JP4005090B2 - 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム - Google Patents

通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム Download PDF

Info

Publication number
JP4005090B2
JP4005090B2 JP2005075166A JP2005075166A JP4005090B2 JP 4005090 B2 JP4005090 B2 JP 4005090B2 JP 2005075166 A JP2005075166 A JP 2005075166A JP 2005075166 A JP2005075166 A JP 2005075166A JP 4005090 B2 JP4005090 B2 JP 4005090B2
Authority
JP
Japan
Prior art keywords
communication profile
terminal device
terminal
identification information
terminal identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005075166A
Other languages
English (en)
Other versions
JP2006261937A (ja
Inventor
久 遠藤
浩 町田
純 田中
直也 新垣
英司 喜多
良光 北沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
NTT Communications Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp, Nippon Telegraph and Telephone East Corp filed Critical NTT Communications Corp
Priority to JP2005075166A priority Critical patent/JP4005090B2/ja
Publication of JP2006261937A publication Critical patent/JP2006261937A/ja
Application granted granted Critical
Publication of JP4005090B2 publication Critical patent/JP4005090B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、例えば、パーソナルファイアーウォールソフトウェアやIPSecソフトウェアを利用する際に用いて好適な、通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラムに関する。
クライアントサーバシステムにおいて、クライアントPC(Personal Computer)に設定される通信設定情報(以下、通信プロファイルという)は、ユーザがクライアントPC毎に設定項目を手入力するか、もしくは、管理サーバによって電子ファイル化された通信プロファイルを、電子媒体などを利用して設定するクライアントPCに持込み、手作業でそのファイル化された通信プロファイルを展開することで、その通信設定に従う通信を可能にしている。
例えば、IPsec(Security Architecture for Internet Protocol)ソフトウェアの通信プロファイルの設定管理方法については、非特許文献1に、パーソナルファイアウォールの通信プロファイルの設定管理方法については、非特許文献2に開示されている。
「IPsec」、2005年3月5日閲覧<インターネットURL>http://www.atmarkit.co.jp/fsecurity/hybooks/win_server_sec3/wss01-01.html 「パーソナルfirewall」、2005年3月5日閲覧<インターネットURL>http://pcweb.mycom.co.jp/special/2002/ipsec/007.html
上記した従来における通信プロファイルの設定管理方法によれば、手入力する通信プロファイルの内容もしくは電子ファイル化された通信プロファイルは、他のクライアントPCに設定され、もしくは展開されることも考えられる。従って、システム管理者によって許可されていないクライアントPCであっても、ネットワークもしくはホストにアクセスが可能になり、この場合、情報漏洩、不正利用等、セキュリティ上の問題が生じる。
また、設定されたクライアントPCの通信プロファイルを変更する際にも、上記の作業を行わない限りシステム管理者の意思通りに設定変更されず、即応性に欠ける問題があった。
本発明は上記事情に基づいてなされたものであり、システム管理者が、パーソナルファイアウォールソフトウェアやIPsecソフトウェア等を利用するために必要な通信プロファイルを事前に管理装置に対して登録し、管理装置が、端末装置から、当該端末装置が電源を投入した時点で送られる端末識別情報に基づき端末認証を行い、その結果に応じた通信プロファイルを配付しその設定を促すことで、セキュリティ上の問題を回避し、かつ、動的な通信プロファイルの更新を実現した、通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラムを提供することを目的とする。
上記した課題を解決するために本発明は、端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成る、通信プロファイル自動配布設定システムであって、前記管理装置は、前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して保管する記憶手段と、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを、送信して配布するダイナミック通信プロファイル送信手段とを有し、前記端末装置は、前記管理装置と通信を行い、前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うことを特徴とする。
また、本発明において、前記管理装置は、前記端末装置との間で一定間隔にて通信を行い、前記端末装置の前記サーバへのアクセス許可内容が変化している場合には、更新された前記ダイナミック通信プロファイルを暗号化して配布することを特徴とする。
また、本発明は、端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置であって、前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する記憶手段と、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信するダイナミック通信プロファイル送信手段と、を備えたことを特徴とする。
また、本発明は、端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成るコンピュータネットワークシステムにおける通信プロファイルの自動配布設定方法であって、前記管理装置が、前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して記憶手段に保管する過程と、デフォルト通信プロファイル送信手段により、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する過程と、ダイナミック通信プロファイル送信手段により、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを送信して配布する過程とを有し、前記端末装置が、前記管理装置と通信を行い前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うステップとを有することを特徴とする。
また、本発明は、端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置に用いられるプログラムであって、前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する処理と、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する処理と、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信する処理と、をコンピュータに実行させることを特徴とする。
本発明によれば、管理装置が、端末装置を判別してその端末装置に適した通信プロファイルを配付し、端末装置がその通信プロファイルを設定することで所望の相手と通信を行うことができる。このとき管理装置によって配付される通信プロファイルは暗号化され、該当の端末装置のみでしか復号化されないため、第3者は利用、閲覧、改変のいずれも不可能である。また、管理装置によって配布され端末装置によって設定される通信プロファイルは、端末装置が内蔵する揮発性メモリに展開され、電源断によりその通信プロファイルは消滅するため、セキュリティ対策が万全なものとなる。
また、本発明によれば、ユーザまたはシステム管理者は、手作業で通信プロファイルの設定を行う必要が無くなるため、煩雑な設定作業から開放され負担が軽減される。更に、システム管理者の判断により、端末装置に設定された通信プロファイルの内容も即時に変更が可能であり、柔軟性の高いシステム構築が可能となる。
図1は、本発明実施形態にかかわる通信プロファイル自動配布設定システムのシステム構成例を示す図である。
本発明実施形態にかかわる通信プロファイル自動配布設定システムは、端末装置1と、社内サーバセグメント2と、ポリシー管理サーバ3(PSPM)と、IPsec終端装置4と、ハブ5で構成される。
端末装置1は、PSPM3との間で通信を行い、PSPM3から配布された揮発性の通信プロファイルに従い社内サーバセグメント2との間で通信を行う。ここで、「揮発性の通信プロファイル」とは、揮発性のメモリ上のみに展開されるファイルのことをいう。また、揮発性のメモリ上のみへの展開は端末装置にインストールされる専用のプログラムにより行われる。
端末装置1上には通信制御エージェント(以下、PSクライアントという)がインストールされ、このPSクライアントは、IPsecによるVPN(Virtual Private Network)、およびパーソナルファイアウォールのルールを動的に切り替えることにより、端末装置1のアクセス制御を行うエージェントソフトウェアである。詳細は後述する。
一方、PSPM3は、請求項に示す管理装置として機能し、ここでは、システム管理者により事前に登録された通信プロファイルを管理し、端末装置1からの接続要求を受信して端末識別を行い、端末装置1に対しその識別結果に応じた揮発性の通信プロファイルを暗号化して配布する。
なお、ここで、通信プロファイルとは、PSクライアントが通信制御に用いる、IPsecによるVPNの通信プロファイル、およびパーソナルファイアウォールのフィルタリングルールをいう。
通信プロファイルは、PSPM3上で管理され、端末装置1上で動作するPSクライアントからの要求に基づき、端末装置1へ暗号化された形式で配布される。
また、この通信プロファイルは、デフォルト通信プロファイルとダイナミック通信プロファイルの2種類存在し、前者は、端末装置1の初期起動状態で通信が許可されたネットワークへの宛先情報が記述され、後者は、端末識別後に通信可能なネットワークへの宛先情報が記述されている。PSPM3は、端末装置1から初期起動状態における接続要求を受信してデフォルト通信プロファイルを配信し、通常使用状態における接続要求を受信してダイナミック通信プロファイルを配信する。
なお、IPsec終端装置4は、上記した通信プロファイルに基づき、端末装置1からのIPsec通信を終端するゲートウェイであり、また、第三者からのアクセスにより防御したいネットワークの入り口に設置する。PSPM3により許可を受けた端末装置1のみアクセスが可能である。
上記した本発明実施形態の構成において、端末装置1上で動作するPSクライアントは、その端末装置1の起動時、もしくはネットワークに接続された時点でダイナミック通信プロファイルを用いPSPM3に対して認証要求を行い、PSPM3の認証結果に適したIPsecおよびパーソナルファイアウォールのダイナミック通信プロファイルをPSPM3から取得する。そして、端末装置1に内蔵された揮発性メモリに展開して、社内サーバセグメント2に対するアクセス制御を行う。
ダイナミック通信プロファイルを展開した以降は、PSPM3によって定期的に発行されるポーリングに対する応答により、自身の接続状態をPSPSM3に通知する。なお、ダイナミック通信プロファイルの展開は、PSPM3との認証結果に対するダイナミック通信プロファイル以外にも、通信プロファイルの変更があれば、システム管理者がPSPM3にダイナミック通信プロファイルの変更登録処理を実施した時点で即座に端末装置1に変更されたダイナミック通信プロファイルを展開させることができる。詳細は後述する。
図2は、本発明実施形態にかかわる管理装置の内部構成のうち、本発明と関係する部分を機能展開して示したブロック図である。
本発明実施形態にかかわる管理装置(PSPM3)は、端末識別情報受信部31と、デフォルト通信プロファイル要求受信部32と、デフォルト通信プロファイル送信部33と、ダイナミック通信プロファイル要求受信部34と、ダイナミック通信プロファイル送信部35と、デフォルト通信プロファイル36と、ダイナミック通信プロファイル37で構成される。なお、デフォルト通信プロファイル36と、ダイナミック通信プロファイル37は、DB(Data Base)形式で記憶装置(図示せず)に格納される。
端末識別情報受信部31は、端末装置1から端末識別情報(以下、端末識別IDという)を取得し、システム管理者により定義されるデフォルト通信プロファイル、およびダイナミック通信プロファイルを、それぞれ受信した端末識別IDで暗号化してデフォルト通信プロファイル36、ダイナミック通信プロファイル37に保管する機能を持つ。
また、デフォルト通信プロファイル要求受信部32は、端末装置1の初期起動状態においてデフォルト通信プロファイルの取得要求を受信する機能を持ち、デフォルト通信プロファイル送信部33は、端末識別情報で暗号化したデフォルト通信プロファイルを送信する機能を持つ。更に、ダイナミック通信プロファイル要求受信部34は、デフォルト通信プロファイルの設定確認を行った端末装置1から端末識別IDを端末識別IDで暗号化した値をパラメータとして持つ認証要求を受信する機能を持ち、ダイナミック通信プロファイル更新部35は、そのパラメータを端末識別IDで復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信する機能を持つ。
図3〜図5は、本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作を説明するために引用したフローチャートであり、事前準備動作(図3)、デフォルト通信プロファイル取得に至る動作(図4)、ダイナミック通信プロファイル取得に至る動作(図5)、のそれぞれの流れを示す。
以下、図3〜図5を参照しながら、図1、図2に示す本発明実施形態の動作について詳細に説明する。
本発明における通信プロファイル自動配布設定システムを利用する際の事前準備における動作は、図3のフローチャートに示されるように、まず、端末装置1が自身の端末識別IDを取得することにより開始される(S31)。そして、その端末識別IDをメール等によりPSPM3に送信する。
なお、端末識別IDは、あらかじめ端末装置1にインストール済みの端末識別ID生成ツール(図示せず)により生成される。ここで、端末識別ID生成ツールとは、PSPM3が端末装置1の端末認証を行う際に用いる、端末個々にユニークな端末識別IDを生成するソフトウェアである。端末識別ID生成ツールは、ユーザが手動で起動可能な実行形式のファイルで提供される。
また、端末識別IDとして、端末装置1に内蔵されるハードディスクの装置番号やそのハッシュ値を利用してもよい。この番号を利用するのは、端末装置1内で交換される可能性の低い装置の1つだからである。
一方、PSPM3は、デフォルト通信プロファイル(ここでは認証VPN情報)を、先に端末識別情報受信部32を介して受信した端末識別IDで暗号化し、Web(World Wide Web)サーバ上に保存しておくものとする(S32)。この際に、端末識別IDから得られるハッシュ値、端末識別ID、通信プロファイルが関連付けられてデータベースに記憶される。なお、上記したPSクライアントも端末装置1にインストールされ、再起動することによって上記の準備作業が終了する(S34、S35)。
上記のように、暗号化されたデフォルト通信プロファイルは、PSPM3内にあるWeb機能にリンクされ、利用する端末装置1からのブラウザ接続によりデフォルト通信プロファイルのダウンロード配信が可能である。その際、設定により通常のHTTP(Hyper Text Transfer Protocol)通信で配布することもできるが、HTTPS(Hyper Text Transfer Protocol Security)通信での配布も可能である。
次に、図4を参照しながら、デフォルトVPN情報取得に至る本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作の流れについて説明する。ここでは、端末装置1においてPSPM3に対するアクセスは、デフォルト通信プロファイルを用いることで可能になる。
デフォルト通信プロファイルは、端末装置1にPSエージェントをインストールした後、PSPM3にブラウザを用いWebアクセスすることで入手できる。具体的に、端末装置1から発行されるデフォルトVPN情報要求は、この端末装置1の端末識別IDのハッシュ値とともに(S41)、PSPM3のデファルト通信プロファイル要求受信部31で受信され、デフォルト通信プロファイル送信部32がこれに応答して、端末識別IDのハッシュ値として、デフォルト通信プロファイル36を参照し、相当するデフォルトVPN情報を送信する。ここでは、先に受信した端末識別IDで暗号化したデフォルトVPN情報を送信する。
一方、端末装置1は、受信したデフォルトVPN情報をPSクライアントに初期設定を行うことで通常時の通信が可能になる。なお、デフォルトVPN情報が複数存在する場合は通信先に応じた情報を選択することとする。
PSPM3から配布されるデフォルト通信プロファルおよび後述するダイナミックプロファイルは、端末識別IDにより暗号化されており、端末装置は、内蔵の揮発性メモリに展開する際に端末識別IDを取得し、復号化された場合のみデフォルト通信定義情報あるいはダイナミック通信プロファイルを展開する。
このため、端末装置1にインストールされるPSクライアントを含むプログラムには、(1)デフォルト通信プロファイルおよびダイナミック通信プロファイルに基づきIPsec、パーソナルファイアウォールを実行するための機能、(2)端末識別IDを生成するための機能、(3)PSPM3と認証およびポーリンによる通信を行う機能、(4)PSPM3からのダイナミック通信プロファイルを内蔵する揮発性メモリに展開する機能、(5)暗号化されたデフォルト通信プロファィルおよびダイナミック通信プロファイルを端末識別IDに基づき復号化する機能、(6)複数のデフォルト通信プロファイルが存在する場合、その通信手段に応じて1つのデフォルト通信プロファイルを選択する機能、(7)ネットワークの接続状態を監視する機能、(8)これら各機能のログ収集機能が必要とされる。
次に、図5に示すフローチャートを参照しながら、端末認証からダイナミック通信プロファイル取得に至る、本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作について説明する。
端末装置1は、まず電源投入と共にPSクライアントを起動する(S51、S52)。そして、ネットワークの接続確認を行い(S53)、更に、先に取得済みのデフォルト通信プロファイルの設定確認を行う(S54)。未だ設定がなされていなかった場合には初期設定指示を行い(S55)、初期設定を促す。
デフォルト通信プロファイル設定確認後、端末装置1は、暗号化されたデフォルト通信プロファイルを自身の端末識別IDで復号化し、当該復号化されたデフォルト通信プロファイルを内蔵の揮発性メモリに展開する。そして、PSPM3に対し、端末識別IDのハッシュ値、端末識別IDを端末識別IDで暗号化した値をパラメータとして添付した認証要求(ダイナミック通信プロファイル要求)を発行する(S56)。なお、上記したいずれかの処理が失敗した場合は、否認用のデフォルト通信プロファイルを設定する(S57)。
認証要求をダイナミック通信プロファイル要求受信部34で受信したPSPM3は、ダイナミック通信プロファイル送信部35において認証処理を実行し(S61)、具体的に、端末識別IDのハッシュ値を検索し、それに関連付けられたおよび端末識別IDを抽出し、端末識別IDを端末識別IDで暗号化した値を抽出した端末識別IDを用いて復号化し、その結果が抽出された端末識別IDと合致したときに、相当のDyn(ダイナミック)通信プロファイルを抽出して送信する(S62)。ここで、認証が成立しなかった場合は、否認用のDyn(ダイナミック)通信プロファイルを送信する(S63)。
ダイナミック通信プロファイル、もしくは否認用のDyn(ダイナミック)通信プロファイルを受信した端末装置1は、それらを端末識別IDで復号化して揮発性のメモリに展開して設定を行う(S58)。そして、正常終了したことを図示せぬ表示装置に表示する(S59)。
ここで上記した認証処理について補足説明を行う。PSPM3は、端末装置1から、端末識別IDをハッシュした値と、端末識別IDを端末識別IDで暗号化した値を受領し、当該受信した端末識別IDをハッシュした値で、PSエージェントが持つエージェント情報データベース(図示せず)を検索して該当の端末識別IDを抽出する。そして、抽出された端末識別IDで送られた「端末識別IDを端末識別IDで暗号化した値」を復号化し、その結果が抽出された端末識別IDと合致すれば認証が成立したことになる。上記で、結果が抽出された端末識別IDと不一致であれば認証が不成立になる。
認証が成立すれば、上記したエージェント情報より該当の暗号化されたダイナミック通信定義情報をダイナミック通信プロファイルに含めて端末装置1に対して送信する。この時、PSPM3は、その該当のダイナミック通信プロファイルに、利用時間帯、特定の曜日および期限の指定等、スケジュール情報が付加されていれば、スケジュールチェックを行い、その結果が不一致であれば利用期限外用のダイナミック通信定義情報をダイナミック通信プロファイルとして端末装置1に対して送信することも可能である。また、認証が不成立の場合は、エージェント情報から該当のダイナミック通信プロファイルを要求のあった端末装置1に対して送信する。この時に送信するダイナミック通信プロファイルは、平文のまま送信される。
一方、ダイナミック通信プロファイルの設定変更は以下のようにして実施される。端末装置1とPSPM3は一定間隔で常時ポーリングによる通信を行っていることは上記したとおりである。
PSPM3はこのポーリングにより、端末装置1のネットワークの接続状態を知ることができ、それに伴い、動的な通信プロファイルの設定変更を行うことができる。ポーリングによりダイナミック通信プロファイルの設定変更が必要になったことを検出したPSPM3は、相当のダイナミック通信プロファイルを選択して暗号化処理を施し、上記同様、端末装置1へ送信して復号化および設定を促す。
なお、現行のダイナミック通信プロファイルを変更する場合はシステム管理者が情報設定画面で設定を変更する必要がある。その際、ポーリングを受信している端末装置1に対し、即座に変更されたダイナミック通信プロファイルを送付することができる。
以上説明のように本発明によれば、ユーザもしくは第3者が通信プロファイルを知り得ることが無く、このため、情報漏洩、不正利用は無くなり、セキュリティ対応が可能になる。また、ユーザまたはシステム管理者は、手作業で通信プロファイルの設定を行う必要が無くなるため、煩雑な設定作業から開放され負担が軽減される。また、端末装置のそれそれが環境に適した通信設定が可能であり、通信プロファイルはシステム管理者が承認した端末装置にのみ配付することができるため、承認されていない端末装置からの不正アクセスやウィルス感染を防止できる。
更に、通信プロファイルの設定は、システム管理者が承認した端末装置の認証だけでなく、利用するユーザのIDやパスワードのような知的認証や、ICカード、USB(Universal Serial Bus)トークンなどのデバイス認証を組合せることにより、本人性の認証も行うことが可能である。
更に、システム管理者がネットワーク環境に即応した各端末装置もしくは個人毎の通信プロファイルの変更も即座に行うことができる。また、配布を行う通信プロファイルは、利用できる時間帯や特定の曜日、期間などの内容も設定することが可能であるため、きめ細やかなネットワーク運用管理が可能である。このことにより、端末装置が接続可能なサーバやホストのアクセス制限を一元管理することが可能となり、運用のための作業軽減が実現できる。
本システムの応用として、社内システムにて、ネットワークにウィルスが蔓延しており緊急にアクセス制限をかけたい場合などに、通信制御サーバより現在適用している通信制御エージェントのダイナミック通信定義情報を強制的に変更することも可能である。
なお、図2に示す端末識別情報受信部31、デフォルト通信プロファイル要求受信部32、デフォルト通信プロファイル送信部33、ダイナミック通信プロファイル要求受信部34、ダイナミック通信プロファイル送信部35、デフォルト通信プロファイル36、ダイナミック通信プロファイル37のそれぞれで実行される手順をコンピュータ読取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明の管理装置が実現されるものとする。ここでいうコンピュータシステムとは、OS(Operating System)や周辺機器等のハードウェアを含むものである。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明実施形態にかかわる通信プロファイル自動配布設定システムのシステム構成例を示す図である。 本発明実施形態にかかわる管理装置の内部構成のうち、本発明と関係する部分を機能展開して示したブロック図である。 本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作を説明するために引用したフローチャートである。 本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作を説明するために引用したフローチャートである。 本発明実施形態にかかわる通信プロファイル自動配布設定システムの動作を説明するために引用したフローチャートである。
符号の説明
1…端末装置、2…社内サーバセグメント、3…ポリシー管理サーバPSPM(管理装置)、4…IPsec終端装置、5…ハブ、31…端末識別情報受信部、32…デフォルト通信プロファイル要求受信部、33…デフォルト通信プロファイル送信部、34…ダイナミック通信プロファイル要求受信部、35…ダイナミック通信プロファイル送信部、36…デフォルト通信プロファイル、37…ダイナミック通信プロファイル

Claims (5)

  1. 端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成る、通信プロファイル自動配布設定システムであって、
    前記管理装置は、
    前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して保管する記憶手段と、
    前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、
    前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを、送信して配布するダイナミック通信プロファイル送信手段と
    を有し、
    前記端末装置は、前記管理装置と通信を行い、前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うことを特徴とする通信プロファイル自動配布設定システム。
  2. 前記管理装置は、
    前記端末装置との間で一定間隔にて通信を行い、前記端末装置の前記サーバへのアクセス許可内容が変化している場合には、更新された前記ダイナミック通信プロファイルを暗号化して配布することを特徴とする請求項1に記載の通信プロファイル自動配布設定システム。
  3. 端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置であって、
    前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する記憶手段と、
    前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、
    前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信するダイナミック通信プロファイル送信手段と、
    を備えたことを特徴とする管理装置。
  4. 端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成るコンピュータネットワークシステムにおける通信プロファイルの自動配布設定方法であって、
    前記管理装置が、
    前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して記憶手段に保管する過程と、
    デフォルト通信プロファイル送信手段により、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する過程と、
    ダイナミック通信プロファイル送信手段により、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを送信して配布する過程と
    を有し、
    前記端末装置が、前記管理装置と通信を行い前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うステップと、
    を有することを特徴とする通信プロファイルの自動配布設定方法。
  5. 端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置に用いられるプログラムであって、
    前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する処理と、
    前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する処理と、
    前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信する処理と、
    をコンピュータに実行させるプログラム。
JP2005075166A 2005-03-16 2005-03-16 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム Active JP4005090B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005075166A JP4005090B2 (ja) 2005-03-16 2005-03-16 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005075166A JP4005090B2 (ja) 2005-03-16 2005-03-16 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム

Publications (2)

Publication Number Publication Date
JP2006261937A JP2006261937A (ja) 2006-09-28
JP4005090B2 true JP4005090B2 (ja) 2007-11-07

Family

ID=37100700

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005075166A Active JP4005090B2 (ja) 2005-03-16 2005-03-16 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム

Country Status (1)

Country Link
JP (1) JP4005090B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4796977B2 (ja) * 2007-01-31 2011-10-19 株式会社日本デジタル研究所 リモートアクセス方法、ネットワーク接続設定方法およびリモートアクセスシステム
JP5032246B2 (ja) * 2007-08-31 2012-09-26 株式会社東芝 システムおよび制御方法
CN105765901B (zh) 2013-12-20 2019-11-08 迈克菲有限责任公司 智能防火墙访问规则
KR101540672B1 (ko) * 2014-01-13 2015-07-31 주식회사 엔피코어 이동 단말기의 해킹 방지 시스템 및 그 방법

Also Published As

Publication number Publication date
JP2006261937A (ja) 2006-09-28

Similar Documents

Publication Publication Date Title
US7865718B2 (en) Computer-readable recording medium recording remote control program, portable terminal device and gateway device
KR100890287B1 (ko) 외부 인증 장치와 통신 가능한 정보 처리 장치
JP5797060B2 (ja) アクセス管理方法およびアクセス管理装置
JP2004288169A (ja) ネットワーク接続システム
JP2009140030A (ja) サーバ装置、クライアント装置、プリンタ、プリントシステムおよびプログラム
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
EP3472719B1 (en) Method and apparatus of implementing a vpn tunnel
JP4916020B2 (ja) リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法
JP4005090B2 (ja) 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム
JP2016091279A (ja) アカウント管理プログラム、画像形成装置、および画像形成システム
WO2013042412A1 (ja) 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体
US9231932B2 (en) Managing remote telephony device configuration
JP2004151942A (ja) ウェブサービス提供装置、ウェブサービス提供方法およびウェブサービス提供プログラム
JP2001005746A (ja) ファイル転送システム
JP2008028899A (ja) 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法
JP5535104B2 (ja) 情報処理システム、管理サーバ、端末装置、情報処理方法、及びプログラム
JP2006229747A (ja) データ提供サーバ、データ提供プログラム、データ提供方法
JP2008234256A (ja) 情報処理システム及びコンピュータプログラム
US8504665B1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
JP5912159B2 (ja) アクセス管理方法およびアクセス管理装置
JP2018163589A (ja) 通信システム、サーバ装置、及びゲートウェイサーバ
JP7045040B2 (ja) 通信端末
JP6162611B2 (ja) 通信制御サーバ、通信制御方法、及びプログラム
KR101269095B1 (ko) 휴대 단말기를 이용한 이동식 저장 장치 및 그 구현 방법
KR101591053B1 (ko) 푸시 서비스를 이용한 원격제어 방법 및 그 시스템

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061212

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20070131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070213

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070307

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070814

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070822

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4005090

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100831

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110831

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110831

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120831

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120831

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130831

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140831

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250