CN101026531A - 信息处理*** - Google Patents
信息处理*** Download PDFInfo
- Publication number
- CN101026531A CN101026531A CNA2006101687717A CN200610168771A CN101026531A CN 101026531 A CN101026531 A CN 101026531A CN A2006101687717 A CNA2006101687717 A CN A2006101687717A CN 200610168771 A CN200610168771 A CN 200610168771A CN 101026531 A CN101026531 A CN 101026531A
- Authority
- CN
- China
- Prior art keywords
- vpn
- network
- information processor
- processing system
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种信息处理***。即使不针对和网络设备的通信中所使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙、使用网络设备。通过VPN连接本地计算机(1)和远程计算机(2),使远程计算机(2)具有VPN网关功能,从而使本地计算机(1)属于远程计算机(2)侧的网络。由此,在本地计算机(1)和远程计算机(2)之间存在防火墙装置(3A、3B)的情况下,为使本地计算机(1)和远程计算机(2)可以通过VPN相连,而仅对防火墙装置(3A、3B)进行设定,本地计算机(1)就可以通过各种协议,和连接在远程计算机(2)侧的LAN(4B)上的各种网络设备(6)进行通信。
Description
技术领域
本发明涉及信息处理***的网络连接技术,特别涉及,在瘦客户机型信息处理***中将本地计算机和远程计算机侧的网络设备相连接的技术。
背景技术
近年来,所谓的瘦客户机型(thin client type)信息处理***受到关注。在瘦客户机型信息处理***中,通过使用身边的远程计算机(remotemachine),对位于自己家中或公司中的本地计算机(local machine)的桌面进行远程操作,可以利用在本地计算机上安装的各种应用程序和数据。在本地计算机中,除了台式PC(Desktop Personal Computer)以外,还使用了不具备本地连接的输入输出装置(键盘、鼠标和显示器)的刀片PC(刀片计算机(blade computer))等(例如,参照特开2003-337672号公报)。
发明内容
在这种瘦客户机型信息处理***中,在利用与远程计算机侧的网络相连的网络设备(打印机、扫描仪、文件服务器等)时,为了在本地计算机和网络设备间可以进行通信,需要对本地计算机和网络设备间存在的防火墙装置进行设定。例如,在网络设备为打印机,本地计算机使用LPR(Line PrinterDeamon Protocol)向打印机发送打印命令的情况下,为使LPR的数据包从本地计算机到达打印机,需要设定地址和端口。另外,在网络设备是文件服务器,本地计算机使用FTP(File Transfer Protocol)访问文件服务器的情况下,为使FTP的数据包从本地计算机到达打印机,需要设定地址和端口。
这样,目前对于与网络设备的通信中使用的每个协议,必须对存在于本地计算机和网络设备间的防火墙装置进行设定,工作的负担很大。
因此,本发明的目的是,即使不针对和网络设备的通信中使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙,利用网络设备。
为了解决上述问题,在本发明中,通过VPN(Virtual Private Network)将第1信息处理装置和第2信息处理装置相连,使第2信息处理装置具有VPN网关功能,由此,使第1信息处理装置属于第2信息处理装置侧的网络。
例如,在具有第1信息处理装置和第2信息处理装置的信息处理***中,所述第1信息处理装置具有与VPN(Virtual Private Network)相连的VPN接口单元,所述第2信息处理装置具有与所述VPN以及不同于所述VPN的网络相连的VPN网关单元,所述VPN网关单元在通过所述VPN或所述网络而接收到的数据包的目的地是分配给规定的网络设备的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述规定网络设备的所述网络的地址以外的地址时,将该数据包转发至所述网络。
在此,所述第2信息处理装置可以是作为所述第1信息处理装置的输入输出装置而工作的操作终端。
另外,所述第2信息处理装置还具有:向所述第1信息处理装置发送VPN的连接请求的VPN连接请求发送单元,所述第1信息处理装置还具有:从所述第2信息处理装置接收所述VPN的连接请求的VPN连接请求接收单元,并且,所述VPN接口单元在所述VPN连接请求接收单元接收到所述VPN的连接请求时,也可以通过所述VPN与所述VPN网关单元相连。
这样,在第1信息处理装置和第2信息处理装置间存在防火墙装置时,为了可以通过VPN连接第1信息处理装置和第2信息处理装置而仅进行防火墙的设定,第1信息处理装置就可以通过各种协议与属于第2信息处理装置侧的网络的各种网络设备通信。
附图说明
图1是表示应用了第1实施方式的远程桌面***(瘦客户机型的信息处理***)的概略结构的一例的图。
图2是表示本地计算机1的概略结构例的图。
图3是用于说明本地计算机1的动作例的图。
图4是表示本地计算机2的概略结构例的图。
图5是用于说明远程计算机2的动作例的图。
图6是表示应用了第1实施方式的远程桌面***的概略动作例的图。
图7是用于说明本地计算机1的动作例的图。
图8是用于说明远程计算机2的动作例的图。
图9是表示应用了实施方式2的远程桌面***的概略动作例的图。
图10是表示应用了实施方式3的虚拟办公室***的概略结构例的图。
具体实施方式
(第1实施方式)
图1是表示应用了第1实施方式的远程桌面***(瘦客户机型信息处理***)的概略结构的一例的图。
如图所示,本实施方式的远程桌面***具有:本地计算机1、远程计算机2、打印机(打印机服务器)、扫描仪(扫描仪服务器)、文件服务器等网络设备6和DHCP(Dynamic Host Configuration Protocol)服务器7。本地计算机1例如与在总公司中构建的LAN(Local Area Network)4A相连。LAN4A通过防火墙装置3A与WAN(Wide Area Network)5相连。另外,远程计算机2、网络设备6以及DHCP服务器7,例如与在分公司中构建的LAN4B相连。LAN4B通过防火墙装置3B与WAN5相连。
本地计算机1向远程计算机2提供终端服务。即,接收并处理从远程计算机2发送来的输入信息(输入装置的操作内容),并且将表示处理结果的图像信息(显示装置的桌面画面)发送至远程计算机2。另外,本地计算机1具有VPN(Virtual Private Network)接口功能,通过VPN和远程计算机2相连。并且,利用远程计算机2的后述VPN网关功能,与远程计算机2侧的网络4B相连。在该本地计算机1中,可以使用台式PC(Personal Computer)以及不具备本地连接的输入输出装置(键盘、鼠标以及显示器)的刀片PC(刀片计算机)等。
图2是表示本地计算机1的概略结构例的图。
如图所示,本地计算机1具有:CPU(Central Processing Unit)101、作为CPU101的工作区而工作的RAM(Random Access Memory)102、用于与LAN4A相连的NIC(Network Interface Card)103、HDD(Hard Disk Drive)104、快速ROM(Flash Read Only Memory)105、生成桌面图像信息的视频卡106、对与以上各部101~106相连的总线BUS等内部线路进行中继的网桥107、电源108。
在快速ROM105中存储有BIOS(Basic Input/Output System)1050。CPU101,在接通电源108后,首先访问快速ROM105,执行BIOS1050,由此识别本地计算机1的***结构。
HDD104中至少存储有:OS(Operating System)1041、VPN接口程序1042、远程服务器程序1043、VPN控制程序1044、通信控制程序1045、应用程序控制程序1046、通信日志程序1047、多个应用程序1048、用户数据1049。
OS1041是CPU101用来总体控制本地计算机的各部102~108、执行后述各程序1042~1048的程序。CPU101遵从BIOS1050将OS1041从HDD104载入RAM102并执行。由此,CPU101总体控制本地计算机1的各部102~108。
VPN接口程序1042是用于在与远程计算机2之间构建VPN的程序,例如是使用了IPsec(Security Architecture for the Internet Protocol)的通信程序。CPU101,遵从OS1041,将VPN接口程序1042从HDD104载入RAM102并执行。由此,CPU101通过VPN与远程计算机2相连。
远程服务器程序1043是用于提供终端服务、即可以从远程计算机2对本地计算机1的桌面进行远程操作的程序,例如是AT&T剑桥研究所开发的VNC(Virtual Network Computing)的服务器程序。CPU101遵从OS1041,将远程服务器程序1043从HDD104载入RAM102并执行。由此,CPU101接收并处理从远程计算机2送来的输入信息(键盘和鼠标的操作内容),并且将表示处理结果的图像信息(显示器的桌面画面)发送至远程计算机2。
VPN控制程序1044是用于控制基于VPN接口程序1042的VPN连接的程序。CPU101遵从OS1041,将VPN控制程序1044从HDD104载入RAM102并执行。由此,CPU101根据通过NIC103从远程计算机2接受的VPN连接请求,在规定的条件下使VPN接口程序1042构建与远程计算机2之间的VPN。在此,规定的条件是:当前时刻属于规定的时间段,和/或,远程计算机2的网络地址是规定的地址,和/或,远程计算机2的用户是被许可进行VPN通信的用户。
通信控制程序1045是用于对通过VPN收发的通信数据包进行控制的程序,例如是进行数据包过滤(packet filtering)的防火墙程序。CPU101遵从OS1041,将通信控制程序1045从HDD104载入RAM102并执行。由此,CPU101进行过滤,以使通过VPN对使用规定的目的地地址、发送源或通信协议的数据包进行收发。
应用程序控制程序1046是用于控制通过VPN与通信对象进行通信的应用程序1048的程序,例如是对被许可通过VPN进行数据收发的应用程序的启动进行许可的程序。CPU101遵从OS1041,将应用程序控制程序1046从HDD104载入RAM102并执行。由此,CPU101进行控制,以使规定的应用程序1048可以使用VPN。
通信日志程序1047是用于记录利用VPN进行通信的应用程序1048的、与通信对象间的通信履历的程序。CPU101遵从OS1041,将通信日志程序1047从HDD104载入RAM102并执行。由此,CPU101将使用VPN进行通信的应用程序1048的、与通信对象间的通信履历,记录在用户数据1049中。
在应用程序1048中包括:通用的Web浏览器、文字处理机、CAD、以及表计算等程序。CPU101遵从OS1041,对通过远程服务器程序1043从远程计算机2接受的指示进行应答,将希望的应用程序1048从HDD104载入RAM102并执行。然后,使视频卡107生成反映其执行结果的桌面画面的图像信息,通过远程服务器程序1043发送至远程计算机2。
用户数据1049是可以在应用程序1048中使用的数据,是用户个人使用的数据(例如,个人作成的文件数据、通信日志程序1047所生成的履历数据等)。
图3是用于说明本地计算机1的动作例的图。
本来,CPU101根据程序执行该流程。但在此为了便于说明,将程序作为执行主体来说明流程。
OS1041,当通过NIC103从远程计算机2接收到终端服务请求时(S101:YES),将终端服务请求应答发送至远程计算机2。然后,启动远程服务器程序1043,开始对远程计算机2提供终端服务(S102)。具体而言,当通过NIC103从远程计算机2接收到输入信息时,将该输入信息向在用的规定应用程序1048通知。接收该输入信息,应用程序1048执行对应于表示该输入信息的操作内容(键盘操作和鼠标操作)的处理。然后,在RAM102中,生成表示反映处理结果的桌面画面的图像信息(用于描绘桌面画面的颜色信息、描绘命令信息、位图信息等)。远程服务器程序1043通过NIC103将该图像信息发送至远程计算机2。
接下来,OS1041,当通过NIC103使用终端服务从远程计算机2接收到VPN连接请求时(S103:YES),将其向VPN控制程序1044通知。接收该VPN连接请求,VPN控制程序1044判断是否满足规定的条件(S104)。在本实施方式中,以如下条件为规定条件并判断是否满足这些条件:通过未图示的内置计时器等取得到的当前时刻属于预定的时间段(例如,平日的上班时间段),以及,VPN连接请求的发送源地址属于规定的网络(例如,规定的分公司中构建的LAN),以及,远程计算机2的用户是被许可进行VPN通信的用户。
在S104中不满足规定的条件的情况下(S104:NO),VPN控制程序1044进行规定的错误(error)处理,如通过OS1041和NIC103向VPN连接请求的发送源发送错误消息等(S110)。
另一方面,在S104中满足了规定的条件的情况下(S104:YES),VPN控制程序1044,通过OS1041和NIC103向VPN连接请求的发送源发送VPN连接应答。然后,启动VPN接口程序1042,在与作为VPN连接请求源的远程计算机2之间,使VPN接口程序1042确立VPN(S105)。
当与远程计算机2之间确立了VPN时,OS1041利用后述的远程计算机2的网关功能,访问与远程计算机2侧的LAN4B相连的DHCP服务器7,从DHCP服务器7取得网络地址(本地地址)(S106)。由此,本地计算机1可以与连接在LAN4B上的网络设备6进行通信。
此后,OS1041启动通信控制程序1045,开始对通过VPN收发的通信数据包进行数据包过滤(S107)。进行数据包过滤,例如全部拒绝来自网络设备6的访问,许可从本地计算机对网络设备6进行访问。
另外,OS1041启动应用程序控制程序1046,开始应用程序控制服务(S108)。由此进行控制,以便拒绝规定的应用程序1048以外的程序利用VPN(VPN接口程序1042),使规定的应用程序1048可以利用VPN与通信对象进行通信。
另外,OS1041启动通信程序1047。由此,通信日志程序1047,将使用VPN的各个应用程序1048的通信履历记录在用户数据1049中(S109)。
返回图1继续说明。
远程计算机2从本地计算机1接受终端服务。即,将由用户输入的输入信息(输入装置的操作内容)发送至本地计算机1,并且,从该本地计算机1接收图像信息(用于描绘显示装置的桌面画面的颜色信息、描绘命令信息、位图信息等),并在显示装置上显示。另外,远程计算机2具备VPN网关功能,通过VPN与本地计算机1相连。并且,将本地计算机1与远程计算机2侧的网络4B相连。此外,远程计算机2是所谓的无HDD型PC,无法直接(不通过本地计算机1)访问本地连接的***设备和网络设备。即,远程计算机2,仅可以使用与本地计算机1本地连接或网络连接的设备。这样,降低了由于远程计算机2的失窃等导致信息泄漏的可能性。
图4是表示远程计算机2的概略构成例的图。
如图所示,远程计算机2具有:CPU201、作为CPU201的工作区而工作的RAM202、用于与LAN4B相连的NIC203、用于连接键盘和鼠标的I/O连接器204、快速ROM205、用于连接显示器的视频卡206、对连接以上各部201~206的总线BUS等内部线路进行中继的网桥207、电源208。
在快速ROM205中至少存储有:BIOS2050、OS2051、VPN网关程序2052、远程客户机程序2053、VPN控制程序2054、以及通信控制程序2055。
CPU201在接通电源208后首先访问快速ROM205、执行BIOS2050,由此识别远程计算机2的***结构。
OS2051是用于CPU201总体控制远程计算机2的各部202~208、执行后述的各程序2052~2055的程序。CPU201遵从BIOS2050,将OS2051从快速ROM205载入RAM202并执行。由此,CPU201总体控制远程计算机2的各部202~208。此外,在本实施方式的OS2051中,使用内部OS等可以存储在快速ROM205中的较小的OS。
VPN网关程序2052是用于在与本地计算机1之间构建VPN的程序,例如是使用了IPsec或HTTPS的通信程序。CPU101遵从OS1041将VPN网关程序2052从快速ROM205载入RAM202并执行。由此,CPU201在与本地计算机1之间构建VPN,将该VPN和LAN4B相连。
远程客户机程序2053是用于接受终端服务、即用于远程计算机2远程访问本地计算机1的桌面的程序,例如是VNC的客户机(查看器(viewer))程序。CPU201遵从OS2051将远程客户机程序2053从快速ROM205载入RAM202并执行。由此,CPU201将I/O连接器206的输入信息(键盘和鼠标的操作内容)向本地计算机1发送,并且,接收从本地计算机1发送来的图像信息(用于描绘显示器的桌面画面的颜色信息、描绘命令信息、位图信息等),对其进行处理,在与视频卡206相连的显示装置(未图示)上显示。
VPN控制程序2054是用于对基于VPN网关程序2052的VPN连接进行控制的程序。CPU201遵从OS2051将VPN控制程序2054从快速ROM205载入RAM202并执行。由此,CPU201根据经由IO连接器204从输入装置接受的VPN的连接指示,通过NIC203向本地计算机1发送VPN的连接请求。另外,根据经由NIC203从本地计算机接受的VPN的连接应答,在规定条件下,使VPN网关程序2052构建与本地计算机1之间的VPN。在此,规定的条件是指:当前时刻属于规定的时间段,和/或,本地计算机1的网络地址是规定的地址,和/或,远程计算机2的用户是被许可进行VPN通信的用户。
通信控制程序2055是用于对通过VPN收发的通信数据包进行控制的程序,例如是进行数据包过滤的防火墙程序。CPU201遵从OS2051将通信控制程序2055从快速ROM205载入RAM202并执行。由此,CPU201进行过滤,以便让使用了规定的目的地地址、发送源或通信协议的数据包可以在VPN和LAN4B之间往来。
图5是用于说明远程计算机2的动作例的图。
本来,CPU201根据程序执行该流程。但在此为了便于说明,以程序为执行主体来说明流程。
首先,OS2051启动远程客户机程序2053。启动后,远程客户机程序2053通过NIC203向本地计算机1发送终端服务请求(S201)。然后,若从本地计算机1接收到终端服务请求应答,则开始利用由本地计算机1提供的终端服务(S202)。具体而言,通过IO连接器204从输入装置接收输入信息时,通过NIC203向本地计算机1发送该输入信息。另外,通过NIC203从本地计算机1接收用于描绘本地计算机1桌面画面的图像信息,对其进行处理,并在与视频卡206相连的显示装置上显示。
接下来,OS2051,当通过IO连接器204从输入装置接受VPN连接指示时(S203:YES),使用终端服务,通过NIC203向本地计算机1发送VPN连接请求(S204)。然后,OS2051,当通过NIC203从本地计算机1接收VPN连接应答时(S205:YES),将其向VPN控制程序2054通知。接受该VPN连接应答,VPN控制程序2054判断是否满足规定的条件(S206)。在本实施方式中,以如下条件为规定条件并判断是否满足这些条件:通过未图示的内置计时器等取得的当前时刻属于预定的时间段(例如,平日的上班时间段),以及,VPN连接应答的发送源地址属于规定的网络(例如,构建在总公司中的LAN),以及,远程计算机2的用户是被许可进行VPN通信的用户。
在S206中不满足规定条件的情况下(S206:NO),VPN控制程序2054进行规定的错误处理,如通过OS2051和NIC203,向VPN连接应答的发送源发送错误消息等(S210)。
另一方面,在S206中满足规定条件的情况下(S206:YES),VPN控制程序2054启动VPN网关程序2052。启动后,VPN网关程序2052在与作为VPN连接应答源的本地计算机1之间确立VPN(S207)。
另外,VPN网关程序2052,将该确立的VPN和LAN4B相连,开始VPN网关服务(S208)。
具体而言,通过NIC203从LAN4B接收通信数据包,在该通信数据包是发往本远程计算机2的VPN数据包时,取出该VPN数据包中所存储的通信数据包,发送至网络4B。另外,在该通信数据包是VPN数据包以外的、发往本远程计算机2的数据包时,将该通信数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另外,在该通信数据包是发往由DHCP服务器7分配给本地计算机1的数据包时,将该通信数据包存储在VPN数据包中,发送至本地计算机1。由此,本地计算机1可以使用网络设备6。
当在与本地计算机1之间确立VPN时,OS2051启动通信控制程序2055,开始对通过VPN收发的通信数据包进行数据包过滤(S209)。进行数据包过滤,例如全部拒绝从网络设备6对本地计算机1的访问,许可从本地计算机1对网络设备6访问。
图6是表示应用了第1实施方式的远程桌面***的概略动作例的图。
首先,远程计算机2向本地计算机1发送终端访问请求(S31)。本地计算机1,当从远程计算机2接收到终端访问请求时,返回终端服务应答(S41),开始提供终端服务(S42)。
接着,远程计算机2,当通过输入装置从用户接受VPN的连接指示时(S32),利用终端服务,将其操作内容(VPN连接请求)向本地计算机1发送(S33)。本地计算机1,当从远程计算机2接收VPN连接请求时,通过调查是否满足规定的条件,来判断可否连接(S43)。并且,若可以连接,则返回VPN连接应答(S44),在与远程计算机2之间确立VPN(S45)。
本地计算机1,若在与远程计算机2之间确立了VPN,则利用远程计算机2的VPN网关功能,访问DHCP服务器7,从DHCP服务器7取得在LAN4B中的地址(S46)。另外,开始数据包过滤服务和应用程序控制服务。另一方面,远程计算机2开始数据包过滤服务。
远程计算机2,当通过输入装置从用户接受打印指示时,利用终端服务,将其操作内容(打印指示)向本地计算机1发送(S34)。本地计算机1,当从远程计算机2接收打印指示时,生成打印命令,利用远程计算机2的VPN网关功能,将其发送至打印机6A(S47)。打印机6A,根据经由远程计算机2从本地计算机1接收到的打印命令,打印希望的文件(S51)。
另外,远程计算机2,当通过输入装置从用户接受下载指示时,利用终端服务,将其操作内容(下载指示)向本地计算机1发送(S35)。本地计算机1,当从远程计算机2接收下载指示时,利用远程计算机2的VPN网关功能,访问文件服务器6B,从文件服务器6B下载希望的文件(S48)。
以上,对第1实施方式进行了说明。
在本实施方式中,通过VPN将本地计算机1和远程计算机2相连,使远程计算机2具有VPN网关功能,由此,使本地计算机1属于远程计算机2侧的网络。因此,在本地计算机1和远程计算机2之间存在防火墙装置3A、3B的情况下,为使本地计算机1和远程计算机2可以通过VPN相接而仅对防火墙装置3A、3B进行设定,本地计算机1就可以通过LPR、FTP等各种协议与属于远程计算机2侧的网络4B的打印机、文件服务器等各种网络设备6进行通信。即,不需要针对每个协议,对防火墙装置3A、3B进行设定。
另外,用户可以如同使用与本地计算机1本地连接或网络连接的各种设备那样、在外出目的地中使用连接有远程计算机2的LAN4B上连接的各种网络设备6。
(第2实施方式)
在上述的第1实施方式中,以在终端服务中不利用VPN的情况为例进行了说明。在本实施方式中,以在终端服务中利用终端服务的情况为例进行说明。此外,本实施方式的远程桌面***的概略结构,以及构成远程桌面的各设备的概略结构,和上述的第1实施方式中所示的结构相同。
图7是用于说明本地计算机1的动作例的图。
OS1041,当通过NIC103从远程计算机2接收VPN连接请求时(S121:YES),将其向VPN控制程序1044通知。接受该VPN连接请求,VPN控制程序1044,和第1实施方式的情况相同地,判断是否满足规定的条件(S122)。
在S122中不满足规定的条件的情况下(S122:NO),VPN控制程序1044进行规定的错误处理,如通过OS1041和NIC103,向VPN连接请求的发送源发送错误消息等(S130)。
另一方面,在S122中满足规定的条件的情况下(S122:YES),VPN控制程序1044,通过OS1041和NIC103,向VPN连接请求的发送源发送VPN连接请求应答。然后,启动VPN接口程序1042,在和作为VPN连接请求源的远程计算机2之间,使VPN接口程序1042确立VPN(S123)。
在与远程计算机2之间确立VPN时,OS1041利用远程计算机2的网关功能,访问与远程计算机2侧的LAN4B相连的DHCP服务器7,从DHCP服务器7取得网络地址(本地地址)(S124)。由此,本地计算机1可以和连接在LAN4B上的网络设备6通信。
然后,OS1041启动通信控制程序1045,和第1实施方式的情况相同地,开始对通过VPN收发的通信数据包进行数据包过滤(S125)。另外,OS1041启动应用程序控制程序1046,和第1实施方式的情况相同地,开始应用程序控制服务(S126)。另外,OS1041启动通信日志程序1047,开始记录利用VPN的各个应用程序1048的通信履历(S127)。
然后,OS1041,当通过VPN从远程计算机2接收终端服务请求时(S128:YES),通过VPN向远程计算机2发送终端服务请求应答。然后,启动远程服务器程序1043,经由VPN,开始提供对远程计算机2的终端服务(S129)。
图8是用于说明远程计算机2的动作例的图。
首先,OS2051利用终端服务,通过NIC203向本地计算机1发送VPN连接请求(S211)。然后,OS2051,当通过NIC203从本地计算机1接收到VPN连接应答时(S222:YES),将其向VPN控制程序2054通知。接受该VPN连接应答,VPN控制程序2054,和上述的第1实施方式相同地,判断是否满足规定的条件(S223)。
在S223中不满足规定的条件的情况下(S223:NO),VPN控制程序2054进行规定的错误处理,如通过OS2051和NIC203,向VPN连接应答的发送源发送错误消息等(S229)。
另一方面,在S223中满足规定的条件的情况下(S223:YES),VPN控制程序2054启动VPN网关程序2052。VPN网关程序2052,在与作为VPN连接应答源的本地计算机1之间确立VPN(S224)。另外,VPN网关程序2052,将该确立的VPN与LAN4B相连,开始VPN网关服务(S225)。
具体而言,通过NIC203从LAN4B接收通信数据包,在该通信数据包是发往本远程计算机2的VPN数据包的情况下,取出该VPN数据包中存储的通信数据包,确认其发送目的地。若其发送目的地是本远程计算机2的地址,则将该存储的数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另一方面,若其发送目的地不是本远程计算机2的地址,则将其发送至网络4B。另外,在通过NIC203从LAN4B接收到的通信数据包是VPN数据包以外的、发往本远程计算机2的数据包的情况下,将该通信数据包向OS2051,或通过OS2051向远程客户机程序2053转移。另外,当通过NIC203从LAN4B接收到的通信数据包是发往由DHCP服务器7分配给本地计算机1的地址的数据包的情况下,将该通信数据包存储在VPN数据包中,发送至本地计算机1。由此,本地计算机1可以使用网络设备6。
在与本地计算机1之间确立VPN时,OS2051启动通信控制程序2055,和上述的第1实施方式的情况相同地,开始对通过VPN收发的通信数据包进行数据包过滤(S226)。
然后,OS2051启动远程客户机程序2053。远程客户机程序2053,通过VPN向本地计算机1发送终端服务请求(S227)。然后,若通过VPN从本地计算机1接收到终端服务请求应答,则开始利用由本地计算机通过VPN提供的终端服务(S228)。
图9是表示应用了第2实施方式的远程桌面***的概略动作例的图。
首先,远程计算机2向本地计算机1发送VPN连接请求(S61)。本地计算机1,当从远程计算机2接收VPN连接请求时,通过调查是否满足规定的条件,来判断可否连接(S71)。并且,若可以连接,则返回VPN连接应答(S72),在与远程计算机2之间确立VPN(S73)。
本地计算机1,若在与远程计算机2之间确立了VPN,则利用远程计算机2的VPN网关功能,访问DHCP服务器7,从DHCP服务器7取得在LAN4B中的地址(S74)。另外,开始数据包过滤服务和应用程序控制服务。另一方面,远程计算机2开始数据包过滤服务。
然后,远程计算机2通过VPN向本地计算机1发送终端服务请求(S62)。本地计算机1,当通过VPN从远程计算机2接收到终端服务请求时,返回终端服务应答(S75),开始提供利用了VPN的终端服务(S76)。
远程计算机2,当通过输入装置从用户接受打印指示时,利用VPN上的终端服务,将其操作内容(打印指示)发送至本地计算机1(S63)。本地计算机1,当从远程计算机2接收打印指示时,生成打印命令,利用远程计算机2的VPN网关功能,将其发送至打印机6A(S77)。打印机6A,根据经由远程计算机2从本地计算机1取得的打印命令,打印希望的文件(S81)。
另外,远程计算机2,当通过输入装置从用户接受下载指示时,利用VPN上的终端服务,将其操作内容(下载指示)发送至本地计算机1(S64)。本地计算机1,当从远程计算机2接收下载指示时,利用远程计算机2的VPN网关功能,访问文件服务器6B,从文件服务器6B下载希望的文件(S78)。
以上,对第2实施方式进行了说明。
在本实施方式中,在终端服务中利用了VPN。因此,除了上述的第1实施方式的效果以外,在本地计算机1和远程计算机2之间存在防火墙装置3A、3B的情况下,为使本地计算机1和远程计算机2可以通过VPN相连而仅对防火墙装置3A、3B进行设定,就可以实现本地计算机1和远程计算机2之间的终端服务。
(第3实施方式)
对使用了上述的第1和/或第2实施方式的远程桌面***的虚拟办公室***进行说明。
图10是表示应用了第3实施方式的虚拟办公室***的概略结构例的图。
如图所示,本实施方式的虚拟办公室***具有:多台本地计算机1A~1N;多台远程计算机2A~2N;打印机(打印机服务器)、扫描仪(扫描仪服务器)、文件服务器等网络设备6;DHCP服务器7。
本地计算机1A~1N,分别与作为不同的ASP(Application ServiceProvider)的中心1~中心N的LAN4A相连。LAN4B通过防火墙装置3B与WAN5相连。
远程计算机2A~2N,与网络设备6和DHCP服务器7一起,与构建在相同办公室中的LAN4B相连。LAN4B,通过防火墙装置3B与WAN5相连。
本地计算机1A~1N,分别向对应于本地计算机1A~1N的远程计算机2A~2N提供终端服务。即,接收并处理从对应的远程计算机2A~2N发送来的输入信息(输入装置的操作内容),同时将表示处理结果的图像信息(用于描绘显示装置的桌面画面的颜色信息、描绘命令信息、位图信息等)发送至远程计算机2A~2N。另外,本地计算机1A~1N具备VPN接口功能,通过VPN和对应于该本地计算机1A~1N的远程计算机2相连。另一方面,远程计算机2A~2N具备VPN网关功能,将在与对应于该远程计算机2A~2N的本地计算机1A~1N之间所构建的VPN,和LAN4B相连。
由此,本地计算机1A~1N,利用对应于该本地计算机1A~1N的远程计算机2A~2N的VPN网关功能,与办公室的网络4B相连。本地计算机1A~1N,也可以通过对应的远程计算机2A~2N相互连接。本地计算机1A~1N和远程计算机2A~2N,可以使用在上述的第1和/或第2实施方式的远程桌面***中所使用的本地计算机1和远程计算机2。
以上,对第3实施方式进行了说明。
根据本实施方式,远程计算机2A~2N与相同办公室的LAN4B相连,因此,本地计算机1A~1N可以利用与该LAN4B相连的网络设备6。从而,可以实现将本地计算机1A~1N配置在相同的办公室中,可以使用相同网络设备的环境,即,虚拟办公室环境。
此外,本发明实施方式不限于上述实施方式,在其主旨范围内,可以进行多种变更。
例如,在上述的各实施方式中,以本地计算机1向远程计算机2提供终端服务的远程桌面***为例进行了说明,但不限于此。也可以通过VPN,将具有VPN接口功能的第1计算机和具有VPN网关功能的第2计算机相连,第1计算机利用第2计算机的VPN网关功能,与第2计算机连接在同一网络中。
另外,在上述的各实施方式中,各程序可以从CD-ROM、DVD-ROM等移动存储介质安装到计算机(本地计算机1、远程计算机2)中。或者,也可以通过数字信号、载波、网络等通信介质,下载到计算机并安装。另外,也可以将上述各实施方式组合起来。
根据本说明书,即使不针对与网络设备的通信中所使用的每个协议进行防火墙装置的设定,信息处理装置也可以越过防火墙、利用网络设备。
Claims (19)
1.一种信息处理***,具有第1信息处理装置和第2信息处理装置,其特征在于,
所述第1信息处理装置,具有与VPN(Virtual Private Network)相连的VPN接口部,
所述第2信息处理装置,具有与所述VPN以及不同于所述VPN的网络相连的VPN网关部,
所述VPN网关部,当通过所述VPN或所述网络接收到的数据包的目的地是分配给所述第1信息处理装置的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述第1信息处理装置的所述网络的地址以外的地址时,将该数据包转发至所述网络。
2.根据权利要求1所述的信息处理***,其特征在于,
所述第2信息处理装置,是作为所述第1信息处理装置的输入输出装置而工作的操作终端。
3.根据权利要求1所述的信息处理***,其特征在于,
所述第2信息处理装置还具有:向所述第1信息处理装置发送所述VPN的连接请求的VPN连接请求发送部,
所述第1信息处理装置还具有:从所述第2信息处理装置接收所述VPN的连接请求的VPN连接请求接收部,
所述VPN接口部,在所述VPN连接请求接收部接收到所述VPN的连接请求时,通过所述VPN,与所述VPN网关部相连。
4.根据权利要求1所述的信息处理***,其特征在于,
所述VPN接口部,在满足规定条件的情况下,通过所述VPN,与所述VPN网关部相连。
5.根据权利要求4所述的信息处理***,其特征在于,
所述规定条件是:与所述VPN网关部的连接时刻属于规定的时间段。
6.根据权利要求4所述的信息处理***,其特征在于,
所述规定条件是:所述第2信息处理装置属于规定的网络。
7.根据权利要求4所述的信息处理***,其特征在于,
所述规定条件是:所述第2信息处理装置的用户是规定的用户。
8.根据权利要求1所述的信息处理***,其特征在于,
所述第1信息处理装置还具有:对所述VPN接口部和所述VPN网关部收发的通信数据包进行控制的通信控制部。
9.根据权利要求1所述的信息处理***,其特征在于,
所述第1信息处理装置还具有:对通过所述VPN接口收发通信数据的应用程序进行控制的应用程序控制部。
10.根据权利要求1所述的信息处理***,其特征在于,
所述第1信息处理装置,利用所述VPN接口部,与连接在所述网络上的网络设备进行通信。
11.根据权利要求10所述的信息处理***,其特征在于,
所述网络设备是文件服务器。
12.根据权利要求10所述的信息处理***,其特征在于,
所述网络设备是打印机。
13.根据权利要求10所述的信息处理***,其特征在于,
所述第1信息处理装置还具有:记录应用程序和所述网络设备间的通信履历的记录部。
14.一种虚拟办公室***,其特征在于,
具有多个权利要求1至13中任意一项中所记载的信息处理***,所述各信息处理***的所述第2信息处理装置,通过本装置的所述VPN网关单元,连接到同一网络。
15.一种信息处理装置,是权利要求1至13中任意一项中所记载的第1信息处理装置。
16.一种信息处理装置,是权利要求1至13中任意一项中所记载的第2信息处理装置。
17.一种通过计算机执行的程序,其特征在于,
所述程序,使所述计算机作为与VPN(Virtual Private Network)以及不同于所述VPN的其它网络相连的VPN网关部而工作,
所述VPN网关部,在通过所述VPN或所述网络而接收到的数据包的目的地是分配给规定网络设备的所述网络的地址时,将该数据包转发至所述VPN,当所述目的地是分配给所述规定网络设备的所述网络的地址以外的地址时,将该数据包转发至所述网络。
18.一种通过计算机执行的程序,其特征在于,
所述程序,使所述计算机作为接收VPN(Virtual Private Network)的连接请求的VPN连接请求接收部、以及与所述VPN相连的VPN接口部而工作,
所述VPN接口部,在所述VPN连接请求接收部接收到所述VPN的连接请求时,通过所述VPN,与所述VPN的连接请求源相连。
19.一种通信方法,用于第1信息处理装置与在第2信息处理装置上网络连接的网络设备进行通信,其特征在于,
所述第1信息处理装置,通过VPN(Virtual Private Network)与所述第2信息处理装置相连,
所述第2信息处理装置,在通过所述VPN或所述网络接收到的数据包的目的地是分配给所述第1信息处理装置的所述网络的地址时,将所述数据包转发至所述VPN,在所述目的地是分配给所述第1信息处理装置的所述网络的地址以外的地址时,将该数据包转发至所述网络。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006-047316 | 2006-02-23 | ||
| JP2006047316 | 2006-02-23 | ||
| JP2006047316A JP4791850B2 (ja) | 2006-02-23 | 2006-02-23 | 情報処理システムおよび仮想オフィスシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101026531A true CN101026531A (zh) | 2007-08-29 |
| CN101026531B CN101026531B (zh) | 2010-12-08 |
Family
ID=38429908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101687717A Expired - Fee Related CN101026531B (zh) | 2006-02-23 | 2006-12-18 | 信息处理*** |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070199065A1 (zh) |
| JP (1) | JP4791850B2 (zh) |
| CN (1) | CN101026531B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264B (zh) * | 2009-07-24 | 2011-12-07 | 深圳市永达电子股份有限公司 | 一种防火墙***、安全服务平台及防火墙***的管理方法 |
| CN103955348A (zh) * | 2014-05-06 | 2014-07-30 | 丁四涛 | 一种网络打印***和打印方法 |
| CN106878419A (zh) * | 2017-02-17 | 2017-06-20 | 福建升腾资讯有限公司 | 一种基于虚拟通道的桌面云高效打印方法及*** |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101017912B1 (ko) * | 2008-07-23 | 2011-03-04 | 삼성전자주식회사 | 휴대 단말기 원격 제어 방법 및 시스템 |
| WO2010057120A2 (en) * | 2008-11-17 | 2010-05-20 | Qualcomm Incorporated | Remote access to local network |
| JP5686049B2 (ja) * | 2011-06-09 | 2015-03-18 | サクサ株式会社 | 電話システム |
| JP7467865B2 (ja) * | 2019-10-01 | 2024-04-16 | 株式会社リコー | 情報処理システムおよび情報処理方法 |
| JP2022190574A (ja) * | 2021-06-14 | 2022-12-26 | ブラザー工業株式会社 | 端末装置のためのコンピュータプログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6958994B2 (en) * | 1998-09-24 | 2005-10-25 | Genesys Telecommunications Laboratories, Inc. | Call transfer using session initiation protocol (SIP) |
| JP2003502757A (ja) * | 1999-06-10 | 2003-01-21 | アルカテル・インターネツトワーキング・インコーポレイテツド | ポリシーベースのネットワークアーキテクチャ |
| CN1629846A (zh) * | 2003-12-15 | 2005-06-22 | 渤海船舶重工有限责任公司 | 民用船舶远程协同设计技术 |
| JP4429059B2 (ja) * | 2004-03-30 | 2010-03-10 | ニフティ株式会社 | 通信制御方法及びプログラム、並びに通信制御システム及び通信制御関連装置 |
| JP2005341084A (ja) * | 2004-05-26 | 2005-12-08 | Nec Corp | Vpnシステム、リモート端末及びそれらに用いるリモートアクセス通信方法 |
| US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
| KR20070037650A (ko) * | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 종단에서 게이트웨이로 패킷을 라우팅하기 위한 방법 및시스템 |
| AU2005266943C1 (en) * | 2004-07-23 | 2011-01-06 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
| JP4366270B2 (ja) * | 2004-07-30 | 2009-11-18 | キヤノン株式会社 | ネットワーク接続設定装置及びネットワーク接続設定方法 |
| JP4157079B2 (ja) * | 2004-08-04 | 2008-09-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理システム、通信方法、プログラム、記録媒体、及びアクセス中継サービスシステム |
| US7428754B2 (en) * | 2004-08-17 | 2008-09-23 | The Mitre Corporation | System for secure computing using defense-in-depth architecture |
-
2006
- 2006-02-23 JP JP2006047316A patent/JP4791850B2/ja not_active Expired - Fee Related
- 2006-12-18 CN CN2006101687717A patent/CN101026531B/zh not_active Expired - Fee Related
-
2007
- 2007-01-11 US US11/622,036 patent/US20070199065A1/en not_active Abandoned
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264B (zh) * | 2009-07-24 | 2011-12-07 | 深圳市永达电子股份有限公司 | 一种防火墙***、安全服务平台及防火墙***的管理方法 |
| CN103955348A (zh) * | 2014-05-06 | 2014-07-30 | 丁四涛 | 一种网络打印***和打印方法 |
| CN103955348B (zh) * | 2014-05-06 | 2018-12-18 | 南京四八三二信息科技有限公司 | 一种网络打印***和打印方法 |
| CN106878419A (zh) * | 2017-02-17 | 2017-06-20 | 福建升腾资讯有限公司 | 一种基于虚拟通道的桌面云高效打印方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4791850B2 (ja) | 2011-10-12 |
| US20070199065A1 (en) | 2007-08-23 |
| JP2007228294A (ja) | 2007-09-06 |
| CN101026531B (zh) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101026531B (zh) | 信息处理*** | |
| CN101009576B (zh) | 用于分布式即时消息传送的方法和*** | |
| CN1578952B (zh) | 好友列表的被动个性化 | |
| JP4621405B2 (ja) | 仮想ネットワークの仮想アドレスを管理する方法とシステム | |
| EP2351315B1 (en) | A virtualization platform | |
| CN101150484B (zh) | 利用计算机背景远程播放幻灯照片的方法及其*** | |
| US20020123328A1 (en) | Method and system for pushing e-mails to a mobile device | |
| US20030105812A1 (en) | Hybrid system architecture for secure peer-to-peer-communications | |
| EP1753168B1 (en) | System and method for communicating with console ports | |
| JP4107964B2 (ja) | リモート印刷 | |
| KR20040071203A (ko) | 프록시를 이용하여 데이터를 다운로딩하기 위한 시스템 및방법 | |
| WO2002060200A1 (en) | Method and system for wireless information exchange and management | |
| US8259324B2 (en) | Printer/storage integrate system, controller, control method, and control program for automatic installation of control software | |
| JP5678766B2 (ja) | 情報処理装置、遠隔操作通信装置及び情報処理装置制御方法 | |
| TWI222815B (en) | LAN device, communication control method and recording media | |
| JP2007028572A (ja) | 無線構内通信網(wlan)付加価値サービスシステム及び無線構内通信網(wlan)を介して付加価値サービスを提供する方法 | |
| KR20030088253A (ko) | 피투피 기반의 원격지 컴퓨터 관리를 위한 연결요청중계시스템 및 그 방법 | |
| WO2005015879A1 (en) | Handheld network connection created with storage media in a pocket format | |
| CN1829203B (zh) | 用于调节可扩展性点对消息的访问的***和方法 | |
| EP1347604A1 (en) | Method and system for transmitting e-mails to a mobile communication device | |
| KR20050122519A (ko) | 개인이 소정의 통신망을 통해 자신의 디지털 콘텐츠를접근하여 이용, 관리하는 방법 및 그 시스템 | |
| JP2003122671A (ja) | メール転送システム及びサーバーシステム及びメール転送プログラム | |
| AU7600996A (en) | Value added network with multiple access methodology | |
| JP2005292920A (ja) | 電子メール転送制御システム | |
| KR20030046030A (ko) | 메시지전송을 위한 사용자 단말기간 링크서비스방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20131218 |