JP2010278778A - Remote access system, method, and remote access authentication device - Google Patents

Remote access system, method, and remote access authentication device Download PDF

Info

Publication number
JP2010278778A
JP2010278778A JP2009129513A JP2009129513A JP2010278778A JP 2010278778 A JP2010278778 A JP 2010278778A JP 2009129513 A JP2009129513 A JP 2009129513A JP 2009129513 A JP2009129513 A JP 2009129513A JP 2010278778 A JP2010278778 A JP 2010278778A
Authority
JP
Japan
Prior art keywords
user
authentication
computer
remote access
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009129513A
Other languages
Japanese (ja)
Inventor
Satoshi Akimoto
諭史 秋本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2009129513A priority Critical patent/JP2010278778A/en
Publication of JP2010278778A publication Critical patent/JP2010278778A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a remote access system capable of remotely supplying electric power only to a computer allowed to a user, who remotely accesses an intranet, from the outside of the intranet. <P>SOLUTION: This remote access authentication device 10 of the remote access system 1 generates, upon receiving a log-in request from a terminal device 11, a magic packet including a MAC address of a computer 12 in a LAN 14 to which a user is allowed to remotely access, and broadcasts the magic packet to all computers 12 installed in the LAN if user authentication is successful after performing user authentication of the user who makes a log-in request. If receiving the magic packet, the computer 12 executes an operation for feeding the power when the magic packet is transmitted to its own device. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は,コンピュータやサーバを遠隔操作するリモートアクセスの技術分野に関し,更に詳しくは,リモートアクセス先のコンピュータやサーバの電源を自動で投入するための技術に関する。   The present invention relates to the technical field of remote access for remotely operating a computer or a server, and more particularly to a technology for automatically turning on the power of a computer or server that is a remote access destination.

コンピュータ装置の低価格化やインターネットなどのネットワーク技術の発展を受けて,個人宅や企業に設置されたコンピュータやサーバを遠隔操作するリモートアクセスが容易に実現できるようになった。   With the low cost of computer devices and the development of network technologies such as the Internet, remote access to remotely operate computers and servers installed in private homes and businesses has become easy to implement.

リモートアクセスは企業又や個人を問わず要求が高く,企業では,テレワーク(Telework)を実現するために,時間や場所の制約を受けずに,企業の自席に設置されたコンピュータへリモートアクセスできることが要求されるし,個人では,ネットブック(Netbook)などを利用して外出先から自宅のパーソナルコンピュータ(以下,PC)などへリモートアクセスできることが要求される。   Remote access is highly demanded by both companies and individuals. In order to realize telework, companies can remotely access computers installed at their company's seats without being restricted by time or place. In addition, an individual is required to be able to remotely access a personal computer (hereinafter referred to as a PC) at home from the outside by using a netbook.

リモートアクセスは既に確立された技術で,VPN機器などの装置を企業のイントラネットに設置すれば容易に実現できるようなるが,改善点は多くあり,その一つとして,リモートアクセス先となるコンピュータの電源が常に投入されていなければならないことも,リモートアクセスにおける改善点の一つである。   Remote access is a well-established technology that can be easily implemented by installing a device such as a VPN device on a corporate intranet, but there are many improvements. One example is the power supply of the computer that is the remote access destination. One of the improvements in remote access is that it must always be on.

例えば,大企業では,各従業員にPCが割り当てられているが,テレワークを実現するために,リモートアクセスを実施する場合,従業員がオフィスに不在であるにも関わらず,すべての従業員のPCの電源を常時投入にしておかなければならず,消費電力が無駄になるし,また,セキュリティ的にも問題があるため,リモートアクセスするときにリモートアクセス先のコンピュータの電源を投入できることが望ましい。   For example, in a large company, each employee is assigned a PC, but when remote access is implemented to realize telework, all employees are not present in the office. It is desirable to be able to turn on the computer of the remote access destination when performing remote access because the power of the PC must be turned on at all times, power consumption is wasted, and there are security problems. .

イントラネット(Local Area Network)経由でコンピュータの電源をリモートで投入する方式としてはWOL(Wake On イントラネット)と呼ばれる方式が既に公知で,WOLでは,イントラネット内に設置されたPCのネットワークアダプタに対して,該PCのMACアドレスを含むマジックパケットを送信することで,該PCのネットワークアダプタに電源を投入させる。   As a method for remotely turning on a computer via an intranet (Local Area Network), a method called WOL (Wake On Intranet) is already known. In WOL, a network adapter of a PC installed in an intranet is By transmitting a magic packet including the MAC address of the PC, the PC network adapter is powered on.

しかし,上述したWOLは,イントラネットの外部からイントラネット内のPCの電源をリモートで投入することには対応しておらず,特許文献1では,WOLの技術を利用して,イントラネットの外部からイントラネット内のPCの電源をリモートで投入する発明が開示されている。   However, the above-mentioned WOL does not correspond to remotely turning on the power of the PC in the intranet from outside the intranet. In Patent Document 1, using the WOL technology, the inside of the intranet can be accessed from outside the intranet. An invention for remotely turning on a PC is disclosed.

特許第3885792号公報Japanese Patent No.3885792

確かに,特許文献1で開示されている発明を用いれば,イントラネットの外部からイントラネット内のPCの電源をリモートで投入することができるようになるが,端末からWOL装置に対してマジックパケットの送信要求されるため,マジックパケットの送り先はユーザの操作によって決定されることになり,故意であるか否かに関わらず,ユーザに利用が許可されていないPCの電源までもリモートで投入できてしまう問題があった。   Certainly, if the invention disclosed in Patent Document 1 is used, the power of the PC in the intranet can be remotely turned on from the outside of the intranet, but the magic packet is transmitted from the terminal to the WOL device. Because it is required, the destination of the magic packet is determined by the user's operation, and it is possible to remotely turn on a PC that the user is not permitted to use regardless of whether it is intentional or not. There was a problem.

加えて,ユーザが所持する端末装置には,WOL装置にマジックパケットを送信要求する機能が必要になるし,更に,マジックパケットの送信先は,自分宛のマジックパケットを受け取ると,マジックパケットの送り元に係わらず電源を投入する動作を実行してしまう問題があった。   In addition, the terminal device owned by the user needs to have a function of requesting the WOL device to send a magic packet. Further, when the magic packet destination receives the magic packet addressed to itself, it sends the magic packet. There was a problem that the operation of turning on the power was executed regardless of the original.

そこで,本発明は,イントラネット内のコンピュータにリモートアクセスする際,リモート元になるコンピュータには,WOLのマジックパケットを送信要求する機能が必要なく,更に,イントラネットにリモートアクセスするユーザに許可されたコンピュータのみを,イントラネットの外部からリモートで電源を投入することのできるリモートアクセスシステム,方法及び,リモートアクセスシステムに必要なリモートアクセス認証装置を提供することを目的とする。   Therefore, according to the present invention, when remotely accessing a computer in an intranet, the remote source computer does not need a function for requesting transmission of a WOL magic packet, and is further permitted to a user who remotely accesses the intranet. It is an object of the present invention to provide a remote access system and method that can be turned on remotely from outside the intranet, and a remote access authentication device necessary for the remote access system.

上述した課題を解決する第1の発明は,イントラネット内に設置される複数のコンピュータと,インターネットと前記イントラネットの間に設置されたリモートアクセス認証装置とから少なくとも構成されるリモートアクセスシステムであって,前記コンピュータは,リモートで電源を投入するメッセージを受信すると,自機宛の前記メッセージである場合に電源を投入する動作を実行する手段を備え,前記リモートアクセス認証装置は,インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得し,ユーザ認証を実行するユーザ認証手段と,ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対してリモートアクセスが許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証に成功すると,ユーザ認証したユーザの識別データに関連付けられた固有データを含む前記メッセージを生成し,前記イントラネット内の前記コンピュータに対して前記メッセージを送信する電源投入手段を備えていることを特徴とするリモートアクセスシステムである。   1st invention which solves the subject mentioned above is a remote access system comprised at least from the some computer installed in an intranet, and the remote access authentication apparatus installed between the said internet and the said intranet, When the computer receives a message to remotely turn on the power, the computer has means for executing an operation to turn on the power when the message is addressed to the own device, and the remote access authentication device is connected to the intranet via the Internet. The user's identification data and authentication data are obtained from the terminal device remotely accessing the user, and the user authentication means for executing the user authentication and the user are permitted to access the user in association with the user identification information for each user. Little data specific to the computer If the user authentication is successful, the message including the unique data associated with the identification data of the user authenticated by the user is generated, and the message is transmitted to the computer in the intranet. A remote access system comprising power-on means for performing

更に,第2の発明は,インターネットからイントラネット内に設置されたコンピュータへリモートアクセスするためのリモートアクセス方法であって,インターネットと前記イントラネットの間に設置されたリモートアクセス認証装置が,インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得しユーザ認証するステップaと,前記ステップaでユーザ認証に成功すると,前記リモートアクセス認証装置が,ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対して許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証したユーザの識別データに関連付けられた固有データを含み,リモートで電源を投入するためのメッセージを生成し,前記メッセージを前記イントラネット内の前記コンピュータに対して送信するステップbと,前記メッセージで特定される前記コンピュータが,前記メッセージを受信すると,電源を投入する動作を実行するステップcと,が実行されることを特徴とするリモートアクセス方法である。   Further, the second invention is a remote access method for remotely accessing a computer installed in an intranet from the Internet, wherein a remote access authentication device installed between the Internet and the intranet is connected via the Internet. Step a for acquiring user identification data and authentication data from a terminal device remotely accessing the intranet and performing user authentication; and if user authentication is successful in step a, the remote access authentication device identifies the user for each user. Refer to the access table in which at least the unique data of the computer authorized for the user in association with the information is described, include the unique data associated with the identification data of the user authenticated by the user, and turn on the power remotely For Generating a message and transmitting the message to the computer in the intranet; and executing the operation of turning on the power when the computer specified by the message receives the message; , Are executed, a remote access method.

更に,第3の発明は,インターネットとイントラネットの間に設置されたリモートアクセス認証装置であって, インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得し,ユーザ認証を実行するユーザ認証手段と,ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対してリモートアクセスが許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証に成功すると,ユーザ認証したユーザの識別データに関連付けられた固有データを含む前記メッセージを生成し,前記イントラネット内の前記コンピュータに対して前記メッセージを送信する電源投入手段を備えていることを特徴とするリモートアクセス認証装置である。   Further, the third invention is a remote access authentication device installed between the Internet and an intranet, wherein user identification data and authentication data are acquired from a terminal device that remotely accesses the intranet via the Internet, and User authentication means for performing authentication, and for each user, refer to an access table in which at least the unique data of the computer that is permitted remote access for the user is described in association with the user identification information. If successful, the message generation unit includes power-on means for generating the message including unique data associated with identification data of a user who has been authenticated and transmitting the message to the computer in the intranet. Remote access authentication device .

上述した発明によれば,イントラネットにリモートアクセスするユーザが,リモートで電源を投入するメッセージ(例えば,マジックパケット)を送信する操作を行う必要はなく,リモートアクセス認証装置によって,ユーザ認証に成功したユーザに許可された前記コンピュータの固有データを含む前記メッセージが生成され,前記イントラネット内のコンピュータに送信されるため,ユーザが所持する端末装置に,該メッセージを送信要求する機能を備えさせる必要はなくなる。   According to the above-described invention, the user who remotely accesses the intranet does not need to perform an operation of transmitting a power-on message (for example, magic packet) remotely, and the user who has succeeded in user authentication by the remote access authentication device. Since the message including the unique data of the computer authorized by the user is generated and transmitted to the computer in the intranet, the terminal device possessed by the user need not have a function of requesting transmission of the message.

また,リモートで電源を投入するメッセージの対象となるコンピュータは,アクセステーブルによって管理されているため,該ユーザに許可されたコンピュータ以外のコンピュータに対して,該メッセージが送信されることはない。   Further, since the computer that is the target of the message for turning on the power remotely is managed by the access table, the message is not transmitted to a computer other than the computer authorized by the user.

更に,電源が投入されるコンピュータに対して,リモートで電源を投入するメッセージが送信される前には,ユーザ認証が実行されるため,該コンピュータが電源を投入するときは,該メッセージを送信したユーザは間接的に保証されることになる。   In addition, user authentication is performed before the remote power-on message is sent to the computer to be turned on, so when the computer was turned on, the message was sent. The user will be indirectly guaranteed.

リモートアクセスシステムを説明する図。The figure explaining a remote access system. RA認証装置の動作手順を説明するためのフロー図。The flowchart for demonstrating the operation | movement procedure of RA authentication apparatus. VPN機器が送信するログイン画面の一例を説明する図。The figure explaining an example of the login screen which a VPN apparatus transmits. アクセステーブルのレコードの一例を説明する図。The figure explaining an example of the record of an access table. 端末装置に表示されるユーザ画面の一例を説明する図。The figure explaining an example of the user screen displayed on a terminal device.

ここから,本発明の実施形態について,図を参照しながら詳細に説明する。図1は,本実施形態におけるリモートアクセスシステム1を説明する図である。   Now, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram illustrating a remote access system 1 according to the present embodiment.

図1で図示したリモートアクセスシステム1は,SSL-VPNの技術が適用されたシステムで,企業が管理しているイントラネットであるLAN14の外から,企業のLAN14内に設けられているコンピュータ12にリモートアクセスするために構築されたシステムである。   The remote access system 1 illustrated in FIG. 1 is a system to which SSL-VPN technology is applied, and is remotely connected to a computer 12 provided in the corporate LAN 14 from outside the LAN 14 that is an intranet managed by the company. A system built for access.

図1で図示したリモートアクセスシステム1を構成する主装置は,企業に勤務しているユーザが所持し,例えば,ネットブック(NetBook)などの端末装置11と,企業のLAN14内に設置された複数のコンピュータ12と,インターネット13とLAN14の間に設置され,リモートアクセスするユーザをユーザ認証し,ユーザに対してリモートアクセスが許可されたコンピュータ12に対して,リモートで電源を投入するメッセージとして,WOL(Wake On LAN)のマジックパケットを送信するリモートアクセス認証装置10で(以下,「RA認証装置」と記す。RAは,Remote Accessの略),企業のLAN14内のコンピュータ12はルータ14aに接続され,本実施形態において,RA認証装置10は,VPN機器100とVPN機器100に接続された認証装置110とから構成されている。   The main device constituting the remote access system 1 shown in FIG. 1 is possessed by a user working in a company, and for example, a terminal device 11 such as a netbook (NetBook) and a plurality of devices installed in a LAN 14 of the company. As a message for remotely turning on the computer 12 which is installed between the computer 12 and the Internet 13 and the LAN 14, authenticates the user who remotely accesses, and is permitted to remotely access the user. A remote access authentication device 10 that transmits a magic packet of (Wake On LAN) (hereinafter referred to as “RA authentication device”; RA is an abbreviation of Remote Access), and a computer 12 in a corporate LAN 14 is connected to a router 14a. In this embodiment, the RA authentication device 10 includes the VPN device 100 and the VPN device 100. And the authentication device 110 connected to the.

端末装置11には,リモートアクセスに利用するソフトウェアとして,SSLに対応したブラウザと,ユーザが,Webアプリケーション以外のアプリケーションをリモートアクセスで利用するために,リモートアクセスで該アプリケーションを利用するためのVPN用ソフトウェア(ここでは,RDAC: Remoto Desktop Active X Control)がブラウザのプラグインとしてインストールされている。   The terminal device 11 includes a browser compatible with SSL as software used for remote access, and a VPN for allowing the user to use an application other than a Web application for remote access. Software (here, RDAC: Remoto Desktop Active X Control) is installed as a browser plug-in.

RA認証装置10を構成する認証装置110は,ユーザの識別データ(ここでは,ユーザID)と認証データを用いて,VPN機器100にログインするユーザをユーザ認証する機能と,ユーザ認証に成功すると,ユーザ認証に成功したユーザに許可されたコンピュータ12の固有データ(IPアドレスやMACアドレス)をVPN機器100に送信する機能を備え,VPN機器100は,端末装置11とVPN機器100間の通信をSSL(Secure Sockets Layer)で暗号化する機能,端末装置11からリモートアクセス要求されたコンピュータ12のIPアドレスをインターネット13上のアドレスにマッピングする機能などの一般的な機能に加え,ユーザに許可されたコンピュータ12のMacアドレスを含むWOLのマジックパケットを生成し,LAN14内のコンピュータ12にブロードキャストし,ユーザに許可されたコンピュータ12の電源をリモートで投入する機能が備えられている。   The authentication device 110 constituting the RA authentication device 10 uses the user identification data (here, user ID) and authentication data to authenticate the user who logs in to the VPN device 100, and when the user authentication is successful. The VPN device 100 has a function of transmitting to the VPN device 100 unique data (IP address or MAC address) of the computer 12 permitted by the user who has succeeded in user authentication. The VPN device 100 performs SSL communication between the terminal device 11 and the VPN device 100. In addition to general functions such as a function of encrypting with (Secure Sockets Layer), a function of mapping the IP address of the computer 12 requested for remote access from the terminal device 11 to an address on the Internet 13, a computer permitted by the user Create a WOL magic packet containing 12 Mac addresses And broadcasts to the computer 12 in the LAN 14, the ability to put is provided at the remote off the computer 12 that is permitted to the user.

RA認証装置10を構成するVPN機器100は,ユーザに許可されたコンピュータ12の数が一つであれば,ユーザがVPN機器100にログインしたとき,該ユーザで一意に決定されるコンピュータ12用のマジックパケットを生成・送信する。   If the number of computers 12 permitted to a user is one, the VPN device 100 constituting the RA authentication apparatus 10 is a computer for the computer 12 that is uniquely determined by the user when the user logs in to the VPN device 100. Generate and send magic packets.

また,RA認証装置10を構成するVPN機器100は,ユーザに許可されたコンピュータ12が複数あれば,ユーザがVPN機器100にログインした後,ユーザにコンピュータ12を選択させ,ユーザが選択したコンピュータ12用のマジックパケットを生成・送信する。   Further, if there are a plurality of computers 12 permitted by the user, the VPN device 100 constituting the RA authentication apparatus 10 causes the user to select the computer 12 after logging in to the VPN device 100, and the computer 12 selected by the user. Generate and send a magic packet.

コンピュータ12には,Windows(登録商標)のリモートデスクトップのように,汎用のPCをリモートアクセスで操作するためのソフトウェアがインストールされ,コンピュータ12のネットワークアダプタは,WOLに対応し,該ネットワークアダプタが有するマックアドレスと同じマックアドレスを含むマジックパケットを受信すると,該ネットワークアダプタはコンピュータ12の電源を投入する動作を行う。   Software for operating a general-purpose PC by remote access, such as a remote desktop of Windows (registered trademark), is installed in the computer 12. The network adapter of the computer 12 corresponds to WOL and has the network adapter. When a magic packet including the same MAC address as the MAC address is received, the network adapter performs an operation of turning on the computer 12.

ここから,RA認証装置10の動作手順を説明しながら,上述した内容について詳しく説明する。図2は,RA認証装置10の動作手順を説明するためのフロー図である。   From here, the above-mentioned content is demonstrated in detail, explaining the operation | movement procedure of RA authentication apparatus 10. FIG. FIG. 2 is a flowchart for explaining the operation procedure of the RA authentication apparatus 10.

RA認証装置10を構成するVPN機器100のURLは,企業側からユーザに予め知らされているか,或いは,端末装置11のブラウザに記憶され,ユーザは,ブラウザを利用してVPN機器100のURLにアクセスし,VPN機器100に対してログイン要求を行う(S1)。   The URL of the VPN device 100 constituting the RA authentication device 10 is known in advance by the user from the company side or stored in the browser of the terminal device 11, and the user uses the browser to set the URL of the VPN device 100. Access and make a login request to the VPN device 100 (S1).

RA認証装置10を構成するVPN機器100は,Httpsプロトコルによるアクセスに対応し,端末装置11のブラウザからRA認証装置10のVPN機器100にアクセスがあると,端末装置11のブラウザとRA認証装置10のVPN機器100間でSSLの手順が実行され(S2),端末装置11のブラウザとRA認証装置10のVPN機器100間の通信が暗号化される。   The VPN device 100 constituting the RA authentication device 10 supports access by the HTTPS protocol. When the VPN device 100 of the RA authentication device 10 is accessed from the browser of the terminal device 11, the browser of the terminal device 11 and the RA authentication device 10 The SSL procedure is executed between the VPN devices 100 (S2), and the communication between the browser of the terminal device 11 and the VPN device 100 of the RA authentication device 10 is encrypted.

端末装置11のブラウザとRA認証装置10間の通信がSSLで暗号化されると,RA認証装置10のVPN機器100は,リモートアクセスするユーザのユーザID及び認証データを入力するフォームを含み,RA認証装置10のVPN機器100へユーザがログインするためのログイン画面を端末装置11に対して送信する(S3)。   When the communication between the browser of the terminal device 11 and the RA authentication device 10 is encrypted by SSL, the VPN device 100 of the RA authentication device 10 includes a form for inputting the user ID and authentication data of the user who remotely accesses the RA device. A login screen for the user to log in to the VPN device 100 of the authentication device 10 is transmitted to the terminal device 11 (S3).

図3は,RA認証装置10のVPN機器100が送信するログイン画面の一例を説明する図である。本実施形態では,ユーザ認証のみが実施されるため,RA認証装置10のVPN機器100が送信するログイン画面2には,VPN機器100にログインするユーザのユーザID及び認証データを入力するフォーム20,21に加え,RA認証装置10のVPN機器100へユーザID及び認証データを送信するときにクリックされるログインボタン22,RA認証装置10のVPN機器100へのログインをキャンセルするときにキャンセルボタン23などが含まれる。   FIG. 3 is a diagram for explaining an example of a login screen transmitted by the VPN device 100 of the RA authentication apparatus 10. In this embodiment, since only user authentication is performed, the login screen 2 transmitted by the VPN device 100 of the RA authentication device 10 includes a form 20 for inputting the user ID and authentication data of the user who logs in to the VPN device 100, 21, a login button 22 that is clicked when transmitting a user ID and authentication data to the VPN device 100 of the RA authentication device 10, a cancel button 23 when canceling the login of the RA authentication device 10 to the VPN device 100, and the like. Is included.

RA認証装置10のVPN機器100が端末装置11に送信するログイン画面の内容はユーザ認証に用いる手法などによって異なり,ユーザ認証にOTP(One-Time Password)や単なるパスワードを利用するときは,図3に図示したように,OTPやパスワードを入力するフォーム20,21が該ログイン画面には含まれる。   The contents of the login screen transmitted from the VPN device 100 of the RA authentication device 10 to the terminal device 11 differ depending on the method used for user authentication and the like. When using OTP (One-Time Password) or a simple password for user authentication, FIG. As shown in FIG. 5, the login screen includes forms 20 and 21 for inputting an OTP and a password.

また,ユーザ認証にバイオメトリクス認証を利用することもでき,このとき,端末装置11にはユーザのバイオメトリクスデータを読み取る装置(例えば,指紋リーダ)が接続され,RA認証装置10のVPN機器100が端末装置11に送信するログイン画面には,該装置を起動させて,ユーザのバイオメトリクスデータを読み取るためのボタンが含まれる。   In addition, biometric authentication can also be used for user authentication. At this time, a device (for example, a fingerprint reader) that reads user biometric data is connected to the terminal device 11, and the VPN device 100 of the RA authentication device 10 is connected to the terminal device 11. The login screen transmitted to the terminal device 11 includes a button for starting the device and reading the user's biometric data.

更に,企業内に複数のLAN14が存在する場合,RA認証装置10のVPN機器100が送信するログイン画面には,ユーザがアクセスするLAN14のネットワーク名などをユーザに選択させるフォームを含ませてもよい。   Furthermore, when there are a plurality of LANs 14 in the company, the login screen transmitted by the VPN device 100 of the RA authentication apparatus 10 may include a form that allows the user to select the network name of the LAN 14 that the user accesses. .

図2の説明に戻る。RA認証装置10のVPN機器100から端末装置11に送信されたログイン画面にユーザが入力したユーザID及び認証データは,例えば,図3で図示したログイン画面2のログインボタン22がクリックされることで,端末装置11からRA認証装置10のVPN機器100へ送信される(S4)。   Returning to the description of FIG. The user ID and authentication data input by the user on the login screen transmitted from the VPN device 100 of the RA authentication device 10 to the terminal device 11 are obtained by, for example, clicking the login button 22 on the login screen 2 shown in FIG. , The data is transmitted from the terminal device 11 to the VPN device 100 of the RA authentication device 10 (S4).

ユーザID及び認証データが送信されると,RA認証装置10のVPN機器100は,これらのデータをRA認証装置10の認証装置110に送信して,RA認証装置10のVPN機器100にログイン要求したユーザのユーザ認証をRA認証装置10の認証装置110に委任し,RA認証装置10の認証装置110は,RA認証装置10のVPN機器100にログイン要求したユーザをユーザ認証する(S5)。   When the user ID and authentication data are transmitted, the VPN device 100 of the RA authentication device 10 transmits these data to the authentication device 110 of the RA authentication device 10 and makes a login request to the VPN device 100 of the RA authentication device 10. The user authentication of the user is delegated to the authentication device 110 of the RA authentication device 10, and the authentication device 110 of the RA authentication device 10 authenticates the user who made a login request to the VPN device 100 of the RA authentication device 10 (S5).

ユーザ認証する機能など,RA認証装置10に必要な機能すべてVPN機器100に備えさせ,RA認証装置10をVPN機器100のみで構成することもできるが,端末装置11のプラットフォーム完全性など,より高度な認証が行えるように,VPN機器100とは別に認証装置110を設けておくとよい。   Although all the functions required for the RA authentication device 10 such as a user authentication function can be provided in the VPN device 100 and the RA authentication device 10 can be configured only by the VPN device 100, it is more sophisticated such as the platform integrity of the terminal device 11. It is preferable to provide an authentication device 110 separately from the VPN device 100 so that the authentication can be performed.

RA認証装置10の認証装置110は,ユーザ認証をRA認証装置10のVPN機器100から委任されると,ユーザ認証に利用する参照データなどが記憶されたアクセステーブルを参照し,RA認証装置10のVPN機器100から引き渡されたユーザID及び認証データを認証する。   When the user authentication is delegated from the VPN device 100 of the RA authentication device 10, the authentication device 110 of the RA authentication device 10 refers to an access table in which reference data used for user authentication is stored, and the RA authentication device 10 The user ID and authentication data delivered from the VPN device 100 are authenticated.

図4は,RA認証装置10の認証装置110が記憶しているアクセステーブルのレコードの一例を説明する図である。図4で図示したアクセステーブルのレコード3には,LAN14へのリモートアクセスが許可されたユーザIDに関連付けて,ユーザの認証データと照合する参照データと,ユーザにリモートアクセスが許可されたコンピュータ12の固有データが記述さて,本実施形態において,該コンピュータ12の固有データには,コンピュータ名,LAN14内のIPアドレス,ネットワークアダプタが有するマックアドレス及びサービス名称(ここでは,リモートデスクトップ)が含まれる。   FIG. 4 is a diagram illustrating an example of an access table record stored in the authentication device 110 of the RA authentication device 10. In the record 3 of the access table shown in FIG. 4, reference data to be collated with the user authentication data in association with the user ID permitted to remotely access the LAN 14, and the computer 12 permitted to be remotely accessed by the user. In this embodiment, the unique data of the computer 12 includes the computer name, the IP address in the LAN 14, the MAC address of the network adapter, and the service name (here, remote desktop).

なお,図4では,1台のコンピュータ12の固有データを図示しており,複数台のコンピュータ12の利用が一人のユーザに対して許可されている場合,一つのユーザIDに関連付けて,コンピュータ12毎に固有データが記述される。   Note that FIG. 4 shows unique data of one computer 12, and when the use of a plurality of computers 12 is permitted for one user, the computer 12 is associated with one user ID. Unique data is described for each.

ここから,図2の説明に戻る。RA認証装置10の認証装置110は,RA認証装置10のVPN機器100から引き渡されたユーザID及び認証データを認証するとき,アクセステーブルを参照し,該ユーザIDが記憶されているレコードを特定し,該レコードの参照データと該認証データを照合することでユーザ認証を実施し,ユーザ認証に成功すると,ユーザ認証の成功結果を示すフラグに加え,該レコードに記述されたすべての固有データを少なくとも含むユーザ認証結果をRA認証装置10のVPN機器100に返信する。   From here, it returns to description of FIG. When authenticating the user ID and authentication data delivered from the VPN device 100 of the RA authentication device 10, the authentication device 110 of the RA authentication device 10 refers to the access table and specifies the record in which the user ID is stored. The user authentication is performed by comparing the reference data of the record with the authentication data. When the user authentication is successful, in addition to the flag indicating the success result of the user authentication, all the unique data described in the record is at least The user authentication result including the response is returned to the VPN device 100 of the RA authentication device 10.

RA認証装置10のVPN機器100は,RA認証装置10の認証装置110からユーザ認証結果を受信し,該ユーザ認証結果でユーザ認証の成功が示されていると,該ユーザ認証結果に含まれるコンピュータ12の固有データを利用して,ユーザに許可されたコンピュータ12のリストを含むユーザ画面を生成し,該ユーザ画面を端末装置11に送信する(S6)。   The VPN device 100 of the RA authentication device 10 receives the user authentication result from the authentication device 110 of the RA authentication device 10, and if the user authentication result indicates successful user authentication, the computer included in the user authentication result Using the 12 unique data, a user screen including a list of the computers 12 permitted by the user is generated, and the user screen is transmitted to the terminal device 11 (S6).

図5は,端末装置11に表示されるユーザ画面の一例を説明する図である。図5で図示したユーザ画面4には,RA認証装置10のVPN機器100にログインしたユーザのユーザID40が表示され,更に,該ユーザに許可されたコンピュータ12のリスト(ここでは,二台)から一台のコンピュータ12を選択させるフォーム41と,選択したコンピュータ12にリモートアクセスするときにクリックされるアクセスボタン42と,RA認証装置10のVPN機器100からログオフするためのログオフボタン43と,ヘルプボタン44が表示される。   FIG. 5 is a diagram illustrating an example of a user screen displayed on the terminal device 11. The user screen 4 illustrated in FIG. 5 displays the user ID 40 of the user who has logged in to the VPN device 100 of the RA authentication apparatus 10 and, further, from the list of computers 12 permitted to the user (two in this case). A form 41 for selecting one computer 12, an access button 42 that is clicked when remotely accessing the selected computer 12, a log-off button 43 for logging off from the VPN device 100 of the RA authentication device 10, and a help button 44 is displayed.

図5で示したフォーム41には,コンピュータ12のコンピュータ名に関連付けて,該コンピュータ12のIPアドレス及び該コンピュータ12で提供されているサービスの名称(ここでは,リモートデスクトップ)が表示され,コンピュータ名が「PC_001」であるコンピュータ12は,ユーザの自席のコンピュータ12で,コンピュータ名が「Common_PC」であるコンピュータ12は,ユーザが所属する部門の共有のコンピュータ12で,それぞれのコンピュータ12で提供されているサービスはリモートデスクトップである。   The form 41 shown in FIG. 5 displays the IP address of the computer 12 and the name of the service provided by the computer 12 (here, remote desktop) in association with the computer name of the computer 12. A computer 12 whose personal computer is “PC — 001” is a computer 12 at the user's own seat, and a computer 12 whose computer name is “Common_PC” is a shared computer 12 of the department to which the user belongs, and is provided by each computer 12. The service is remote desktop.

ここから,図2の説明に戻る。ユーザは,端末装置11にユーザ画面が表示されると,端末装置11を操作し,ユーザ画面に表示されたコンピュータ12の中から,一つのコンピュータ12(ここでは,自席のPC)を選択した後,図5で図示したアクセスボタン42をクリックすると,選択したコンピュータ12に対するVPN接続要求が端末装置11からRA認証装置10のVPN機器100に送信される(S7)。   From here, it returns to description of FIG. When the user screen is displayed on the terminal device 11, the user operates the terminal device 11 and selects one computer 12 (here, a personal computer) from among the computers 12 displayed on the user screen. When the access button 42 shown in FIG. 5 is clicked, a VPN connection request for the selected computer 12 is transmitted from the terminal device 11 to the VPN device 100 of the RA authentication device 10 (S7).

RA認証装置10のVPN機器100は,RA認証装置10の認証装置110から得られたコンピュータ12の固有データの中から,ユーザが選択したコンピュータ12の固有データを選択し,該コンピュータ12へ接続するときに端末装置11がアクセスするインターネット13上のIPアドレス,該コンピュータ12のLAN14内におけるIPアドレス,トンネル名などのVPNパラメータを決定し,インターネット13のIPアドレスからLAN14内のIPアドレスへマッピングが行えるようにネットワーク設定を行う(S8)。   The VPN device 100 of the RA authentication device 10 selects the unique data of the computer 12 selected by the user from the unique data of the computer 12 obtained from the authentication device 110 of the RA authentication device 10 and connects to the computer 12. VPN parameters such as the IP address on the Internet 13 that the terminal device 11 accesses, the IP address in the LAN 14 of the computer 12 and the tunnel name are determined, and the IP address in the LAN 14 can be mapped to the IP address in the LAN 14 Network settings are made as described above (S8).

RA認証装置10のVPN機器100は,ネットワーク設定を行った後,ユーザが選択したコンピュータ12の固有データに記述されたMacアドレスを含むマジックパケットを生成し,LAN14内に設置されたコンピュータ12となる全てに対して,ルータ14aを介して,該マジックパケットをブロードキャストする(S9)。   The VPN device 100 of the RA authentication apparatus 10 generates a magic packet including the Mac address described in the unique data of the computer 12 selected by the user after performing the network setting, and becomes the computer 12 installed in the LAN 14. The magic packet is broadcast to all via the router 14a (S9).

RA認証装置10のVPN機器100から送信されたマジックパケットに含まれるMACアドレスと同じMACアドレスを有するコンピュータ12(ここでは,自席のPC)のネットワークアダプタは,コンピュータ12の電源を投入する動作を行い(S10),マジックパケットに対する応答をRA認証装置10のVPN機器100に送信する(S11)。   The network adapter of the computer 12 (here, the personal computer) having the same MAC address as the MAC address included in the magic packet transmitted from the VPN device 100 of the RA authentication apparatus 10 performs an operation of turning on the computer 12. (S10), a response to the magic packet is transmitted to the VPN device 100 of the RA authentication device 10 (S11).

RA認証装置10のVPN機器100は,マジックパケットに対する応答を受信すると,VPNパラメータを含み,RDACを起動させるVPN接続応答を端末装置11に送信し(S12),端末装置11のブラウザは,ブラウザにインストールされているRDACを起動させ,RDACは,RA認証装置10のVPN機器100から受信したVPNパラメータを利用してネットワーク設定を行い(S13),端末装置11とRA認証装置10のVPN機器100間でVPNが確立され(S14),VPNが確立されると,端末装置11からコンピュータ12へのリモートアクセスが可能になる。   Upon receiving the response to the magic packet, the VPN device 100 of the RA authentication device 10 transmits a VPN connection response including the VPN parameters and starting the RDAC to the terminal device 11 (S12), and the browser of the terminal device 11 sends the browser to the browser. The installed RDAC is activated, and the RDAC performs network setting using the VPN parameters received from the VPN device 100 of the RA authentication device 10 (S13), and between the terminal device 11 and the VPN device 100 of the RA authentication device 10 Then, the VPN is established (S14), and when the VPN is established, remote access from the terminal device 11 to the computer 12 becomes possible.

なお、本発明は、これまで説明した実施の形態に限定されることなく、種々の変形や変更が可能であって、それらも本発明の均等の範囲内である。   The present invention is not limited to the embodiments described so far, and various modifications and changes can be made, and these are also within the equivalent scope of the present invention.

VPN機器100の仕様やLAN14の仕様などによって,VPN機器100からコンピュータ12へマジックパケットをブロードキャストできない場合,特開2008―85687号公報で開示されている発明などを利用して,マジックパケットをブロードキャストする機器を設けることもできる。   If the magic packet cannot be broadcast from the VPN device 100 to the computer 12 due to the specifications of the VPN device 100 or the LAN 14, etc., the magic packet is broadcast using the invention disclosed in Japanese Patent Laid-Open No. 2008-85687. Equipment can also be provided.

例えば,本実施形態では,マジックパケットをブロードキャストする機器をルータ14aに接続し,RA認証装置10のVPN機器100はマジックパケットのブロードキャストを該機器に委任し,該機器が,ルータ14aを介して,マジックパケットをブロードキャストするようにすればよい。   For example, in this embodiment, a device that broadcasts a magic packet is connected to the router 14a, and the VPN device 100 of the RA authentication apparatus 10 delegates the broadcast of the magic packet to the device, and the device passes through the router 14a. The magic packet may be broadcast.

1 リモートアクセスシステム
10 リモートアクセス認証装置(RA認証装置)
11 端末装置
12 LAN内のコンピュータ
13 インターネット
14 LAN
1 Remote Access System 10 Remote Access Authentication Device (RA Authentication Device)
11 Terminal device 12 Computer in LAN 13 Internet 14 LAN

Claims (3)

イントラネット内に設置される複数のコンピュータと,インターネットと前記イントラネットの間に設置されたリモートアクセス認証装置とから少なくとも構成されるリモートアクセスシステムであって,
前記コンピュータは,リモートで電源を投入するメッセージを受信すると,自機宛の前記メッセージである場合に電源を投入する動作を実行する手段を備え,
前記リモートアクセス認証装置は,インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得し,ユーザ認証を実行するユーザ認証手段と,ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対してリモートアクセスが許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証に成功すると,ユーザ認証したユーザの識別データに関連付けられた固有データを含む前記メッセージを生成し,前記イントラネット内の前記コンピュータに対して前記メッセージを送信する電源投入手段を備え,
ていることを特徴とするリモートアクセスシステム。 A remote access system comprising at least a plurality of computers installed in an intranet and a remote access authentication device installed between the Internet and the intranet,
When the computer receives a message to turn on the power remotely, the computer includes means for performing an operation to turn on the power when the message is addressed to the own device.
The remote access authentication device acquires user identification data and authentication data from a terminal device that remotely accesses the intranet via the Internet, and performs user authentication on user authentication information and user identification information for each user. In association, referring to the access table in which at least the unique data of the computer to which remote access is permitted for the user is described and the user authentication is successful, the unique data associated with the identification data of the user authenticated by the user is included. Power generation means for generating the message and transmitting the message to the computer in the intranet;
A remote access system characterized by インターネットからイントラネット内に設置されたコンピュータへリモートアクセスするためのリモートアクセス方法であって,
インターネットと前記イントラネットの間に設置されたリモートアクセス認証装置が,インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得しユーザ認証するステップaと,
前記ステップaでユーザ認証に成功すると,前記リモートアクセス認証装置が,ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対して許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証したユーザの識別データに関連付けられた固有データを含み,リモートで電源を投入するためのメッセージを生成し,前記メッセージを前記イントラネット内の前記コンピュータに対して送信するステップbと,
前記メッセージで特定される前記コンピュータが,前記メッセージを受信すると,電源を投入する動作を実行するステップcと,
が実行されることを特徴とするリモートアクセス方法。 A remote access method for remotely accessing a computer installed in an intranet from the Internet,
A remote access authentication device installed between the Internet and the intranet acquires user identification data and authentication data from a terminal device that remotely accesses the intranet via the Internet, and performs user authentication;
If the user authentication is successful in step a, the remote access authentication device refers to an access table in which at least the specific data of the computer permitted for the user is described in association with the user identification information for each user. Generating a message for powering on remotely, including unique data associated with the identification data of the user authenticated by the user, and sending the message to the computer in the intranet; b
The computer identified by the message, when receiving the message, executing an operation of turning on the power; c.
Is executed, a remote access method. インターネットとイントラネットの間に設置されたリモートアクセス認証装置であって,
インターネットを介して前記イントラネットにリモートアクセスする端末装置からユーザの識別データ及び認証データを取得し,ユーザ認証を実行するユーザ認証手段と,
ユーザ毎に,ユーザの識別情報に関連付けて,ユーザに対してリモートアクセスが許可された前記コンピュータの固有データが少なくとも記述されたアクセステーブルを参照し,ユーザ認証に成功すると,ユーザ認証したユーザの識別データに関連付けられた固有データを含む前記メッセージを生成し,前記イントラネット内の前記コンピュータに対して前記メッセージを送信する電源投入手段と、
を備えていることを特徴とするリモートアクセス認証装置。
A remote access authentication device installed between the Internet and an intranet,
User authentication means for acquiring user identification data and authentication data from a terminal device remotely accessing the intranet via the Internet, and executing user authentication;
For each user, refer to the access table that describes at least the unique data of the computer that is allowed remote access for the user in association with the user identification information. Power-on means for generating the message including unique data associated with data and transmitting the message to the computer in the intranet;
A remote access authentication device comprising:
JP2009129513A 2009-05-28 2009-05-28 Remote access system, method, and remote access authentication device Pending JP2010278778A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009129513A JP2010278778A (en) 2009-05-28 2009-05-28 Remote access system, method, and remote access authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009129513A JP2010278778A (en) 2009-05-28 2009-05-28 Remote access system, method, and remote access authentication device

Publications (1)

Publication Number Publication Date
JP2010278778A true JP2010278778A (en) 2010-12-09

Family

ID=43425319

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009129513A Pending JP2010278778A (en) 2009-05-28 2009-05-28 Remote access system, method, and remote access authentication device

Country Status (1)

Country Link
JP (1) JP2010278778A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013081070A (en) * 2011-10-04 2013-05-02 Murata Mach Ltd Relay server
JP2014110515A (en) * 2012-11-30 2014-06-12 Japan Digital Laboratory Co Ltd Connection authentication system and connection authentication method
US9159007B2 (en) 2012-03-02 2015-10-13 Seiko Epson Corporation Network system, network apparatus and start indicating apparatus
KR101611841B1 (en) 2015-06-18 2016-04-12 알서포트 주식회사 Computer power management method using internal network connected management device
JP2017537483A (en) * 2015-08-28 2017-12-14 小米科技有限責任公司Xiaomi Inc. Method and apparatus for waking up an electronic device
CN110839070A (en) * 2019-11-05 2020-02-25 中盈优创资讯科技有限公司 Multi-system management device and method, remote system and main system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003319083A (en) * 2002-04-24 2003-11-07 Nec Corp Remote starting method for terminal unit over communication network and home access controller
JP2006172186A (en) * 2004-12-16 2006-06-29 Heartland:Kk Network system for remote control of computer power source and management system for managing remote control of computer power source

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003319083A (en) * 2002-04-24 2003-11-07 Nec Corp Remote starting method for terminal unit over communication network and home access controller
JP2006172186A (en) * 2004-12-16 2006-06-29 Heartland:Kk Network system for remote control of computer power source and management system for managing remote control of computer power source

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013081070A (en) * 2011-10-04 2013-05-02 Murata Mach Ltd Relay server
US9159007B2 (en) 2012-03-02 2015-10-13 Seiko Epson Corporation Network system, network apparatus and start indicating apparatus
JP2014110515A (en) * 2012-11-30 2014-06-12 Japan Digital Laboratory Co Ltd Connection authentication system and connection authentication method
KR101611841B1 (en) 2015-06-18 2016-04-12 알서포트 주식회사 Computer power management method using internal network connected management device
JP2017537483A (en) * 2015-08-28 2017-12-14 小米科技有限責任公司Xiaomi Inc. Method and apparatus for waking up an electronic device
CN110839070A (en) * 2019-11-05 2020-02-25 中盈优创资讯科技有限公司 Multi-system management device and method, remote system and main system

Similar Documents

Publication Publication Date Title
US8838965B2 (en) Secure remote support automation process
CA2921935C (en) Secure installation of encryption enabling software onto electronic devices
US7734910B2 (en) Managed device, management system, method for controlling a managed device and medium
US10637650B2 (en) Active authentication session transfer
JP6929181B2 (en) Devices and their control methods and programs
JP6061633B2 (en) Device apparatus, control method, and program thereof.
WO2017083209A1 (en) Single sign-on identity management between local and remote systems
JP3831364B2 (en) Communication system and security policy distribution method in the communication system
US20120311660A1 (en) SYSTEM AND METHOD FOR MANAGING IPv6 ADDRESS AND ACCESS POLICY
JP2013242808A (en) Information processing apparatus, control method and program of the same, and image processing apparatus
CN102271134B (en) Method and system for configuring network configuration information, client and authentication server
JP2010278778A (en) Remote access system, method, and remote access authentication device
CN107294952B (en) Method for realizing zero terminal network admittance
JP5023804B2 (en) Authentication method and authentication system
US8930576B1 (en) Secure communication network
US9349017B2 (en) System and method for authentication
JP2006172186A (en) Network system for remote control of computer power source and management system for managing remote control of computer power source
JP2009277024A (en) Connection control method, communication system and terminal
CN103179108B (en) Application authentication method and computer system
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
US20150074775A1 (en) System and Method To Enhance Personal Server Security Using Personal Server Owner&#39;s Location Data
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
Galbraith et al. Secure Shell Public Key Subsystem
TW201322814A (en) Communication system for providing remote access and communication method therefor
Varakliotis et al. The use of Handle to aid IoT security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130226

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130625