JP2016208174A - 通信システムおよび通信方法 - Google Patents

通信システムおよび通信方法 Download PDF

Info

Publication number
JP2016208174A
JP2016208174A JP2015085713A JP2015085713A JP2016208174A JP 2016208174 A JP2016208174 A JP 2016208174A JP 2015085713 A JP2015085713 A JP 2015085713A JP 2015085713 A JP2015085713 A JP 2015085713A JP 2016208174 A JP2016208174 A JP 2016208174A
Authority
JP
Japan
Prior art keywords
connection
unit
terminal device
communication
lan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015085713A
Other languages
English (en)
Inventor
優子 中瀬
Yuko Nakase
優子 中瀬
義一 東
Giichi Azuma
義一 東
國枝 孝之
Takayuki Kunieda
孝之 國枝
達生 宮地
Tatsuo Miyaji
達生 宮地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2015085713A priority Critical patent/JP2016208174A/ja
Priority to US15/096,474 priority patent/US10567958B2/en
Publication of JP2016208174A publication Critical patent/JP2016208174A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】組織体外のユーザの情報処理機器を、組織体内のネットワークに容易に接続可能としつつ、セキュリティの確保を可能とすること。
【解決手段】通信システムは、端末装置と通信する第1の通信部と、ネットワークを介して通信する第2の通信部と、第1の通信部と前記第2の通信部との間の接続の開始又は解除を制御する接続制御部と、端末装置から送信される認証情報を表示する表示部と、ユーザ入力を受け付ける入力部と、表示部によって表示された認証情報が、ネットワークに接続を許可されているユーザに対してあらかじめ通知されている認証情報に一致する場合に入力される指示に従い、接続を許可する時間を管理する接続管理部とを備える。
【選択図】図1

Description

本発明は、セキュアなLAN(Local Area Network)に対する外部機器の接続を容易に実行可能な通信システムおよび通信方法に関する。
近年では、企業など組織体内においてLAN(Local Area Network)を構築し、組織体内で使用する各情報処理機器をLAN(以下、組織内LANと呼ぶ)を介して互いに接続することが、一般的に行われている。また、この組織内LANにおいて、無線による通信を行う無線LANをさらに構築し、組織体に属する各メンバが所持する情報処理機器を無線LANを介して組織内LANに接続し、各メンバの情報処理機器から組織内LANに接続される、MFP(Multi Function Printer)、プロジェクタ装置といった各機器を利用可能とすることも、一般的に行われている。
このような組織内LANおよび組織内LANに接続される無線LANにおいては、外部の情報処理機器が接続される際に認証処理を行い、認証が成功した場合に、当該外部の情報処理機器から組織内LANに接続される各機器を利用可能とするのが一般的である。特許文献1には、独自のユーザ情報やアクティブディレクトリを用いて認証を行うことで、ネットワーク接続されたMFPを利用可能とする技術が開示されている。
ここで、組織体外のユーザが、当該組織内LANに接続される機器(例えばプロジェクタ装置)を利用する場合について考える。この場合、殆どの場合で、セキュリティ上の観点から、組織体外のユーザの情報処理機器を組織内LANに接続不可としている。そのため、組織体外のユーザは、自分が所持する情報処理機器から組織内LANを経由しての組織体内の機器の利用ができないか、若しくは、レガシー接続により利用することが強いられ、不便であった。
例えば、組織体外のユーザが組織体内のプロジェクタ装置を用いようとする場合、従来では、VGA(Video Graphics Array)やDVI(Digital Visual Interface)といったレガシー接続を行う必要があり、そのための接続ケーブルを用意するなど手間もかかり、不便であった。
また、組織体外のユーザをLANに一時的に接続させる手段としては、専用のゲストネットワークを施設するという方法がある。しかし、これを実現するにはVLAN(Virtual LAN)などによるネットワークの論理分割といった、ネットワークの設計・運用レベルからの再構築・再設定が必要で、容易とはいえなかった。また、ゲストネットワークは、一般的に使用頻度は低く、ほとんど使われることのないネットワークをゲスト専用に施設し続けることになるため、コストや消費電力の点で非効率であるという問題点があった。
また、ゲスト専用に設けられた無線LANについては、組織体外のユーザに対して設定を一々教えなければならないという運用負荷があるため、実際には、セキュリティ設定無し、若しくは口頭や手書きで伝えられるレベルのパスワードなどで運用されることが多い。この場合、ゲスト端末による無線LAN通信を、盗聴などのセキュリティの脅威に晒すことになってしまうという問題点があった。
また、組織体外のユーザをLANに一時的に接続させた後に、組織体内のユーザが接続の許可を解除し忘れた場合、その後も継続してゲスト端末を用いて組織内LANに接続できるようになるため、第三者によって不用意に組織内LANを利用されるという問題点があった。
実施形態によれば、組織体外のユーザの情報処理機器を、組織体内のネットワークに容易に接続可能としつつ、セキュリティの確保を可能とすることを目的とする。
上述した課題を解決し、目的を達成するために、本実施形態に係る通信システムは、端末装置と通信する第1の通信部と、ネットワークを介して通信する第2の通信部と、前記第1の通信部と前記第2の通信部との間の接続の開始又は解除を制御する接続制御部と、前記端末装置から送信される認証情報を表示する表示部と、ユーザ入力を受け付ける入力部と、前記表示部によって表示された認証情報が、前記ネットワークに接続を許可されているユーザに対してあらかじめ通知されている認証情報に一致する場合に入力される指示に従い、接続を許可する時間を管理する接続管理部とを備える。
実施形態によれば、組織体外のユーザの情報処理機器を、組織体内のネットワークに容易に接続可能としつつ、セキュリティの確保を可能とするという効果を奏する。
各実施形態に適用可能なネットワークシステムの一例の構成を示す図である。 各実施形態に共通の、端末装置とLANとを接続ボックスを用いて接続する手順を概略的に示す図である。 第1の実施形態に係る接続ボックスの一例の構成を示すブロック図である。 接続先記憶部のデータ構造の例を示す図である。 第1の実施形態に係る端末装置の機能を説明するための一例の機能ブロック図である。 第1の実施形態に係る、内部ユーザ側が外部ユーザ側の機器接続許可を指示するためのPCの機能を説明するための一例の機能ブロック図である。 第1の実施形態に係る、PCにおける、接続ボックスに対する接続許可処理の一例を示すフローチャートである。 第1の実施形態に係る、端末装置によるLANへの接続要求処理の例を示すフローチャートである。 第1の実施形態に係る、接続ボックスにおける処理フローの一例を示すフローチャートである。 第1の実施形態の変形例による接続ボックスの一例の構成を示す図である。 接続管理情報記憶部のデータ構造の例を示す図である。 第2の実施形態に係る接続ボックスの一例の構成を示すブロック図である。 転送制御テーブルのデータ構造の例を示す図である。 第2の実施形態に係る接続ボックスにおける処理の流れを説明するための図である。 接続ボックスへの接続を行うための接続画面の一例を示す図である。 接続ボックスへの接続を行うためのログイン画面の一例を示す図である。 第2の実施形態に係る、機器指定画面の一例を示す図である。 第2の実施形態に係る識別情報入力画面の一例を示す図である。 第2の実施形態の変形例に係る通信システムの一例の構成を示すブロック図である。 オーナPCのハードウェア構成例を示す図である。 接続ボックスのハードウェア構成を示す図である。
以下に添付図面を参照して、通信システムおよび通信方法の実施形態を詳細に説明する。
(各実施形態に共通する構成)
図1は、各実施形態に適用可能なネットワークシステム1の一例の構成を示す。LAN(Local Area Network)40は、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)をプロトコルとして用いて通信を行うネットワークシステム1であって、企業など組織体内で閉じた構成とされる組織内LANである。LAN40に対して、IWB(Interactive White Board)50、MFP(Multi Function Printer)51、パーソナルコンピュータ(PC)30など、複数の機器が、互いに通信可能に接続される。
LAN40に対して、さらに、IEEE(Institute of Electrical and Electronics Engineers) 802.11規格に準拠した無線LANによるアクセスポイント(AP)60および61が接続される。以下、このIEEE 802.11規格に準拠した無線LANを、IEEE 802.11機器に関する業界団体であるWi−Fi Allianceによる相互接続性の認定の名称であるWi−Fi(登録商標)と呼ぶ。図1の例では、AP60は、それぞれWi−Fiに対応したプロジェクタ装置(PJ)52および53と通信可能とされている。また、AP61は、同様にそれぞれWi−Fiに対応したタブレット型端末(TBL)54および55と通信可能とされている。
このような構成において、ネットワークシステム1は、PC30から送信された画像などの情報を、LAN40を介してIWB50に表示させたり、MFP51により出力させたりすることができる。また、ネットワークシステム1は、PC30から送信された画像などの情報を、LAN40およびAP60を介してPJ52および53により図示されないスクリーンに投射させることができる。さらに、ネットワークシステム1は、TBL54やTBL55から送信された情報を、AP61を介してLAN40に転送し、PC30に供給することができる。さらにまた、ネットワークシステム1は、TBL54やTBL55から送信された画像などの情報を、AP61を介してLAN40に転送し、IWB50やMFP51に供給することができる。
これらLAN40に直接的および間接的に接続されるPC30、IWB50およびMFP51と、PJ52および53と、TBL54および55は、それぞれ、LAN40を含むネットワークシステム1により、組織体内において認証を受けている。すなわち、組織体外のPCなどの情報処理装置がLAN40を介して通信を行うためには、組織体内における認証を受ける必要がある。
さらに、接続ボックス10は、LAN40に対して、例えば有線にて接続される。接続ボックス10は、LAN40を含むネットワークシステム1により、組織体内において認証を受けており、接続ボックス10からLAN40を介して、LAN40に接続される、PC30などの各機器と通信を行うことができる。
接続ボックス10は、さらに、例えばWi−Fiに対応したアクセスポイント機能を有する。接続ボックス10は、このアクセスポイント機能により、例えば組織体外の機器であって、LAN40を含むネットワークシステム1による認証を受けていない端末装置20と、無線により通信を行うことができる。
ここで、接続ボックス10は、無線通信により接続された端末装置20と、LAN40との間の接続の開閉を、外部からの指示により制御することができる。したがって、端末装置20は、接続ボックス10に対して外部からLAN40との間の接続を閉とする指示がなされた場合に限り、LAN40と接続され、LAN40に接続される各機器と通信可能とされる。例えば、接続ボックス10は、PC30からの指示に従って、端末装置20とLAN40との間の接続の開閉を制御してもよい。なお、接続が閉の状態とは、端末装置20とLAN40との間の接続が維持されている状態を示し、接続が開の状態とは、端末装置20とLAN40との間の接続が解除されている状態を示す。
また、PC30は、無線通信により接続された端末装置20とLAN40との間の接続を閉とする場合、接続ボックス10に対して、接続を許可する時間を外部からの指示により制御することができる。例えば、PC30は、端末装置20とLAN40との間の接続を閉とした後、接続を許可する時間が経過するまで接続を閉とし、接続を許可する時間が経過した場合に接続を開とする制御を接続ボックス10に対して行う。なお、接続ボックス10を制御する装置はPC30に限定されず、PC30以外の装置が接続ボックス10を制御してもよい。
図2は、各実施形態に共通の、端末装置20とLAN40とを接続ボックス10を用いて接続する手順を概略的に示す。図2において、端末装置20を、組織体外のユーザの意味で外部ユーザ側とし、LAN40側を、組織体内のユーザの意味で内部ユーザ側として示している。内部ユーザ側では、例えばPC30から接続ボックス10にアクセスするものとする。
図2の手順の開始に先立って、内部ユーザ側から外部ユーザ側に対して、内部ユーザ側が外部ユーザ側を認証するための認証情報が何らかの方法で伝えられる。各実施形態では、内部ユーザ側のユーザ本人から、外部ユーザ側のユーザ本人に対して、認証情報が直接的に通知される。認証情報を通知する方法は、特に限定されず、口頭でもよいし、メモなどでもよい。認証情報を、電子メールなどを用いて通知してもよい。また、認証情報の通知は、端末装置20がLAN40に接続する毎に行うようにする。
先ず、ネットワークシステム1は、端末装置20と接続ボックス10とを、Wi−Fiによる無線通信により接続する。なお、接続ボックス10のアクセスポイント機能を識別するために必要なSSID(Service Set Identifier)は、内部ユーザ側から外部ユーザ側に予め伝えておく。また、接続ボックス10において、アクセスポイント機能は、WEP(Wired Equivalent Privacy)キーなどを用いた暗号化を行わなくてもよい。
図2において、端末装置20は、接続ボックス10に対して接続要求を送信する(ステップS10)。このとき、端末装置20は、内部ユーザ側から予め通知された認証情報の入力を外部ユーザから受け付ける。端末装置20は、接続要求にこの認証情報を付加して接続ボックス10に送信する。
接続ボックス10は、端末装置20からの接続要求および認証情報を、内部ユーザ側に通知する(ステップS11)。例えば、接続ボックス10は、端末装置20からの接続要求および認証情報をPC30に送信する。PC30は、これら接続要求および認証情報を受信し、認証情報をPC30のディスプレイに表示させる。
なお、この時点では、接続ボックス10は、端末装置20とLAN40との接続を開としている。そのため、接続ボックス10は、例えば接続要求および認証情報を、メモリなどを介して端末装置20側からLAN40側へと受け渡すようにする。
内部ユーザ側では、PC30のディスプレイに表示された認証情報を内部ユーザ側のユーザ本人が見て、当該認証情報が正しいか否かを当該ユーザ本人が判定する。PC30は、当該ユーザ本人が当該認証情報は正しいと判定した場合に、LAN40に接続することを許可する時間(以下、接続許可時間と呼ぶ)の設定を内部ユーザから受け付けた上で、接続許可を示す接続許可情報を接続ボックス10に通知する(ステップS12)。例えば、PC30は、当該内部ユーザ本人から1時間などの接続許可時間の入力とともに、接続許可を示す接続許可情報の入力を受け付ける。PC30は、入力された接続許可情報を接続ボックス10に送信した上で、PC30内で接続許可時間の管理を開始する。
接続ボックス10は、接続許可情報を受信すると、端末装置20とLAN40との間の接続を閉とする。これにより、端末装置20が接続ボックス10を介してLAN40に接続されることになる。接続ボックス10は、LAN40による認証を受けているため、端末装置20は、接続ボックス10を介してLAN40に接続される各機器にアクセスすることができるようになる(ステップS13)。
なお、このとき、接続ボックス10は、内部ユーザ側から指定された接続可能な機器を予め記憶しておくことができる。図1を参照し、例えば、外部ユーザ側からはIWB50およびPJ52のアクセスが許可されている場合、接続ボックス10は、これらIWB50およびPJ52の例えばIP(Internet Protocol)アドレスを接続先情報として記憶しておく。
内部ユーザ側が端末装置20からLAN40へのアクセスを明示的に解除するように指示した場合、もしくは内部ユーザが指定した接続許可時間が経過した場合等は、接続ボックス10は、外部ユーザ側の接続を解除する(ステップS14)。例えば、接続ボックス10は、内部ユーザ側の、端末装置20の接続を許可したユーザ本人から端末装置20の接続を解除する要求を受け付けた場合に、端末装置20の接続を解除する。
なお、PC30は、接続許可時間を経過したことを検知した場合、端末装置20の接続を解除する要求を接続ボックス10に送信する。かかる場合に接続ボックス10は、この要求に従い、端末装置20のLAN40への接続を解除する。接続を解除する具体的な処理としてPC30は、端末装置20とLAN40との間の接続を開とすること、使用した認証情報を消去すること、外部ユーザと接続ボックス10との接続情報を初期化すること、外部ユーザと接続ボックス10との接続を遮断することを行う。
このように、各実施形態では、組織体外の端末装置20と、組織体内のLAN40との接続を、接続ボックス10を介してPC30が制御している。そして、端末装置20とLAN40との接続を許可するか否かを、組織体外の人が入力した、予め通知した認証情報に基づき、PC30において組織体内の人が判定するようにしている。そのため、端末装置20を容易にLAN40に接続することができる。また、LAN40に対する組織体外からの悪意による侵入を抑止できる。
更に、PC30は、端末装置20と組織体内のLAN40との接続に対して、組織体内の人の指示に基づいて接続許可時間に制限をつけている。そのため、組織体内の人が接続の解除を忘れた場合においても、接続許可時間が経過すると、PC30は自動的に接続を解除することとなる。これにより、一度接続を許可された組織対外の端末装置から、接続許可時間を経過した後に、継続して不用意にLAN40に接続できてしまう状況を抑止できる。
(第1の実施形態)
次に、接続ボックス10を介した接続について、より詳細に説明する。図3は、第1の実施形態に係る接続ボックス10aの一例の構成を示す。図3において、接続ボックス10aは、Wi−Fi通信部100と、スイッチ(SW)部102と、IP付加部103と、LANインターフェイス(I/F)104と、接続先記憶部105と、接続管理部106とを有する。
Wi−Fi通信部100は、Wi−Fiによるアクセスポイント機能を有し、Wi−Fiによる無線通信を行う。Wi−Fi通信部100は、予め定められたSSID(Service Set Identifier)により識別される。端末装置20は、Wi−Fi通信部100が検出されると、当該Wi−Fi通信部100に設定されたSSIDをWi−Fi通信部100に送信することで、Wi−Fi通信部100との接続を確立する。
端末装置20は、上述したように、Wi−Fi通信部100との接続が確立されると、外部ユーザにより入力された認証情報をWi−Fi通信部100に送信する。Wi−Fi通信部100は、受信した認証情報を接続管理部106に出力する。接続管理部106は、例えばメモリを有し、Wi−Fi通信部100から出力された認証情報を当該メモリに記憶する。なお、接続管理部106は、Wi−Fi通信部100から出力された認証情報をメモリ等に記憶させず、PC30に直接送信してもよい。
Wi−Fi通信部100は、端末装置20との接続の確立後、端末装置20から送信された通信データを、スイッチ部102を介してIP付加部103に出力する。なお、Wi−Fi通信部100は、端末装置20から送信されるデータが認証情報であるか、それ以外の通信データであるかに関しては、例えば、端末装置20から送信されるデータに埋め込まれた、データの内容を識別する識別子によって判別する。
なお、第1の実施形態では、Wi−Fi通信部100は、WEPキーを設定せず、WEPによる暗号化を行わずに用いるようにする。勿論、Wi−Fi通信部100は、一般的なWi−Fiのアクセスポイント機能と同様に、WEPキーなどを設定し、通信パケットの暗号化を行ってWi−Fiによる通信を行ってもよい。
IP付加部103は、Wi−Fi通信部100から供給された通信データに対して、接続先を示す情報として、接続先記憶部105に記憶されているIPアドレスを付加する。接続先記憶部105は、この接続ボックス10aを介した通信により端末装置20に接続を許可する接続先のIPアドレスを予め記憶する。接続先記憶部105からIP付加部103に供給するIPアドレスは、外部、例えばPC30からの指示で設定および変更することができる。なお、接続ボックス10a自体がIPアドレスの設定手段や切り替え手段を有してもよい。
図4は、接続先記憶部105のデータ構造の例を示す図である。接続先記憶部105は、端末装置20に接続を許可する接続先のIPアドレスを保持する。例えば、図4に示すように、接続先記憶部105は、MFP51のIPアドレス、PJ52のIPアドレス、TBL54のIPアドレス及びIWB50のIPアドレス等を記憶する。例えば、IP付加部103は、Wi−Fi通信部100から供給された通信データに応じて、接続先記憶部105に記憶されている1のIPアドレスを選択し、選択したIPアドレスを当該通信データに付加する。
また、図3では、IP付加部103、接続先記憶部105および接続管理部106が接続ボックス10aに内蔵されているものとして示しているが、これはこの例に限定されない。例えば、ネットワークシステム1において接続先記憶部105、接続管理部106およびIP付加部103のうち一部または全部を接続ボックス10aから分離させ、ネットワークシステム1は、LAN40に接続されているサーバのような形態で接続ボックス10aと連動してこれらを動作させることも可能である。
LAN I/F104は、LAN40との通信を制御する。また、LAN I/F104は、PC30からの要求に従い、接続管理部106に記憶される認証情報の取得、スイッチ部102の開閉(ON/OFF)の制御、および、上述した接続先記憶部105からIP付加部103に供給するIPアドレスの切り替えなどを行う。
LAN I/F104は、接続管理部106から認証情報を取得した場合、取得した認証情報をPC30に送信する。続いて、PC30は、接続ボックス10aから受信した認証情報をディスプレイ(DISP)31に表示させる。
また、LAN I/F104は、接続解除に伴うPC30からの指示により、スイッチ部102を開状態とすること、接続管理部106の認証情報を消去すること、接続管理部106を介してWi−Fi通信部100を初期化すること、Wi−Fi通信部100の接続を遮断することを行う。
図5は、第1の実施形態に係る端末装置20の機能を説明するための一例の機能ブロック図である。端末装置20は、検索部200と、通信部201と、入力部202とを有する。これら検索部200、通信部201および入力部202の一部または全部は、CPU(Central Processing Unit)上で動作するプログラムにより構成される。これに限らず、検索部200、通信部201および入力部202は、互いに協働して動作するそれぞれ独立したハードウェアで構成してもよい。
検索部200は、通信部201による通信を行う際に、Wi−Fiによるアクセスポイントを検索する。通信部201は、検索部200で検索されたアクセスポイントとの間の接続を確立し、接続が確立されたアクセスポイントとの間で通信を行う。入力部202は、図示されない表示部に対して、認証情報を入力するように促すメッセージを含む画面を表示させ、この画面に応じて入力された認証情報を、通信部201に渡す。通信部201は、入力部202に入力された認証情報を送信する際に、例えば、認証情報が含まれる旨を示す識別子を送信データに埋め込むようにする。
図6は、第1の実施形態に係る、内部ユーザ側において、接続ボックス10aに対して外部ユーザ側の機器接続許可を指示するために用いるPC30の機能を説明するための一例の機能ブロック図である。なお、図6では、PC30を「オーナPC」として示している。PC30は、接続要求取得部300と、表示部301と、入力部302と、接続設定部303と、接続許可時間管理部304とを有する。これら接続要求取得部300、表示部301、入力部302、接続設定部303および接続許可時間管理部304は、CPU上で動作するプログラムにより構成される。
接続要求取得部300は、端末装置20において入力され、接続ボックス10aから送信される認証情報を取得する。表示部301は、接続要求取得部300に取得された認証情報と、端末装置20の接続の可否の入力を促すメッセージとをディスプレイ31に表示させる表示画面を生成する。入力部302は、当該表示画面に応じた入力を受け付ける。接続設定部303は、当該表示画面に応じて入力部302になされた入力に従い、接続ボックス10aに対してスイッチ部102の閉を指示する。
また、接続設定部303は、PC30の入力部302または接続許可時間管理部304より接続を解除する指示を受けると、LAN I/F104を介して、接続ボックス10aに対してスイッチ部102の開(オフ)を指示すること、接続管理部106の認証情報を消去するように指示すること、Wi−Fi通信部100を初期化するように指示すること、およびWi−Fi通信部100の接続を遮断するように指示することを行う。
接続許可時間管理部304は、表示画面に応じて入力部302になされた接続許可時間の入力に従い接続許可時間の管理を行う。接続設定部303がスイッチ部102の閉を指示すると、接続許可時間管理部304は、接続許可時間の管理を開始する。例えば、接続許可時間管理部304は、入力された接続許可時間をもとにしたタイマーを設定すること、又は接続許可時間と現時刻とをもとにした終了時刻を使用したアラームを設定することで接続許可時間の管理を開始する。接続許可時間管理部304は、接続許可時間が経過したことを検知すると、接続設定部303に対し、接続を解除するように指示する。
図7は、第1の実施形態に係る、PC30における、接続ボックス10aに対する接続許可処理の一例を示すフローチャートである。このフローチャートによる処理は、PC30のCPU上で動作するプログラムにより実行される。
接続ボックス10aがLAN40に接続されると、PC30は、例えばLAN40を含むネットワークシステム1から、接続ボックス10aのIPアドレスを取得する(ステップS100)。次に、PC30は、取得したIPアドレスに従い接続ボックス10aにアクセスし、端末装置20からの接続要求の有無を確認する(ステップS101)。PC30は、接続ボックス10aが接続要求を受信していないと判定した場合、処理をステップS101に戻す(ステップS102)。
すなわち、接続ボックス10aは、端末装置20から認証情報を付加して送信された接続要求は、接続ボックス10a内の接続管理部106が有するメモリに記憶させる。PC30は、ステップS101で、接続ボックス10aに対して接続要求の有無を問い合わせる。接続ボックス10は、この問い合わせに応じて接続管理部106のメモリに接続要求が記憶されているか否かを判定し、判定結果をPC30に通知する。
PC30は、ステップS102で、接続要求を接続ボックス10aが受信していると判定した場合、処理をステップS103に移行する。PC30は、端末装置20から接続要求に付加されて送信された認証情報を接続ボックス10aから取得し、認証情報を確認するための認証情報表示画面を生成して、ディスプレイ31に表示させる(ステップS103)。
例えば、PC30は、ステップS103で、接続ボックス10aに対して、接続要求に付加される認証情報を要求する。接続ボックス10aは、接続管理部106から、端末装置20により接続要求に付加されて送信された認証情報を取得し、PC30に認証情報を送信する。PC30は、この認証情報と、端末装置20の接続の可否を指示するための入力を促すメッセージとを表示させるための表示画面を生成し、生成した表示画面をディスプレイ31に表示させる。
次に、PC30は、内部ユーザによる、端末装置20の接続可否を指示する入力がなされるまで待機する(ステップS104)。そして、PC30は、端末装置20の接続可否の指示が内部ユーザにより入力されると、入力された指示に従い、接続ボックス10aに対して、スイッチ部102による接続の開閉を指示する(ステップS105)。
すなわち、PC30は、ディスプレイ31の認証情報表示画面に表示される認証情報を外部ユーザが認証した場合、端末装置20とLAN40の間の接続を閉(オン:ON)状態とする指示を内部ユーザから受け付ける。PC30は、この指示を接続ボックス10aに送信する。接続ボックス10aにおいて、LAN I/F104は、この指示を受信すると、スイッチ部102に対して、接続を閉(オン)とする信号を出力する。
次に、PC30は、内部ユーザによって入力された接続許可時間に従った接続許可時間の管理を開始する(ステップS106)。
次に、PC30は、入力部302又は接続許可時間管理部304から、接続設定部303に接続解除の指示が届くのを待つ(ステップS107)。次に、PC30は、接続設定部303に接続解除の指示が届くと、接続ボックス10aに対して端末装置20とLAN40との間の接続の解除を指示する(ステップS108)。
具体的には、PC30は、ステップS108において、スイッチ部102の開(オフ)を指示すること、接続管理部106の認証情報を消去するように指示すること、Wi−Fi通信部100を初期化するように指示すること、およびWi−Fi通信部100の接続を遮断するように指示することを実行する。
図8は、第1の実施形態に係る、端末装置20によるLAN40への接続要求処理の例を示すフローチャートである。端末装置20は、接続ボックス10aのWi−Fi通信部100から送信されるWi−Fiによる電波を検出する(ステップS200)。端末装置20は、Wi−Fi通信部100からの電波を検出すると、内部ユーザから外部ユーザに予め通知された接続ボックス10a(Wi−Fi通信部100)のSSIDの入力を外部ユーザから受け付ける。そして、端末装置20は、受け付けたSSIDを接続ボックス10aに送信して、接続ボックス10aにアクセスする(ステップS201)。
次に、端末装置20は、外部ユーザに対して認証情報の入力を促す認証情報入力画面を生成し、端末装置20が有する図示されないディスプレイに表示させる(ステップS202)。そして、端末装置20は、外部ユーザによる認証情報の入力があるまで待機する(ステップS203)。端末装置20は、外部ユーザにより認証情報が入力されると、ステップS204の処理に移行する。
次に、端末装置20は、外部ユーザにより入力された認証情報を接続ボックス10に対して送信する(ステップS204)。このとき、端末装置20は、認証情報を、LAN40に対する接続を要求する接続要求に付加して、接続ボックス10aに送信する。接続ボックス10aは、接続要求に付加して送信された認証情報に基づくPC30における内部ユーザによる認証に応じて、接続ボックス10aのスイッチ部102が閉状態とし、端末装置20とLAN40とを接続する。
なお、接続ボックス10aは、PC30の接続設定部303から接続解除の指示が届くと、スイッチ部102を開状態とすること、接続管理部106の認証情報を消去すること、さらに接続管理部106を介してWi−Fi通信部100を初期化すること、およびWi−Fi通信部100の接続を遮断することを行う。
図9は、第1の実施形態に係る、接続ボックス10aにおける処理フローの一例を示すフローチャートである。接続ボックス10aは、端末装置20からのアクセスを検知した場合、ステップS301の処理に移行する(ステップS300)。接続ボックス10aは、端末装置20から受信した接続要求及び認証情報をメモリに記憶する(ステップS301)。接続ボックス10aは、オーナPC30からの要求に応じて認証情報をメモリから取出し、オーナPC30のディスプレイ31に認証情報を表示させる(ステップS302)。
接続ボックス10aは、オーナPC30から接続許可の指示があった場合、ステップS304の処理に移行し、接続拒否の指示があった場合、処理を終了させる(ステップS303)。なお、接続ボックス10aは、所定時間接続許可の指示がない場合、接続拒否の指示があったものとして処理を終了させてもよい。
接続ボックス10aは、オーナPC30から接続許可の指示があった場合、SW部102を閉とすることで端末装置20とLAN40との接続を開始させる(ステップS304)。接続ボックス10aは、オーナPC30から接続解除の指示を受けた場合、ステップS306の処理に移行し、接続解除の指示を受けてない場合、接続を維持させる(ステップS305)。次に、接続ボックス10aは、オーナPC30から接続解除の指示を受けた場合、端末装置20とLAN40との間の接続を解除する(ステップS306)。
なお、上述では、図1に示したネットワークシステム1において、無線LANによる通信のセキュリティのためにWEPを用いるように説明したが、これはこの例に限定されない。すなわち、図1に示したネットワークシステム1における無線LANによる通信のセキュリティのために、WPA(Wi-Fi Protected Access)もしくはWPAを拡張したWPA2などを用いてもよい。この場合であっても、第1の実施形態では、Wi−Fi通信部100は、WPAによるセキュリティを設定せず、WPAによる暗号化を行わずに用いるようにしている。勿論、Wi−Fi通信部100は、WPAによるセキュリティを設定し、接続認証と通信パケットの暗号化を行い、通信を実行してもよい。
(第1の実施形態の変形例)
図10は、第1の実施形態の変形例による接続ボックス10bの一例の構成を示す図である。上述した第1の実施形態に係る接続ボックス10aは、1の端末装置20の接続を想定しているが、第1の実施形態の変形例による接続ボックス10bは、複数の端末装置(端末装置20a、端末装置20b、端末装置20c)の接続を可能としたものである。なお、図10において、上述の図3と共通する部分については同一の符号を付して、詳細な説明を省略する。
図10に示される接続ボックス10bにおいて、Wi−Fi通信部100'は、上述したWi−Fi通信部100の機能に加えて、異なる端末装置との間で接続が確立される毎にインクリメントされるカウント値を出力する機能を有する。例えば、Wi−Fi通信部100'は、端末装置20a、端末装置20b、端末装置20cの順にLAN40との間の接続が確立された場合、端末装置20aにカウント値「1」、端末装置20bにカウント値「2」、端末装置20cにカウント値「3」を出力する。なお、以下では、複数の端末装置のうちの1の端末装置を端末装置20と表す。
また、図10の接続ボックス10bは、図3に示した接続ボックス10aに対して識別情報生成部110が追加されている。識別情報生成部110は、Wi−Fi通信部100'から出力されるカウント値に応じて異なる識別情報を生成する。
Wi−Fi通信部100'は、SSIDを入力してWi−Fi通信部100'との間で接続を確立した端末装置20から、例えばMAC(Media Access Control)といった、各端末装置20に固有の識別子を取得する。そして、Wi−Fi通信部100'は、既に接続が確立された端末装置20の識別子と異なる識別子を取得した場合に、カウント値をインクリメントする。
識別情報生成部110は、Wi−Fi通信部100'から出力されるカウント値と端末装置20に固有の識別子とに応じた識別情報を生成し、Wi−Fi通信部100'に渡す。例えば、識別情報生成部110は、MACアドレスとカウント値とを用いて識別情報「端末装置20のMACアドレス_カウント値」を生成する。Wi−Fi通信部100'は、外部ユーザの入力に従い端末装置20から送信される認証情報と、識別情報生成部110から渡された識別情報とを関連付けて、接続管理情報記憶部107に記憶させる。
図11は、接続管理情報記憶部107のデータ構造の例を示す図である。接続管理情報記憶部107は、端末装置20から送信された認証情報と、識別情報生成部110から渡された識別情報とを関連付けて記憶する。「No」は、接続が確立された順番を示す。「識別情報」は、LAN40との接続を要求する端末装置20の識別情報を示す。「認証情報」は、端末装置20から出力された認証情報を示す。例えば、認証情報は、gifファイル等の画像ファイルである。
例えば、接続管理情報記憶部107は、1番目に接続要求があった端末装置20aの識別情報「端末装置20aのMACアドレス_01」と、「端末装置20aから入力された認証情報(画像)」とを対応付ける。また、接続管理情報記憶部107は、2番目に接続要求があった端末装置20bの識別情報「端末装置20bのMACアドレス_02」と、「端末装置20bから入力された認証情報(画像)」とを対応付ける。さらに、接続管理情報記憶部107は、3番目に接続要求があった端末装置20cの識別情報「端末装置20cのMACアドレス_03」と、「端末装置20cから入力された認証情報(画像)」とを対応付ける。
PC30は、接続管理部106を介して接続管理情報記憶部107に記憶されている認証情報と、当該認証情報に関連付けられた識別情報とを識別情報表示画面に表示させる。これにより、内部ユーザは、複数の端末装置20を識別することができ、複数の端末装置20それぞれに対して個別に接続の可否を設定することができる。なお、この場合、接続ボックス10bは、複数の端末装置20の接続可否の設定結果をWi−Fi通信部100'にも供給し、Wi−Fi通信部100'において、接続可否の設定結果に応じて転送データをフィルタリングさせてもよい。
また、PC30の接続許可時間管理部304は、端末装置20a、端末装置20bおよび端末装置20cそれぞれに対して設定された個別の接続許可時間に応じて、接続設定部303に対して個別に接続解除の指示を出すものとする。接続許可時間管理部304は、接続許可時間のうち、最長の時間が割り当てられた端末装置20との接続に対しては、端末装置20とLAN40との間の接続を開とすること、使用した識別情報を消去すること、外部ユーザと接続ボックス10との接続情報を初期化すること、および外部ユーザと接続ボックス10との接続を遮断することを指示する。一方、接続許可時間管理部304は、最長の時間以外の接続許可時間が割り当てられた端末装置20との接続に対しては、端末装置20とLAN40との間の接続を開とすること、および使用した識別情報を消去することを指示する。すなわち、接続許可時間管理部304は、全ての接続が開となった場合に、接続管理部106に記憶されている接続情報を初期化するなどの処理を行う。
(第2の実施形態)
次に、第2の実施形態について説明する。第2の実施形態は、上述した接続ボックス10に対してSDN(Software-Defined Network)の概念を適用したものである。第2の実施形態の説明に先んじて、SDNについて概略的に説明する。
従来、組織体内で閉じた構成の組織内LANなどのネットワーク環境は、各ベンダが提供するLANスイッチや無線LANアクセスポイントの設定・運用を熟知した専任の担当者が構築するのが一般的であった。このようなネットワーク環境は、ベンダのソリューションによる認証手段や運用方法しか提供されない、所謂「ベンダロックイン」の状態であり、組織体が自在に認証手段や運用方法を設定することが困難であった。
これに対して、近年では、ユーザである組織体が独自のネットワークを構築できるようにするため、ネットワーク上のデータの動きをソフトウェアだけで制御可能とするSDNと呼ばれる概念が注目されている。このSDNに関連して、注目を集めている代表的な構成技術要素として「ネットワークの仮想化」と、その仮想化されたネットワーク上での通信を制御する手法(プロトコル)の一つでありベンダに依存しないオープンな仕様である「OpenFlow」とがある。
ネットワーク仮想化は、例えば、一つの物理インターフェイスを複数に(若しくは複数の物理インターフェイスを一つに)見せるような仮想インターフェイス技術や、仮想インターフェイスを接続中継する仮想スイッチ技術などに至る、複数の構成要素を含む技術の集合体である。ネットワーク仮想化は、物理ネットワーク機器と仮想ネットワーク部品、プロトコル技術の組合せによって、物理的なネットワーク構成から論理的なネットワーク構成を仮想的に分離し、物理構成に縛られない柔軟なネットワーク構成を実現する。
OpenFlowは、通信をエンド・ツー・エンドのフローとして捉えて、そのフロー単位に経路制御、負荷分散、最適化などを行うことができる。具体的には、OpenFlowは、データ通信経路の中継機器などにおいて自立分散的に各データパケットを解析して転送するのではなく、集中制御型に変えることで実現する。
OpenFlowでは、データの解析と転送先判断および決定制御とを行う「コントロール・プレーン」と、単なるパケットの物理的な伝送を担う部分である「データ・プレーン」とを分離する。OpenFlowでは、コントロール・プレーンを司るOFC(OpenFlowコントローラ)が転送ルールを指示し、データ・プレーンを担うOFS(OpenFlowスイッチ)は、OFCの指示に従ってパケットの転送を行う。より具体的には、OFSは、OFCが追加および書き換えを行う、OFSが持つフローテーブルに従って、パケットの転送を行う。この仕組みを用いることで、上述したネットワーク仮想化を制御するためのツールなどとしてOpenFlowを活用できる。
図12は、第2の実施形態に係る接続ボックス10cの一例の構成を示すブロック図である。なお、図12において、上述した図1および図3と共通する部分には同一の符号を付して、詳細な説明を省略する。なお、サーバ70は、LAN40上の通信を管理する。LAN40に接続される機器は、サーバ70の認証を受けることで、LAN40を介した通信が可能となる。
図12において、接続ボックス10cは、Wi−Fi通信部100cと、LAN I/F400と、接続管理部401と、転送制御部402と、転送制御テーブル403と、転送処理部404とを含む。LAN I/F400は、図3のLAN I/F104に対応し、LAN40との通信を制御する。また、LAN I/F400は、転送処理部404、接続管理部401および転送制御部402との間でデータの受け渡しを行う。
Wi−Fi通信部100cは、図3で説明したWi−Fi通信部100に対応し、基本的には、Wi−Fiによるアクセスポイント機能を有し、Wi−Fiによる無線通信を行う。Wi−Fi通信部100cは、予め定められたSSIDにより識別される。また、Wi−Fi通信部100cは、Wi−Fiによる通信のオンオフを制御するためのスイッチ(SW)部410を含む。なお、スイッチ部410は、通信のオンオフを制御するための機能を示すものであり、特定の構成を限定するものではない。
接続管理部401は、Wi−Fi通信部100cに対するホストアクセスポイントとして機能する。接続管理部401は、例えば、PC30から渡された指示に従い、Wi−Fi通信部100cとの間でWPAによる鍵の受け渡しを行い、Wi−Fi通信部100cを介したLAN40に対する通信を制御する。例えば、接続管理部401は、PC30からの指示に従い、Wi−Fi通信部100cに対してWPAによる鍵を渡す。Wi−Fi通信部100cは、渡された鍵を用いてWPAによる認証を行い、スイッチ部410をオン(閉)状態として、Wi−Fi通信部100cを介したLAN40との通信を可能とする。
転送制御部402は、上述したOFCに対応し、例えばPC30から渡された指示に従い、処理対象となるパケットの条件と当該パケットの転送先を示す情報とを含む転送制御情報を生成し、転送制御テーブル403に書き込む。転送処理部404は、Wi−Fi通信部100cとLAN I/F400との間でパケットの中継を行う。転送処理部404は、上述したOFSに対応し、中継するパケットの振る舞いを、転送制御テーブル403から読み出した転送制御情報に従い制御する。
図13は、転送制御テーブル403のデータ構造の例を示す図である。転送制御テーブル403は、端末装置20から受信したパケットの条件に対応する転送先を示すテーブルである。「送信元IPアドレス」は、受信したパケットのヘッダ部に格納されている送信元のIPアドレスを示す。「送信先IPアドレス」は、受信したパケットのヘッダ部に格納されている送信先のIPアドレスを示す。なお、「送信元IPアドレス」及び「送信先IPアドレス」は、いずれもパケットを転送する条件である。また、「アクション」は、受信されたパケットになされる処理を示す。
例えば、転送制御部402は、受信されたパケットのヘッダ部に、送信元IPアドレスとして「端末装置20のIPアドレス」が格納されており、送信先のIPアドレスとして「MFP51のIPアドレス」が格納されている場合、転送制御テーブル403の1行目のレコードに基づいて当該パケットをMFP51に転送する。また、転送制御部402は、受信したパケットのヘッダ部に、送信元IPアドレスとして「端末装置20のIPアドレス」が格納されており、送信先のIPアドレスとして「PJ52のIPアドレス」が格納されている場合、転送制御テーブル403の2行目のレコードに基づいて当該パケットをPJ52に転送する。なお、転送制御部402は、転送制御テーブル403のいずれの条件にも該当しないパケットを受信した場合、端末装置20にエラーを通知した上でパケットを破棄する(Drop)等の処理を実行してもよい。
なお、パケットを転送する条件は上記に限定されず、例えば、「送信元MACアドレス」、「送信先MACアドレス」、「送信元のポート番号」、「送信先のポート番号」等の条件を含んでもよい。また、「アクション」には、転送先のIPアドレスにパケットを転送する以外の処理が含まれてもよい。
また、LAN I/F400は、接続解除に伴うPC30の接続設定部303からの指示により、転送制御部402を介して、書き込んだ転送制御テーブル403内の該当転送制御情報を消去すること、接続管理部401を介してWi−Fi通信部100cを初期化すること、およびWi−Fi通信部100cのスイッチ部410をオフにすることを行う。
図14は、第2の実施形態に係る接続ボックスにおける処理の流れを説明するための図である。第2の実施形態に係る接続ボックス10cを用いた通信について、図14〜図18、および、上述の図2を用いて説明する。
先ず、内部ユーザ側において、例えばPC30は、接続ボックス10cとの間で接続を確立させる。一例として、PC30は、例えばサーバ70にアクセスし、接続ボックス10cへの接続を要求する。この要求に応じて、サーバ70は、接続ボックス10cへの接続を確立させるための接続画面をPC30に提示する。
図15は、接続ボックス10cへの接続を行うための接続画面の一例を示す図である。図15の例では、接続画面500は、接続ボックス10cへの接続をキャンセルするボタン501と、接続ボックス10cへの接続処理を継続するためのボタン502とが配置される。PC30は、操作されたボタンを示す情報をサーバ70に送信する。
図16は、接続ボックスへの接続を行うためのログイン画面の一例を示す図である。サーバ70は、ボタン502に対する操作を示す情報がPC30から送信されると、図16に示されるログイン画面510をPC30に提示する。入力部511および512は、それぞれユーザ名およびパスワードを入力するための領域である。ボタン513は、入力部511および512に入力された情報をサーバ70に送信するためのボタンである。ボタン514は、接続ボックス10cへの接続処理をキャンセルするボタンである。
サーバ70は、ログイン画面510に入力されたユーザ名およびパスワードをPC30から受信すると、受信したユーザ名およびパスワードに従い認証処理を行い、認証が成功すると、PC30と接続ボックス10cとの間で、LAN40を介した接続を確立させる。
PC30は、接続ボックス10cとの接続が確立されると、端末装置20による接続ボックス10cを介した接続を許可する機器を指定する機器指定画面520をディスプレイ31に表示させる。PC30は、サーバ70から提示された機器指定画面520をディスプレイ31に表示するようにしてもよい。
図17は、第2の実施形態に係る、機器指定画面520の一例を示す図である。図17の例では、PC30は、機器指定画面520に接続許可可能な機器(MFP51、PJ52およびIWB50)を、アイコン画像521a、521bおよび521cとして表示する。これはこの例に限定されず、PC30は、接続許可可能な機器に係る文字列のリストを機器指定画面520に表示させてもよい。
内部ユーザによって、アイコン画像521a、521bおよび521cのうち所望のアイコン画像が選択され、さらに接続許可時間フォーム522に接続許可時間が入力された後に、認証ボタン523が操作されると、PC30は、選択されたアイコン画像に対応する機器の転送制御情報を接続ボックス10cに送信する。さらに、接続許可時間管理部304は、接続許可時間の管理を開始する。
なお、PC30は、各機器の転送制御情報を予め記憶しているものとする。これに限らず、各機器の転送制御情報がサーバ70に記憶されてもよい。この場合、PC30は、サーバ70に問い合わせることで、各機器の転送制御情報を取得するようにしてもよい。また、PC30は、アイコン画像521a、521bおよび521cのうち複数のアイコン画像を内部ユーザに選択させることが可能であり、複数の機器の転送制御情報を接続ボックス10cに送信してもよい。
接続ボックス10cは、PC30から送信された転送制御情報を転送制御部402に渡す(図14の経路B)。転送制御部402は、渡された転送制御情報を転送制御テーブル403に書き込む。
一方、端末装置20は、予め通知された、Wi−Fi通信部100cとの接続を確立するためのSSIDを接続ボックス10cに対して送信する(図2のステップS10)。なお、上述した第1の実施形態と同様に、接続ボックス10cにおいて、アクセスポイント機能はWPAなどによる暗号化を行わなくてもよい。この場合、端末装置20は、所定のSSIDを接続ボックス10cに送信することで、Wi−Fi通信部100cとの接続を確立することができる。
なお、この段階では、Wi−Fi通信部100cにおいてWPAによる認証が行われていないので、Wi−Fi通信部100cのスイッチ部410がオフ(開)状態となっており、端末装置20はLAN40上の各機器にアクセスできない。
次に、外部ユーザ側において、端末装置20は、外部ユーザ本人から内部ユーザ側から予め通知された識別情報の入力を受け付ける。このとき、端末装置20は、例えば、Captive Portal機能により、例えばWi−Fi通信部100cによって接続管理部401を介してサーバ70上の識別情報入力画面が強制的に参照されることで、Wi−Fi通信部100cから送信された識別情報入力画面が端末装置20のディスプレイに表示されてもよい。
図18は、第2の実施形態に係る識別情報入力画面の一例を示す図である。図18の例では、識別情報入力画面530は、描画領域531に描画を行うことが可能な構成とされている。外部ユーザは、描画領域531に対して、内部ユーザから予め通知された描画を行う。描画の内容は、外部ユーザ側と内部ユーザ側との間で認識が共有できれば特に限定されず、絵でもよいし、文字や記号でもよい。端末装置20は、識別情報入力画面530においてボタン532が操作されると、例えば描画領域531内の画像をPC30に送信する。PC30は、送信された画像を受信し、受信した画像をディスプレイ31に表示させる。
なお、外部ユーザは、識別情報入力画面530において、ボタン533を操作することで、描画領域531の描画内容を消去することができる。また、端末装置20は、識別情報入力画面530において描画を受け付けるのに限らず、識別情報として例えば文字列の入力を受け付けるようにしてもよい。
内部ユーザ側では、PC30は、ディスプレイ31に表示された識別情報が正しいか否かの当該内部ユーザ本人による判定を受け付ける。識別情報が正しいと判定された場合、PC30は、図2のステップS12で、接続許可を示す接続許可情報を接続ボックス10cに送信し、接続許可を通知する。
接続ボックス10cは、PC30から受信した接続許可情報を、図14の経路Aに従い接続管理部401に渡す。接続管理部401は、渡された接続許可情報に応じて、Wi−Fi通信部100cに対してWPAによる鍵を渡す。Wi−Fi通信部100cは、接続管理部401から渡された鍵を用いてWPAによる認証処理を行い、スイッチ部410をオン(閉)状態とする。これにより、端末装置20が接続ボックス10cを介してLAN40に接続されることになる。接続ボックス10cは、LAN40による認証を受けているため、端末装置20は、接続ボックス10cを介してLAN40に接続される各機器にアクセスすることができるようになる(図2のステップS13)。
ここで、接続ボックス10aは、端末装置20からLAN40への通信を、転送処理部404に中継させて行う。具体的には、転送処理部404は、端末装置20のLAN40上の各機器への通信を、転送制御テーブル403に記憶される転送制御情報に従い制御する。例えば、転送制御テーブル403にIWB50に対応する転送制御情報が記憶されている場合、転送処理部404は、IWB50を宛先とするパケットを端末装置20から受信した場合、当該パケットの送信先をIWB50に設定する。なお、端末装置20からIWB51を宛先とするパケットが送信されたが外部ユーザにIWB51を使用させたくない場合等は、転送処理部404は、当該パケットの送信先をIWB50に変更してもよい。
第2の実施形態によれば、上述した第1の実施形態による構成にOpenFlowを適用しているため、端末装置20とLAN40との接続を許可するか否かを、組織体外の人が入力した、予め通知した識別情報に基づき、組織体内の人が判定するシステムを、より柔軟且つ容易に構成することが可能である。
(第2の実施形態の変形例)
次に、第2の実施形態の変形例について説明する。上述の第2の実施形態では、接続ボックス10cを構成するWi−Fi通信部100c、LAN I/F400、接続管理部401、転送制御部402、転送制御テーブル403および転送処理部404を、1の筐体で実現するように説明したが、これはこの例に限定されない。すなわち、Wi−Fi通信部100c、LAN I/F400、接続管理部401、転送制御部402、転送制御テーブル403および転送処理部404の一部を分離して構成することも可能である。
図19は、第2の実施形態の変形例に係る通信システムの一例の構成を示すブロック図である。図19は、上述の接続ボックス10cの構成のうち、転送制御部402を外部に分離した例である。なお、図19において、上述した図12と共通する部分には同一の符号を付して、詳細な説明を省略する。
図19において、接続ボックス10dは、Wi−Fi通信部100c、LAN I/F400、接続管理部401、転送制御テーブル403'および転送処理部404を含む。転送制御部402'は、例えばLAN40に対して接続される他のネットワーク80上に構成される。転送制御部402'は、1台のサーバ装置内の構成としてもよいし、1台以上の情報処理装置からなる情報処理システム上において分散的に構成してもよい。
この場合、転送制御部402'は、PC30から指示をLAN40およびネットワーク80を介して受け取り、受け取った指示に従い転送制御情報を生成する。転送制御部402'は、生成した転送制御情報をネットワーク80およびLAN40を介して接続ボックス10dに送信する。接続ボックス10dにおいて、転送制御部402'から送信された転送制御情報は、LAN I/F400を介して転送制御テーブル403'に書き込まれる。
このように、SDNの概念を実施形態の通信システムに適用することで、実施形態に係る接続ボックスの構成の一部を分離することができ、システム構成を柔軟に設計することが可能であり、さらに、接続ボックスのコストを削減することが可能となる。
次に、ネットワークシステム1を構成する各機器のハードウェア構成について説明する。
図20は、オーナPC30のハードウェア構成例を示す図である。オーナPC30は、CPU601と、ROM602と、RAM603と、HDD604と、操作部605と、表示部606と、ドライブ装置607と、NIC(Network Interface Card)608と、記憶媒体609とを有する。
CPU601は、オーナPC30の全体制御を行うプロセッサである。すなわち、CPU601は、図6の接続要求取得部300、表示部301、入力部302、接続設定部303及び接続許可時間管理部304の機能を実現する。CPU601は、HDD604等に記憶されたオペレーティングシステム、アプリケーション、各種サービス等のプログラムを実行し、オーナPC30の各種機能を実現する。ROM602には、各種のプログラム及びプログラムによって利用されるデータ等が記憶される。RAM603は、プログラムをロードするための記憶領域、もしくはロードされたプログラムのワーク領域等として用いられる。HDD604には、各種情報及びプログラム等が記憶される。
操作部605は、ユーザからの入力操作を受け付けるためのハードウェアであり、例えばキーボード、マウス又はタッチパネル等である。
表示部606は、ユーザに向けた表示を行うハードウェアであり、例えば、モニタ、液晶ディスプレイなどである。図3等に示されるDISP31は、表示部606の一例である。
ドライブ装置607は、プログラムを記録した記憶媒体609からプログラムを読み取る。ドライブ装置607によって読み取られたプログラムは、例えば、HDD604にインストールされる。NIC608は、オーナPC30をLAN40に接続し、データの送受信を行うための通信インターフェイスである。
なお、記憶媒体609とは、非一時的な記憶媒体を言う。記憶媒体89の例としては、磁気記憶媒体、光ディスク、光磁気記憶媒体、不揮発性メモリなどがある。
図21は、接続ボックス10のハードウェア構成を示す図である。接続ボックス10は、CPU701、ROM702、RAM703、ドライブ装置704、記憶媒体705、NIC706、操作部707、表示部708及び無線I/F710を含む。
CPU701は、接続ボックス10の全体制御を行うプロセッサである。CPU701は、接続ボックス10の各処理部の機能を実現する。すなわち、CPU71は、図3のWi−Fi通信部100、SW部102、IP付加部103、LAN I/F104、接続先記憶部105及び接続管理部106の機能を実現する。
ROM702には、各種のプログラムやプログラムによって利用されるデータ等が記憶されている。RAM703は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。
ドライブ装置704は、記憶媒体705に格納されたプログラム又はデータを読込む。プログラムを記録した記憶媒体705をドライブ装置704にセットすることで、プログラムを記憶媒体705からドライブ装置704を介してRAM703にロードすることが出来る。記憶媒体705の例としては、磁気記憶媒体、光ディスク、光磁気記憶媒体、不揮発性メモリなどがある。
NIC706は、LAN40に接続され、接続ボックス10が他の装置と通信する場合に用いられる。NIC706は、LAN I/F104の一例である。
操作部82は、接続ボックス10の電源のON/OFFや、接続ボックス10の動作設定といったユーザからの各種入力を受け付ける。表示部83は、接続ボックス10の動作状況を表示する。
無線I/F710は、ベースバンド部711、RF部712、送受信部713、アンテナ714を有する。ベースバンド部711は、無線を通じて端末装置20と送受信するIPパケットから構成されるデジタルデータと、電気信号との間で変換を行う。RF部712は、ベースバンド部711にて生成された電気信号の周波数と無線の電波の周波数との間で変換を行う。送受信部713は、RF部712にて生成された無線の電波の電力増幅を行う。また、受信した電波を増幅してRF部712に渡す。アンテナ714は、電波の送信や受信を行う。無線I/F710は、Wi−Fi通信部100の一例である。
なお、上述の各実施形態は、本発明の好適な実施の例ではあるがこれに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変形による実施が可能である。
10,10a,10b,10c,10d 接続ボックス
20 端末装置
30 PC
31 ディスプレイ
40 LAN
100,100' Wi−Fi通信部
102 スイッチ部
103 IP付加部
104 LAN I/F
105 接続先記憶部
106 接続管理部
110 識別情報生成部
200 検索部
201 通信部
202,302 入力部
300 接続要求取得部
301 表示部
303 接続設定部
特開2007−235713号公報

Claims (6)

  1. 端末装置と通信する第1の通信部と、
    ネットワークを介して通信する第2の通信部と、
    前記第1の通信部と前記第2の通信部との間の接続の開始又は解除を制御する接続制御部と、
    前記端末装置から送信される認証情報を表示する表示部と、
    ユーザ入力を受け付ける入力部と、
    前記表示部によって表示された認証情報が、前記ネットワークに接続を許可されているユーザに対してあらかじめ通知されている認証情報に一致する場合に入力される指示に従い、接続を許可する時間を管理する接続管理部と
    を備えることを特徴とする通信システム。
  2. 前記接続管理部は、
    前記接続制御部に対して、前記接続を許可する時間が経過するまで前記接続を維持させ、前記接続を許可する時間が経過した場合に前記接続を解除させる請求項1に記載の通信システム。
  3. 前記接続制御部は、
    前記第1の通信部と通信する端末装置毎に該第1の通信部と前記第2の通信部との間の接続を管理する管理情報を生成して管理情報記憶部に保持し、
    前記接続管理部は、
    前記接続制御部に対して、端末装置毎に、前記接続を許可する時間が経過するまで前記接続を維持させ、前記接続を許可する時間が経過した場合に前記接続を解除させ、全ての端末装置に係る接続が解除された場合に、該全ての接続に係る前記管理情報を削除させる請求項1に記載の通信システム。
  4. 前記端末装置が前記ネットワークを介して通信可能な接続先を示す接続先情報をあらかじめ記憶する接続先記憶部と、
    前記接続制御部により前記接続が開始され、前記端末装置が前記ネットワークを介した通信を行う場合に、該端末装置から該ネットワークに送信される情報の宛先として前記接続先情報を該情報に付加する付加部と、をさらに備える請求項1乃至3のいずれか1項に記載の通信システム。
  5. 前記接続制御部は、
    前記第1の通信部と通信する端末装置の識別情報を含む管理情報を前記管理情報記憶部に保持させ、
    前記表示部は、端末装置から送信される認証情報と、該端末装置に対応する前記管理情報に含まれている識別情報とを表示する請求項1乃至4のいずれか1項に記載の通信システム。
  6. コンピュータに、
    端末装置と通信する第1の通信部とネットワークを介して通信する第2の通信部との間の接続の開始又は解除を制御する接続制御ステップと、
    前記端末装置から送信される認証情報を表示する表示ステップと、
    ユーザ入力を受け付ける入力ステップと、
    前記表示部によって表示された認証情報が前記ネットワークに接続を許可されているユーザに対してあらかじめ通知されている認証情報に一致する場合に入力される指示に従い、前記接続制御部に対して接続を許可する時間を前記接続制御部に対して設定する接続設定ステップと
    を実行させることを特徴とする通信方法。
JP2015085713A 2015-04-20 2015-04-20 通信システムおよび通信方法 Pending JP2016208174A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015085713A JP2016208174A (ja) 2015-04-20 2015-04-20 通信システムおよび通信方法
US15/096,474 US10567958B2 (en) 2015-04-20 2016-04-12 System and method for managing and authenticating communications connections

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015085713A JP2016208174A (ja) 2015-04-20 2015-04-20 通信システムおよび通信方法

Publications (1)

Publication Number Publication Date
JP2016208174A true JP2016208174A (ja) 2016-12-08

Family

ID=57129103

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015085713A Pending JP2016208174A (ja) 2015-04-20 2015-04-20 通信システムおよび通信方法

Country Status (2)

Country Link
US (1) US10567958B2 (ja)
JP (1) JP2016208174A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200153679A1 (en) * 2018-11-08 2020-05-14 Huawei Technologies Co., Ltd. Method for enhancing status communications in a sdn-based communication system
JP2022030590A (ja) * 2020-08-07 2022-02-18 株式会社リコー 管理装置、ネットワークシステムおよびプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001103048A (ja) * 1999-09-28 2001-04-13 Fujitsu Ltd 情報管理方法、情報管理装置、および情報管理プログラム記憶媒体
JP2001255956A (ja) * 2000-03-08 2001-09-21 Ricoh Co Ltd 利用者同定装置、方法、及び記録媒体
JP2008211446A (ja) * 2007-02-26 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> 通信システムおよび通信方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7620027B2 (en) * 2003-03-14 2009-11-17 Canon Kabushiki Kaisha Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to
JP4801468B2 (ja) 2006-03-02 2011-10-26 株式会社リコー 管理装置及び画像形成装置管理システム
US7602703B2 (en) * 2006-11-29 2009-10-13 Fujitsu Limited Method and system for providing ethernet protection
JP5018883B2 (ja) * 2007-07-11 2012-09-05 富士通株式会社 認証システム、端末認証装置および認証処理プログラム
JP2010245839A (ja) 2009-04-06 2010-10-28 Olympus Corp 情報通信端末
US20120291106A1 (en) * 2010-01-19 2012-11-15 Nec Corporation Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
JP6435719B2 (ja) 2013-09-17 2018-12-12 株式会社リコー 通信システムおよび通信方法
JP6291834B2 (ja) 2013-12-20 2018-03-14 株式会社リコー 通信装置、通信方法および通信システム
JP2016012909A (ja) 2014-06-03 2016-01-21 株式会社リコー 通信装置、通信方法および通信システム
US11026088B2 (en) * 2014-08-29 2021-06-01 Maxell, Ltd. Communication system, communication device and communication terminal device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001103048A (ja) * 1999-09-28 2001-04-13 Fujitsu Ltd 情報管理方法、情報管理装置、および情報管理プログラム記憶媒体
JP2001255956A (ja) * 2000-03-08 2001-09-21 Ricoh Co Ltd 利用者同定装置、方法、及び記録媒体
JP2008211446A (ja) * 2007-02-26 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> 通信システムおよび通信方法

Also Published As

Publication number Publication date
US20160309525A1 (en) 2016-10-20
US10567958B2 (en) 2020-02-18

Similar Documents

Publication Publication Date Title
JP6435719B2 (ja) 通信システムおよび通信方法
US7903646B2 (en) Wireless communication system allowing group identification information to be publicly available and to be hidden, wireless access point device, and communication method and program for wireless access point device
US10637830B2 (en) VPN access control system, operating method thereof, program, VPN router, and server
US10575341B2 (en) Communication system and recording medium
US20100205655A1 (en) Network access control system and method
US11153301B2 (en) Communication system and method for managing guest user network connections
US10237903B2 (en) Remote maintenance system
WO2015008780A1 (ja) 機器管理システム、機器管理方法及びプログラム
JP2016208174A (ja) 通信システムおよび通信方法
JP6200033B2 (ja) 中継装置、中継方法及び中継プログラム
CN111066297B (zh) 远程访问控制系统
JP5141096B2 (ja) 取得したネットワークの接続情報を利用したファイルの自動暗号化装置、その方法及びそのプログラム
JP5893788B1 (ja) 中継器、転送方法及びコンピュータプログラム
JP6704380B2 (ja) 外部サーバ、通信システムおよび通信方法
US10542082B2 (en) Communication control apparatus, communication control method and communication control program
JP2017168988A (ja) 通信装置、通信システム及び通信方法
JP2022089547A (ja) 画像処理システム及びプログラム
JP6701779B2 (ja) 通信システム
JP6755171B2 (ja) 接続切り替えシステム、接続切り替え方法、および、接続先装置
JP2017208721A (ja) 通信システム、通信方法およびプログラム
JP6532488B2 (ja) 管理装置、通信端末装置及びプログラム
JP2021136623A (ja) 無線lan対応機器
JP2002328854A (ja) ネットワーク端末の識別情報管理方法及びその装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190215

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190528