な電子通信を確保するための認証機関から証明書を発行する基盤の仕組みであり、前述の電子メールを含め様々なインターネット取引に使用されつつある。ユーザ認証情報はユーザ登録の際にサポートセンタサーバ2のデータベースに保存され、サーバ認証情報はユーザ登録の際にサポートセンタサーバ2から通知されユーザ側PC1で保存されている。
【0025】
セッション管理機能は、ユーザ側PC1とサポートセンタサーバ2間のアクセス状況を管理するもので、セッション表示機能によりオペレータ端末3のWebブラウザ上にユーザ接続情報を表示する。ユーザ側PC1とサポートセンタサーバ2間のセッションは逐次データベースに保存されユーザ側PC1の接続履歴はいつでも参照可能となっている。
サポートセンタサーバ2側のオペレータ認証機能の実装は、オペレータ端末3がサポートセンタサーバ2のLAN(Local Area Network)内に接続されていることを想定しており、IPアドレスやMACアドレスによるネットワークフィルタリングやWebプロキシーサーバの認証機能を利用してログインIDやパスワードにより行う。外部委託等によりオペレータ端末がインターネット等LAN外にある場合や、オペレータ端末が無線LAN等の無線通信ネットワークを介して接続するモバイル端末等の場合は、前述のような暗号化プロトコルを実装してセキュリティを確保する。
【0026】
ユーザ側PC1のオペレータ端末3によるリモートサポートは、ユーザ側PC1内に実装されたリモートアクセス用Webサーバとの通信により行うものであるが、オペレータ端末3のWebブラウザからユーザ側PC1のリモートアクセス用Webサーバにアクセスするにはサポートセンタサーバ内のWebプロキシーサーバを介して行う。オペレータ端末3からサポートセンタサーバ内のWebサーバにアクセスし、セッション表示機能との連携によりオペレータ端末3のWebブラウザ上に表示された接続ユーザ一覧からユーザ側PC1を選択する。サポートセンタサーバ2は、ユーザ側PC1とのコミュニケーションによりトンネル接続を確立し、選択されたユーザ側PC1のリモートアクセス用Webサーバとオペレータ端末3のWebブラウザとを接続する。
【0027】
ユーザ側PC1のリモートアクセス用Webサーバはオペレータ認証機能によって予め保存してある認証情報に基づいて照合し、適合と判断した場合にオペレータ端末3からの操作を継続させる。オペレータ認証情報はユーザ登録の際にサポートセンタサーバ2から通知されユーザ側PC1内に保存されている。
尚、図4の矢印はトンネル接続を中心に記載したもので、全ての情報の通信方向を表現しているわけではない。
ユーザ側PC1のリモートアクセスサーバ機能はWebサーバとCGI(Common Gateway Interface)とにより実装される。WebサーバにはIIS(Internet Information Server)やApacheが利用でき、ASP(Active Server Pagses)やPHP(Hypertext Preprocessor),或いはPerlやJava(R)、ActiveXコントロール等を実装することで、リモートアクセスサーバ機能を実現する事ができるが、独自のWebサーバプログラムをインストールし、必要な機能のみを実装するように構成しても良い。
リモートサポートアプリケーションには例えばWin32API等を利用して実装する。
【0028】
以上説明したユーザ側PC1からのコネクション要求に始まるトンネル接続に関する一連の処理の流れを図5に示す。
先ずユーザ側PC1(以降、図5の説明では単にPC1と称する)からリモートアクセスを開始し(S101)、サポートセンタサーバ2(以降、図5の説明では単にサーバ2と称する)にコネクション接続要求をする(S102)。ユーザからの接続を待っていた(S121)サーバ2は暗号通信によりPC1とのネゴシエーションを行う(S103)(S122)。ネゴシエーションが確立するとサーバ2から認証情報が送信され(S123)、PC1はサーバ認証処理を行う(S104)。サーバ認証処理を済ませたPC1はユーザ認証情報を送信し(S105)、サーバ2でユーザ認証処理を行う(S124)。ユーザ認証処理を済ませたサーバ2はトンネル接続用のポートを割り当て(S125)、PC1とのコミュニケーションによりトンネル接続を確立する(S126)(S106)。
【0029】
サーバ2はPC1との接続のもう一方でオペレータ端末3からの接続を待っており(S141)、PC1とのトンネル接続が確立すると接続ユーザ情報を更新し(S127)、接続要求があったオペレータ端末3に接続ユーザ情報を送信し(S142)、再びオペレータ端末の接続を待つ(S141)。
オペレータ端末3はユーザからのリモートアクセス(遠隔操作)ユーザ表示要求をサーバ2に送信し(S151)、リモートアクセス要求をしているユーザ表示を行う(S152)。ユーザからのリモートアクセス要求が無ければ、ユーザからのリモートアクセスを待ち、リモートアクセス要求があればリモートアクセスを開始する(S153)。リモートアクセスを要求しているユーザを選択すると(S154)、トンネル接続受信待ち(S128)をしていたサーバ2はオペレータ接続認証を行い(S129)、PC1にトンネル接続転送要求を行う(S130)。サーバ2からのリモートアクセス要求を待っていた(S107)PC1はオペレータ接続認証を行う(S108)。オペレータ接続認証が済むとPC1はリモートアクセス用Webサーバによってリモートアクセスサーバ情報をサーバ2に送信する(S109)。
【0030】
サーバ2はトンネル接続転送処理を行って(S131)、PC1のリモートアクセス用Webサーバをオペレータ端末3のWebブラウザと接続させ、オペレータ端末3ではリモートアクセス対象となるユーザ側PC1から送信されたリモートアクセスサーバ情報としてサポート機能一覧を表示する(S155)。表示された機能の中から該当するサポート対象のリモートアクセス機能がオペレータによって選択され、選択された機能の実行要求がPC1に送信される(S156)。実行要求はサーバ2のトンネル接続転送処理によって(S131)PC1に転送され、PC1では要求されたリモートアクセスを実行する(S110)。PC1ではリモートサポート作業を継続しオペレータ端末3からのリモートアクセス要求の終了までその要求を待つ(S111)。
【0031】
リモートアクセス作業が終了すると(S157)オペレータ端末3はサポート対象のPC1へリモートアクセス機能実行終了の通知を行い(S158)、他のユーザ側PC1からのリモートアクセス要求を待つ(S151)。リモートアクセス機能実行終了の通知はサーバ2のトンネル接続転送処理(S131)によってPC1に送信され、リモートアクセス作業は終了する。PC1はリモートアクセス作業が終了するとコネクション切断要求をサーバ2に行い(S112)、サーバ2は接続ユーザ情報を更新し(S132)、今迄リモートアクセス対象となっていた接続ユーザのコネクションを切断して(S133)他のユーザからの接続要求を待つ(S121)。
【0032】
図6は、オペレータ端末3のWebブラウザ31で表示されるWebページの一例であり、このWebページはサポートセンタサーバ2のWebサーバ22がセッション管理手段27からのユーザ接続情報を基に生成したものである。
オペレータ端末3のWebブラウザ31上で表示された現在接続中のユーザリストには、ユーザの名前、シリアルNo.電子メールアドレス、接続時刻、ユーザID,及び接続先ユーザ側PC1のリモートアクセス用Webサーバ11のURLがサポートセンタサーバ2内で割り当てられたポート番号20000と共に表示されている。
オペレータがこのユーザのURLをマウス等により選択・クリックすると、オペレータ端末3からサポートセンタサーバ2内のWebプロキシーサーバ21を介しトンネル接続によりユーザ側PC1に接続され、選択したサポート対象のユーザ側PC1のリモートサポート用Webサーバ11からWebページが送信され、リモートアクセス機能の一覧がオペレータ端末3のWebブラウザ31上に表示される(図示せず)。
【0033】
上記、本実施の形態では、遠隔操作によりサポートを受けるユーザ側のコンピュータ装置としてPC(パーソナルコンピュータ)を対象として説明したが、コンピュータ装置としてはPCに限らず、携帯電話、PDA(携帯情報端末)等の他、FAX/コピー機等のオフイス用の各種OA(Office Automation)機器、家庭用のホームサーバ、AV(Audio Visual)機器、或いは家電機器に組み込まれたコンピュータ装置に適用できることは勿論である。
さらに、サポートセンタサーバに接続するオペレータ端末もインターネット接続が可能で且つWebブラウザを備えている端末であればよいので、各種モバイル端末が利用でき、例えば無線通信回線網からインターネットに接続可能な携帯電話を利用することや、或いはホットスポットと称される無線LANによる中継基地経由でインターネットに接続することでPDAやモバイルパソコンを利用することもでき、これらのオペレータ端末からユーザ側の様々な形態のコンピュータ装置のサポート業務に限らない各種の維持・管理を行うことができる。
また、オペレータ端末を操作できるのはサポートセンター側の管理者に限らないのは勿論であり、予めユーザ登録をしておくことでサポート対象となるユーザ自身がオペレータ端末を操作することができ、例えば自宅のホームサーバを携帯電話から操作し、ホームサーバ経由でビデオ録画予約を行うことや、外出先からネットワーク接続の冷蔵庫にアクセスし、冷蔵庫に登録した保存食品の一覧や賞味期限等を参照して買い物に役立てる、といったような応用も可能になる。自宅を不在にする場合は、ユーザ側のコンピュータ装置とサポートセンタサーバ間の通信回線を常時接続状態にしてコネクションを確立したままにしておく。
【0034】
【発明の効果】
以上に説明したように、本発明のリモートアクセスシステムによれば、インターネット等の通信ネットワークに接続された不特定多数のユーザ側PCをサポートセンターのオペレータ端末から遠隔操作することによって維持・管理するために、ユーザ側PCからの接続要求によってサポートセンタサーバとのコネクションを確立し、コネクションの内部でトンネル接続を行うことでオペレータ端末のWebブラウザ上からユーザ側PCを遠隔操作できるようにしているので、市販されているルータを使用する場合に実装されているNAT機能や一般的なファイヤウォール機能を特別な設定を必要とせずにそのまま使用する事が可能になる。また、トンネル接続によってこれら通信におけるセキュリティ確保のための認証・暗号化処理においても途中に挿入されたルータの特別な機能・設定は不要となる。さらに、ユーザ側PCにはオペレータ端末からの遠隔操作を受け付けるリモートアクセス用Webサーバとリモートサポートアプリケーションとを備えているので、遠隔操作を行うオペレータ端末には特別なアプリケーションを必要とせず一般的なWebブラウザを使用することが可能になる。
【図面の簡単な説明】
【図1】本発明の実施の形態におけるリモートアクセスシステムの構成を示す概略図である。
【図2】図1に示すシステムの処理の流れを示す概略図である。
【図3】図1に示すシステムの全体の構成図である。
【図4】図1に示すシステムの詳細な機能説明図である。
【図5】図1に示すシステムの詳細な処理フロー図である。
【図6】図1に示すシステムのオペレータ端末画面の一例である。
【符号の説明】
1、1a〜1n ユーザ側コンピュータ装置(PC)
2 サポートセンタサーバ
3 オペレータ端末
4、4a〜4n ルータ(NAT機能/ファイヤウォール)
5 インターネット
11 リモートアクセス用Webサーバ
12 リモートサポート手段
13 コネクション手段
14 ユーザ認証手続手段
15 トンネル接続手段
16 オペレータ認証手段
21 Webプロキシーサーバ
22 Webサーバ
23 ユーザ登録手段
24 コネクション管理手段
25 ユーザ認証手段
26 トンネル接続管理手段
27 セッション管理手段
28 データベース
31 Webブラウザ[0001]
BACKGROUND OF THE INVENTION
The present invention maintains and manages computer devices connected to a communication network by remote operation from a center. More specifically, a connection is established by a request from a computer device, and a tunnel connection is established within this connection. It relates to a remote access system that provides support services.
[0002]
[Prior art]
In recent years, as the functions of various computer devices such as PCs (personal computers), including those incorporated in various electronic devices such as home appliances and office equipment, have become endorsed, Support operations for users are becoming more important, but in order to support equipment maintenance, etc., it has traditionally been possible to bring a PC etc. to the support center or send support staff to the installation location of the PC etc. There is a current situation that it is necessary and very expensive. As a method for solving this problem, there is considered a method in which a support center operator performs remote access to a PC or the like using a communication network connection such as the Internet.
[0003]
On the other hand, with the spread of broadband communication in recent years, it has become possible to always connect to the Internet at low cost in ordinary homes and companies. In the Internet, there are security problems such as unauthorized access to a PC etc. over a network and DoS (Denial of Service attack) / ping / RIP (Routing Information Protocol) attacks. As equipment such as a so-called broadband router, a device having a NAT (Network Address Translation) function and a firewall function is widely used.
[0004]
The NAT function is a function that converts a private IP address that can be communicated only at home or within a company and a unique global IP address that can be communicated on the Internet. The firewall function is specified between the Internet and the internal network. This is a function that permits only communication. Both functions allow legitimate communication that occurs from the internal network toward the Internet, but communication that occurs from the Internet side toward the internal network is blocked as illegal except for preset communication. Such a function is common in equipment such as a broadband router used for Internet connection.
[0005]
From such a background, Patent Document 1 shows a remote operation method and system for performing remote operation and the like by specifying a computer to be supported based on a call signal from a computer that receives a remote operation. Patent Document 2 discloses a support system in which a client computer is remotely connected to a WWW server to specify an IP address of the client computer and remotely operate the client computer.
[0006]
[Patent Document 1]
JP 2003-44431 A
[Patent Document 2]
JP 2002-169776 A
[0007]
[Problems to be solved by the invention]
However, in the technique of Patent Document 1, the gateway router on the user side needs to have a dedicated function such as address conversion. In the technique of Patent Document 2, a global IP address is specified from the server side to the user side for connection. In any case, when the user side network is connected via the NAT function or firewall, access from the server is impossible only by specifying the global IP address.
[0008]
As described above, in the conventional remote access service, since the connection from the support center side to the user side computer is established, it is necessary for the user side computer to accept a connection from the Internet. This is an illegal connection or DoS attack by a third party. Accompanied by security risks.
Currently, homes and businesses generally connect to the Internet via routers with NAT and firewall functions for the security measures described above. Has a problem that it cannot log in to the user side computer from the support center side. To enable login from the support center via a router having this NAT function or firewall function, it is necessary to remotely connect to the user side router. Not only are access-only functions and complicated settings required, but the work that should originally support the user becomes a system that is difficult for the user to use.
[0009]
In order to solve the above problems, in the present invention, it is possible to establish a connection through a NAT function or a firewall, and it is possible to connect to a communication network while ensuring security without making complicated settings to the user. It is an object of the present invention to provide a remote access system that maintains and manages a user's computer device by remote control from a support center.
[0010]
[Means for Solving the Problems]
To achieve the above object, the invention described in claim 1 is a remote access system for maintaining and managing a user side computer device connected to a communication network by remote operation from an operator terminal on a support center side.
An unspecified number of user-side computer devices connected to the communication network, a support center server for connecting to the user-side computer device via the communication network and maintaining and managing the computer device, and the support An operator terminal having at least a web browser for connecting to a center server and remotely operating the computer device via the support center server;
The support center server waits for a connection request from a computer device on the user side, establishes a connection between the computer device and the support center server by a connection request from the computer device, and establishes the connection. Tunnel connection management means for enabling remote operation of the computer device on the user side from the operator terminal by performing a tunnel connection inside the connection,
The computer device on the user side includes a connection means for establishing a connection with the support center server, a tunnel connection means for establishing a tunnel connection with the operator terminal via the support center server, and the support center using the tunnel connection means. A remote access Web server that receives remote operation from the operator terminal via a server, and remote support means for maintaining and managing the computer apparatus by remote operation from the operator terminal It is said.
The tunnel connection management means of the support center server according to claim 2 assigns a tunnel connection port on the support center server side, waits for a connection request from the operator terminal, and makes a connection request made from the operator terminal Is transferred to the computer device on the user side through the connection established by the connection management means, and the tunnel connection means of the computer device establishes a tunnel connection through the connection established by the connection means and the operator through the established tunnel. A connection request from a terminal is transferred to the remote access Web server.
[0011]
4. The support center server according to claim 3, further comprising a Web proxy server for transmitting and receiving information between the operator terminal and the user side computer device, wherein the user side computer device includes the support center server. It is configured to be remotely operated from the Web browser of the operator terminal via the Web proxy server and the remote access Web server of the computer device.
The computer device on the user side according to claim 4 is connected to a communication network via a router having a firewall and / or NAT function.
According to a fifth aspect of the present invention, authentication and encryption are mutually performed between the computer device on the user side and the support center server, and the operator terminal is authenticated by the support center server and the computer device. Is configured to permit remote operation from the operator terminal to the computer device.
The support center server according to claim 6 manages a connection status of the computer device on the user side requesting remote operation and notifies the operator terminal of the connection, and the operator terminal notifies from the support center server. It is characterized in that it can be remotely operated with respect to a computer device on a specific user side selected and designated by an operator from a connection status screen displayed on a Web browser.
The screen of the operator terminal according to claim 7 displays user information for identifying a user who is requesting remote operation, and a URL link including a port number for waiting for a tunnel connection to the computer device on the user side. The user can select the user who performs the remote operation by designating the URL by the operator.
9. The operator terminal according to claim 8, wherein the operator terminal is connected to the computer device on the user side via the tunnel connection by an operation of a web browser by an operator, and the computer device and / or the computer via the remote support means. It performs processing such as collecting, setting, and changing information of devices connected to the device, and receives the executed processing results from the computer device and displays them on the Web browser of the operator terminal. Yes.
10. The operator terminal according to claim 9, further comprising means for connecting to the Internet, and configured to connect to the support center server via the Internet to maintain and manage the computer device on the user side by remote operation. It is characterized by being.
[0012]
DETAILED DESCRIPTION OF THE INVENTION
Next, a specific example of the embodiment of the remote access system according to the present invention will be described with reference to the drawings.
FIG. 1 is a schematic diagram showing a configuration of a remote access system according to the present embodiment.
FIG. 2 is a schematic diagram showing the flow of processing of the system shown in FIG.
[0013]
As shown in FIG. 1, a user-side computer device that accepts a remote operation (in this embodiment, an example in which a user-side PC is used as a user-side computer device) is connected to a communication network such as the Internet. A device 4 called a so-called broadband router having a NAT function and a firewall function is interposed between the user-side PC 1 and the Internet 5. This system is configured to maintain and manage the user-side PC 1 by remote operation from the support center server 2 without requiring special settings to the router 4 while ensuring security over the router 4. .
[0014]
Since the support center server 2 waits for a connection request from the user side PC 1 by the connection waiting function 24, the user side PC 1 accesses the support center server 2 by the connection connection function 13 to establish the first connection. The support center server 2 notifies the operator terminal 3 that a support request has been made by establishing a connection with the user-side PC 1, and responds to the support request from the Web browser 31 of the operator terminal 3 by an operator's operation. The user-side PC 1 includes a remote access Web server 11 for remote operation, and can be accessed from the Web browser 31 of the operator terminal 3 via the Web proxy server 21 of the support center server. The connection means at this time is a tunnel connection, which is realized by configuring a tunnel connection portion inside the connection established first.
[0015]
A tunnel connection generally refers to a method in which lower layer protocol packets are encapsulated in upper layer protocol packets to perform communication between networks. By providing the extraction function, it is also used when communication is cut off from the outside, such as VPN (Virtual Private Network). In the present embodiment, a connection is established by HTTP (Hyper Text Transfer Protocol) by the Web, and tunnel connection is realized in this HTTP. 26 is a tunnel connection function on the support center server 2 side, and 15 is a tunnel connection function on the user side PC 1.
[0016]
The processing outline shown in FIG. 1 will be described with reference to the flowchart shown in FIG. First, when a remote support request is made from the user-side PC 1 (S1), the support center server 2 notifies the support request from the user-side PC 1 to the operator terminal 3 and the user who has made a support request on the Web browser of the operator terminal 3 Display is performed (S2). The operator selects a user displayed on the operator terminal and logs in to the selected user PC (S3). The log-in request is transferred to the user-side PC 1 via the tunnel connection established between the support center server 2 and the user-side PC 1 (S4), and after the operator authentication, remote access by the operator operation becomes possible (S5). The user-side PC 1 executes a remote support process in response to an operation request from the operator terminal 3 (S6).
[0017]
FIG. 3 shows the configuration of the entire system. An unspecified number of user-side PCs 1a to 1n connected to a communication network such as the Internet, 2 a support center server, and 3 a user connected to the support center server. This is an operator terminal for remotely operating the side PCs 1a to 1n. Routers 4a to 4n having a NAT function / firewall function are inserted between the user side PCs 1a to 1n and the Internet 5, respectively.
[0018]
In the support center server 2, 22 is a Web server used when transmitting user registration, connection request, and connection request notification to the operator terminal, and 21 is a user side PC 1 a to 1 n (hereinafter also referred to as user in FIG. 3). This is a Web proxy server used when remotely operating a PC 1 described below. Reference numeral 23 denotes user registration means that is performed in advance to identify the user-side PC 1 that receives remote support by the Web server 22 or e-mail (not shown). Reference numeral 24 denotes connection management means for establishing a connection in response to a request from the user-side PC 1, and encryption processing is performed for communication at this time. Reference numeral 25 denotes user authentication means for specifying the user or the user-side PC 1 and collates with user registration information registered in the database 28 in advance. 26 is a tunnel connection in which a tunnel connection is established within a connection established in response to a request from the user side PC 1 in order to perform communication between the user side PC 1 and the support center server 2 in response to a request from the operator terminal 3. Management means. Reference numeral 27 denotes session management means for monitoring login and access status between the user-side PC 1 and the support center server 2. Session information and its history are stored in the database 28.
The operator terminal 3 connected to the support center server 2 is provided with a web browser 31 for operating the user side PC 1.
[0019]
Reference numeral 11 in the user-side PC 1 is a remote access Web server for accepting remote operation from the operator terminal 3. Reference numeral 12 denotes a remote support application program for collecting information from the user-side PC 1 or a device connected to the user-side PC 1, updating information, or setting the user-side PC 1 or connected device. It is executed in response to a request from the operator terminal 3 via the server 11. Reference numeral 13 denotes connection means performed in response to a connection request from the user side PC 1 to the support center server 2, and reference numeral 14 denotes user authentication procedure means at the user side PC 1 accompanying user authentication when accessing the support center server 2. Reference numeral 15 denotes a tunnel connection means at the user side PC 1 for accepting an operation from the operator terminal 3 after the connection is established. Reference numeral 16 denotes an operator authentication means for accepting an operation from the operator terminal 3.
[0020]
The user side PC 1, the remote access server 11 in the user side PC 1, the Web proxy server 21 in the support center server 2, the Web server 22, and the operator terminal 3 are commercially available workstations, personal computers, network connection devices, etc. Each means included in the user-side PC 1 and the support center server 2 is realized by software processing using these workstations and personal computers, and a CPU (central Control devices), storage devices such as memory and hard disks, display devices for displaying images, text, etc., input devices such as keyboards and mice, input / output devices for communication lines, and dedicated devices such as network connection devices and peripheral devices Description and construction drawings relating etc. will be omitted.
[0021]
FIG. 4 shows details of each function realizing each unit of the system configuration shown in FIG. Here, the description which repeats the description above is omitted. The functions related to the user interface portion of the user PC 1 to be supported include a user registration function, a connection connection function, a user authentication function for sending a user ID and password input by the user as the authenticated side to the support center server 2, and a tunnel There is a connection establishment function. The support center server 2 has a user registration function for accepting user registrations from a large number of unspecified user-side PCs 1 to be supported, and information for specifying users or user-side PCs 1 is registered and stored in the user database in advance. . User information to be registered includes personal information such as a user name, address, telephone number, and e-mail address, and hardware information such as a serial ID of the user-side PC 1 used by the user.
[0022]
The user registration function can be performed by a configuration of a general Web server and a Web browser (a Web browser in the user-side PC is not shown), and can be realized by http / https (Hypertext Transfer Protocol Security) communication. https is a data encryption function using SSL (Secure Sockets Layer) added to HTTP used for transmission / reception of data between clients using a Web server and a Web browser. SSL is a combination of security technologies such as public key encryption, private key encryption, digital certificates, hash functions, etc., and it is possible to prevent data eavesdropping, falsification, and spoofing. Applications that use higher protocols such as HTTP From software, it is possible to use it transparently without being conscious of it. In addition, when the user registration is performed together with an electronic mail (not shown), it is possible to perform registration in consideration of security. It is desirable to use S / MIME (Secure Multipurpose Internet Mail Extensions), which has a security function for e-mail.
[0023]
Encrypted communication is used for communication between the user side PC 1 and the support center server 2 including connection establishment. The above-described SSL or ssh (Secure Shell) can be used for encrypted communication. ssh is mainly used on UNIX (R) computers to log in to another computer over the network, execute commands on remote machines, and move files to other machines It is a program. Since the data flowing on the network is thus encrypted, a series of operations can be performed safely even via the Internet.
[0024]
For server authentication processing and user authentication processing at the time of establishing a connection, a system such as RSA (Rivest Shamir Adleman) authentication or PKI (Public Key Infrastructure) system can be used. RSA authentication is one of public key cryptosystems and is widely used as a standard for public key cryptography. In order to decrypt the RSA cipher, it is necessary to factorize a large integer and it is difficult to find a key, so that security is ensured. Public key exchange is performed in advance between the user-side PC 1 and the support center server 2 at the time of user registration. PKI, also called public key infrastructure or public key cryptography infrastructure, is a system of infrastructure that combines electronic signatures and cryptographic technology to issue certificates from a certification authority to ensure secure electronic communication, including the aforementioned e-mail It is being used for various Internet transactions. The user authentication information is stored in the database of the support center server 2 at the time of user registration, and the server authentication information is notified from the support center server 2 at the time of user registration and stored at the user side PC 1.
[0025]
The session management function manages the access status between the user side PC 1 and the support center server 2, and displays user connection information on the Web browser of the operator terminal 3 by the session display function. Sessions between the user side PC 1 and the support center server 2 are sequentially stored in a database, and the connection history of the user side PC 1 can be referred to at any time.
The implementation of the operator authentication function on the support center server 2 side assumes that the operator terminal 3 is connected to the LAN (Local Area Network) of the support center server 2 and performs network filtering by IP address or MAC address. The authentication function of the Web proxy server is used for login ID and password. If the operator terminal is outside the LAN such as the Internet due to outsourcing, etc., or if the operator terminal is a mobile terminal connected via a wireless communication network such as a wireless LAN, the security is implemented by implementing the encryption protocol as described above. Secure.
[0026]
Remote support by the operator terminal 3 of the user side PC 1 is performed by communication with a remote access Web server installed in the user side PC 1, but the remote access Web of the user side PC 1 from the Web browser of the operator terminal 3. The server is accessed through a Web proxy server in the support center server. The operator terminal 3 accesses the Web server in the support center server, and selects the user PC 1 from the connected user list displayed on the Web browser of the operator terminal 3 in cooperation with the session display function. The support center server 2 establishes a tunnel connection by communication with the user-side PC 1 and connects the selected remote-access Web server of the user-side PC 1 and the Web browser of the operator terminal 3.
[0027]
The remote access Web server of the user side PC 1 collates based on the authentication information stored in advance by the operator authentication function, and continues the operation from the operator terminal 3 when it is determined to be compatible. The operator authentication information is notified from the support center server 2 at the time of user registration and stored in the user side PC 1.
Note that the arrows in FIG. 4 are described centering on the tunnel connection, and do not represent the communication direction of all information.
The remote access server function of the user-side PC 1 is implemented by a Web server and a CGI (Common Gateway Interface). IIS (Internet Information Server) or Apache can be used for the Web server, and ASP (Active Server Pages), PHP (Hypertext Preprocessor), or Perl, Java (R), ActiveX control, etc. are implemented with remote server functions, etc. However, it is also possible to install an original Web server program and implement only necessary functions.
The remote support application is implemented using, for example, Win32 API.
[0028]
FIG. 5 shows a flow of a series of processes related to the tunnel connection starting from the connection request from the user side PC 1 described above.
First, remote access is started from the user-side PC 1 (hereinafter simply referred to as PC 1 in the description of FIG. 5) (S101), and a connection connection request is sent to the support center server 2 (hereinafter simply referred to as server 2 in the description of FIG. 5). (S102). The server 2 waiting for a connection from the user (S121) negotiates with the PC 1 by encrypted communication (S103) (S122). When the negotiation is established, authentication information is transmitted from the server 2 (S123), and the PC 1 performs server authentication processing (S104). The PC 1 that has completed the server authentication process transmits user authentication information (S105), and the server 2 performs the user authentication process (S124). The server 2 that has completed the user authentication process allocates a tunnel connection port (S125), and establishes a tunnel connection through communication with the PC 1 (S126) (S106).
[0029]
The server 2 waits for the connection from the operator terminal 3 on the other side of the connection with the PC 1 (S141), and when the tunnel connection with the PC 1 is established, the connection user information is updated (S127), and the operator terminal that has made a connection request The connection user information is transmitted to 3 (S142), and the connection of the operator terminal is awaited again (S141).
The operator terminal 3 transmits a remote access (remote operation) user display request from the user to the server 2 (S151), and displays the user requesting the remote access (S152). If there is no remote access request from the user, it waits for remote access from the user, and if there is a remote access request, starts remote access (S153). When a user requesting remote access is selected (S154), the server 2 waiting for tunnel connection reception (S128) performs operator connection authentication (S129) and makes a tunnel connection transfer request to the PC 1 (S130). Waiting for a remote access request from the server 2 (S107), the PC 1 performs operator connection authentication (S108). When the operator connection authentication is completed, the PC 1 transmits the remote access server information to the server 2 by the remote access Web server (S109).
[0030]
The server 2 performs tunnel connection transfer processing (S131), connects the remote access Web server of the PC 1 to the Web browser of the operator terminal 3, and the operator terminal 3 transmits the remote access transmitted from the user side PC 1 to be accessed remotely. A list of supported functions is displayed as server information (S155). The corresponding remote access function to be supported is selected from the displayed functions by the operator, and an execution request for the selected function is transmitted to the PC 1 (S156). The execution request is transferred to the PC 1 by the tunnel connection transfer process of the server 2 (S131), and the requested remote access is executed in the PC 1 (S110). The PC 1 continues the remote support operation and waits for the request until the end of the remote access request from the operator terminal 3 (S111).
[0031]
When the remote access operation is completed (S157), the operator terminal 3 notifies the supported PC 1 that the remote access function has been completed (S158), and waits for a remote access request from another user side PC 1 (S151). The notification of the end of execution of the remote access function is transmitted to the PC 1 by the tunnel connection transfer process (S131) of the server 2, and the remote access work ends. When the remote access operation is completed, the PC 1 sends a connection disconnection request to the server 2 (S112). The server 2 updates the connected user information (S132), and disconnects the connection of the connected user that has been the target of remote access until now. (S133) Wait for a connection request from another user (S121).
[0032]
FIG. 6 is an example of a web page displayed on the web browser 31 of the operator terminal 3, and this web page is generated by the web server 22 of the support center server 2 based on user connection information from the session management means 27. It is.
The currently connected user list displayed on the Web browser 31 of the operator terminal 3 includes the user name, serial number, and the like. The e-mail address, connection time, user ID, and URL of the remote access Web server 11 of the connected user PC 1 are displayed together with the port number 20000 assigned in the support center server 2.
When the operator selects / clicks the URL of the user with a mouse or the like, the operator terminal 3 is connected to the user side PC 1 through the Web proxy server 21 in the support center server 2 through a tunnel connection, and the selected user side PC 1 to be supported is selected. A web page is transmitted from the remote support web server 11, and a list of remote access functions is displayed on the web browser 31 of the operator terminal 3 (not shown).
[0033]
In the above-described embodiment, a PC (personal computer) has been described as a user-side computer device that receives support by remote operation. However, the computer device is not limited to a PC, and may be a mobile phone or a PDA (personal digital assistant). Of course, the present invention can be applied to various office automation (OA) devices such as FAX / copy machines, home servers for homes, AV (Audio Visual) devices, or computer devices incorporated in home appliances. .
Further, since the operator terminal connected to the support center server may be a terminal that can be connected to the Internet and includes a Web browser, various mobile terminals can be used. For example, a mobile phone that can be connected to the Internet from a wireless communication network. You can also use a PDA or mobile personal computer by connecting to the Internet through a wireless LAN relay base called a hotspot, or using various types of computers on the user side from these operator terminals Various maintenance and management can be performed not limited to the support work of the device.
Of course, the operator terminal can be operated not only by the administrator on the support center side, but by performing user registration in advance, the user who is the support target can operate the operator terminal. Operate your home server from your mobile phone and make video recording reservations via your home server, or access a network-connected refrigerator from outside and refer to the list of stored foods registered in the refrigerator and the expiration date. Applications such as useful for shopping are also possible. When leaving home, the communication line between the computer device on the user side and the support center server is always connected to keep the connection established.
[0034]
【The invention's effect】
As described above, according to the remote access system of the present invention, an unspecified number of user-side PCs connected to a communication network such as the Internet are maintained and managed by remotely operating them from the operator terminal of the support center. In addition, since the connection with the support center server is established by a connection request from the user side PC, the user side PC can be remotely operated from the Web browser of the operator terminal by performing a tunnel connection inside the connection. It becomes possible to use the NAT function and the general firewall function implemented when using a commercially available router as it is without requiring any special setting. In addition, a special function / setting of the router inserted in the middle is not necessary in the authentication / encryption processing for ensuring security in the communication by the tunnel connection. Furthermore, since the user-side PC includes a remote access Web server that accepts remote operation from an operator terminal and a remote support application, the operator terminal that performs remote operation does not require a special application and is a general Web. It becomes possible to use a browser.
[Brief description of the drawings]
FIG. 1 is a schematic diagram showing a configuration of a remote access system according to an embodiment of the present invention.
FIG. 2 is a schematic diagram showing a processing flow of the system shown in FIG. 1;
FIG. 3 is an overall configuration diagram of the system shown in FIG. 1;
FIG. 4 is a detailed functional explanatory diagram of the system shown in FIG. 1;
FIG. 5 is a detailed process flow diagram of the system shown in FIG. 1;
6 is an example of an operator terminal screen of the system shown in FIG.
[Explanation of symbols]
1, 1a to 1n User side computer device (PC)
2 Support center server
3 Operator terminal
4, 4a to 4n router (NAT function / firewall)
5 Internet
11 Web server for remote access
12 Remote support means
13 Connection means
14 User authentication procedure means
15 Tunnel connection means
16 Operator authentication means
21 Web proxy server
22 Web server
23 User registration means
24 Connection management means
25 User authentication means
26 Tunnel connection management means
27 Session management means
28 Database
31 Web browser

Claims (9)

通信ネットワークに接続されたユーザ側のコンピュータ装置をサポートセンター側のオペレータ端末からの遠隔操作によって維持・管理するリモートアクセスシステムであって、
前記通信ネットワークに接続された不特定多数のユーザ側のコンピュータ装置と、
前記ユーザ側のコンピュータ装置と前記通信ネットワークを介して接続し該コンピュータ装置を維持・管理するためのサポートセンタサーバと、
前記サポートセンタサーバと接続し該サポートセンタサーバを介して前記コンピュータ装置を遠隔操作するための少なくともWebブラウザを備えたオペレータ端末とで構成され、
前記サポートセンタサーバは、ユーザ側のコンピュータ装置の接続要求を待ち該コンピュータ装置からの接続要求により該コンピュータ装置と該サポートセンタサーバとの間のコネクションを確立するコネクション管理手段と、
前記コネクションの確立により該コネクションの内部でトンネル接続を行うことで前記オペレータ端末から前記ユーザ側のコンピュータ装置を遠隔操作可能にするトンネル接続管理手段とを備え、
前記ユーザ側のコンピュータ装置は、前記サポートセンタサーバとのコネクションを行うコネクション手段と、
前記サポートセンタサーバを介して前記オペレータ端末とのトンネル接続を行うトンネル接続手段と、
前記トンネル接続手段により前記サポートセンタサーバを介して前記オペレータ端末からの遠隔操作を受け付けるリモートアクセス用Webサーバと、
前記オペレータ端末からの遠隔操作により該コンピュータ装置の維持・管理を行うためのリモートサポート手段とを備えていることを特徴とするリモートアクセスシステム。A remote access system for maintaining and managing a computer device on a user side connected to a communication network by remote operation from an operator terminal on a support center side,
An unspecified number of user-side computer devices connected to the communication network;
A support center server for connecting to the computer device on the user side via the communication network and maintaining and managing the computer device;
An operator terminal having at least a Web browser for connecting to the support center server and remotely operating the computer device via the support center server;
The support center server waits for a connection request for a computer device on the user side, and establishes a connection between the computer device and the support center server by a connection request from the computer device;
Tunnel connection management means for enabling remote operation of the computer device on the user side from the operator terminal by performing a tunnel connection inside the connection by establishing the connection,
The computer device on the user side has a connection means for making a connection with the support center server,
Tunnel connection means for performing a tunnel connection with the operator terminal via the support center server;
A web server for remote access that receives remote operation from the operator terminal via the support center server by the tunnel connection means;
A remote access system comprising: a remote support means for maintaining and managing the computer device by remote operation from the operator terminal. 前記サポートセンタサーバのトンネル接続管理手段は、該サポートセンタサーバ側でトンネル接続用のポートを割り当てて前記オペレータ端末からの接続要求を待ち受け、該オペレータ端末から行われた接続要求を前記コネクション管理手段で確立したコネクションを通して前記ユーザ側のコンピュータ装置へ転送し、
前記コンピュータ装置のトンネル接続手段は、前記コネクション手段で確立したコネクションを通してトンネル接続を確立し、確立した該トンネルを通して前記オペレータ端末からの接続要求を前記リモートアクセス用Webサーバに転送することを特徴とする請求項1に記載のリモートアクセスシステム。The tunnel connection management means of the support center server allocates a tunnel connection port on the support center server side, waits for a connection request from the operator terminal, and sends a connection request made from the operator terminal to the connection management means. Transfer to the user computer through the established connection;
The tunnel connection means of the computer device establishes a tunnel connection through the connection established by the connection means, and transfers a connection request from the operator terminal to the remote access Web server through the established tunnel. The remote access system according to claim 1. 前記サポートセンタサーバは、前記オペレータ端末と前記ユーザ側コンピュータ装置との間の情報の送受信を行うためのWebプロキシーサーバを備え、
前記ユーザ側のコンピュータ装置は、前記サポートセンタサーバのWebプロキシーサーバ及び該コンピュータ装置のリモートアクセス用Webサーバを介して前記オペレータ端末のWebブラウザ上から遠隔操作されるように構成されていることを特徴とする請求項1又は2に記載のリモートアクセスシステム。The support center server includes a Web proxy server for transmitting and receiving information between the operator terminal and the user-side computer device,
The computer device on the user side is configured to be remotely operated from a Web browser of the operator terminal via a Web proxy server of the support center server and a remote access Web server of the computer device. The remote access system according to claim 1 or 2. 前記ユーザ側のコンピュータ装置は、ファイヤウォール及び/又はNAT機能を有するルータを介して通信ネットワークに接続されていることを特徴とする請求項1又は2に記載のリモートアクセスシステム。3. The remote access system according to claim 1, wherein the computer device on the user side is connected to a communication network via a router having a firewall and / or NAT function. 前記ユーザ側のコンピュータ装置と前記サポートセンタサーバとの間で相互に認証・暗号化を行い、該サポートセンタサーバ及び該コンピュータ装置により前記オペレータ端末の認証を行うことによって該オペレータ端末から該コンピュータ装置への遠隔操作を許可するように構成されていることを特徴とする請求項1又は2に記載のリモートアクセスシステム。The computer device on the user side and the support center server mutually authenticate and encrypt, and the operator terminal is authenticated by the support center server and the computer device, whereby the operator terminal is transferred to the computer device. 3. The remote access system according to claim 1, wherein the remote access system is configured to permit remote operation. 前記サポートセンタサーバは、遠隔操作を要求している前記ユーザ側のコンピュータ装置の接続状況を管理して前記オペレータ端末に通知し、
前記オペレータ端末は、前記サポートセンタサーバから通知されWebブラウザ上に表示した接続状況画面からオペレータによって選択・指定された特定のユーザ側のコンピュータ装置に対する遠隔操作を可能に構成されていることを特徴とする請求項1又は2に記載のリモートアクセスシステム。The support center server manages the connection status of the computer device on the user side requesting remote operation and notifies the operator terminal,
The operator terminal is configured to be capable of remote operation with respect to a computer device on a specific user side selected and designated by an operator from a connection status screen notified from the support center server and displayed on a Web browser. The remote access system according to claim 1 or 2. 前記オペレータ端末の画面には、遠隔操作を要求中のユーザを特定するユーザ情報と、該ユーザ側のコンピュータ装置へのトンネル接続を待ち受けるポート番号を含むURLリンクとが表示され、オペレータによって該URLを指定されることにより遠隔操作を行うユーザの選択が可能に構成されていることを特徴とする請求項6に記載のリモートアクセスシステム。On the screen of the operator terminal, user information for identifying a user who is requesting remote operation and a URL link including a port number for waiting for a tunnel connection to the computer device on the user side are displayed. 7. The remote access system according to claim 6, wherein a user who performs a remote operation can be selected by being designated. 前記オペレータ端末は、オペレータによるWebブラウザの操作により前記トンネル接続を介して前記ユーザ側のコンピュータ装置に接続し、前記リモートサポート手段を介して該コンピュータ装置内及び/又は該コンピュータ装置に接続されている機器の情報の収集・設定・変更等の処理を実行し、実行された該処理結果を該コンピュータ装置から受信して該オペレータ端末のWebブラウザ上に表示することを特徴とする請求項6に記載のリモートアクセスシステム。The operator terminal is connected to the computer device on the user side via the tunnel connection by the operation of a Web browser by an operator, and is connected to the computer device and / or the computer device via the remote support means. The processing of collecting, setting, and changing device information is executed, and the executed processing result is received from the computer device and displayed on a Web browser of the operator terminal. Remote access system. 前記オペレータ端末は、インターネットと接続する手段をさらに有し、前記サポートセンタサーバと該インターネットを介し接続して前記ユーザ側のコンピュータ装置を遠隔操作によって維持・管理するように構成されていることを特徴とする請求項1乃至8のいずれかに記載のリモートアクセスシステム。The operator terminal further includes means for connecting to the Internet, and is configured to be connected to the support center server via the Internet to maintain and manage the computer device on the user side by remote operation. A remote access system according to any one of claims 1 to 8.
JP2003188329A 2003-06-30 2003-06-30 Remote access system Pending JP2005026856A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003188329A JP2005026856A (en) 2003-06-30 2003-06-30 Remote access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003188329A JP2005026856A (en) 2003-06-30 2003-06-30 Remote access system

Publications (1)

Publication Number Publication Date
JP2005026856A true JP2005026856A (en) 2005-01-27

Family

ID=34186911

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003188329A Pending JP2005026856A (en) 2003-06-30 2003-06-30 Remote access system

Country Status (1)

Country Link
JP (1) JP2005026856A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007336112A (en) * 2006-06-14 2007-12-27 Nec Corp Remote lecture system and server apparatus, and remote lecture method used for these
JP2009017471A (en) * 2007-07-09 2009-01-22 Sharp Corp Information communication method
WO2009048163A1 (en) * 2007-10-10 2009-04-16 Nec Corporation Network monitoring system, server device and network monitoring method
WO2009093308A1 (en) * 2008-01-22 2009-07-30 Ntt Pc Communications, Inc. Connection control method, connection control server device, connection control client device, and program
WO2010038791A1 (en) * 2008-09-30 2010-04-08 シャープ株式会社 Av device, server, operating system of the av device, and program for operating the av device
KR101070490B1 (en) 2011-06-13 2011-10-05 주식회사 코이노 Method and system for remote operation of customer's computer
US8874962B2 (en) 2011-12-07 2014-10-28 Optim Corporation Diagnostic handling server using dissatisfying item data
US8904467B2 (en) 2008-01-25 2014-12-02 Sharp Kabushiki Kaisha Device and method to restrict operations from a television receiver or external terminal
US9304716B2 (en) 2012-08-06 2016-04-05 Seiko Epson Corporation Printing device, control system, and control method of a control system
WO2017217476A1 (en) * 2016-06-15 2017-12-21 株式会社エム・クレスト Terminal for remote monitoring system, program for remote monitoring, and remote monitoring system
JP2017228282A (en) * 2016-06-15 2017-12-28 株式会社エム・クレスト Terminal for remote monitoring system, program for remote monitoring, and remote monitoring system
US10958544B2 (en) 2015-09-24 2021-03-23 Yamaha Corporation Communication device, communication system, communication method, and program

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007336112A (en) * 2006-06-14 2007-12-27 Nec Corp Remote lecture system and server apparatus, and remote lecture method used for these
JP2009017471A (en) * 2007-07-09 2009-01-22 Sharp Corp Information communication method
WO2009048163A1 (en) * 2007-10-10 2009-04-16 Nec Corporation Network monitoring system, server device and network monitoring method
JP5206995B2 (en) * 2007-10-10 2013-06-12 日本電気株式会社 Network monitoring system, server device, and network monitoring method
WO2009093308A1 (en) * 2008-01-22 2009-07-30 Ntt Pc Communications, Inc. Connection control method, connection control server device, connection control client device, and program
JP5122587B2 (en) * 2008-01-22 2013-01-16 株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ Connection control method, connection control server device, connection control client device, connection control system, and program
US8904467B2 (en) 2008-01-25 2014-12-02 Sharp Kabushiki Kaisha Device and method to restrict operations from a television receiver or external terminal
US9038122B2 (en) 2008-09-30 2015-05-19 Sharp Kabushiki Kaisha Device and method to limit operations from an AV device or external terminal
WO2010038791A1 (en) * 2008-09-30 2010-04-08 シャープ株式会社 Av device, server, operating system of the av device, and program for operating the av device
JP2010086277A (en) * 2008-09-30 2010-04-15 Sharp Corp Av device, server, operation system for av device, and operation program for av device
CN102165788A (en) * 2008-09-30 2011-08-24 夏普株式会社 AV device, server, operating system of the AV device, and program for operating the AV device
KR101070490B1 (en) 2011-06-13 2011-10-05 주식회사 코이노 Method and system for remote operation of customer's computer
US8874962B2 (en) 2011-12-07 2014-10-28 Optim Corporation Diagnostic handling server using dissatisfying item data
US9304716B2 (en) 2012-08-06 2016-04-05 Seiko Epson Corporation Printing device, control system, and control method of a control system
US9513858B2 (en) 2012-08-06 2016-12-06 Seiko Epson Corporation Printing device, control system, and control method of a control system
US10958544B2 (en) 2015-09-24 2021-03-23 Yamaha Corporation Communication device, communication system, communication method, and program
WO2017217476A1 (en) * 2016-06-15 2017-12-21 株式会社エム・クレスト Terminal for remote monitoring system, program for remote monitoring, and remote monitoring system
JP2017228282A (en) * 2016-06-15 2017-12-28 株式会社エム・クレスト Terminal for remote monitoring system, program for remote monitoring, and remote monitoring system
CN109952561A (en) * 2016-06-15 2019-06-28 日商艾姆克雷斯特公司 Long-Range Surveillance System terminal, long-range monitoring program and Long-Range Surveillance System
KR102057295B1 (en) 2016-06-15 2019-12-18 엠크레스트 리미티드 Terminal for remote monitoring system, program for remote monitoring and remote monitoring system
CN109952561B (en) * 2016-06-15 2020-03-17 日商艾姆克雷斯特公司 Terminal for remote monitoring system, method for remote monitoring, and remote monitoring system

Similar Documents

Publication Publication Date Title
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
JP5744172B2 (en) Proxy SSL handoff via intermediate stream renegotiation
JP4959750B2 (en) Dynamic connection to multiple origin servers with transcoding proxy
CN107113319B (en) Method, device and system for responding in virtual network computing authentication and proxy server
KR101614945B1 (en) Method and apparatus for protecting of pravacy in home network
JPWO2005101217A1 (en) Address translation method, access control method, and apparatus using those methods
WO2005122525A2 (en) An access controller
JP4492248B2 (en) Network system, internal server, terminal device, program, and packet relay method
JP2007520797A (en) System and method for managing proxy requests on a secure network using inherited security attributes
JP2006352834A (en) System and method for encrypted communication
JP2006166028A (en) Vpn connection construction system
JP2005026856A (en) Remote access system
JP2008217366A (en) Service cooperation system, service cooperation method, and service cooperation program
JP2004048458A (en) Secure communication system, policy server, and equipment and program for performing secure communication
Taylor et al. Validating security protocols with cloud-based middleboxes
JP4340848B2 (en) Remote access system and remote access method
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP2007334753A (en) Access management system and method
JP4720576B2 (en) Network security management system, encrypted communication remote monitoring method and communication terminal.
JP2006270431A (en) Call controller, terminal, their programs, and communication channel establishment method
JP2006041726A (en) Shared key replacing system, shared key replacing method and method program
JP2007259384A (en) Communication control system, communication control apparatus, terminal, communication control method, and program therefor
WO2011160390A1 (en) Method and system for managing agent network equipment
Chen et al. Research on meteorological information network security system based on VPN Technology
CN114553414B (en) Intranet penetration method and system based on HTTPS service