JP2017038211A - 通信制御プログラム及び情報処理装置 - Google Patents

通信制御プログラム及び情報処理装置 Download PDF

Info

Publication number
JP2017038211A
JP2017038211A JP2015158105A JP2015158105A JP2017038211A JP 2017038211 A JP2017038211 A JP 2017038211A JP 2015158105 A JP2015158105 A JP 2015158105A JP 2015158105 A JP2015158105 A JP 2015158105A JP 2017038211 A JP2017038211 A JP 2017038211A
Authority
JP
Japan
Prior art keywords
communication
server
client device
restriction
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015158105A
Other languages
English (en)
Inventor
河野 健二
Kenji Kono
健二 河野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2015158105A priority Critical patent/JP2017038211A/ja
Publication of JP2017038211A publication Critical patent/JP2017038211A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】特定のネットワークに接続する際に特別な設定操作を行うことにより、不正なアクセスを抑制する場合に比べて、不正なアクセスを抑制するとともにネットワークの接続を要求するユーザーの利便性を向上させる通信制御プログラム及び情報処理装置を提供する。【解決手段】接続サーバ20は、自動でVPN50に接続するよう設定されたルータ30に接続されたクライアント装置40から、ルータ30及びVPN50を介して、業務サーバ10に対する最初の通信以外を制限する通信制限手段200と、クライアント装置40と業務サーバ10との通信を監視し、監視した最初の通信の内容が予め定めた条件を満たしていた場合に、通信制御手段200による通信の制限を解除させる監視手段201とを有する。【選択図】図1

Description

本発明は、通信制御プログラム及び情報処理装置に関する。
従来の技術として、VPN(Virtual Private Network)を介した接続を要求する遠隔コンピュータのセキュリティレベルに応じて許可するアクセスレベルを変更する情報処理装置が提案されている(例えば、特許文献1参照)。
特許文献1に開示された情報処理装置は、VPNを介した接続を遠隔コンピュータから要求された場合に、遠隔コンピュータが要求するアクセスレベルに応じて遠隔コンピュータのセキュリティレベルを確認し、予め定めたセキュリティレベルを満たすものである場合は遠隔コンピュータから送信されるトークンの通過又はVPNによるアクセスを許可し、セキュリティレベルを満たさないものである場合は、低いアクセスレベルに応じたセキュリティレベルを確認して当該セキュリティレベルを満たすものである場合は低いアクセスレベルでのアクセスを許可する。
特開2010−176685号公報
本発明の目的は、特定のネットワークに接続する際に特別な設定操作を行うことにより、不正なアクセスを抑制する場合に比べて、不正なアクセスを抑制するとともにネットワークの接続を要求するユーザーの利便性を向上させる通信制御プログラム及び情報処理装置を提供することにある。
本発明の一態様は、上記目的を達成するため、以下の通信制御プログラム及び情報処理装置を提供する。
[1]コンピュータを、
特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する最初の通信以外を制限する通信制限手段と、
前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
[2]前記クライアント装置と前記サーバとの通信を監視し、監視した前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記通信制御解除手段に前記サーバに対する通信の制限を解除させる監視手段としてさらに機能させる前記[1]に記載の通信制御プログラム。
[3]前記サーバから前記最初の通信の結果通知を受信し、当該結果通知が予め定めた条件を満たしていた場合に、前記通信制御解除手段に前記サーバに対する通信の制限を解除させる受信手段としてさらに機能させる前記[1]に記載の通信制御プログラム。
[4]コンピュータを、
特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する通信を制限する通信制限手段と、
前記クライアント装置が予め登録された機器であるか検証する検証手段と、
前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
[5]特定のネットワークに接続するよう設定されたコンピュータを、
当該コンピュータに接続されたクライアント装置からサーバに対する通信を制限する通信制限手段と、
前記クライアント装置が予め登録された機器であるか検証する検証手段と、
前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
[6]サーバに接続された情報処理装置であって、
特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する最初の通信以外を制限する通信制御手段と、
前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段を有する情報処理装置。
[7]サーバに接続された情報処理装置であって、
特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、前記サーバに対する通信を制限する通信制限手段と、
前記クライアント装置が予め登録された機器であるか検証する検証手段と、
前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段とを有する情報処理装置。
[8]特定のネットワークに接続するよう設定された情報処理装置であって、
当該情報処理装置に接続されたクライアント装置から、サーバに対する通信を制限する通信制限手段と、
前記クライアント装置が予め登録された機器であるか検証する検証手段と、
前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段とを有する情報処理装置。
請求項1、4、5、6、7又は8に係る発明によれば、特定のネットワークに接続する際に特別な設定操作を行うことにより、不正なアクセスを抑制する場合に比べて、不正なアクセスを抑制するとともにネットワークの接続を要求するユーザーの利便性を向上させることができる。
請求項2に係る発明によれば、クライアント装置とサーバとの通信を監視することで、不正なアクセスを防止することができる。
請求項3に係る発明によれば、サーバから最初の通信の結果通知を受信することで、不正なアクセスを防止することができる。
図1は、第1の実施の形態に係る情報処理システムの構成の一例を示す概略図である。 図2は、クライアント装置の表示部に表示されるログイン画面の構成例を示す概略図である。 図3は、接続サーバの監視対象記憶手段が記憶する情報の構成例を示す表である。 図4は、接続サーバの監視対象記憶手段が記憶する情報の構成の他の例を示す表である。 図5は、第1の実施の形態に係る情報処理システムの動作例を示すフローチャートである。 図6は、第2の実施の形態に係る情報処理システムの構成の一例を示す概略図である。 図7は、第2の実施の形態に係る情報処理システムの動作例を示すフローチャートである。 図8は、第3の実施の形態に係る情報処理システムの構成の一例を示す概略図である。 図9は、接続サーバの監視対象記憶手段が記憶する情報の構成例を示す表である。 図10は、第3の実施の形態に係る情報処理システムの動作例を示すフローチャートである。 図11は、第4の実施の形態に係る情報処理システムの構成の一例を示す概略図である。 図12は、第4の実施の形態に係る情報処理システムの動作例を示すフローチャートである。
以下に説明する発明は、VPNに接続されたルータがVPNに接続するよう予め設定されている場合に、ルータに接続されたクライアント装置を検証の対象とし、検証結果が安全である場合にクライアント装置からVPNを介してサーバにアクセスすることを許可するものである。第1の実施の形態及び第2の実施の形態においては、クライアント装置とサーバとの最初の通信内容を確認することで、クライアント装置を検証する。また、第3の実施の形態及び第4の実施の形態においては、クライアント装置を直接検証する。以下、それぞれの実施の形態について説明する。
[第1の実施の形態]
(情報処理システムの構成)
図1は、第1の実施の形態に係る情報処理システムの構成の一例を示す概略図である。
この情報処理システムは、業務サーバ10を接続サーバ20によって、クライアント装置40をルータ30によって特定のネットワークであるVPN50に接続し、VPN50を介して互いに通信可能に接続することで構成される。業務サーバ10とクライアント装置40の例としては、勤怠管理サーバとICカードリーダ、入退出管理サーバとゲートチェッカ、POS(Point of Sale)管理サーバとPOS端末、商品受発注サーバとパソコン、メールサーバとパソコン等の装置が挙げられる。
上記構成において、クライアント装置40は、業務サーバ10に対し、利用開始時に所定の手続きを行い、正規の手続きが完了したことを接続サーバ20で監視することで、ルータ30が正当な場所に設置されていることを検証し、正当な場所に設置されている場合にルータ30の通信制限を解除する。なお、正規の手続きとは、例えば、POSを利用するためのログイン、勤怠管理システムや入館システムに社員証をかざす手続き等である。これらの、手続きはルータ30が設置された拠点で通常業務を行う前に実施されるものであり、ルータ30に対して特別な操作をすることなく、ルータが正規の場所に設置されていることを検証する方法となる。
業務サーバ10は、サーバ型の情報処理装置であり、クライアント装置40の要求に応じて動作するものであって、本体内に情報を処理するための機能を有するCPU(Central Processing Unit)やフラッシュメモリ等の電子部品を備える。
接続サーバ20はLANを構築し、任意の数の業務サーバ10を接続する。
ルータ30はLANを構築し、任意の数のクライアント装置40を接続する。なお、ルータ30は、VPN50に自動で接続するように予め設定されているものとする。
クライアント装置40は、PC(Personal Computer)等の情報処理装置であって、本体内に情報を処理するための機能を有するCPUやフラッシュメモリ等の電子部品を備える。
VPN50は、高速通信が可能な通信ネットワークであり、例えば、公衆のインターネット等の有線又は無線の通信網に構築された仮想的な閉じた組織内ネットワークである。なお、VPN50に代えて、キャリア通信網に構築されたIP−VPNを用いてもよいし、インターネットやLAN等のネットワークを用いてもよい。
業務サーバ10、接続サーバ20、ルータ30、クライアント装置40はそれぞれの記憶部に格納されたプログラム等を実行することで様々な手段として機能するが、以下において特に本実施の形態を説明するのに必要な手段について説明する。
業務サーバ10は利用開始許可手段100として機能する。
利用開始許可手段100は、クライアント装置40から利用開始申請を受け付けた場合に、内容を検証し、利用開始を許可する旨の応答をする。
また、接続サーバ20は通信制限手段200、監視手段201、監視対象記憶手段202として機能する。なお、第1の実施の形態において、接続サーバ20を各手段200−202として機能させるプログラムを通信制御プログラムと呼ぶものとする。
通信制限手段200は、ルータ30が接続された直後にクライアント装置40が業務サーバ10に対して利用を開始するために実施する最初の通信のみを通過させ、それ以外の通信を制限する。
監視手段201(通信制限解除手段)は、クライアント装置40が業務サーバ10に対して実施する最初の通信によって利用開始許可手段100が利用開始を許可したか否かを監視する。利用開始が許可されたことを検出した場合は、通信制限手段200の通信制限を解除する。
監視対象記憶手段202は、監視手段201が監視対象とする、通信制限手段200の通信制限を解除するための条件を記憶する。
また、クライアント装置40は利用開始申請手段400として機能する。
利用開始申請手段400は、業務サーバ10に対して実施する最初の通信として利用開始許可手段100に利用開始を申請する。
(情報処理システムの動作)
次に、本実施の形態の作用を説明する。図5は、第1の実施の形態に係る情報処理システムの動作例を示すフローチャートである。
まず、業務サーバ10の利用開始許可手段100は、利用開始申請を待機する(S100)。
次に、ルータ30に電源が投入されると、ルータ30はVPNに接続し接続サーバ20と通信する(S300)。
次に、接続サーバ20の通信制限手段200は、ルータ30が接続された直後にクライアント装置40が業務サーバ10に対して利用を開始するために実施する最初の通信のみを通過させ、それ以外の通信を制限する(S200)。
次に、クライアント装置40の利用開始申請手段400は、ルータ30及び接続サーバ20を介して業務サーバ10に対して実施する最初の通信として利用開始許可手段100に利用開始を申請する(S400)。最初の通信において実施される手続きとしては、リモートログイン、ICカード認証、APOP認証などが挙げられる。POSを利用する例では、図2に示すログイン画面をクライアント装置40の表示部に表示し、従業員が従業員IDとパスワードを入力してログインを行う。
図2は、クライアント装置40の表示部に表示されるログイン画面の構成例を示す概略図である。
ログイン画面400aは、従業員IDを入力する入力欄400aと、パスワードを入力する入力欄400aとを有する。
図3は、接続サーバ20の監視対象記憶手段202が記憶する情報の構成例を示す表である。
次に、接続サーバ20の監視対象記憶手段202は、手続きを監視するため、利用開始許可手段100の利用開始申請を記録しておく(S201)。監視対象記憶手段202は、例えば、図3に示すように、業務サーバのIPアドレス、プロトコルの種類、プロトコルが成功した場合の応答内容などを情報202aとして記憶する。
次に、業務サーバ10の利用開始許可手段100は、クライアント装置40から利用開始申請を受け付けた場合に、内容を検証して利用開始申請が正規のものであれば(S101;Yes)、利用開始を許可する旨の応答をする(S102)。なお、利用開始申請が正規のものでなければ(S101;No)、エラーを返す(S103)。
監視手段201は、利用開始許可手段100が利用開始を許可したか否かを監視し、利用開始が許可されたことを検出した場合は、通信制限手段200の通信制限を解除する(S202)。図3に示した例では、監視手段201は、監視対象記憶手段202が記憶する情報202aを参照し、IPアドレスが「10.0.1.120」の業務サーバ10からプロトコル「LOGIN」に対して「200」が応答された場合、通信制限を解除する。
また、ICカードリーダのアクティベーションを監視対象とした場合に監視対象記憶手段202に記憶されている情報の例を図4に示す。
図4は、接続サーバ20の監視対象記憶手段202が記憶する情報の構成の他の例を示す表である。
ICカードリーダは、勤怠管理サーバと最初に接続した場合に、アクティベーションを行う。監視対象記憶手段202は、例えば、図4に示すように、業務サーバのIPアドレス、プロトコルの種類、プロトコルが成功した場合の応答内容などを情報202bとして記憶する。
監視手段201は、監視対象記憶手段202が記憶する情報202bを参照し、IPアドレスが「10.0.1.120」の業務サーバ10からプロトコル「ACTIVATION」に対して「ACT OK」が応答された場合、通信制限を解除する。
(第1の実施の形態の効果)
上記した第1の実施の形態によれば、VPN50に自動で接続するように予め設定されているルータ30を用いた場合であっても、クライアント装置40から業務サーバ10に対する最初の通信以外を制限し、最初の通信が予め定めた条件を満たした場合に通信制限を解除するようにしたため、ルータ30をネットワークに接続する際にルータに対し特別な設定操作を必要とせず、かつ、クライアント装置40から業務サーバ10への不正なアクセスを防止することができる。
また、ルータ30が設置された場所の正当性を検証するため、VPN50に自動で接続するように予め設定されているルータ30が誤配送されて本来設置するべきでない場所に設置されてしまった場合や、盗難されて本来設置するべきでない場所に設置された場合であっても、ルータ30からVPN50により構築されるネットワークに侵入されることを防ぐことができる。
POS管理サーバとPOS端末の例で説明すると、ルータ30が誤配送された場合や、盗難された場合であっても、クライアント装置40であるPOS端末がルータ30の配下に存在しないために、ルータ30が接続サーバ20に自動で接続したとしても、接続サーバ20は業務サーバ10であるPOS管理サーバへのACTIVATIONプロトコルとその応答しか通過させないので、ルータ30経由でVPN50により構築されるネットワークに侵入されることを防止できる。
また、勤怠管理サーバとICカードリーダの例で説明すると、ルータ30が誤配送された場合や、盗難された場合は、クライアント装置40であるICカードリーダがルータ30配下に存在しないために、ルータ30が接続サーバ20に自動で接続したとしても、接続サーバ20は業務サーバ10である勤怠管理サーバへのACTIVATIONプロトコルとその応答しか通過させないので、ルータ30経由でVPN50により構築されるネットワークに侵入されることを防止できる。
[第2の実施の形態]
第2の実施の形態は、第1の実施の形態と比べて業務サーバが利用許可を通知し、接続サーバが当該利用許可を受信して通信制限を解除する点で異なる。そのため、接続サーバは通信を監視する必要がない。なお、以降の記載において第1の実施の形態と同様の構成及び動作については記載を省略することがある。
(情報処理システムの構成)
図6は、第2の実施の形態に係る情報処理システムの構成の一例を示す概略図である。
この情報処理システムは、業務サーバ11を接続サーバ21によって、クライアント装置41をルータ31によって、VPN50を介して互いに通信可能に接続することで構成される。
上記構成において、クライアント装置41は、業務サーバ11に対し、利用開始時に所定の手続きを行い、正規の手続きが完了した場合にクライアント装置41のIPアドレスを接続サーバ21に通知することで、ルータ31が正当な場所に設置されていることを検証し、正当な場所に設置されている場合にルータ31の通信制限を解除する。
業務サーバ11、接続サーバ21、ルータ31、クライアント装置41はそれぞれの記憶部に格納されたプログラム等を実行することで様々な手段として機能するが、以下において本実施の形態を説明するのに必要な手段について説明する。
業務サーバ11は利用開始許可手段110及び利用許可通知手段111として機能する。
利用開始許可手段110は、クライアント装置41から利用開始申請を受け付けた場合に、内容を検証し、利用開始を許可する旨の応答をする。
利用許可通知手段111は、利用開始を許可するクライアント装置41のIPアドレスを接続サーバ21に通知する。
また、接続サーバ21は通信制限手段210、利用許可受信手段211として機能する。なお、接続サーバ21を各手段210、211として機能させるプログラムを通信制御プログラムと呼ぶものとする。
通信制限手段210は、ルータ31が接続された直後にクライアント装置41が業務サーバ11に対して利用を開始するために実施する最初の通信のみを通過させ、それ以外の通信を制限する。
利用許可受信手段211(通信制限解除手段)は、業務サーバ11から利用開始を許可するクライアント装置41のIPアドレスを受信し、当該IPアドレスからいずれのルータ経由の接続かを判断し、当該ルータの通信が制限されている場合は制限を解除する。
また、クライアント装置41は利用開始申請手段410として機能する。
利用開始申請手段410は、業務サーバ11に対して実施する最初の通信として利用開始許可手段110に利用開始を申請する。
(情報処理システムの動作)
次に、本実施の形態の作用を説明する。図7は、第2の実施の形態に係る情報処理システムの動作例を示すフローチャートである。
まず、業務サーバ11の利用開始許可手段110は、利用開始申請を待機する(S110)。
次に、ルータ31に電源が投入さると、ルータ31はVPNに接続し接続サーバ21と通信する(S310)。
次に、接続サーバ21の通信制限手段210は、ルータ31が接続された直後にクライアント装置41が業務サーバ11に対して利用を開始するために実施する最初の通信のみを通過させ、それ以外の通信を制限する(S210)。
次に、クライアント装置41の利用開始申請手段410は、ルータ31及び接続サーバ21を介して業務サーバ11に対して実施する最初の通信として利用開始許可手段110に利用開始を申請する(S410)。
次に、業務サーバ11の利用開始許可手段110は、クライアント装置41から利用開始申請を受け付けた場合に、内容を検証して利用開始申請が正規のものであれば(S111;Yes)、利用開始を許可する旨の応答をする(S112)。なお、利用開始申請が正規のものでなければ(S111;No)、エラーを返す(S114)。
利用許可通知手段111は、利用開始を許可するクライアント装置41のIPアドレスを接続サーバ21に通知する(S113)。
利用許可受信手段211は、業務サーバ11から利用開始を許可するクライアント装置41のIPアドレスを受信し、当該IPアドレスからいずれのルータ経由の接続かを判断し、当該ルータの通信が制限されている場合は制限を解除する(S211)。
(第2の実施の形態の効果)
上記した第2の実施の形態によれば、VPN50に自動で接続するように予め設定されているルータ31を用いた場合であっても、クライアント装置41から業務サーバ11に対する最初の通信以外を制限し、最初の通信が予め定めた条件を満たした場合に業務サーバ11から接続サーバ21に利用許可の通知をして、当該通知に応じて通信制限を解除するようにしたため、ルータ31をネットワークに接続する際にルータに対し特別な設定操作を必要とせず、かつ、クライアント装置41から業務サーバ11への不正なアクセスを防止することができるとともに、接続サーバ21が通信を監視する必要がなくなる。
また、業務サーバ11を入退出管理サーバとする例で説明すると、従業員が出社した時にクライアント装置41としてのゲートチェッカで認証が行われる。前日全従業員が退社した時にルータ31の通信制限を有効とするようにしておけば、最初に出社した従業員がゲートチェッカを通過することにより、ルータ31からの通信制限が解除される。従って、ルータ31が盗難されて、異なる地点からルータ31が接続サーバ21に自動で接続したとしても、ルータ31の配下にゲートチェッカが存在しないために、接続サーバ21は入退出管理サーバへの認証プロトコルとその応答しか通過させないので、ルータ31経由でVPN50により構築されるネットワークに侵入されることを防止できる。
[第3の実施の形態]
第3の実施の形態は、第1の実施の形態と比べて接続サーバ及びクライアント装置に手段を用意している点で異なる。そのため、業務サーバ及びルータに特別の手段を必要としない。
(情報処理システムの構成)
図8は、第3の実施の形態に係る情報処理システムの構成の一例を示す概略図である。
この情報処理システムは、業務サーバ12を接続サーバ22によって、クライアント装置42をルータ32によって、VPN50を介して互いに通信可能に接続することで構成される。
上記構成において、接続サーバ22は、ルータ32の通信を制限し、予め登録したクライアント装置42から応答があるか否か検証することで、ルータ32が正当な場所に設置されていることを検証し、正当な場所に設置されている場合にルータ32の通信制限を解除する。
業務サーバ12、接続サーバ22、ルータ32、クライアント装置42はそれぞれの記憶部に格納されたプログラム等を実行することで様々な手段として機能するが、以下において本実施の形態を説明するのに必要な手段について説明する。
接続サーバ22は通信制限手段220、クライアント検証手段221、検証対象記憶手段222として機能する。なお、接続サーバ22を各手段220−222として機能させるプログラムを通信制御プログラムと呼ぶものとする。
通信制限手段220は、ルータ32が接続された直後に業務サーバ12に対する通信を制限する。
クライアント検証手段221(通信制限解除手段)は、ルータ32に接続されたクライアント装置42にSNMPで問い合わせを行い、IDとパスワードの認証に成功し機器名称が一致するかを検証する。一致していた場合には、通信制限手段220の通信制限を解除する。
検証対象記憶手段222は、クライアント検証手段221が問い合わせを行うクライアント装置42の情報を記憶する。
また、クライアント装置42は応答手段420として機能する。
応答手段420は、接続サーバ22の問い合わせに応答し、機器の名称、IDとパスワードから生成された演算値等を送信する。
(情報処理システムの動作)
次に、本実施の形態の作用を説明する。図10は、第3の実施の形態に係る情報処理システムの動作例を示すフローチャートである。
まず、ルータ32に電源が投入さると、ルータ32はVPNに接続し接続サーバ22と通信する(S320)。
次に、接続サーバ22の通信制限手段210は、ルータ32が接続された直後に業務サーバ12に対する通信を制限する(S220)。
次に、クライアント検証手段221は、ルータ32に接続されたクライアント装置42にSNMPで問い合わせを行い、IDとパスワードの認証に成功し機器名称が一致するかを検証する(S221)。なお、問い合わせは、図9に示すような検証対象記憶手段222に格納された情報を参照して登録されたIPアドレスに対して行う。
図9は、接続サーバ22の検証対象記憶手段222が記憶する情報の構成例を示す表である。
情報222aは、ルータ毎に、ルータのIPアドレス、ルータに接続されたクライアント装置のIPアドレス、プロトコル、機器の名称、機器のID、パスワードを有する。図9に示す例は、クライアント装置42としてPOS端末を用いた場合の情報であり、POS端末はSNMP Ver.3プロトコルをサポートしており、IDとパスワードが設定されている。
クライアント装置42の応答手段420は、接続サーバ22の問い合わせに応答し、機器の名称、IDとパスワードから生成された演算値等を送信する(S420)。
次に、クライアント検証手段221は、クライアント装置42からの応答を受信し、受信したIDとパスワードから生成された演算値等により認証を行い、演算値および機器名称が一致するか検証して(S222)、一致する場合(S222;Yes)、通信制限手段210が制限していた業務サーバ12に対する通信の制限を解除する(S223)。なお、一致しない場合(S222;No)、エラーを返す(S224)。
(第3の実施の形態の効果)
上記した第3の実施の形態によれば、接続サーバ22においてルータ32に接続されたクライアント装置42を検証するようにしたため、VPN50に自動で接続するように予め設定されているルータ32を用いた場合であっても、クライアント装置42から業務サーバ12への不正なアクセスを防止することができる。
つまり、ルータ32が誤配送された場合や、盗難された場合であっても、検証すべきクライアント装置42がルータ32配下に存在しないことになるため、ルータ32が接続サーバ22に自動で接続したとしても、接続サーバ22はルータ32からの通信を転送しないので、ルータ32経由で業務サーバ12に侵入されることを防止できる。
なお、クライアント装置42は、重量があって容易に動かせないものであれば、よりセキュリティが向上する。このようなクライアント装置42としては、例えば、建物に組み込まれている入退室チェック用のICカードリーダや、エアコン、冷蔵庫、複合機、エレベータなどネットワークに接続されているものが挙げられる。
[第4の実施の形態]
第4の実施の形態は、第3の実施の形態と比べて接続サーバの手段をルータで機能させる点で異なる。そのため、業務サーバ及び接続サーバに特別の手段を必要としない。
(情報処理システムの構成)
図11は、第4の実施の形態に係る情報処理システムの構成の一例を示す概略図である。
この情報処理システムは、業務サーバ13を接続サーバ23によって、クライアント装置43をルータ33によって、VPN50を介して互いに通信可能に接続することで構成される。
上記構成において、ルータ33は、クライアント装置43の通信を制限し、予め登録したクライアント装置43から応答があるか否か検証することで、ルータ33が正当な場所に設置されていることを検証し、正当な場所に設置されている場合にクライアント装置43の通信制限を解除する。
業務サーバ13、接続サーバ23、ルータ33、クライアント装置43はそれぞれの記憶部に格納されたプログラム等を実行することで様々な手段として機能するが、以下において本実施の形態を説明するのに必要な手段について説明する。
ルータ33は通信制限手段330、クライアント検証手段331、検証対象記憶手段332として機能する。なお、ルータ33を各手段330−332として機能させるプログラムを通信制御プログラムと呼ぶものとする。
通信制限手段330は、ルータ33が接続サーバ23接続された直後にクライアント装置43からの接続サーバ23に対する通信を制限する。
クライアント検証手段331(通信制限解除手段)は、ルータ33に接続されたクライアント装置43にSNMPで問い合わせを行い、IDとパスワードの認証に成功し機器名称が一致するかを検証する。一致していた場合には、通信制限手段220の通信制限を解除する。
検証対象記憶手段332は、クライアント検証手段331が問い合わせを行うクライアント装置43の情報を記憶する。
また、クライアント装置43は応答手段420として機能する。
応答手段420は、ルータ33の問い合わせに応答し、機器の名称、IDとパスワードから生成された演算値等を送信する。
(情報処理システムの動作)
次に、本実施の形態の作用を説明する。図12は、第4の実施の形態に係る情報処理システムの動作例を示すフローチャートである。
まず、ルータ33に電源が投入さると、ルータ33はVPNに接続し接続サーバ23と通信する(S330)。
次に、ルータ33の通信制限手段330は、ルータ33がVPN接続された直後にクライアント装置43から接続サーバ23に対する通信を制限する(S330)。
次に、クライアント検証手段331は、ルータ33に接続されたクライアント装置43にSNMPで問い合わせを行い、IDとパスワードの認証に成功し機器名称が一致するかを検証する(S331)。なお、問い合わせは、図9に示すような検証対象記憶手段332に格納された情報を参照して登録されたIPアドレスに対して行う。
クライアント装置43の応答手段430は、ルータ33の問い合わせに応答し、機器の名称、IDとパスワードから生成された演算値等を送信する(S430)。
次に、クライアント検証手段331は、クライアント装置43からの応答を受信し、受信したIDとパスワードから生成された演算値等の認証を行い、演算値および機器名称が一致するか検証して(S333)、一致する場合(S333;Yes)、通信制限手段330が制限していたクライアント装置43から接続サーバ23に対する通信の制限を解除する(S334)。なお、一致しない場合(S333;No)、エラーを返す(S335)。
(第4の実施の形態の効果)
上記した第4の実施の形態によれば、ルータ33に接続されたクライアント装置43を検証するようにしたため、VPN50に自動で接続するように予め設定されているルータ33を用いた場合であっても、クライアント装置43から業務サーバ13への不正なアクセスを防止することができる。
[他の実施の形態]
なお、本発明は、上記実施の形態に限定されず、本発明の趣旨を逸脱しない範囲で種々な変形が可能である。
上記実施の形態では各手段の機能をプログラムで実現したが、各手段の全て又は一部をASIC等のハードウエアによって実現してもよい。また、上記実施の形態で用いたプログラムをCD−ROM等の記録媒体に記憶して提供することもできる。また、上記実施の形態で説明した上記ステップの入れ替え、削除、追加等は本発明の要旨を変更しない範囲内で可能である。
10−13 業務サーバ
20−23 接続サーバ
30−33 ルータ
40−43 クライアント装置
100 利用開始許可手段
110 利用開始許可手段
111 利用許可通知手段
200 通信制限手段
201 監視手段
202 監視対象記憶手段
210 通信制限手段
211 利用許可受信手段
220 通信制限手段
221 クライアント検証手段
222 検証対象記憶手段
330 通信制限手段
331 クライアント検証手段
332 検証対象記憶手段
400 利用開始申請手段
410 利用開始申請手段
420 応答手段
430 応答手段

Claims (8)

  1. コンピュータを、
    特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する最初の通信以外を制限する通信制限手段と、
    前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
  2. 前記クライアント装置と前記サーバとの通信を監視し、監視した前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記通信制御解除手段に前記サーバに対する通信の制限を解除させる監視手段としてさらに機能させる請求項1に記載の通信制御プログラム。
  3. 前記サーバから前記最初の通信の結果通知を受信し、当該結果通知が予め定めた条件を満たしていた場合に、前記通信制御解除手段に前記サーバに対する通信の制限を解除させる受信手段としてさらに機能させる請求項1に記載の通信制御プログラム。
  4. コンピュータを、
    特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する通信を制限する通信制限手段と、
    前記クライアント装置が予め登録された機器であるか検証する検証手段と、
    前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
  5. 特定のネットワークに接続するよう設定されたコンピュータを、
    当該コンピュータに接続されたクライアント装置からサーバに対する通信を制限する通信制限手段と、
    前記クライアント装置が予め登録された機器であるか検証する検証手段と、
    前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段として機能させるための通信制御プログラム。
  6. サーバに接続された情報処理装置であって、
    特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、サーバに対する最初の通信以外を制限する通信制御手段と、
    前記最初の通信の内容が予め定めた条件を満たしていた場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段を有する情報処理装置。
  7. サーバに接続された情報処理装置であって、
    特定のネットワークに接続するよう設定されたルータに接続されたクライアント装置から、前記サーバに対する通信を制限する通信制限手段と、
    前記クライアント装置が予め登録された機器であるか検証する検証手段と、
    前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段とを有する情報処理装置。
  8. 特定のネットワークに接続するよう設定された情報処理装置であって、
    当該情報処理装置に接続されたクライアント装置から、サーバに対する通信を制限する通信制限手段と、
    前記クライアント装置が予め登録された機器であるか検証する検証手段と、
    前記クライアント装置が予め登録された機器であると前記検証手段が検証した場合に、前記クライアント装置から前記サーバに対する通信の制限を解除する通信制限解除手段とを有する情報処理装置。
JP2015158105A 2015-08-10 2015-08-10 通信制御プログラム及び情報処理装置 Pending JP2017038211A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015158105A JP2017038211A (ja) 2015-08-10 2015-08-10 通信制御プログラム及び情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015158105A JP2017038211A (ja) 2015-08-10 2015-08-10 通信制御プログラム及び情報処理装置

Publications (1)

Publication Number Publication Date
JP2017038211A true JP2017038211A (ja) 2017-02-16

Family

ID=58047981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015158105A Pending JP2017038211A (ja) 2015-08-10 2015-08-10 通信制御プログラム及び情報処理装置

Country Status (1)

Country Link
JP (1) JP2017038211A (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11167537A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc ファイアウォールサービス提供方法
JP2010283553A (ja) * 2009-06-04 2010-12-16 Optim Corp 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
JP2011108183A (ja) * 2009-11-20 2011-06-02 Fujitsu Ltd 通信制御システム、中央装置、端末装置及びコンピュータプログラム
JP2015139152A (ja) * 2014-01-23 2015-07-30 株式会社ナカヨ 相手応答前プレゼンス通知機能を有する呼制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11167537A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc ファイアウォールサービス提供方法
JP2010283553A (ja) * 2009-06-04 2010-12-16 Optim Corp 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム
JP2011108183A (ja) * 2009-11-20 2011-06-02 Fujitsu Ltd 通信制御システム、中央装置、端末装置及びコンピュータプログラム
JP2015139152A (ja) * 2014-01-23 2015-07-30 株式会社ナカヨ 相手応答前プレゼンス通知機能を有する呼制御装置

Similar Documents

Publication Publication Date Title
KR102119257B1 (ko) 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP6207696B2 (ja) 安全移動体フレームワーク
JP5930847B2 (ja) サーバーシステムおよび制御方法およびプログラム
US11625460B1 (en) Security platform
US10212151B2 (en) Method for operating a designated service, service unlocking method, and terminal
CN101647219B (zh) 用于许可证的安全的主机更换的机制
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
CN101227468A (zh) 用于认证用户到网络的方法、设备和系统
US11831648B1 (en) Login and authentication methods and systems
JP5085605B2 (ja) ログインを管理するサーバ、方法、およびプログラム
JP2021504617A (ja) 配達物を安全にするためのシステム、方法、および装置
KR101637516B1 (ko) 출입 제어 방법 및 장치
CN102316132A (zh) 网络设备登陆方法以及网络设备
WO2019011187A1 (zh) 电子账户的挂失、解挂、业务管理方法、装置及设备
JP2002041469A (ja) 電子機器管理システムおよび電子機器管理方法
JP2012502338A5 (ja)
US9154497B1 (en) Maintaining accountability of a shared password among multiple users
JP2007310630A (ja) 本人認証機能のリカバリシステム及びリカバリ方法
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
JP2017038211A (ja) 通信制御プログラム及び情報処理装置
WO2018095184A1 (zh) 一种数据交互方法及系统
CN111917736B (zh) 一种网络安全管理方法、计算设备及可读存储介质
CN106415567B (zh) 基于web浏览器cookie的安全令牌的拥有证明方法和设备
JP5937276B1 (ja) 来訪者認証システム、及び来訪者認証方法
JP2007172176A (ja) 認証装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190308

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190508

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190508

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190917