JP2022133817A - 通信システム、通信管理方法、及びプログラム - Google Patents

通信システム、通信管理方法、及びプログラム Download PDF

Info

Publication number
JP2022133817A
JP2022133817A JP2021032723A JP2021032723A JP2022133817A JP 2022133817 A JP2022133817 A JP 2022133817A JP 2021032723 A JP2021032723 A JP 2021032723A JP 2021032723 A JP2021032723 A JP 2021032723A JP 2022133817 A JP2022133817 A JP 2022133817A
Authority
JP
Japan
Prior art keywords
information
access
source terminal
service
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021032723A
Other languages
English (en)
Inventor
暁 山本
Akira Yamamoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2021032723A priority Critical patent/JP2022133817A/ja
Priority to US17/584,267 priority patent/US11864090B2/en
Publication of JP2022133817A publication Critical patent/JP2022133817A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/14Access restriction or access information delivery, e.g. discovery data delivery using user query or user detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0048Allocation of pilot signals, i.e. of signals known to the receiver

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Figure 2022133817000001
【課題】移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システムにおいて、各サービスの利用を適切に制限できるようにする。
【解決手段】通信システムは、第1のネットワークに接続するアクセス元の端末から、第2のネットワークに接続する通信装置を介して、第2のネットワークに接続するアクセス先の端末が提供するサービスにリモートアクセスする通信システムであって、アクセス元の端末から、アクセス先の端末が提供するサービスを利用する際に、アクセス元の端末の位置情報又は時間情報を含むアクセス情報を取得する取得部と、アクセス元の端末から、前記アクセス先の端末が提供するサービスを利用可能なアクセス情報の範囲を予め設定した設定情報とアクセス情報とを用いて、アクセス元の端末によるサービスの利用を制限する制限部と、を有する。
【選択図】図3

Description

本発明は、通信システム、通信管理方法、及びプログラムに関する。
近年、働き方改革及び在宅勤務の普及等により、外部のネットワークに接続するアクセス元の端末から、ローカルネットワークに接続するアクセス先の端末が提供する様々なサービスにアクセスするリモートアクセスのニーズが高まっている。
また、画像形成装置が、利用者がログインしたときに、ログイン時刻と設置場所の情報をサーバに送信し、サーバが、予め登録されている勤務時間、及び勤務場所と比較して画像形成装置の利用を制限する技術が知られている(例えば、特許文献1参照)。
外部のネットワークに接続するアクセス元の端末から、ローカルネットワークに接続するアクセス先の端末にアクセスする方法として、例えば、VPN(Virtual Private Network)等により暗号化して通信する方法がある。ただし、この方法では、アクセス元の端末とアクセス先の端末との間で通信を行えるように、例えば、ファイアウォール等のネットワーク設定を管理する管理者(又は利用者)の負担が大きくなるという問題がある。
このような問題を解決するため、アクセス先のローカルネットワークに、クラウド上のサーバと暗号通信する通信装置を設置し、アクセス元の端末から、クラウド上のサーバと通信装置を介して、アクセス先の端末と暗号通信を行う方法が考えられる。これにより管理者の負荷を低減することができるが、管理者等がリモートアクセスを把握しきれなくなり、仮に不正なアクセスが発生した場合等に対応が遅れてしまう恐れがある。
このような問題に対応するため、例えば、特許文献1に開示された技術のように、利用者の勤務地、及び勤務時間に応じて、機器の利用を制限することが考えられる。しかし、特許文献1に開示された方法では、例えば、移動可能なアクセス元の端末から、アクセス先の端末が提供する様々なサービスを利用するリモートアクセスシステムにおいて、各サービスの利用を適切に制限することができないという問題がある。
本発明の一実施形態は、上記の問題点に鑑みてなされたものであって、移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システムにおいて、各サービスの利用を適切に制限できるようにする。
上記の課題を解決するため、本発明の一実施形態に係る通信システムは、第1のネットワークに接続するアクセス元の端末から、前記第1のネットワークとは異なる第2のネットワークに接続する通信装置を介して、前記第2のネットワークに接続する1つ以上のアクセス先の端末が提供するサービスにリモートアクセスする通信システムであって、前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用する際に、前記アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する取得部と、前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用可能な前記アクセス情報の範囲を予め設定した設定情報と、前記アクセス情報とを用いて、前記アクセス元の端末による前記サービスの利用を制限する制限部と、を有する。
本発明の一実施形態によれば、移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システムにおいて、各サービスの利用を適切に制限できるようになる。
一実施形態に係る通信システムのシステム構成の例を示す図である。 一実施形態に係るコンピュータのハードウェア構成の例を示す図である。 一実施形態に係る管理サーバの機能構成の例を示す図である。 一実施形態に係るセキュアボックスの機能構成の例を示す図である。 一実施形態に係る情報端末、及びリレーサーバの機能構成の例を示す図である。 一実施形態に係る通信システムが管理する情報の例を示す図(1)である。 一実施形態に係る通信システムが管理する情報の例を示す図(2)である。 一実施形態に係る通信システムが管理する情報の例を示す図(3)である。 一実施形態に係る通信システムが管理する情報の例を示す図(4)である。 第1の実施形態に係る通信開始時の処理の例を示すシーケンス図(1)である。 第1の実施形態に係る通信開始時の処理の例を示すシーケンス図(2)である。 第1の実施形態に係る利用制限の判定処理の例を示すフローチャートである。 第2の実施形態に係る通信中の処理の一例を示すフローチャートである。 第2の実施形態に係る通信中の処理の別の一例を示すフローチャートである。 第3の実施形態に係る通信中の処理の例を示すフローチャートである。 第4の実施形態に係る利用制限の判定処理の例を示すフローチャートである。
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
<システム構成>
図1は、第1の実施形態に係る通信システムのシステム構成の例を示す図である。通信システム1は、例えば、インターネット等の通信ネットワーク2に接続するアプリサーバ11、サービスプラットフォーム12、及びリレーサーバ13と、ローカルネットワーク100に接続するセキュアボックス14等を含む。また、通信システム1は、例えば、リモートネットワーク110、又は通信ネットワーク2等のローカルネットワーク100の外部ネットワークに接続する情報端末111を含む。通信システム1は、外部ネットワークに接続する情報端末111から、ローカルネットワーク100に接続するセキュアボックス14を介して、ローカルネットワークに接続するアクセス先の端末が提供するサービスを利用するためのシステムである。
リモートネットワーク(第1のネットワーク)110は、例えば、自宅又はリモートオフィス等に設けられた、ローカルネットワーク100とは異なる外部ネットワーク(第1のネットワーク)の一例である。情報端末111は、リモートネットワーク110に限られず、例えば、外出先等から、WAN(Wide Area Network)、又は公衆無線LAN(Local Area Network)等を利用して、インターネット等の通信ネットワーク2に接続していても良い。なお、通信ネットワーク2は、ローカルネットワーク100とは異なる外部ネットワーク(第1のネットワーク)の別の一例である。ここでは、一例として、情報端末111が、リモートオフィス等に設けられたネットワークであるリモートネットワーク110に接続されているものとして、以下の説明を行う。
情報端末(アクセス元の端末)111は、利用者が利用する、例えば、PC(Personal Computer)、タブレット端末、又はスマートフォン等のウェブブラウザの機能を備えた情報処理装置である。情報端末111は、リモートネットワーク110、及び通信ネットワーク2を介して、アプリサーバ11、及びリレーサーバ13等にアクセス可能である。なお、情報端末111は、第1のネットワークに接続するアクセス元の端末の一例である。
ローカルネットワーク(第2のネットワーク)100は、ファイアウォール等により、通信ネットワーク2、又はリモートネットワーク110等の外部ネットワークからのアクセスが制限された、例えば、社内LAN(Local Area Network)等のネットワークである。なお、ローカルネットワーク100は、第1のネットワークとは異なる第2のネットワークの一例である。
図1において、サービスプラットフォーム12とセキュアボックス14とは、例えば、MQTT(Message Queue Telemetry Transport)等の通信プロコトルで、予め通信可能に設定されているものとする。また、情報端末111及びリレーサーバ13等から、ローカルネットワーク100内のセキュアボックス14、情報処理装置101、及び画像形成装置102等へのアクセスは禁止されているものとする。
情報処理装置(アクセス先の端末)101は、ローカルネットワーク100に接続されたPC等の情報処理装置であり、例えば、リモートデスクトップサービス等の所定のサービスを提供する。画像形成装置(アクセス先の端末)102は、ローカルネットワーク100に接続された電子機器であり、例えば、ファクスサービス等の所定のサービスを提供する。
なお、情報処理装置101、及び画像形成装置102は、ローカルネットワーク100に接続され、所定のサービスを提供するアクセス先の端末の一例である。アクセス先の端末は、例えば、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等であっても良い。また、アクセス先の端末は、例えば、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ等であっても良い。
アプリサーバ11は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。アプリサーバ11は、例えば、通信システム1を利用して、ローカルネットワーク100内の情報処理装置101、又は画像形成装置102等のアクセス先の端末を利用するためのウェブコンテンツ等を、情報端末111に提供するウェブサーバの機能を有する。また、アプリサーバ11は、例えば、通信システム1を管理する管理者等が利用する情報端末である管理端末5等に、通信システム1の設定を行うためのウェブページを提供する機能を有していても良い。
サービスプラットフォーム12は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。サービスプラットフォーム12は、アプリサーバ11と連携して、セキュアボックス14等を管理する機器管理処理を実行する。また、サービスプラットフォーム12は、例えば、認証処理、及びログ情報の管理等も行う。
リレーサーバ13は、例えば、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。リレーサーバ13は、情報端末111と、セキュアボックス14との間の通信を中継する。
なお、アプリサーバ11、及びサービスプラットフォーム12の機能は、1つの管理サーバ10で実現されるものであっても良いし、さらに多くのサーバ装置によって実現されるものであっても良い。また、サービスプラットフォーム12は、管理サーバ10の外部に設けられていても良いし、通信システム1の外部のサービスを利用するもの等であっても良い。このように、アプリサーバ11、及びサービスプラットフォーム12は、様々なシステム構成が可能なので、以下の説明では、アプリサーバ11とサービスプラットフォーム12とを特に区別せず、単に管理サーバ10と呼ぶ場合がある。また、管理サーバ10は、リレーサーバ13の機能を、さらに有していても良い。
セキュアボックス(通信装置)14は、例えば、コンピュータの構成と通信機能を有する通信機器、又は情報処理装置である。セキュアボックス14は、管理サーバ10からの制御に従って、リレーサーバ13に接続し、情報端末111から、ローカルネットワーク100に接続するアクセス先の端末(情報処理装置101、又は画像形成装置102)へのリモートアクセスを制御する。なお、セキュアボックス14は、ローカルネットワーク(第2のネットワーク)100に接続する通信装置の一例である。
管理端末5は、例えば、通信システム1を管理する管理者(システム管理者等)、又は通信システム1を利用して、情報端末111を利用する利用者を管理する管理者(管理職等)等が利用する、ウェブブラウザの機能を備えた情報端末である。
上記のシステム構成において、情報端末111は、リモートネットワーク110から、通信ネットワーク2に接続することができるが、ローカルネットワーク100に接続されている情報処理装置101、及び画像形成装置102にアクセスすることはできない。
従来は、このような場合、情報端末111から、ローカルネットワーク100に接続するアクセス先の端末と通信するために、例えば、VPN(Virtual Private Network)等により暗号化して通信を行っていた。
リモートネットワーク110に接続する情報端末111から、ローカルネットワーク100に接続するアクセス先の端末に対して、VPNで接続する方法として、例えば、IPsec(Internet Protocol Security)等が知られている。この方法を利用する場合、管理者等は、IPsecで正しく通信できるように、例えば、ルータのルーティング設定、ファイアウォールのアクセス制御リストの設定等のネットワーク設定を、適切に設定する必要がある。
そこで、本実施形態では、ローカルネットワーク100内に、管理サーバ10と暗号通信するセキュアボックス14を設置し、情報端末111から、管理サーバ10とセキュアボックス14とを介して、アクセス先の端末と暗号通信を行う。これにより、情報端末111を利用する利用者は、簡単な設定で、ローカルネットワーク100に接続するアクセス先の端末と、セキュアに通信できるようになる。
(接続処理の概要)
上記のシステム構成において、情報端末111を利用する利用者は、例えば、情報処理装置101が提供するリモートデスクトップサービスを利用する場合、ウェブブラウザ等を用いてアプリサーバ11が提供する所定のウェブページにアクセスする。利用者は、このウェブページから、利用したいサービスを選択することにより、例えば、情報処理装置101が提供するリモートデスクトップサービス(又は画像形成装置102が提供するFAXサービス等)への接続を要求することができる。この接続の要求には、例えば、情報端末111の位置を示す位置情報が含まれる。なお、利用者は、情報端末111が備えるウェブブラウザに限られず、例えば、ウェブブラウザの機能を有する、通信システム1用のアプリケーションプログラム(以下、アプリと呼ぶ)を利用して、所定のウェブページにアクセスしても良い。
アプリサーバ11は、情報端末111からの接続の要求を受け付けると、接続の要求に含まれる位置情報と、要求を受け付けたときの時刻を示す時間情報とを含むアクセス情報を取得する。また、アプリサーバ11は、情報端末111が要求するサービスを利用可能なアクセス情報の範囲を予め設定した設定情報と、取得したアクセス情報とを用いて、情報端末111によるサービスの利用を制限する。例えば、アプリサーバ11は、取得した位置情報が、設定情報に設定された位置条件の範囲外である場合、又は取得した時間情報が設定情報に設定された時間条件の範囲外である場合、情報端末111によるサービスの利用を制限する(例えば、利用を拒否する)。
好ましくは、上述した設定情報は、1つ以上のアクセス先の端末(例えば、情報処理装置101、又は画像形成装置等)が提供するサービスごとに、当該サービスを利用可能なアクセス情報の範囲が設定されている。これにより、本実施形態によれば、移動可能なアクセス元の端末(情報端末111)から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信1システムにおいて、各サービスの利用を適切に制限できるようになる。
一方、アプリサーバ11は、取得した位置情報が、設定情報に設定された位置条件の範囲内であり、かつ取得した時間情報が設定情報に設定された時間条件の範囲内である場合、情報端末111によるサービスの利用を許可し、接続処理を実行する。例えば、アプリサーバ11は、セッションを識別する識別情報であるセッションIDを生成(発行)する。また、アプリサーバ11は、サービスプラットフォーム12を利用して、生成したセッションIDをセキュアボックス14に通知して、リレーサーバ13への接続を要求するとともに、セッションIDを要求元の情報端末111にも通知する。
セキュアボックス14は、管理サーバ10からの要求に従って、通知されたセッションIDを用いて、第1の暗号通信3でリレーサーバ13に接続する。例えば、セキュアボックス14は、Web Socket over HTTPS(Hypertext Transfer Protocol Secure)(以下、wwsと呼ぶ)を利用した第1の暗号通信3で、リレーサーバ13とセッションを確立する。
また、情報端末111は、管理サーバ10から通知されたセッションIDを用いて、第2の暗号通信4でリレーサーバ13に接続する。例えば、情報端末111は、wwsを利用した第2の暗号通信4で、リレーサーバ13とセッションを確立する。
リレーサーバ13は、同じセッションID(識別情報)を用いてリレーサーバ13とセッションを確立した、情報端末111とセキュアボックス14とを同じセッションに参加させることにより、情報端末111とセキュアボックス14との間の通信を中継する。例えば、リレーサーバ13は、第1の暗号通信3と、第2の暗号通信4とをトンネリングすることにより、情報端末111とセキュアボックス14とを通信可能に接続する。また、セキュアボックス14は、例えば、情報端末111のウェブブラウザから、ローカルネットワーク100に接続された情報処理装置101が提供するリモートデスクトップサービス等を利用するためのプロトコル変換機能を有している。
例えば、セキュアボックス14は、情報処理装置101が提供するリモートデスクトップサービスからのRDP(Remote Desktop Protocol)形式リモートデスクトップ画面を、情報端末111のウェブブラウザで表示可能な形式の画像データに変換する。また、セキュアボックス14は、情報端末111から受信したwwsの操作情報を、RDP形式の操作情報に変換して、リモートデスクトップサービスに送信する。
上記の処理により、情報端末111は、例えば、ネットワーク構成の変更作業等の煩雑な作業を行わなくても、ローカルネットワーク100に接続された情報処理装置101が提供するリモートデスクトップサービスを、容易に利用できるようになる。
好ましくは、アプリサーバ11は、情報端末111が、情報処理装置101と通信中も情報端末111の位置情報、及び時間情報を含むアクセス情報を、例えば、定期的に取得する。また、アプリサーバ11は、情報端末111が利用中のサービスを利用可能なアクセス情報の範囲を予め設定した設定情報と、取得したアクセス情報とを用いて、情報端末111によるサービスの利用を制限する。
上記の処理により、本実施形態によれば、移動可能なアクセス元の端末(情報端末111)から、アクセス先の端末が提供する様々なサービスを利用する通信システム1において、各サービスの利用を適切に制限できるようになる。
なお、図1に示した通信システム1のシステム構成は一例である。例えば、図1の例では、ローカルネットワーク100は、セキュアボックス14を介して通信ネットワーク2に接続している。ただし、これは一例であり、ローカルネットワーク100は、ルータ、及びファイアウォール等を介して、通信ネットワーク2に接続していても良い。この場合、セキュアボックス14は、ルータ、及びファイアウォールを介して、サービスプラットフォーム12、及びリレーサーバと通信する。
また、セキュアボックス14は、ローカルネットワーク100に接続する通信装置の一例である。通信装置は、例えば、通信機能を有し、所定のプログラムを実行するサーバ装置等であっても良い。さらに、通信ネットワーク2には、例えば、移動体通信、又は無線LAN等の無線通信による接続区間が含まれていても良い。
<ハードウェア構成>
情報端末111、情報処理装置101、及び管理端末5等は、例えば、図2に示すようなコンピュータ200のハードウェア構成を有している。また、アプリサーバ11、サービスプラットフォーム12、リレーサーバ13、及び管理サーバ10等は、1つ以上のコンピュータ200によって実現される。
図2は、一実施形態に係るコンピュータのハードウェア構成の例を示す図である。コンピュータ200は、例えば、図2に示されるように、CPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、HD(Hard Disk)204、HDD(Hard Disk Drive)コントローラ205、ディスプレイ206、外部機器接続I/F(Interface)207、1つ以上のネットワークI/F208、キーボード209、ポインティングデバイス210、DVD-RW(Digital Versatile Disk Rewritable)ドライブ212、メディアI/F214、及びバスライン215等を備えている。また、コンピュータ200が、情報端末111等のアクセス元の端末である場合、コンピュータ200は、GPS(Global Positioning System)受信部216を、さらに備えていても良い。
これらのうち、CPU201は、コンピュータ200全体の動作を制御する。ROM202は、例えば、IPL(Initial Program Loader)等のコンピュータ200の起動に用いられるプログラムを記憶する。RAM203は、例えば、CPU201のワークエリア等として使用される。HD204は、例えば、OS(Operating System)、アプリケーション、デバイスドライバ等のプログラムや、各種データを記憶する。HDDコントローラ205は、例えば、CPU201の制御に従ってHD204に対する各種データの読み出し又は書き込みを制御する。
ディスプレイ206は、例えば、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。なお、ディスプレイ206は、コンピュータ200の外部に設けられていても良い。外部機器接続I/F207は、コンピュータ200に、例えば、電子機器、測定器、外部記憶装置等の様々な外部装置を接続するUSB、RS-232C等のインタフェースである。1つ以上のネットワークI/F208は、例えば、通信ネットワーク2、ローカルネットワーク100、又はリモートネットワーク110等を利用してデータ通信をするためのインタフェースである。
キーボード209は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス210は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行なう入力手段の一種である。なお、キーボード209、及びポインティングデバイス210は、コンピュータ200の外部に設けられていても良い。
DVD-RWドライブ212は、着脱可能な記録媒体の一例としてのDVD-RW211に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RW211は、DVD-RWに限らず、DVD-R等であっても良い。メディアI/F214は、フラッシュメモリ等のメディア213に対するデータの読み出し又は書き込み(記憶)を制御する。
GPS受信部216は、GPS衛星が送信する測位信号を受信して、例えば、緯度、経度、高さ等の位置情報を出力する測位デバイスである。バスライン215は、上記の各構成要素を電気的に接続するためのアドレスバス、データバス及び各種の制御信号等を含む。
なお、図2に示すコンピュータ200の構成は一例である。コンピュータ200は、例えば、CPU201、ROM202、RAM203、1つ以上のネットワークI/F208、及びバスライン215を有していれば、他は任意の構成であって良い。また、例えば、画像形成装置102等のアクセス先の端末のハードウェア構成は、通信機能と、コンピュータの構成を備えていれば良く、他は任意の構成であって良い。
<機能構成>
続いて、通信システム1に関連する各装置、及びサーバの機能構成について説明する。
(管理サーバの機能構成)
図3は、一実施形態に係る管理サーバの機能構成の例を示す図である。管理サーバ10は、例えば、1つ以上のコンピュータ200で所定のプログラムを実行することにより、受付部301、取得部302、制限部303、通信制御部304、通知部305、延長処理部306、情報管理部307、記憶部308、認証部311、機器管理部312、ログ管理部313、及び記憶部314等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
受付部301は、例えば、アプリサーバ11が備えるCPU201が実行するプログラムによって実現され、情報端末111からの接続要求、又は管理端末5からの設定要求等の様々な要求情報を受け付ける受付処理を実行する。例えば、受付部301は、管理サーバ10が提供するサービスを利用するためのWeb UI等のウェブコンテンツを提供するウェブサーバとして機能する。
取得部302は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。取得部302は、例えば、情報端末111等のアクセス元の端末が、アクセス先の端末が提供するサービスを利用する際に、アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する。
好ましくは、取得部302は、アクセス元の端末が、サービスの利用を開始するとき(接続要求時等)、又はサービスを利用しているとき(通信中等)等に、アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する。
好ましくは、取得部302は、アクセス元の端末の位置情報を前記アクセス元の端末から取得し、アクセス元の端末がサービスを利用する時間情報を、管理サーバ10側で取得する。これにより、アクセス元の端末による時間情報の改変等を抑制することができる。
制限部303は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。制限部303は、アクセス元の端末が、アクセス先の端末が提供するサービスを利用可能なアクセス情報の範囲を予め設定した設定情報と、取得部302が取得したアクセス情報とを用いて、アクセス元の端末によるサービスの利用を制限する。
例えば、管理者等は、アプリサーバ11の記憶部308に、アクセス元の端末(又はアクセス元の端末を利用する利用者)が、アクセス先の端末が提供するサービスを利用可能なアクセス情報の範囲を予め設定した設定情報を記憶しておく。この設定情報には、例えば、1つ以上のアクセス先が提供するサービスごとに、アクセス元の端末が当該サービスを利用可能な位置情報の範囲、及び時間情報の範囲等を設定可能である。
また、制限部303は、取得部302が取得したアクセス情報の一部、又は全部が、設定情報に設定されたアクセス情報の範囲外である場合、アクセス元の端末によるサービスの利用を制限する。例えば、制限部303は、取得部302が取得したアクセス情報に含まれる位置情報が、設定情報に設定された位置情報の範囲外である場合、アクセスの元端末によるサービスの利用を制限する(例えば、利用を拒否する、又は所定の時間内に通信を切断する等)。同様に、制限部303は、取得部302が取得したアクセス情報に含まれる時間情報が、設定情報に設定された時間情報の範囲外である場合、アクセス元の端末によるサービスの利用を制限する。
通信制御部304は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。通信制御部304は、例えば、情報端末111等のアクセス元の端末と、セキュアボックス14との間の通信(セッション)を、セッションIDを用いて管理する。
通知部305は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。通知部305は、情報端末111等のアクセス元の端末がサービスを利用しているときに、制限部303がアクセス元の端末による当該サービスの利用を制限する場合、アクセス元の端末を利用する利用者に、サービスの利用を制限することを通知する。例えば、通知部305は、所定の時間内に通信が切断されることを示すメッセージ、又は切断予告画面等を、アクセス元の端末に表示させても良いし、電子メール、チャット、又はSMS(Short Message Service)等を用いて、利用者に通知しても良い。
延長処理部306は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現される。延長処理部306は、例えば、情報端末111等のアクセス元の端末がサービスを利用しているときに、当該端末の時間情報が、設定情報に設定された時間情報(時間条件)の範囲外となったときに、利用者に、利用時間の申請処理が必要であることを通知する。また、延長処理部306は、利用者による利用時間の延長申請を受け付けた場合、アクセス元の端末が当該サービスを利用可能な時間を延長する延長処理を実行する。
情報管理部307は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラムによって実現され、通信システム1が管理する様々な情報を、記憶部308等に記憶して管理する。
記憶部308は、例えば、アプリサーバ11が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、通信システム1が管理する様々な情報を記憶する。なお、通信システム1が管理する情報の例については後述する。
認証部311は、例えば、サービスプラットフォーム12(以下、サービスPF12と表記する)が備えるCPU201等で実行されるプログラムによって実現される。認証部311は、例えば、情報端末111を利用する利用者、管理端末5を利用する管理者、情報端末111、及びセキュアボックス14等を認証する認証処理を実行する。なお、通信システム1は、例えば、外部の認証サーバ等を用いて、認証を行うものであっても良い。
機器管理部312は、例えば、サービスPF12が備えるCPU201等で実行されるプログラムによって実現され、ローカルネットワーク100に接続するセキュアボックス14等の通信装置を管理する機器管理処理を実行する。例えば、機器管理部312は、ローカルネットワーク100に接続するセキュアボックス14からの要求に応じて、セキュアボックス14と管理サーバ10との間で通信(例えば、MQTTによる常時接続)を確立する。また、機器管理部312は、受付部301が、情報端末111からの接続要求を受け付けたときに、受付部301が生成したセッションIDをセキュアボックス14に通知して、リレーサーバ13への接続を要求する。また、管理サーバ10に含まれる各機能構成は、機器管理部312を利用して、セキュアボックス14と通信することができる。
ログ管理部313は、例えば、サービスPF12が備えるCPU201等で実行されるプログラムによって実現される。ログ管理部313は、通信システム1に含まれる、例えば、アプリサーバ11、サービスPF12、リレーサーバ13、又はセキュアボックス14等が送信するログ情報を、サービスPF12の記憶部314等に記憶して管理する。
記憶部314は、例えば、サービスPF12が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、ログ管理部313が管理するログ情報、及び認証部311が利用するユーザ情報等を記憶する。
なお、図3に示す管理サーバ10の機能構成は一例である。管理サーバ10に含まれる各機能構成は、管理サーバ10に含まれる任意のコンピュータ200が実行するプログラムによって実現することができる。また、リレーサーバ13は、管理サーバ10の内部に設けられていても良い。さらに、認証部311、及び記憶部308、314等は、管理サーバ10、又は通信システム1の外部のサーバ装置によって実現されるものであっても良い。
(セキュアボックスの機能構成)
図4は、一実施形態に係るセキュアボックスの機能構成の例を示す図である。セキュアボックス14の機能構成について説明する前に、ローカルネットワーク100の一例の概要について説明する。図4の例では、ローカルネットワーク100には、ルータ411、及びファイアウォール412を介して、通信ネットワーク2に接続される第1のローカルネットワーク410が含まれる。また、ローカルネットワーク100には、セキュアボックス14を介して、第1のローカルネットワーク410に接続する第2のローカルネットワーク420が含まれていても良い。
図4の例では、第1のローカルネットワーク410には、セキュアボックス14、情報処理装置101、及び画像形成装置102等が接続されている。また、第1のローカルネットワーク410には、情報処理装置101、及び画像形成装置102に限られず、様々な情報処理装置、電子機器、又はシステムが接続されていても良い。
また、第2のローカルネットワーク420には、例えば、テナント専用の稟議サービスを提供する稟議サーバ421、又はテナント専用の出退勤管理サービスを提供する出退勤サーバ422等が接続されている。
続いて、セキュアボックス14の機能構成について説明する。なお、セキュアボックス14は、第1のネットワークとは異なる第2のネットワークに接続する通信装置の一例である。
セキュアボックス14は、セキュアボックス14が備えるコンピュータ200で所定のプログラムを実行することにより、例えば、第1の通信部401、第2の通信部402、暗号通信部403、1つ以上の変換部404、装置管理部405、及び記憶部406等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
第1の通信部401は、例えば、ネットワークI/F208等を用いて、セキュアボックス14を第1のローカルネットワーク410に接続し、他の装置と通信を行う第1の通信処理を実行する。
第2の通信部402は、例えば、第1の通信部401とは異なるネットワークI/F208を用いて、第2のローカルネットワーク420をセキュアボックス14に接続し、稟議サーバ421、及び出退勤サーバ422等と通信する第2の通信処理を実行する。なお、稟議サーバ421、及び出退勤サーバ422は、アクセス先の端末の別の一例である。
暗号通信部403は、例えば、管理サーバ10から通知されるセッションIDを用いて、第1の暗号通信3でリレーサーバ13とセッションを確立する暗号通信処理を実行する。
1つ以上の変換部404は、アクセス元の端末が利用するプロトコルと、アクセス先の端末が利用するプロトコルとの間を相互にプロトコル変換する変換処理を実行する。例えば、1つ以上の変換部404は、情報端末111が利用するwssプロトコルと、アクセス先の情報処理装置101が利用するRDPプロトコルとの間を相互に変換する一の変換部404を含む。また、1つ以上の変換部404は、情報端末111が利用するwssプロトコルと、画像形成装置102が提供するファクスサービスを利用するためのWebAPI(Application Programming Interface)との間を相互に変換する別の変換部404を含む。なお、画像形成装置102が提供するファクスサービスを利用するためのWebAPIは、本実施形態に係るアクセス先の端末が利用するプロトコルの一例である。
装置管理部405は、例えば、セキュアボックス14の起動処理等のセキュアボックス14全体の処理を行う。また、装置管理部405は、例えば、管理サーバ10等から設定されるセキュアボックス14の設定情報を、記憶部406等に記憶して管理する。
記憶部406は、例えば、セキュアボックス14が備えるCPU201等で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、セキュアボックス14の設定情報を含む様々な情報を記憶する。
なお、セキュアボックス14の機能構成は、例えば、第1のローカルネットワーク410に接続するサーバ装置等が実行するプログラムによって実現されるものであっても良い。
(情報端末の機能構成)
図5は、一実施形態に係る情報端末、及びリレーサーバの機能構成の例を示す図である。図5(A)は、情報端末111の機能構成の一例を示している。情報端末111は、例えば、情報端末111が備えるCPU201で所定のプログラムを実行することにより、通信部501、暗号通信部502、表示制御部503、操作受付部504、位置情報取得部505、及び記憶部506等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
通信部501は、例えば、CPU201で実行されるOS等によって実現され、ネットワークI/F208を用いて情報端末111を通信ネットワーク2、又はリモートネットワーク110等に接続し、他の装置と通信を行う通信処理を実行する。
暗号通信部502は、例えば、CPU201で実行されるウェブブラウザ、アプリケーション、又はOS等によって実現され、管理サーバ10から通知されるセッションIDを用いて、第2の暗号通信4でリレーサーバ13とセッションを確立する。
表示制御部503は、例えば、コンピュータ200で実行されるウェブブラウザ等によって実現され、管理サーバ10、又はセキュアボックス14等から送信される表示画面(Web UI、HTML画面等)を表示する。また、表示制御部503は、表示画面に音声データ等が含まれている場合、音声の再生等も制御する。
操作受付部504は、例えば、コンピュータ200で実行されるウェブブラウザ等によって実現され、表示制御部503が表示する表示画面に対する、利用者(又は管理者)等による操作を受け付ける。
位置情報取得部505は、例えば、コンピュータ200で実行されるプログラム、及びGPS受信部216等によって実現され、情報端末111の位置を示す位置情報(例えば、緯度、経度等9を取得する。なお、位置情報取得部505は、情報端末111がGPS受信部216を備えていない場合、IPアドレス、又は無線LANのSSID(Service Set Identifier)等から位置情報を判定するジオロケーションサービス等を利用して、情報端末111の位置情報を取得しても良い。
記憶部506は、例えば、CPU201で実行されるプログラム、HD204、及びHDDコントローラ205等によって実現され、様々な情報又はデータ等を記憶する。
なお、管理端末5は、一般的なウェブブラウザを備えたコンピュータ200であり、例えば、図5に示す情報端末111と同様の機能構成、又は情報端末111の機能構成から、暗号通信部502を省略した機能構成を有している。
(リレーサーバの機能構成)
図5(B)は、リレーサーバ13の機能構成の一例を示している。リレーサーバ13は、例えばリレーサーバ13が備えるCPU201で所定のプログラムを実行することにより、接続管理部331、及び中継部332等を実現している。
接続管理部331は、例えば、セキュアボックス14と第1の暗号通信3を行うセッション、及び情報端末111と第2の暗号通信4を行うセッションに関する接続処理等を実行する。
中継部332は、情報端末111のアクセス元の端末と、セキュアボックス(通信装置)14との間の通信を中継する。例えば、中継部332は、同一のセッションIDを用いて、セキュアボックス14との間に確立される第1の暗号通信3と、情報端末111との間に確立される第2の暗号通信4との間にトンネルを確立することにより、第1の暗号通信3と第2の暗号通信4との間を中継する。
<通信システムが管理する情報>
図6~9は、一実施形態に係る通信システムが管理する情報の例を示す図である。図6(A)は、通信システム1が管理するサービスURLリスト601の一例のイメージを示している。通信システム1に含まれる各装置は、アクセス先の装置に接続するためのURL情報を、例えば、図6(A)に示すようなサービスURLリスト601に記憶しておくと良い。
図6(B)は、通信システム1が管理するテナントリスト602の一例のイメージを示している。管理サーバ10は、例えば、図6(B)に示すようなテナントリスト602を、記憶部314(又は記憶部308)等に記憶して管理している。図6(B)の例では、テナントリスト602は、項目として、テナントID、及びテナント名等の情報を含む。テナントIDは、例えば、企業、団体、組織、グループ等の契約単位であるテナントを識別する識別情報である。テナント名は、テナントの名前等を示す情報である。
図6(C)は、通信システム1が管理するユーザリスト603の一例のイメージを示している。管理サーバ10は、例えば、図6(C)に示すようなユーザリスト603を、記憶部314(又は記憶部308)等に記憶して管理している。図6(C)の例では、ユーザリスト603は、項目として、テナントID、ユーザID、ユーザ名、表示名、及びパスワード(Hash化)等の情報を含む。ユーザIDは、通信システム1に登録されている利用者を識別する識別情報である。ユーザ名は、利用者の名前等を示す情報である。表示名は、利用者の表示名である。パスワード(Hash化)は、利用者を認証するための認証情報の一例である。利用者を認証するための認証情報は、例えば、電子証明書等のパスワード以外の認証情報であっても良い。
管理サーバ10の認証部311は、一例として、図6(C)に示すようなユーザリスト603を用いて、管理サーバ10にログインする利用者を認証することができる。
図7(A)は、通信システム1が管理するユーザグループリスト701の一例のイメージを示している。管理サーバ10は、例えば、図7(A)に示すようなユーザグループリスト701を、記憶部314(又は記憶部308)等に記憶して管理している。図7(A)の例では、ユーザグループリスト701は、項目として、テナントID、ユーザグループID、ユーザグループ名、及びメンバーリスト等の情報を含む。ユーザグループIDは、利用者をグループ化したユーザグループを識別する識別情報である。ユーザグループ名は、ユーザグループの名前等を示す情報である。メンバーリストには、ユーザグループに所属する1人以上の利用者のユーザIDが記憶されている。
図7(B)は、通信システム1が管理するタイプリスト702の一例のイメージを示している。管理サーバ10は、例えば、図7(B)に示すようなタイプリスト702を、記憶部308(又は記憶部314)等に記憶して管理している。図7(B)の例では、タイプリスト702は、項目として、テナントID、タイプID、タイプ名、及び変換プログラム等の情報を含む。タイプIDは、変換プログラムのタイプを識別する識別情報である。タイプ名は、変換プログラムのタイプの名前等を示す情報である。変換プログラムは、例えば、各テナントに共通の変換プログラム(common)と、テナントごとに専用の変換プログラム(tenant)とを含む。なお、変換プログラムは、例えば、図4の1つ以上の変換部404の各々を実現するためのプログラムである。
図8(A)は、通信システム1が管理するサービスリスト801の一例のイメージを示している。管理サーバ10は、例えば、図8(A)に示すようなサービスリスト801を、記憶部308(又は記憶部314)等に記憶して管理している。図8(A)の例では、サービスリスト801は、項目として、テナントID、サービスID、サービス名、タイプ、及び宛先等の情報を含む。サービスIDは、1つ以上のアクセス先の端末が提供するサービスを識別する識別情報である。サービス名は、サービスの名前等を示す情報である。
タイプは、サービスのタイプを示す情報である。宛先は、サービスを提供するアクセス先の端末の宛先を示す情報である。なお、宛先は、IPアドレスでも良いし、FQDN(Fully Qualified Domain Name)等であっても良い。
図8(B)は、通信システム1が管理するサービスグループリスト802の一例のイメージを示している。管理サーバ10は、例えば、図8(B)に示すようなサービスグループリスト802を、記憶部308(又は記憶部314)等に記憶して管理している。図8(B)の例では、サービスグループリスト802は、項目として、テナントID、サービスグループID、サービスグループ名、及びメンバーリスト等の情報を含む。
サービスグループIDは、サービスをグループ化したサービスグループを識別する識別情報である。サービスグループ名は、サービスグループの名前等を示す情報である。メンバーリストには、サービスグループに含まれるサービスのサービスID等が記憶される。
図8(C)は、通信システム1が管理するセキュアボックスリスト803の一例のイメージを示している。管理サーバ10は、例えば、図8(c)に示すようなセキュアボックスリスト803を記憶部308(又は記憶部314)等に記憶して管理している。図8(C)の例では、セキュアボックスリスト803は、項目として、テナントID、デバイスID、デバイス名、及び自動更新等の情報を含む。デバイスIDは、セキュアボックス14を識別する識別情報である。デバイス名は、セキュアボックス14の名前等を示す情報である。自動更新は、セキュアボックス14の設定情報の自動更新が有効であるか否か、及び自動更新が有効である場合の更新タイミング等を示す設定情報の一例である。
図9(A)は、通信システム1が管理するポリシーリスト901の一例のイメージを示している。管理サーバ10は、例えば、図9(A)に示すようなポリシーリスト901を、記憶部308(又は記憶部314)等に記憶して管理している。図9(A)の例では、ポリシーリスト901は、例えば、テナントID、ポリシーID、ポリシー名、優先度、ユーザID、サービスID、及びアクションID等の情報を含む。ポリシーIDは、ポリシーを識別する識別情報である。ポリシー名は、ポリシーの名前を示す情報である。
優先度は、ポリシーの優先度を示す情報である。ユーザIDには、各ポリシーに対応する利用者のユーザID(又はユーザグループのユーザグループID)等が記憶される。サービスIDには、各ポリシーに対応するサービスのサービスID(又はサービスグループのサービスグループID)等が記憶される。アクションIDには、各ポリシーに対応するアクションを識別する識別情報が記憶される。
図9(B)は、通信システム1が管理するアクションリスト902の一例のイメージを示している。管理サーバ10は、例えば、図9(B)に示すようなアクションリスト902を、記憶部308等に記憶して管理している。図9(B)の例では、アクションリスト902は、項目として、テナントID、アクションID、アクション名、時間条件、位置条件、及びアクション等の情報を含む。アクションIDは、アクションを識別する識別情報である。アクション名は、アクションの名前等を示す情報である。
時間条件は、各アクションを実行可能な時間情報(時刻)の範囲を示す情報である。例えば、時間条件「Anytime」は、当該アクションを、いつでも実行可能であることを示している。また、時間条件「Weekdays; 09:00-17:00」は、当該アクションを、平日の9時から17時まで実行可能であることを示している。
位置条件は、各アクションを実行可能な位置情報の範囲を示す情報である。例えば、位置条件「Anywhere」は、当該アクションを、どこでも実行可能であることを示している。また、位置情報「(35.459, 139.388, 1)」は、当該アクションを、座標(35.459, 139.388)を中心に半径が「1」の範囲(約30m)内で、実行可能であることを示している。アクションには、例えば、許可する、拒否する、又は多要素認証する等の実行内容が定義されている。
管理サーバ10は、ポリシーリスト901に基づいて、サービスを利用する利用者のユーザID(又はユーザグループID)と、当該サービスのサービスID(又はサービスグループID)とが一致したときに、アクションIDに対応するアクションを実行する。また、管理サーバ10の制限部303は、利用者が利用する情報端末111の位置情報、及び時間情報が、アクションリスト902に定義された時間条件、及び位置条件の範囲外である場合、利用者によるサービスの利用(アクションの実行)を制限する。
なお、ポリシーリスト901、及びアクションリスト902は、アクセス元の端末から、アクセス先の端末が提供するサービスを利用可能なアクセス情報の範囲(時間条件、及び位置条件等)を予め設定した設定情報の一例である。このような設定情報により、通信システム1では、アクセス先の端末が提供するサービスごとに、当該サービスを利用可能なアクセス情報の範囲を設定可能である。
<処理の流れ>
続いて、本実施形態に係る通信管理方法の処理の流れについて説明する。
[第1の実施形態]
(通信開始時の処理)
第1の実施形態では、利用者が、アクセス元の端末の一例である情報端末111を用いて、アクセス先の一例である情報処理装置101が提供するリモートデスクトップサービスの利用を開始するときの処理の例について説明する。なお、図10に示す処理の開始時点において、情報端末111は、管理サーバ10にログイン済であるものとする。
ステップS1001において、利用者が、情報端末111に対してポータル画面の表示操作を行うと、通信システム1は、ステップS1002以降の処理を実行する。
ステップS1002において、情報端末111の操作受付部504は、利用者によるポータル画面の表示操作を受け付けると、アプリサーバ11に、ポータル画面の表示を要求する。
ステップS1003において、アプリサーバ11の受付部301は、情報端末111からの要求に応じて、ポータル画面(Web UI)を情報端末111に送信する。これにより、ステップS1004において、情報端末111の表示制御部503は、ポータル画面を表示する。
ステップS1005において、利用者が、ポータル画面から、リモートデスクトップ接続(以下、RDP接続と呼ぶ)を選択すると、通信システム1は、ステップS1506以降の処理を実行する。
ステップS1006において、情報端末111の操作受付部504は、位置情報取得部505を用いて、情報端末111の位置を示す位置情報を取得する。また、操作受付部504は、利用者を識別するユーザID、情報処理装置101が提供するリモートデスクトップサービスを識別するサービスID、及び取得した位置情報等を含む接続開始要求を、アプリサーバ11に送信する。なお、操作受付部504は、ユーザIDの代わりに、ログイン時に取得したアクセストークン、又はcookie等の認証情報を含む接続開始要求を、アプリサーバ11に送信しても良い。
ステップS1007において、アプリサーバ11の取得部302は、情報端末111から接続開始要求を受信した時刻を示す情報、及び接続開始要求に含まれる位置情報を取得する。なお、以下の説明において、ここで取得した時間情報、及び位置情報をアクセス情報と呼ぶ場合がある。
ステップS1008において、アプリサーバ11の制限部303は、情報端末111からアクセス先の端末が提供するサービスを利用可能なアクセス情報の範囲を予め設定した設定情報と、取得したアクセス情報とを用いて、利用制限の有無を判定する。例えば、制限部303は、図12に示すような利用制限の判定処理を実行する。
図12は、第1の実施形態に係る利用制限の判定処理の例を示すフローチャートである。この処理は、例えば、図10のステップS1008等で、制限部303が実行する利用制限の判定処理の一例を示している。
ステップS1201において、制限部303は、取得部302から、アクセス元の端末(例えば、情報端末111)の位置情報、及び時間情報を取得する。
ステップS1202において、制限部303は、アクセス元の端末の位置情報と、設定情報の位置条件とを比較する。例えば、設定情報が、図9(A)に示すようなポリシーリスト901、及び図9(B)に示すようなアクションリスト902であり、接続開始要求に含まれるユーザIDが「u_30623016」、サービスIDが「s_89645095」であるものとする。この場合、制限部303は、例えば、ユーザID「u_30623016」、及びサービスID「s_89645095」に対応するアクションID「a_64499849」を取得し、アクションリスト902のアクションID「a_64499849」に対応する位置条件を取得する。また、制限部303は、アクセス元の端末の位置情報と、アクションID「a_64499849」に対応する位置条件「(35.459, 139.388, 1)」とを比較する。
ステップS1203において、制限部303は、アクセス元の端末の位置情報が、位置条件「(35.459, 139.388, 1)」の範囲外である場合、処理をステップS1204に移行させる。一方、制限部303は、アクセス元の端末の位置情報が、位置条件「(35.459, 139.388, 1)」の範囲外でない場合、処理をステップS1205に移行させる。
ステップS1204に移行すると、制限部303は、利用制限ありと判定する。
一方、ステップS1205に移行すると、制限部303は、アクセス元の端末の時間情報と、設定情報の時間条件とを比較する。例えば、制限部303は、アクセス元の端末の時間条件と、アクションリスト902のアクションID「a_64499849」に対応する時間条件「Weekdays;09:00 - 17:00;」とを比較する。
ステップS1206において、制限部303は、アクセス元の時間情報が、時間条件「Weekdays;09:00 - 17:00;」の範囲外である場合、処理をステップS1204に移行させる。一方、制限部303は、アクセス元の時間情報が、時間条件「Weekdays;09:00 - 17:00;」の範囲外でない場合、処理をステップS1207に移行させる。ステップS1207に移行すると、制限部303は、利用制限なしと判定する。
ここで、図10に戻り、通信開始時の処理の説明を続ける。
ステップS1008において、利用制限ありと判定された場合、通信システム1は、ステップS1101、S1102の処理を実行する。例えば、ステップS1101において、制限部303は、要求元の情報端末111に、利用制限によりアクセス先の端末が提供するサービスを利用できないことを通知する。ステップS1102において、情報端末111、及びアプリサーバ11は、ステップS1009以降の処理の実行を中止する。
一方、ステップS1008において、利用制限なしと判定された場合、通信システム1は、ステップS1009以降の処理を実行する。
ステップS1009において、アプリサーバ11は、例えば、ステップS1006~S1の処理に関するログ情報を、サービスPF12のログ管理部313に送信しても良い。なお、この処理はオプションであり、必須ではない。
ステップS1010において、アプリサーバ11の受付部301は、情報端末111からの要求に応じて、RDP接続用のログイン情報(以下、PCログイン情報と呼ぶ)を入力するPCログイン画面を情報端末111に送信する。これにより、ステップS1011において、情報端末111の表示制御部503は、PCログイン画面を表示する。
ステップS1012において、利用者が、ログイン画面に、PCログイン情報を入力すると、通信システム1は、ステップS1013以降の処理を実行する。
ステップS1013において、情報端末111の操作受付部504は、リモートデスクトップ接続を要求するRDP接続要求を、アプリサーバ11に送信する。
ステップS1014において、アプリサーバ11の受付部301が、情報端末111からRDP接続要求を受け付けると、通信制御部304は、セッションを識別するセッションIDを生成する。
上記の処理に続いて、図11のステップS1015、S1016において、アプリサーバ11の通信制御部304は、生成したセッションIDを含むリレーサーバ13への接続指示を、サービスPF12の機器管理部312を介して、セキュアボックス14に送信する。
ステップS1017において、セキュアボックス14の暗号通信部403は、第1の通信部401を介して、リレーサーバ13に、管理サーバ10から通知されたセッションIDを含む接続要求を送信する。
ステップS1018において、リレーサーバ13の接続管理部331は、セキュアボックス14の暗号通信部403と、第1の暗号通信3を行うセッションを確立する。
ステップS1019、S1020において、セキュアボックス14の暗号通信部403は、リレーサーバ13に接続したことを示す接続通知を、サービスPF12の機器管理部312を介して、アプリサーバ11に通知する。
ステップS1021において、アプリサーバ11の通信制御部304は、ステップS1014で生成したセッションIDを含む接続指示を、情報端末111に送信する。
ステップS1022において、情報端末111の暗号通信部502は、アプリサーバ11から通知されたセッションIDを含む接続要求を、リレーサーバ13に送信する。
ステップS1023において、リレーサーバ13の接続管理部331は、情報端末111の暗号通信部502と、第2の暗号通信4を行うセッションを確立する。これにより、情報端末111と、セキュアボックス14は、リレーサーバ13が提供する同じセッションに参加し、暗号化された通信(例えば、wss)で互いにデータを送受信することができるようになる。
ステップS1024、S1025において、情報端末111は、例えば、図10のステップS1012で受け付けたPCログイン情報を、リレーサーバ13を介して、セキュアボックス14に送信する。
ステップS1026において、セキュアボックス14の変換部404は、情報端末111から受け付けたPCログイン情報を、RDP形式のPCログイン情報にプロトコル変換する。具体的な処理の一例として、セキュアボックス14の暗号通信部403は、情報端末111からPCログイン情報を受け付けると、RDP接続に対応する変換部404を起動する。また、暗号通信部403は、起動した変換部404を介して、情報端末111と、リモートデスクトップサービスを提供する情報処理装置101とが通信できるように設定する。これにより、変換部404は、例えば、情報端末111から受信したHTTP形式等のデータを、RDP形式のデータに変換して、情報処理装置101に送信する。また、変換部404は、情報処理装置101から受信したRDP形式のデータを、HTTP形式等のデータに変換して、情報端末111(リレーサーバ13)に送信する。
ステップS1027において、セキュアボックス14の変換部404は、RDP形式に変換したPCログイン情報を、情報処理装置101に送信する。なお、ここでは、情報端末111の利用者が、情報処理装置101が提供するリモートデスクトップサービスの正当なユーザであり、ログインに成功するものとする。
ステップS1028において、情報処理装置101が提供するリモートデスクトップサービスは、ログインに成功したことを示す情報、及びリモートデスクトップ画面等を、RDP形式でセキュアボックス14に送信する。
ステップS1029において、セキュアボックス14は、例えば、ステップS1025~S1028の処理に関するログ情報を、サービスPF12のログ管理部313に送信する。
ステップS1030において、セキュアボックス14の変換部404は、情報処理装置101から受信したリモートデスクトップ画面を、情報端末111が表示可能な形式の画像データに変換する。
ステップS1031、S1032において、セキュアボックス14の暗号通信部403は、変換部404が変換した画像データを、リレーサーバ13を介して情報端末111に送信する。
上記の処理の後、ステップS1033において、利用者は、例えば、情報端末111のウェブブラウザ等を利用して、情報処理装置101が提供するリモートデスクトップサービスを利用することができるようになる。
このように、第1の実施形態によれば、移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システムにおいて、通信開始時に、各サービスの利用を適切に制限できるようになる。
[第2の実施形態]
第2の実施形態では、例えば、図10~12の処理の後、情報端末111と情報処理装置101との間で通信中に、サービスの利用を制限する場合の処理の例について説明する。なお、第2の実施形態は、第1の実施形態と組み合わせて適用することができる。
(通信中の処理1)
図13は、第2の実施形態に係る通信中の処理の一例を示すフローチャートである。この処理は、管理サーバ10が、アクセス元の端末と、アクセス先の端末との間で通信中に実行する処理の一例を示している。
ステップS1301において、アプリサーバ11の制限部303は、図12に示すような利用制限の判定処理を実行する。ここでは、図12のステップS1201において、アプリサーバ11の取得部302は、例えば、情報端末111のウェブブラウザに対して、位置情報の取得要求を送信することにより、情報端末111の位置情報を取得しても良い。或いは、取得部302は、情報端末111のウェブブラウザが定期的に送信する情報端末111の位置情報を取得しても良い。
ステップS1302において、利用制限の判定処理で利用制限ありと判定された場合、制限部303は、処理をステップS1304に移行させる。一方、利用制限の判定処理で利用制限なしと判定された場合、制限部303は、処理をステップS1303に移行させる。
ステップS1303に移行すると、制限部303は、予め設定された第1の時間(例えば、1分~15分程度)待機した後に、処理をステップS1301に戻す。
一方、ステップS1304に移行すると、制限部303は、情報端末111の位置情報が、設定情報の位置条件の範囲外であるか否かを判断し、情報端末111の位置情報が設定情報の位置条件の範囲外である場合、処理をステップS1305に移行させる。一方、制限部303は、情報端末111の位置情報が設定情報の位置条件の範囲外でない場合、処理をステップS1308に移行させる。
ステップS1305に移行すると、制限部303は、情報端末111を利用する利用者に、所定の時間内に通信を切断することを示す切断予告を通知する。例えば、制限部303は、情報端末111のウェブブラウザ等に、所定の時間内に通信を切断することを示す切断予告画面(又は切断予告メッセージ)等を表示させても良い。或いは、制限部303は、情報端末111を利用する利用者に、所定の時間内に通信を切断することを示す電子メール、チャット、又はSMSを送信しても良い。
ステップS1306において、制限部303は、予め設定された第3の時間(例えば、1~5分程度)待機した後に、処理をステップS1307に移行させる。
ステップS1307に移行すると、制限部303は、情報端末111と、情報処理装置101との間の通信を切断する。例えば、制限部303は、情報端末111、セキュアボックス14、又はリレーサーバ13等に、通信の切断を指示する。
一方、ステップS1304からステップS1308に移行すると、アプリサーバ11の延長処理部306は、サービスの利用を続けるためには、利用時間の延長申請が必要であることを、情報端末111の利用者に通知する。この通知は、例えば、情報端末111に、利用時間の延長操作、又は終了操作等を受け付ける受付画面を表示させるものであっても良いし、電子メール、チャット、又はSMS等を用いて利用者に通知するもの等であっても良い。
ステップS1309において、延長処理部306は、予め設定された第2の時間(例えば、1分~5分程度)内に、通知に対する応答を受け付けた場合、処理をステップS1310に移行させる。一方、延長処理部306は、予め設定された第2の時間内に、通知に対する応答を受け付けていない場合、処理をステップS1307に移行させる。なお、通知に対する応答は、例えば、情報端末111に表示させた受付画面に対する操作であっても良いし、例えば、電子メール、チャット、又はSMSに対する返信、或いはリンク先へのアクセス等の操作であっても良い。
ステップS1310に移行すると、延長処理部306は、通知に対する応答が、利用者による延長申請である場合、処理をステップS1311に移行させる。一方、延長処理部306は、通知に対する応答が、利用者による延長申請でない場合、処理をステップS1307に移行させる。
ステップS1311に移行すると、延長処理部306は、設定情報に設定された時間条件を、一時的に延長して、処理をステップS1301に戻す。例えば、延長処理部306は、設定情報に設定された時間条件を、予め設定された時間(例えば、15分~60分程度)延長する。
上記の処理により、移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システム1において、通信中においても、各サービスの利用を適切に制限できるようになる。
また、情報端末111等のアクセス元の端末の時間情報が、設定情報の時間条件の範囲外となったときに、延長申請により、時間条件を延長できるようにすることにより、業務への悪影響を抑制することができる。
(通信中の処理2)
図14は、第2の実施形態に係る通信中の処理の別の一例を示すフローチャートである。この処理は、管理サーバ10が、アクセス元の端末と、アクセス先の端末との間で通信中に実行する処理の別の一例を示している。なお、図14に示す処理のうち、ステップS1301~S1303、S1305~S1311の処理は、図13で説明した通信中の処理と同様なので、ここでは、図13で説明した処理との相違点を中心に説明する。
ステップS1401において、制限部303は、情報端末111の位置情報が、設定情報の位置条件の範囲外であるか否かを判断し、情報端末111の位置情報が設定情報の位置条件の範囲外である場合、処理をステップS1305に移行させる。一方、制限部303は、情報端末111の位置情報が設定情報の位置条件の範囲外でない場合、処理をステップS1402に移行させる。
ステップS1402に移行すると、延長処理部306は、所定の延長条件の範囲内であるか否かを判断する。一例として、管理者等は、設定情報の時間条件に、利用可能時間(例えば、平日の9:00~17:00等)に加えて、延長可能時間(例えば、平日の17:00~19:00等)を予め設定しておく。この場合、延長処理部306は、情報端末111の時間情報が、平日の17:00~19:00の範囲外である場合、所定の延長条件の範囲外であると判断する。別の一例として、延長処理部306は、延長回数が、予め設定された延長回数の上限に達した場合、所定の延長条件の範囲外であると判断しても良い。
所定の延長条件の範囲外である場合、延長処理部306は、処理をステップS1305に移行させる。一方、所定の延長条件の範囲外でない場合、延長処理部306は、処理をステップS1308に移行させる。
上記の処理により、通信システム1は、利用者が延長可能な延長条件を制限することができるようになる。
[第3の実施形態]
図15は、第3の実施形態に係る通信中の処理の例を示すフローチャートである。この処理は、管理サーバ10が、アクセス元の端末と、アクセス先の端末との間で通信中に実行する処理の別の一例を示している。なお、図15に示す処理のうち、ステップS1301~S1309、S1311の処理は、図13で説明した通信中の処理と同様なので、ここでは、図13説明した処理との相違点を中心に説明する。
ステップS1501において、延長処理部306は、通知に対する応答が、利用者による延長申請である場合、処理をステップS1502に移行させる。一方、延長処理部306は、通知に対する応答が、利用者による延長申請でない場合、処理をステップS1307に移行させる。
ステップS1502に移行すると、延長処理部306は、情報端末111を利用する利用者による時間条件の延長申請に対する承認を要求する承認要求を、管理者等に通知する。なお、延長処理部306は、この承認要求を、例えば、電子メール、チャット、又はSMS等の通信システム1の外部のサービスを利用して通知しても良いし、管理端末5等に通知しても良い。
ステップS1503において、延長処理部306は、所定の時間内に管理者による承認を受け付けた場合、処理をステップS1311に移行させる。一方、延長処理部306は、所定の時間内に管理者による承認を受け付けしていない場合、処理をステップS1307に移行させる。なお、管理者による承認は、例えば、管理端末5等による承認操作であっても良いし、電子メール、チャット、又はSMS等に対する返信、或いはリンク先へのアクセス等による承認操作等であっても良い。
上記の処理により、通信システム1は、利用者による時間条件の延長申請に対して、管理者等による承認を要求することができるようになる。
[第4の実施形態]
図16は、第4の実施形態に係る利用制限の判定処理の例を示すフローチャートである。この処理は、図12で説明した利用制限の判定処理の別の一例を示している。なお、図16に示す処理のうち、ステップS1201、S1202、S1204~S1207の処理は、図12で説明した利用制限の判定処理と同様なので、ここでは、図12で説明した処理との相違点を中心に説明する。
ステップS1601において、制限部303は、アクセス元の端末の位置情報が、設定情報の位置条件の範囲外である場合、処理をステップS1204に移行させる。一方、制限部303は、アクセス元の端末の位置情報が、設定情報の位置条件の範囲外でない場合、処理をステップS1602に移行させる。
ステップS1602に移行すると、制限部303は、アクセス元の端末の位置情報と、アクセス元の端末の位置情報の履歴から算出した代表値(例えば、平均値、中央値、最大値等)とを比較する。なお、制限部303は、例えば、図16のステップS1201で取得した、アクセス元の端末の位置情報の履歴を、アクセス元の端末ごとに、記憶部308等に記憶しておくものであっても良い。或いは、制限部303は、例えば、図10のステップS1009において、アプリサーバ11がサービスPF12のログ管理部313に送信したログ情報等を、アクセス元の端末の位置情報の履歴として用いても良い。
ステップS1603において、制限部303は、アクセス元の端末の位置情報と、位置情報の履歴の代表値との差が閾値以上である場合、処理をステップS1204に移行させる。一方、制限部303は、アクセス元の端末の位置情報と、位置情報の履歴の代表値との差が閾値以上でない場合、処理をステップS1207に移行させる。ここで、閾値は、例えば、アクセス元の端末の位置が、いつもアクセス元の端末が稼働している位置と乖離していることを判断するための値が、予め設定されているものとする。
上記の処理により、例えば、設定情報に設定されている位置条件が、例えば、事業者内、又はフロア全体等のように広く設定されている場合でも、アクセス元の端末の位置が大きく変化したときに、サービスの利用を制限することができる。また、上記の処理により、例えば、アクセス元の端末が位置情報を偽装した場合等にも、不正なアクセスの可能性を低減することができる。なお、第4の実施形態は、第1~3の実施形態に適用することができる。
以上、本発明の各実施形態によれば、移動可能なアクセス元の端末から、1つ以上のアクセス先の端末にリモートアクセスして様々なサービスを利用する通信システムにおいて、各サービスの利用を適切に制限できるようになる。
<補足>
上記で説明した各実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(digital signal processor)、FPGA(field programmable gate array)や従来の回路モジュール等のデバイスを含むものとする。
また、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものに過ぎない。ある実施形態では、管理サーバ10は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。同様に、リレーサーバ13は、互いに通信するように構成された複数のコンピューティングデバイスを含むことができる。
管理サーバ10の各機能構成は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。また、アプリサーバ11の各機能構成のうち、少なくとも一部は、サービスプラットフォーム12、又はリレーサーバ13等に含まれていても良い。さらに、サービスPF12の機能構成のうち、少なくとも一部は、アプリサーバ11、又はリレーサーバ13等に含まれていても良いし、通信システム1の外部のサービスを利用しても良い。
1 通信システム
2 通信ネットワーク(第1のネットワーク)
10 管理サーバ
11 アプリサーバ
12 サービスPF
14 セキュアボックス(通信装置)
100 ローカルネットワーク(第2のネットワーク)
101 情報処理装置(アクセス先の端末)
102 画像形成装置(アクセス先の端末)
110 リモートネットワーク(第1のネットワーク)
111 情報端末(アクセス元の端末)
302 取得部
303 制限部
305 通知部
306 延長処理部
308、314 記憶部
901 ポリシーリスト
902 アクションリスト(設定情報)
特開2019-220817号公報

Claims (10)

  1. 第1のネットワークに接続するアクセス元の端末から、前記第1のネットワークとは異なる第2のネットワークに接続する通信装置を介して、前記第2のネットワークに接続する1つ以上のアクセス先の端末が提供するサービスにリモートアクセスする通信システムであって、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用する際に、前記アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する取得部と、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用可能な前記アクセス情報の範囲を予め設定した設定情報と、前記アクセス情報とを用いて、前記アクセス元の端末による前記サービスの利用を制限する制限部と、
    を有する、通信システム。
  2. 前記設定情報は、前記1つ以上のアクセス先の端末が提供するサービスごとに、当該サービスを利用可能な前記アクセス情報の範囲を設定可能である、請求項1に記載の通信システム。
  3. 前記取得部は、前記アクセス元の端末が前記サービスの利用を開始するときに、前記アクセス元の端末の前記位置情報、及び前記時間情報を含む前記アクセス情報を取得し、
    前記制限部は、前記取得したアクセス情報の一部、又は全部が、前記設定情報に設定された前記アクセス情報の範囲外である場合、前記アクセス元の端末による前記サービスの利用を制限する、
    請求項1又は2に記載の通信システム。
  4. 前記取得部は、前記アクセス元の端末が前記サービスを利用しているときに、前記アクセス元の端末の前記位置情報、及び前記時間情報を含む前記アクセス情報を取得し、
    前記制限部は、前記取得したアクセス情報の一部、又は全部が、前記設定情報に設定された前記アクセス情報の範囲外である場合、前記アクセス元の端末による前記サービスの利用を制限する、
    請求項1乃至3のいずれか一項に記載の通信システム。
  5. 前記アクセス元の端末が前記サービスを利用しているときに、前記制限部が前記アクセス元の端末による前記サービスの利用を制限する場合、前記アクセス元の端末の利用者に、前記サービスの利用を制限することを通知する通知部を有する、請求項4に記載の通信システム。
  6. 前記取得したアクセス情報に含まれる前記位置情報が、前記設定情報に設定された前記アクセス情報に含まれる前記位置情報の範囲内であり、かつ
    前記取得したアクセス情報に含まれる前記時間情報が、前記設定情報に設定された前記アクセス情報に含まれる前記時間情報の範囲外である場合、
    前記アクセス元の端末を利用する利用者に、利用時間の延長申請が必要であることを通知し、
    前記利用者による延長申請に従って、前記利用時間の延長処理を実行する延長処理部と、
    を有する、
    請求項4又は5に記載の通信システム。
  7. 前記取得部が取得した前記アクセス元の端末の前記位置情報の履歴を記憶する記憶部を有し、
    前記制限部は、前記記憶部に記憶した前記位置情報の履歴の代表値と、前記取得部が取得した前記アクセス元の端末の前記位置情報との差が閾値以上である場合、前記アクセス元の端末による前記サービスの利用を制限する、請求項1乃至6のいずれか一項に記載の通信システム。
  8. 前記通信システムは、前記取得部を有する管理サーバを含み、
    前記取得部は、
    前記アクセス元の端末の前記位置情報を前記アクセス元の端末から取得し、
    前記アクセス元の端末が前記サービスを利用する前記時間情報を、前記管理サーバで取得する、
    請求項1乃至7のいずれか一項に記載の通信システム。
  9. 第1のネットワークに接続するアクセス元の端末から、前記第1のネットワークとは異なる第2のネットワークに接続する通信装置を介して、前記第2のネットワークに接続する1つ以上のアクセス先の端末が提供するサービスにリモートアクセスする通信を管理する管理サーバが、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用する際に、前記アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する処理と、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用可能な前記アクセス情報の範囲を予め設定した設定情報と、前記アクセス情報とを用いて、前記アクセス元の端末による前記サービスの利用を制限する処理と、
    を実行する、通信管理方法。
  10. 第1のネットワークに接続するアクセス元の端末から、前記第1のネットワークとは異なる第2のネットワークに接続する通信装置を介して、前記第2のネットワークに接続する1つ以上のアクセス先の端末が提供するサービスにリモートアクセスする通信を管理する管理サーバに、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用する際に、前記アクセス元の端末の位置を示す位置情報、又は利用時刻を示す時間情報を含むアクセス情報を取得する処理と、
    前記アクセス元の端末から、前記アクセス先の端末が提供する前記サービスを利用可能な前記アクセス情報の範囲を予め設定した設定情報と、前記アクセス情報とを用いて、前記アクセス元の端末による前記サービスの利用を制限する処理と、
    を実行させる、プログラム。
JP2021032723A 2021-03-02 2021-03-02 通信システム、通信管理方法、及びプログラム Pending JP2022133817A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021032723A JP2022133817A (ja) 2021-03-02 2021-03-02 通信システム、通信管理方法、及びプログラム
US17/584,267 US11864090B2 (en) 2021-03-02 2022-01-25 Communication system, communication management method, and non-transitory recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021032723A JP2022133817A (ja) 2021-03-02 2021-03-02 通信システム、通信管理方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2022133817A true JP2022133817A (ja) 2022-09-14

Family

ID=83117544

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021032723A Pending JP2022133817A (ja) 2021-03-02 2021-03-02 通信システム、通信管理方法、及びプログラム

Country Status (2)

Country Link
US (1) US11864090B2 (ja)
JP (1) JP2022133817A (ja)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100017889A1 (en) * 2008-07-17 2010-01-21 Symantec Corporation Control of Website Usage Via Online Storage of Restricted Authentication Credentials
US8225110B2 (en) * 2009-01-09 2012-07-17 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic protection of usage restrictions in electronic devices
US8856818B2 (en) * 2009-11-17 2014-10-07 Centurylink Intellectual Property Llc System and method for in-home set top box management
JP2012138849A (ja) * 2010-12-27 2012-07-19 Fujitsu Ltd 管理装置、管理プログラム及び管理方法
JP5909476B2 (ja) 2013-10-21 2016-04-26 株式会社日立製作所 遠隔操作システム
JP6245949B2 (ja) * 2013-11-11 2017-12-13 キヤノン株式会社 認可サーバーシステム、その制御方法、およびそのプログラム。
US9414307B2 (en) * 2014-01-23 2016-08-09 Alcatel Lucent Rule-driven policy creation by an ANDSF server
JP2018061201A (ja) 2016-10-07 2018-04-12 株式会社リコー 通信制御装置、通信制御プログラム、及び、ネットワーク通信システム
JP6965078B2 (ja) 2017-09-28 2021-11-10 日置電機株式会社 遠隔操作システム、測定システムおよび遠隔操作システム用プログラム
US10609208B2 (en) * 2018-05-08 2020-03-31 Apple Inc. Managing device usage
JP7064396B2 (ja) 2018-06-19 2022-05-10 シャープ株式会社 ネットワークシステムおよびサーバ
JP2020017000A (ja) * 2018-07-24 2020-01-30 富士通株式会社 サービス活動支援方法、サービス活動支援プログラム、及びシステム
US11075877B2 (en) * 2019-01-11 2021-07-27 Charter Communications Operating, Llc System and method for remotely filtering network traffic of a customer premise device

Also Published As

Publication number Publication date
US20220286945A1 (en) 2022-09-08
US11864090B2 (en) 2024-01-02

Similar Documents

Publication Publication Date Title
US9246979B2 (en) Method and system for providing secure remote access and control
JP4173866B2 (ja) 通信装置
KR101177456B1 (ko) 서버를 통한 사용자 인증 방법 및 이를 이용한화상형성장치
US8731331B2 (en) Apparatus, system, and method of communication, and recording medium storing communication control program
US9577982B2 (en) Method and apparatus for extending remote network visibility of the push functionality
US10097666B2 (en) Accessing a service using an encrypted token
US9344417B2 (en) Authentication method and system
US10348772B2 (en) Method and apparatus for enforcing realtime access controls for endpoints
JP2009500757A (ja) 自分の近隣者を介してのコンタクトの捕捉
US11729334B2 (en) Communication system, device, and recording medium for remote access to electronic device through relaying device and converter
US9762613B2 (en) Method and apparatus for providing extended availability of representatives for remote support and management
EP2741465A1 (en) Method and device for managing secure communications in dynamic network environments
US11824942B2 (en) Communication system, information processing apparatus, and information processing method
CN103179108A (zh) 将服务器应用与多个认证提供者集成
JP5986546B2 (ja) 情報処理装置、および情報処理方法
JP2022133817A (ja) 通信システム、通信管理方法、及びプログラム
WO2019058612A1 (ja) リモートアクセス制御システム
US9866530B2 (en) Method and apparatus for provision of secure connection
US11902147B2 (en) Remote access system, remote access control method, and non-transitory recording medium
US20230109921A1 (en) Information processing apparatus, information processing system, and non-transitory recording medium
US11528321B2 (en) Load balancing system, load balancing method, and non-transitory recording medium
EP2748715A1 (en) Techniques for accessing logical networks via a programmatic service call
JP2023157298A (ja) 通信システム、情報取得方法、及びプログラム
JP2008217376A (ja) コンテンツ共有方法及びシステム
JP2022116642A (ja) 通信システム、通信管理方法、及びプログラム