JP2012238150A - Information processing system and information processing method - Google Patents

Information processing system and information processing method Download PDF

Info

Publication number
JP2012238150A
JP2012238150A JP2011106185A JP2011106185A JP2012238150A JP 2012238150 A JP2012238150 A JP 2012238150A JP 2011106185 A JP2011106185 A JP 2011106185A JP 2011106185 A JP2011106185 A JP 2011106185A JP 2012238150 A JP2012238150 A JP 2012238150A
Authority
JP
Japan
Prior art keywords
information processing
intranet
management server
internet
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011106185A
Other languages
Japanese (ja)
Inventor
Kiwamu Okabe
究 岡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2011106185A priority Critical patent/JP2012238150A/en
Publication of JP2012238150A publication Critical patent/JP2012238150A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To enable access from the Internet to an intranet as well as access from the intranet to the Internet.SOLUTION: An information processing system comprises: a first information processor connected to the Internet; a first management server for managing access from the first information processor to an intranet via the Internet; a second information processor connected to the intranet; and a second management server for managing access from the second information processor to the Internet via the intranet. In the system, the first management server and the second management server perform bi-directional communication between them.

Description

本発明は、情報処理システム及び情報処理方法に関する。   The present invention relates to an information processing system and an information processing method.

従来から、インターネット標準の技術を用いて構築された企業内ネットワークであるイントラネットは、インターネットからは隔離されたネットワークであり、イントラネットからインターネットへのアクセスは一部しか行うことができず、また、インターネットからイントラネットへのアクセスは、イントラネット管理者から全く許可がなされていないことが一般的である。   Traditionally, an intranet, which is a corporate network built using Internet standard technology, is a network that is isolated from the Internet, and only a part of the Internet can be accessed from the intranet. In general, access to the intranet is not permitted at all by the intranet administrator.

この背景には、イントラネットを構築する目的として、そもそも、イントラネット内の情報処理装置に対するインターネットからの攻撃を防止したいという要求、及び、イントラネット内の秘密情報へのアクセスをコントロールしたいという要求が存在するためである。   In this background, the purpose of constructing an intranet is that there is a request to prevent attacks from the Internet on information processing devices in the intranet and a request to control access to confidential information in the intranet. It is.

特許文献1には、通信ネットワークを介して外部からアクセス可能な宅内アクセス管理装置によって、外部からの起動要求に対して宅内に存在する複数の端末装置のうちの指定された端末装置を起動する技術が開示されている。   Patent Document 1 discloses a technology for starting a designated terminal device among a plurality of terminal devices existing in a home in response to an external start request by a home access management device accessible from the outside via a communication network. Is disclosed.

特許文献2には、UPnP(Universal Plug and Play)規格を用いた通信方式により、遠隔地からNAT(Network Address Translation)部を有するホームゲートウェイを介してホームネットワークへのアクセスを可能としたリモートアクセスシステムの技術が開示されている。   Patent Document 2 discloses a remote access system that enables access to a home network from a remote location via a home gateway having a NAT (Network Address Translation) unit by a communication method using the UPnP (Universal Plug and Play) standard. The technology is disclosed.

しかしながら、イントラネット内の情報処理装置に対するインターネットからの攻撃を防止するためには、企業内ネットワークの拠点間接続等に使用され、公衆回線をあたかも専用回線であるかのように利用できるサービスであるVPN(Virtual Private Network)等を使用することによって解決することができるが、イントラネット内の秘密情報へのアクセスをコントロールするためには、アクセスを原則的に禁止とするか、VPN経由のアクセスであれば許可するかといった選択のみであり、イントラネット内のデータについてのアクセス権限を設定することは困難であるという問題があった。   However, in order to prevent attacks on the information processing apparatus in the intranet from the Internet, VPN is a service that is used for connection between bases of an in-house network and the public line can be used as if it were a dedicated line. (Virtual Private Network) can be used to solve this problem, but in order to control access to secret information in the intranet, access should be prohibited in principle, or if access is via VPN There is a problem that it is difficult to set access authority for data in the intranet, only to select whether to permit.

また、インターネットには良質のWebアプリケーションが多数存在するが、インターネットからイントラネット内のデータを取得する方法が存在しないために、インターネットWebアプリケーションが、イントラネット内のデータを使用することができないという問題もある。   In addition, there are many high-quality Web applications on the Internet. However, since there is no method for acquiring data in the intranet from the Internet, there is also a problem that the Internet Web application cannot use data in the intranet. .

さらに、特許文献1に記載された技術は、イントラネットへのアクセスコントロール自体をインターネットから制御できるものではなく、特許文献2に記載された技術は、UPnP規格自体はインターネットからイントラネットへのアクセスを可能にするものであるが、アクセスコントロールまでをも可能とするものではない。   Furthermore, the technology described in Patent Document 1 cannot control access control to the intranet itself from the Internet, and the technology described in Patent Document 2 enables the UPnP standard itself to access the intranet from the Internet. However, it does not allow even access control.

そこで本発明は、上記問題点に鑑みてなされたものであって、インターネットからイントラネット内の情報処理装置へのアクセスを可能にし、イントラネット内からインターネットの情報処理装置へのアクセスを可能にすることができる情報処理システム及び情報処理方法を提供することを目的とする。   Accordingly, the present invention has been made in view of the above-described problems, and enables access to an information processing device in an intranet from the Internet, and enables access to an information processing device in the Internet from within the intranet. An object is to provide an information processing system and an information processing method.

上記課題を解決するため、請求項1に記載の本発明における情報処理システムは、インターネットに接続された第1の情報処理装置と、前記インターネットを経由し、前記第1の情報処理装置からイントラネットに対するアクセスを管理する第1の管理サーバと、イントラネットに接続された第2の情報処理装置と、前記イントラネットを経由し、前記第2の情報処理装置から前記インターネットに対するアクセスを管理する第2の管理サーバと、を含み、前記第1の管理サーバと前記第2の管理サーバとの間で双方向の通信を行うことを特徴とする。   In order to solve the above-described problem, an information processing system according to the first aspect of the present invention includes a first information processing apparatus connected to the Internet, and the first information processing apparatus connected to the intranet via the Internet. A first management server for managing access; a second information processing apparatus connected to the intranet; and a second management server for managing access to the Internet from the second information processing apparatus via the intranet And performing two-way communication between the first management server and the second management server.

また、上記課題を解決するため、請求項10に記載の本発明における情報処理方法は、第1の情報処理装置をインターネットに接続する工程と、第1の管理サーバが、前記インターネットを経由し、前記第1の情報処理装置からイントラネットに対するアクセスを管理する工程と、第2の情報処理装置をイントラネットに接続する工程と、第2の管理サーバが、前記イントラネットを経由し、前記第2の情報処理装置から前記インターネットに対するアクセスを管理する工程と、前記第1の管理サーバと前記第2の管理サーバとの間で双方向の通信を行う工程と、を含むことを特徴とする。   In order to solve the above problem, an information processing method according to claim 10 includes a step of connecting the first information processing apparatus to the Internet, and the first management server via the Internet, A step of managing access to the intranet from the first information processing device, a step of connecting the second information processing device to the intranet, and a second management server via the intranet, the second information processing The method includes a step of managing access to the Internet from a device, and a step of performing bidirectional communication between the first management server and the second management server.

本発明によれば、インターネットからイントラネットへのアクセスであるか、又はイントラネットからインターネットへのアクセスであるかとは無関係に、情報処理装置やサービスに対してアクセスすることができる情報処理システム及び情報処理方法を得ることができる。   According to the present invention, an information processing system and an information processing method capable of accessing an information processing apparatus and service regardless of whether the access is from the Internet to the intranet or from the intranet to the Internet. Can be obtained.

本発明の実施形態における情報処理システムがグローバルアカウントで結び付けられたサービス群全体の構成を示す図である。It is a figure which shows the structure of the whole service group with which the information processing system in embodiment of this invention was connected with the global account. 本発明の実施形態における情報処理システムを管理するグローバルアカウント管理サービスの管理画面を表す図である。It is a figure showing the management screen of the global account management service which manages the information processing system in embodiment of this invention. 本発明の実施形態における情報処理装置がインターネットからイントラネットへアクセスする場合のデータの流れを示す図である。It is a figure which shows the flow of data when the information processing apparatus in embodiment of this invention accesses an intranet from the internet. 本発明の実施形態における情報処理装置を管理するACL(Access Control list)サーバのACLリストの一例を示す図である。It is a figure which shows an example of the ACL list | wrist of the ACL (Access Control list) server which manages the information processing apparatus in embodiment of this invention. 本発明の実施形態における情報処理装置を管理するACL(Access Control list)サーバの社外秘フィルタの一例を示す図である。It is a figure which shows an example of the confidential filter of the ACL (Access Control list) server which manages the information processing apparatus in embodiment of this invention. 本発明の実施形態における情報処理装置がイントラネットからインターネットへアクセスする場合のデータの流れを示す図である。It is a figure which shows the data flow when the information processing apparatus in embodiment of this invention accesses the internet from an intranet. 本発明の実施形態における情報処理装置を管理するグローバルアカウント管理サービスのアカウントリストの一例を示す図である。It is a figure which shows an example of the account list | wrist of the global account management service which manages the information processing apparatus in embodiment of this invention. 本発明の実施形態における情報処理装置がインターネット上のクラウドサービスからイントラネット内のサービスを閲覧する場合のデータの流れを示す図である。It is a figure which shows the data flow when the information processing apparatus in embodiment of this invention browses the service in an intranet from the cloud service on the internet. 本発明の実施形態における情報処理装置がインターネット上のクラウドサービスからイントラネット内のサービスを閲覧する場合の情報処理装置の表示画面の一例を示す図である。It is a figure which shows an example of the display screen of information processing apparatus when the information processing apparatus in embodiment of this invention browses the service in an intranet from the cloud service on the internet. 本発明の実施形態における情報処理装置がイントラネット内のサービスからインターネット上のクラウドサービスを閲覧する場合のデータの流れを示す図である。It is a figure which shows the data flow when the information processing apparatus in embodiment of this invention browses the cloud service on the internet from the service in an intranet. 本発明の実施形態における情報処理装置がイントラネット内のサービスからインターネット上のクラウドサービスを閲覧する場合の情報処理装置の表示画面の一例を示す図である。It is a figure which shows an example of the display screen of information processing apparatus when the information processing apparatus in embodiment of this invention browses the cloud service on the internet from the service in an intranet. 本発明の実施形態における情報処理装置がインターネット及びイントラネットで結び付けられた場合のセキュリティを考慮すべき通信路を示す図である。It is a figure which shows the communication path which should consider security when the information processing apparatus in embodiment of this invention is connected by the internet and an intranet. 本発明の実施形態におけるACLサーバの動作例を示す図である。It is a figure which shows the operation example of the ACL server in embodiment of this invention.

次に、本発明を実施するための形態について図面を参照して詳細に説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化乃至省略する。本発明は、インターネット上でログイン管理を行うグローバルアカウント管理サービスと、イントラネット上でアクセス管理を行うACL(Access Control list)サーバとが相互に通信可能であり、グローバルアカウント管理サービスのアカウント情報により、イントラネットとインターネットにおいてそれぞれ配置された情報処理装置から情報サービスにログイン可能であり、さらに当該アカウント情報から特定情報へのアクセス権限を制御可能であることが特徴となっている。   Next, embodiments for carrying out the present invention will be described in detail with reference to the drawings. In addition, in each figure, the same code | symbol is attached | subjected to the part which is the same or it corresponds, The duplication description is simplified thru | or abbreviate | omitted suitably. According to the present invention, a global account management service that performs login management on the Internet and an ACL (Access Control List) server that performs access management on the intranet can communicate with each other. It is characterized in that it is possible to log in to an information service from information processing apparatuses arranged on the Internet and to control access authority to specific information from the account information.

本発明の実施の形態を、図1を用いて説明する。図1は、本発明の実施形態における情報処理システムがグローバルアカウントで結び付けられたサービス群全体の構成を示す図である。図1において、本発明の実施形態における情報処理システム1は、インターネット側には、情報処理装置(MFP:Multifunction Peripheral)100と、情報処理装置100からインターネットに対するアクセスを管理するグローバルアカウント管理サービス103と、PC(Personal Computer)101と、PC101に対してインターネット上のサービスを提供するWebサービス102と、が設けられている。   An embodiment of the present invention will be described with reference to FIG. FIG. 1 is a diagram illustrating a configuration of an entire service group in which an information processing system according to an embodiment of the present invention is associated with a global account. In FIG. 1, an information processing system 1 according to an embodiment of the present invention includes an information processing apparatus (MFP: Multifunction Peripheral) 100 and a global account management service 103 that manages access from the information processing apparatus 100 to the Internet. A PC (Personal Computer) 101 and a Web service 102 that provides services on the Internet to the PC 101 are provided.

一方、イントラネット側には、情報処理装置200と、情報処理装置200からイントラネットに対するアクセスを管理するACLサーバ203と、PC201と、ACLサーバ203に対してイントラネット上のサービスを提供するイントラネット内サービス202と、イントラネット管理者400とが設けられている。また、インターネット側の情報処理装置100、PC101、又はイントラネット側のPC201、情報処理装置200を操作するユーザ300がいる。   On the other hand, on the intranet side, an information processing apparatus 200, an ACL server 203 that manages access to the intranet from the information processing apparatus 200, a PC 201, and an intranet service 202 that provides services on the intranet to the ACL server 203, An intranet administrator 400 is provided. Further, there is a user 300 who operates the information processing apparatus 100 and PC 101 on the Internet side, or the PC 201 and information processing apparatus 200 on the intranet side.

そして、グローバルアカウント管理サービス103には、アカウントリスト104とACLサーバ203のリストであるACLサーバリスト105が格納されており、ACLサーバ203には、ACLリスト204、社外秘フィルタ205、及びWebサービスホワイトリスト206が格納されている。   The global account management service 103 stores an account list 104 and an ACL server list 105 that is a list of the ACL server 203. The ACL server 203 includes an ACL list 204, a confidential filter 205, and a web service white list. 206 is stored.

ここで、グローバルアカウントサービス管理サービス103の例としてquanp(登録商標)サービスが挙げられているが、サーバマシーンのディスクスペースをユーザに貸し出すオンラインストレージサービスであれば、どのようなものであっても良いことは勿論である(例えば、Facebook(登録商標)等)。また、イントラネット上のサービスを提供するイントラネット内サービス202としては、例えば、メールサーバが挙げられている。   Here, as an example of the global account service management service 103, a quant (registered trademark) service is cited, but any online storage service that lends the server machine disk space to the user may be used. Of course, (for example, Facebook (registered trademark)). As an intranet service 202 that provides services on the intranet, for example, a mail server is cited.

グローバルアカウント管理サービス103は、インターネット上で管理されるグローバルアカウントでイントラネット内の情報処理装置200を一括管理すると共に、インターネット上で個人を識別する。これはquanpやFacebok等に代表されるように、一般的にはユーザ名とパスワードによるログインを管理するサービスである。   The global account management service 103 collectively manages the information processing apparatus 200 in the intranet with a global account managed on the Internet and identifies individuals on the Internet. This is a service for managing login by a user name and a password, as represented by quantp, Facebook, and the like.

また、イントラネット内にはグローバルアカウントによるアクセス管理を許可するACLサーバ203がある。このACLサーバ203には、ACLのための設定情報が格納されおり、これらはイントラネット管理者400によって設定される。グローバルアカウントが使用可能なインターネット上の情報処理装置100やWebサービス102は、グローバルアカウント管理サービス103で管理され、またイントラネット内の情報処理装置200はACLサーバ203で管理されている。   In addition, there is an ACL server 203 that permits access management by a global account in the intranet. The ACL server 203 stores setting information for ACL, which is set by the intranet administrator 400. The information processing apparatus 100 and the Web service 102 on the Internet that can use the global account are managed by the global account management service 103, and the information processing apparatus 200 in the intranet is managed by the ACL server 203.

グローバルアカウント管理サービス103とACLサーバ203とは相互に通信可能なため、グローバルアカウント管理サービス103へインターネットからログインすることで、グローバルアカウントに紐付けられた情報処理装置100、200をインターネット/イントラネット内外を問わずに表示することができる。図2は、本発明の実施形態における情報処理システムを管理するグローバルアカウント管理サービスの管理画面を表す図である。   Since the global account management service 103 and the ACL server 203 can communicate with each other, by logging in to the global account management service 103 from the Internet, the information processing apparatuses 100 and 200 associated with the global account can be moved inside and outside the Internet / intranet. It can be displayed regardless. FIG. 2 is a diagram showing a management screen of the global account management service that manages the information processing system according to the embodiment of the present invention.

図2では、グローバルアカウント管理サービス103の管理画面1010として、インターネットとして、フリーメールサービスとしてのGmail、オンラインストレージサービスとしてのDropbox(登録商標)、ソーシャル・ネットワーキング・サービスとしてのFacebookがそれぞれ表示されており、会社のイントラネットとして、MFP、メールボックスがそれぞれ表示され、家のイントラネットとして、HDD(Hard Disk Drive)レコーダ、プリンタ、FAX(Facsimile)がそれぞれ表示されている。   In FIG. 2, as the management screen 1010 of the global account management service 103, the Internet, Gmail as a free mail service, Dropbox (registered trademark) as an online storage service, and Facebook as a social networking service are displayed. An MFP and a mailbox are displayed as the company intranet, and an HDD (Hard Disk Drive) recorder, a printer, and a FAX (Facsimile) are displayed as the home intranet.

次に、図3を用いてインターネットからイントラネットへのアクセスについて説明する。図3は、本発明の実施形態における情報処理装置がインターネットからイントラネットへアクセスする場合のデータの流れを示す図である。具体例として、インターネット上にあるMFP100からイントラネット内の情報(文書)を印刷することを考える。   Next, access from the Internet to the intranet will be described with reference to FIG. FIG. 3 is a diagram illustrating a data flow when the information processing apparatus according to the embodiment of the present invention accesses the intranet from the Internet. As a specific example, consider printing information (document) in the intranet from MFP 100 on the Internet.

インターネット上のMFP100は、まず、グローバルアカウント管理サービス103に取得可能なサービスのリストを問い合わせる。取得したいデバイスをインターネット上のMFP100から選択して取得を試みる。取得依頼を受けたグローバルアカウント管理サービス103は、ACLサーバ203に文書取得許可を求める。   First, MFP 100 on the Internet queries global account management service 103 for a list of services that can be acquired. The device to be acquired is selected from the MFP 100 on the Internet and acquisition is attempted. Upon receiving the acquisition request, the global account management service 103 requests the ACL server 203 for document acquisition permission.

イントラネット内のACLサーバ203は、ACLリスト204と社外秘フィルタ205とをチェックして、インターネット上に流出しても構わない情報であった場合には、イントラネット上のMFP200内に保存されている文書2001を、グローバルアカウント管理サービス103経由でインターネット上のMFP100に送信する。その結果、インターネット上のMFP100は、イントラネット上のMFP200に保存されている文書2001を印刷することができる。   The ACL server 203 in the intranet checks the ACL list 204 and the confidential filter 205, and if it is information that may be leaked to the Internet, the document 2001 stored in the MFP 200 on the intranet. To the MFP 100 on the Internet via the global account management service 103. As a result, the MFP 100 on the Internet can print the document 2001 stored in the MFP 200 on the intranet.

なお、このインターネットからイントラネットへのアクセスを実現するために、ACLサーバ203は、前述したACLリスト204と社外秘フィルタ205を備えている。図4は、本発明の実施形態における情報処理装置を管理するACLサーバのACLリストの一例を示す図であり、図5は、本発明の実施形態における情報処理装置を管理するACLサーバの社外秘フィルタの一例を示す図である。   In order to realize access from the Internet to the intranet, the ACL server 203 includes the ACL list 204 and the confidential filter 205 described above. 4 is a diagram showing an example of an ACL list of an ACL server that manages the information processing apparatus according to the embodiment of the present invention. FIG. 5 is a confidential filter of the ACL server that manages the information processing apparatus according to the embodiment of the present invention. It is a figure which shows an example.

図4に示すように、ACLリスト204には、社内の如何なるサービスが、グローバルアカウントを使用して操作可能であるかが記載されている。また、図5に示すように、社外秘フィルタ205は、データの内容に関して、インターネットからのアクセス許可を与えるか否かを設定するものである。例えば、文書に含まれる単語によってはアクセス許可を与えないNGワードリストを準備しておくことや、データに付記されたラベルによってアクセスを禁止する等が考えられる。これらACLリスト204と社外秘フィルタ205は、イントラネット管理者400(図1)によって一元管理されている。   As shown in FIG. 4, the ACL list 204 describes what services in the company can be operated using a global account. Further, as shown in FIG. 5, the confidential filter 205 sets whether or not to give access permission from the Internet regarding the contents of data. For example, it is conceivable to prepare an NG word list that does not give access permission depending on words included in a document, or to prohibit access by a label attached to data. The ACL list 204 and the confidential filter 205 are centrally managed by the intranet administrator 400 (FIG. 1).

次に、図6を用いてイントラネットからインターネットへのアクセスについて説明する。図6は、本発明の実施形態における情報処理装置がイントラネットからインターネットへアクセスする場合のデータの流れを示す図である。具体例として、イントラネットからインターネット上クラウドサービス(例えば、オンラインストレージサービスであるDropbox)1000内の文書1001を印刷することを考える。   Next, access from the intranet to the Internet will be described with reference to FIG. FIG. 6 is a diagram illustrating a data flow when the information processing apparatus according to the embodiment of the present invention accesses the Internet from an intranet. As a specific example, consider printing a document 1001 in a cloud service on the Internet (for example, Dropbox, which is an online storage service) 1000 from an intranet.

イントラネット上のMFP200は、ACLサーバ203にグローバルアカウントに紐付けられたサービスのリストをグローバルアカウント管理サービス103に問い合わせる。イントラネット上のMFP200は、Dropbox1000が紐付けられており使用可能であることを認識しているので、グローバルアカウント管理サービス103はDropbox1000から文書リスト1001を得る。   The MFP 200 on the intranet queries the global account management service 103 for a list of services associated with the global account in the ACL server 203. Since the MFP 200 on the intranet recognizes that the Dropbox 1000 is linked and can be used, the global account management service 103 obtains the document list 1001 from the Dropbox 1000.

得られた文書リスト1001の中から、イントラネット上のMFP200は、印刷したい文書を選択し、印刷要求をACLサーバ203経由でグローバルアカウント管理サービス103に要求する。グローバルアカウント管理サービス103は、Dropbox1000から文書データ1001を取得して、ACLサーバ203経由でイントラネット上のMFP200に送信する。その結果、イントラネット上のMFP200は、インターネット上のDropbox1000に保管されている文書1001を印刷することができる。   From the obtained document list 1001, the MFP 200 on the intranet selects a document to be printed, and requests a print request from the global account management service 103 via the ACL server 203. The global account management service 103 acquires document data 1001 from the Dropbox 1000 and transmits it to the MFP 200 on the intranet via the ACL server 203. As a result, the MFP 200 on the intranet can print the document 1001 stored in the Dropbox 1000 on the Internet.

なお、このイントラネットからインターネットへのアクセスを実現するために、グローバルアカウント管理サービス103は、それぞれのグローバルアカウントへ紐付けられたサービスの情報を保有している必要がある。図7は、本発明の実施形態における情報処理装置を管理するグローバルアカウント管理サービスのアカウントリストの一例を示す図である。   In order to realize access from the intranet to the Internet, the global account management service 103 needs to have information on services associated with each global account. FIG. 7 is a diagram showing an example of an account list of the global account management service that manages the information processing apparatus according to the embodiment of the present invention.

図7に示すように、Webアプリケーション等にセキュアなAPI(Application Program Interface)認可の標準的手段を提供するOAuthや、Webサービスのパスワード情報をグローバルアカウント毎に保持することで、イントラネットから紐付けられたインターネット上のサービスや情報処理装置にアクセスすることが可能となる。   As shown in FIG. 7, OAuth that provides a standard means of API (Secure Application Program Interface) authorization for Web applications, etc., and Web service password information are held for each global account, so that they can be linked from the intranet. Internet services and information processing devices can be accessed.

以上説明したように、本発明における情報処理装置においては、インターネット上におけるグローバルアカウントによってアクセス権限制御を実行しているので、インターネット/イントラネットを問わずに、機器やサービスにグローバルアカウントでログインすることができる。   As described above, in the information processing apparatus according to the present invention, access authority control is executed by a global account on the Internet. Therefore, it is possible to log in to a device or service with a global account regardless of the Internet / intranet. it can.

また、本発明の情報処理装置においては、グローバルアカウントでログインしていれば何処にいてもイントラネット管理者によって情報アクセスの許諾を受けられるので、インターネットからイントラネット内の情報を参照することができる。   Also, in the information processing apparatus of the present invention, if the user is logged in with a global account, the information can be referred to by the intranet administrator anywhere, so that information in the intranet can be referred to from the Internet.

さらに、本発明の情報処理装置においては、ACLリストをイントラネット管理者によって記述することができるので、イントラネット内の機器への参照権限を、イントラネット管理者が制御することができ、情報漏洩を防ぐことができる。   Furthermore, in the information processing apparatus of the present invention, since the ACL list can be described by the intranet administrator, the intranet administrator can control the authority to refer to devices in the intranet and prevent information leakage. Can do.

また、本発明の情報処理装置においては、社外秘フィルタによって機器内部の情報を、内容に応じてアクセス許諾でき、情報漏洩を防ぐことができる。   Further, in the information processing apparatus of the present invention, access to information inside the device can be permitted according to the content by the confidential filter, and information leakage can be prevented.

そして、本発明の情報処理装置においては、グローバルアカウントによってイントラネット内の機器/サービスと、インターネット上の機器/サービスとが紐付けられているので、イントラネット内からインターネット上のプライベートデータを参照することができる。   In the information processing apparatus according to the present invention, the device / service in the intranet and the device / service on the Internet are linked by the global account, so that private data on the Internet can be referred to from the intranet. it can.

次に、Webブラウザからアクセスするインターネット上のクラウドサービスにおいて、イントラネット対応のインターネット上のクラウドサービス(例えば、フリーメールサービスであるGmail)から、イントラネット内のサービス(例えば、社内メールサーバ)を閲覧することを考える。図8は、本発明の実施形態における情報処理装置がインターネット上のクラウドサービスからイントラネット内のサービスを閲覧する場合のデータの流れを示す図である。   Next, in a cloud service on the Internet accessed from a Web browser, browsing a service (for example, an in-house mail server) in the intranet from a cloud service on the Internet compatible with an intranet (for example, Gmail which is a free mail service) think of. FIG. 8 is a diagram illustrating a data flow when the information processing apparatus according to the embodiment of the present invention browses a service in an intranet from a cloud service on the Internet.

インターネット上のPC101からGmail106にアクセスすると、Gmail106は、グローバルアカウント管理サービス103に対してGmailアカウントと紐付けられたイントラネット内メールボックスリストを問い合わせる。グローバルアカウント管理サービス103は、イントラネット内ACLサーバ203にメールボックスの内容を問い合わせる。ACLサーバ203はACLリスト204と社外秘フィルタ205とを確認し、閲覧許可できる内容だけを、社内のメールサーバから取り出してインターネットへ送信する。   When the Gmail 106 is accessed from the PC 101 on the Internet, the Gmail 106 inquires of the global account management service 103 about the intranet mailbox list associated with the Gmail account. The global account management service 103 inquires the contents of the mailbox to the intranet ACL server 203. The ACL server 203 confirms the ACL list 204 and the confidential filter 205, extracts only the contents that can be browsed from the in-house mail server and transmits them to the Internet.

その結果、Gmailの画面イメージは図9のようになる。図9は、本発明の実施形態における情報処理装置がインターネット上のクラウドサービスからイントラネット内のサービスを閲覧する場合の情報処理装置の表示画面の一例を示す図である。   As a result, the screen image of Gmail is as shown in FIG. FIG. 9 is a diagram illustrating an example of a display screen of the information processing apparatus when the information processing apparatus according to the embodiment of the present invention browses a service in the intranet from a cloud service on the Internet.

まず、イントラネット内メールボックスへのアクセス許可がACLリスト204によって閲覧許可がなされていない場合には、何も表示されない。また、仮に、ACLリスト204によって閲覧許可がなされていたとしても、イントラネット内メールボックスの内容であって社外秘フィルタ205によって許可された内容においてのみ、インターネット上から閲覧することができる。   First, when the access permission to the intranet mailbox is not permitted by the ACL list 204, nothing is displayed. Even if browsing is permitted by the ACL list 204, browsing can be performed only on the contents of the intranet mailbox and the contents permitted by the confidential filter 205 from the Internet.

次に、Webブラウザからアクセスするインターネット上クラウドサービス(例えば、フリーメールサービスであるGmail)に対して直接イントラネットからアクセスするケースを考える。図10は、本発明の実施形態における情報処理装置がイントラネット内のサービスからインターネット上のクラウドサービスを閲覧する場合のデータの流れを示す図である。   Next, consider a case where a cloud service on the Internet accessed from a Web browser (for example, Gmail which is a free mail service) is directly accessed from an intranet. FIG. 10 is a diagram illustrating a data flow when the information processing apparatus according to the embodiment of the present invention browses a cloud service on the Internet from a service in the intranet.

PC201上にはGmail Webアプリケーションが読み込まれて実行される。Gmail106は、グローバルアカウント管理サービス103に対してACLサーバ203のアドレス取得要求を行う。PC201上において、Gmail Webアプリケーションは、直接イントラネット内のACLサーバ203に対してメールリスト取得要求を送信する。   A Gmail Web application is read and executed on the PC 201. The Gmail 106 makes an address acquisition request for the ACL server 203 to the global account management service 103. On the PC 201, the Gmail Web application transmits a mail list acquisition request directly to the ACL server 203 in the intranet.

このとき、ACLサーバ203は、要求元PC201がイントラネット内部であることを判別し、社外秘フィルタ205をチェックしないままメールボックスの内容を取得し、イントラネット内のPC201に送信する。そしてこの場合、Gmail Webアプリケーションが、PC201が取得したメールボックスデータを、Gmailサービス106に漏洩しないことを担保するために、ACLサーバ203は、Webサービスホワイトリスト206を保有している。   At this time, the ACL server 203 determines that the requesting PC 201 is inside the intranet, acquires the contents of the mailbox without checking the confidential filter 205, and transmits the contents to the PC 201 in the intranet. In this case, the ACL server 203 holds the web service white list 206 in order to ensure that the mail mail application does not leak the mailbox data acquired by the PC 201 to the mail service 106.

ACLリスト203によって取得要求に対する許可があったとしても、イントラネット管理者400によってWebサービスホワイトリスト206で許可されていないWebアプリケーションからの取得要求を拒否するのである。その結果、Gmailの画面イメージは図11のようになる。図11は、本発明の実施形態における情報処理装置がイントラネット内のサービスからインターネット上のクラウドサービスを閲覧する場合の情報処理装置の表示画面の一例を示す図である。なお、イントラネット内部からイントラネット内部のメールボックスの内容を参照する場合には、社外秘情報も閲覧することができる。   Even if the ACL request is permitted by the ACL list 203, the intranet administrator 400 rejects an acquisition request from a Web application that is not permitted by the Web service white list 206. As a result, the screen image of Gmail is as shown in FIG. FIG. 11 is a diagram illustrating an example of a display screen of the information processing apparatus when the information processing apparatus according to the embodiment of the present invention browses a cloud service on the Internet from a service in the intranet. In addition, when referring to the contents of the mailbox inside the intranet from the inside of the intranet, the confidential information can also be browsed.

以上説明したように、本発明の情報処理装置においては、アカウントリストによってグローバルアカウント管理サービスとは異なるインターネット上クラウドサービスと、グローバルアカウントとが紐付けられているので、グローバルアカウント管理サービスで管理されていないインターネットアカウント(例えば、GmailやFacebook)で保護されているデータを如何なる場所にある情報処理装置からもアクセスすることができるのである。   As described above, in the information processing apparatus according to the present invention, the cloud service on the Internet different from the global account management service and the global account are linked by the account list, so that the information is managed by the global account management service. Data protected by a non-Internet account (for example, Gmail or Facebook) can be accessed from an information processing apparatus at any location.

次に、インターネットとイントラネットとが接続された場合の通信路のセキュリティについて説明する。図12は、本発明の実施形態における情報処理装置がインターネット及びイントラネットで結び付けられた場合のセキュリティを考慮すべき通信路を示す図である。図12において、インターネット間の通信路は既存の暗号化技術(例えば、SSL(Secure Socket Layer))等)でカバーし、イントラネット内の通信路も既存の暗号化技術(例えば、SSL等)でカバーする。   Next, communication path security when the Internet and an intranet are connected will be described. FIG. 12 is a diagram illustrating a communication path for which security should be considered when the information processing apparatus according to the embodiment of the present invention is connected to the Internet and an intranet. In FIG. 12, communication paths between the Internet are covered with existing encryption technology (for example, SSL (Secure Socket Layer)), and communication paths within the intranet are also covered with existing encryption technology (for example, SSL). To do.

一方、インターネットとイントラネット間の通信路は、インターネットのグローバルアカウント管理サービス103に、不正なイントラネットのACLサーバ203、400が接続されないようにする必要がある。   On the other hand, the communication path between the Internet and the intranet needs to prevent the unauthorized global intranet ACL servers 203 and 400 from being connected to the global account management service 103 of the Internet.

最後に、インターネットのグローバルアカウント管理サービス103と、イントラネットのACLサーバ203との間の通信路の設定手順について説明する。図13は、本発明の実施形態におけるACLサーバの動作例を示す図である。   Finally, a procedure for setting a communication path between the Internet global account management service 103 and the intranet ACL server 203 will be described. FIG. 13 is a diagram showing an operation example of the ACL server in the embodiment of the present invention.

図13において、イントラネットA上のACLサーバA203からグローバルアカウント管理サービス103に対して鍵作成要求を行うと、グローバルアカウント管理サービス103は、鍵を作成し、その鍵についてグローバルアカウント管理サービス103のインターネット管理者108に対して承認を依頼し、インターネット管理者108は、その鍵をACLサーバA203のイントラネット管理者400に送信する。そして、イントラネット管理者400は、その鍵をACLサーバA203に設定し、ACLサーバA203は、その鍵を使ってグローバルアカウント管理サービス103との暗号通信路の使用を開始する。   In FIG. 13, when a key creation request is made from the ACL server A 203 on the intranet A to the global account management service 103, the global account management service 103 creates a key, and the Internet management of the global account management service 103 for the key. The Internet administrator 108 transmits the key to the intranet administrator 400 of the ACL server A 203. Then, the intranet administrator 400 sets the key in the ACL server A 203, and the ACL server A 203 starts using the encryption communication path with the global account management service 103 using the key.

この暗号通信路の使用を開始するための設定手順は、インターネットのグローバルアカウント管理サービス103と、イントラネットB上のACLサーバB400との間で暗号通信路を設定する場合についても同様の手順で行われる。   The setting procedure for starting the use of the encrypted communication path is performed in the same manner when the encrypted communication path is set between the global account management service 103 on the Internet and the ACL server B 400 on the intranet B. .

このように、本発明によれば、インターネットからイントラネットへのアクセスであるか、又はイントラネットからインターネットへのアクセスであるかとは無関係に、情報処理装置やサービスに対してアクセスすることができる情報処理システム及び情報処理方法が得られるのである。   As described above, according to the present invention, an information processing system capable of accessing an information processing apparatus or service regardless of whether the access is from the Internet to the intranet or from the intranet to the Internet. And an information processing method can be obtained.

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範囲な趣旨及び範囲から逸脱することなく、これら具体例に様々な修正及び変更が可能である。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments thereof, various modifications and changes can be made to these embodiments without departing from the broader spirit and scope of the invention as defined in the claims. is there.

1 情報処理システム
100、200 情報処理装置(MFP:Multifunction Peripheral)
101、201 パーソナルコンピュータ(PC)
102 Webサービス
103 グローバルアカウント管理サービス
104 アカウントリスト
105 ACL(Access Control list)サーバリスト
106 フリーメールサービス
107 メールボックス
108 インターネット管理者
1000 インターネット上クラウドサービス
1001、2001 文書(リスト)
202 イントラネット内サービス
203、400 ACLサーバ
204 ACLリスト
205 社外秘フィルタ
2000 ドキュメントボックス
206 Webサービスホワイトリスト
207 メールサーバ
300、301、302 ユーザ
400 イントラネット管理者 1 Information processing system 100, 200 Information processing apparatus (MFP: Multifunction Peripheral)
101, 201 Personal computer (PC)
102 Web Service 103 Global Account Management Service 104 Account List 105 ACL (Access Control List) Server List 106 Free Mail Service 107 Mailbox 108 Internet Administrator 1000 Internet Cloud Service 1001, 2001 Document (List)
202 Intranet service 203, 400 ACL server 204 ACL list 205 Confidential filter 2000 Document box 206 Web service whitelist 207 Mail server 300, 301, 302 User 400 Intranet administrator

特開2003−319083号広報JP 2003-319083 PR 特開2010−004344号公報JP 2010-004344 A

Claims (10)

インターネットに接続された第1の情報処理装置と、
前記インターネットを経由し、前記第1の情報処理装置からイントラネットに対するアクセスを管理する第1の管理サーバと、
イントラネットに接続された第2の情報処理装置と、
前記イントラネットを経由し、前記第2の情報処理装置から前記インターネットに対するアクセスを管理する第2の管理サーバと、を含み、
前記第1の管理サーバと前記第2の管理サーバとの間で双方向の通信を行うことを特徴とする情報処理システム。 A first information processing apparatus connected to the Internet;
A first management server for managing access to the intranet from the first information processing apparatus via the Internet;
A second information processing apparatus connected to the intranet;
A second management server that manages access to the Internet from the second information processing apparatus via the intranet,
An information processing system that performs bidirectional communication between the first management server and the second management server. 前記第1の管理サーバは、前記第1の情報処理装置が取得可能なアカウントリストと前記第2の管理サーバのリストとを有することを特徴とする請求項1記載の情報処理システム。   The information processing system according to claim 1, wherein the first management server has an account list that can be acquired by the first information processing apparatus and a list of the second management server. 前記第2の管理サーバは、前記第2の情報処理装置が取得可能なアクセスコントロールリストと社外秘フィルタとを有することを特徴とする請求項1記載の情報処理システム。   The information processing system according to claim 1, wherein the second management server includes an access control list and a confidential filter that can be acquired by the second information processing apparatus. 前記第1の情報処理装置から前記アカウントリストに対してログインがなされると、前記第1の管理サーバは前記第2の管理サーバに対して情報の取得要求を行い、前記第2の管理サーバは前記アクセスコントロールリストに基づいて前記社外秘フィルタをチェックすることを特徴とする請求項3に記載の情報処理システム。   When the first information processing apparatus logs in to the account list, the first management server makes an information acquisition request to the second management server, and the second management server 4. The information processing system according to claim 3, wherein the confidential filter is checked based on the access control list. 前記第2の管理サーバは、前記アクセスコントロールリストに基づいてチェックされた後の情報を、前記第1の管理サーバへ送信することを特徴とする請求項3又は4に記載の情報処理システム。   The information processing system according to claim 3 or 4, wherein the second management server transmits information after being checked based on the access control list to the first management server. 前記第2の情報処理装置から前記第2の管理サーバに対して情報の取得要求があると、前記第2の管理サーバは前記第1の管理サーバに対して情報の取得要求を行い、前記第1の管理サーバは前記インターネット上に存在する情報の中から前記取得要求に対応する情報を取得し、前記第2の管理サーバへ送信することを特徴とする請求項1記載の情報処理システム。   When there is an information acquisition request from the second information processing apparatus to the second management server, the second management server makes an information acquisition request to the first management server, and The information processing system according to claim 1, wherein the first management server acquires information corresponding to the acquisition request from information existing on the Internet and transmits the information to the second management server. 前記第2の管理サーバは、前記情報の取得要求を許可する要求元のリストが掲載されたホワイトリストをさらに有し、前記ホワイトリストに掲載されていない前記要求元からの前記情報の取得要求を拒否することを特徴とする請求項4又は5に記載の情報処理システム。   The second management server further includes a white list on which a list of request sources permitting the information acquisition request is posted, and receives the information acquisition request from the request source not on the white list. 6. The information processing system according to claim 4, wherein the information processing system is rejected. 前記情報は電子メール情報を含むことを特徴とする請求項4から7の何れか1項に記載の情報処理システム。   The information processing system according to claim 4, wherein the information includes electronic mail information. 前記第1の情報処理装置と前記第1の管理サーバとの間、前記第2の情報処理装置と前記第2の管理サーバとの間、及び前記第1の管理サーバと前記第2の管理サーバとの間の通信は、それぞれ暗号化されていること特徴とする請求項1から8の何れか1項に記載の情報処理システム。   Between the first information processing apparatus and the first management server, between the second information processing apparatus and the second management server, and between the first management server and the second management server. The information processing system according to any one of claims 1 to 8, wherein communication with each other is encrypted. 第1の情報処理装置をインターネットに接続する工程と、
第1の管理サーバが、前記インターネットを経由し、前記第1の情報処理装置からイントラネットに対するアクセスを管理する工程と、
第2の情報処理装置をイントラネットに接続する工程と、
第2の管理サーバが、前記イントラネットを経由し、前記第2の情報処理装置から前記インターネットに対するアクセスを管理する工程と、
前記第1の管理サーバと前記第2の管理サーバとの間で双方向の通信を行う工程と、
を含むことを特徴とする情報処理方法。 Connecting the first information processing apparatus to the Internet;
A first management server managing access to the intranet from the first information processing apparatus via the Internet;
Connecting the second information processing apparatus to the intranet;
A second management server managing access to the Internet from the second information processing apparatus via the intranet;
Performing two-way communication between the first management server and the second management server;
An information processing method comprising:
JP2011106185A 2011-05-11 2011-05-11 Information processing system and information processing method Withdrawn JP2012238150A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011106185A JP2012238150A (en) 2011-05-11 2011-05-11 Information processing system and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011106185A JP2012238150A (en) 2011-05-11 2011-05-11 Information processing system and information processing method

Publications (1)

Publication Number Publication Date
JP2012238150A true JP2012238150A (en) 2012-12-06

Family

ID=47461002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011106185A Withdrawn JP2012238150A (en) 2011-05-11 2011-05-11 Information processing system and information processing method

Country Status (1)

Country Link
JP (1) JP2012238150A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015032040A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032043A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032042A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032041A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032044A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032045A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2017004286A (en) * 2015-06-11 2017-01-05 富士ゼロックス株式会社 Information processing system
US11503014B2 (en) 2020-07-22 2022-11-15 Ricoh Company, Ltd. Information apparatus, method of processing communication request, and non-transitory recording medium

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015032040A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032043A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032042A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032041A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032044A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2015032045A (en) * 2013-07-31 2015-02-16 株式会社リコー Service providing system, service providing method, and program
JP2017004286A (en) * 2015-06-11 2017-01-05 富士ゼロックス株式会社 Information processing system
US11503014B2 (en) 2020-07-22 2022-11-15 Ricoh Company, Ltd. Information apparatus, method of processing communication request, and non-transitory recording medium

Similar Documents

Publication Publication Date Title
US12003547B1 (en) Protecting web applications from untrusted endpoints using remote browser isolation
JP2012238150A (en) Information processing system and information processing method
CN108293045B (en) Single sign-on identity management between local and remote systems
US10038695B2 (en) Remotely deauthenticating a user from a web-based application using a centralized login server
KR101614578B1 (en) Information processing apparatus, control method thereof, storage medium, and image processing apparatus
US9794215B2 (en) Private tunnel network
US9288213B2 (en) System and service providing apparatus
JP5821903B2 (en) Cloud server, cloud printing system and computer program
JP5216810B2 (en) Method for executing remote screen sharing, user terminal, program and system
JP5265016B2 (en) Internetworking domain and key system
JP5159899B2 (en) Dynamic DNS system for private networks
JP6575547B2 (en) Document management system
JP6323994B2 (en) Content management apparatus, content management method and program
CN102449976A (en) System and method for accessing private digital content
US9871778B1 (en) Secure authentication to provide mobile access to shared network resources
US20140059653A1 (en) Integrating operating systems with content offered by web based entities
KR20110100451A (en) Account management apparatus and, method for managing account
JP2018156411A (en) Document management system and management apparatus
US20160050340A1 (en) Device hub system with resource access mechanism and method of operation thereof
JP2010177845A (en) Image reading apparatus, server apparatus, and system
JP2009031896A (en) Remote access system, auxiliary memory device to be used therefor, and remote access method
JP2018157383A (en) Management device and document management system
JP6604367B2 (en) Processing apparatus and information processing apparatus
JP2010097510A (en) Remote access management system and method
US10114959B2 (en) Information processing apparatus, information processing method, and information processing system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140805