JP4005090B2 - 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム - Google Patents
通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム Download PDFInfo
- Publication number
- JP4005090B2 JP4005090B2 JP2005075166A JP2005075166A JP4005090B2 JP 4005090 B2 JP4005090 B2 JP 4005090B2 JP 2005075166 A JP2005075166 A JP 2005075166A JP 2005075166 A JP2005075166 A JP 2005075166A JP 4005090 B2 JP4005090 B2 JP 4005090B2
- Authority
- JP
- Japan
- Prior art keywords
- communication profile
- terminal device
- terminal
- identification information
- terminal identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
「IPsec」、2005年3月5日閲覧<インターネットURL>http://www.atmarkit.co.jp/fsecurity/hybooks/win_server_sec3/wss01-01.html 「パーソナルfirewall」、2005年3月5日閲覧<インターネットURL>http://pcweb.mycom.co.jp/special/2002/ipsec/007.html
また、設定されたクライアントPCの通信プロファイルを変更する際にも、上記の作業を行わない限りシステム管理者の意思通りに設定変更されず、即応性に欠ける問題があった。
また、本発明によれば、ユーザまたはシステム管理者は、手作業で通信プロファイルの設定を行う必要が無くなるため、煩雑な設定作業から開放され負担が軽減される。更に、システム管理者の判断により、端末装置に設定された通信プロファイルの内容も即時に変更が可能であり、柔軟性の高いシステム構築が可能となる。
本発明実施形態にかかわる通信プロファイル自動配布設定システムは、端末装置1と、社内サーバセグメント2と、ポリシー管理サーバ3(PSPM)と、IPsec終端装置4と、ハブ5で構成される。
端末装置1上には通信制御エージェント(以下、PSクライアントという)がインストールされ、このPSクライアントは、IPsecによるVPN(Virtual Private Network)、およびパーソナルファイアウォールのルールを動的に切り替えることにより、端末装置1のアクセス制御を行うエージェントソフトウェアである。詳細は後述する。
なお、ここで、通信プロファイルとは、PSクライアントが通信制御に用いる、IPsecによるVPNの通信プロファイル、およびパーソナルファイアウォールのフィルタリングルールをいう。
また、この通信プロファイルは、デフォルト通信プロファイルとダイナミック通信プロファイルの2種類存在し、前者は、端末装置1の初期起動状態で通信が許可されたネットワークへの宛先情報が記述され、後者は、端末識別後に通信可能なネットワークへの宛先情報が記述されている。PSPM3は、端末装置1から初期起動状態における接続要求を受信してデフォルト通信プロファイルを配信し、通常使用状態における接続要求を受信してダイナミック通信プロファイルを配信する。
本発明実施形態にかかわる管理装置(PSPM3)は、端末識別情報受信部31と、デフォルト通信プロファイル要求受信部32と、デフォルト通信プロファイル送信部33と、ダイナミック通信プロファイル要求受信部34と、ダイナミック通信プロファイル送信部35と、デフォルト通信プロファイル36と、ダイナミック通信プロファイル37で構成される。なお、デフォルト通信プロファイル36と、ダイナミック通信プロファイル37は、DB(Data Base)形式で記憶装置(図示せず)に格納される。
また、デフォルト通信プロファイル要求受信部32は、端末装置1の初期起動状態においてデフォルト通信プロファイルの取得要求を受信する機能を持ち、デフォルト通信プロファイル送信部33は、端末識別情報で暗号化したデフォルト通信プロファイルを送信する機能を持つ。更に、ダイナミック通信プロファイル要求受信部34は、デフォルト通信プロファイルの設定確認を行った端末装置1から端末識別IDを端末識別IDで暗号化した値をパラメータとして持つ認証要求を受信する機能を持ち、ダイナミック通信プロファイル更新部35は、そのパラメータを端末識別IDで復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信する機能を持つ。
以下、図3〜図5を参照しながら、図1、図2に示す本発明実施形態の動作について詳細に説明する。
なお、端末識別IDは、あらかじめ端末装置1にインストール済みの端末識別ID生成ツール(図示せず)により生成される。ここで、端末識別ID生成ツールとは、PSPM3が端末装置1の端末認証を行う際に用いる、端末個々にユニークな端末識別IDを生成するソフトウェアである。端末識別ID生成ツールは、ユーザが手動で起動可能な実行形式のファイルで提供される。
また、端末識別IDとして、端末装置1に内蔵されるハードディスクの装置番号やそのハッシュ値を利用してもよい。この番号を利用するのは、端末装置1内で交換される可能性の低い装置の1つだからである。
上記のように、暗号化されたデフォルト通信プロファイルは、PSPM3内にあるWeb機能にリンクされ、利用する端末装置1からのブラウザ接続によりデフォルト通信プロファイルのダウンロード配信が可能である。その際、設定により通常のHTTP(Hyper Text Transfer Protocol)通信で配布することもできるが、HTTPS(Hyper Text Transfer Protocol Security)通信での配布も可能である。
デフォルト通信プロファイルは、端末装置1にPSエージェントをインストールした後、PSPM3にブラウザを用いWebアクセスすることで入手できる。具体的に、端末装置1から発行されるデフォルトVPN情報要求は、この端末装置1の端末識別IDのハッシュ値とともに(S41)、PSPM3のデファルト通信プロファイル要求受信部31で受信され、デフォルト通信プロファイル送信部32がこれに応答して、端末識別IDのハッシュ値として、デフォルト通信プロファイル36を参照し、相当するデフォルトVPN情報を送信する。ここでは、先に受信した端末識別IDで暗号化したデフォルトVPN情報を送信する。
このため、端末装置1にインストールされるPSクライアントを含むプログラムには、(1)デフォルト通信プロファイルおよびダイナミック通信プロファイルに基づきIPsec、パーソナルファイアウォールを実行するための機能、(2)端末識別IDを生成するための機能、(3)PSPM3と認証およびポーリンによる通信を行う機能、(4)PSPM3からのダイナミック通信プロファイルを内蔵する揮発性メモリに展開する機能、(5)暗号化されたデフォルト通信プロファィルおよびダイナミック通信プロファイルを端末識別IDに基づき復号化する機能、(6)複数のデフォルト通信プロファイルが存在する場合、その通信手段に応じて1つのデフォルト通信プロファイルを選択する機能、(7)ネットワークの接続状態を監視する機能、(8)これら各機能のログ収集機能が必要とされる。
端末装置1は、まず電源投入と共にPSクライアントを起動する(S51、S52)。そして、ネットワークの接続確認を行い(S53)、更に、先に取得済みのデフォルト通信プロファイルの設定確認を行う(S54)。未だ設定がなされていなかった場合には初期設定指示を行い(S55)、初期設定を促す。
認証要求をダイナミック通信プロファイル要求受信部34で受信したPSPM3は、ダイナミック通信プロファイル送信部35において認証処理を実行し(S61)、具体的に、端末識別IDのハッシュ値を検索し、それに関連付けられたおよび端末識別IDを抽出し、端末識別IDを端末識別IDで暗号化した値を抽出した端末識別IDを用いて復号化し、その結果が抽出された端末識別IDと合致したときに、相当のDyn(ダイナミック)通信プロファイルを抽出して送信する(S62)。ここで、認証が成立しなかった場合は、否認用のDyn(ダイナミック)通信プロファイルを送信する(S63)。
PSPM3はこのポーリングにより、端末装置1のネットワークの接続状態を知ることができ、それに伴い、動的な通信プロファイルの設定変更を行うことができる。ポーリングによりダイナミック通信プロファイルの設定変更が必要になったことを検出したPSPM3は、相当のダイナミック通信プロファイルを選択して暗号化処理を施し、上記同様、端末装置1へ送信して復号化および設定を促す。
なお、現行のダイナミック通信プロファイルを変更する場合はシステム管理者が情報設定画面で設定を変更する必要がある。その際、ポーリングを受信している端末装置1に対し、即座に変更されたダイナミック通信プロファイルを送付することができる。
更に、システム管理者がネットワーク環境に即応した各端末装置もしくは個人毎の通信プロファイルの変更も即座に行うことができる。また、配布を行う通信プロファイルは、利用できる時間帯や特定の曜日、期間などの内容も設定することが可能であるため、きめ細やかなネットワーク運用管理が可能である。このことにより、端末装置が接続可能なサーバやホストのアクセス制限を一元管理することが可能となり、運用のための作業軽減が実現できる。
本システムの応用として、社内システムにて、ネットワークにウィルスが蔓延しており緊急にアクセス制限をかけたい場合などに、通信制御サーバより現在適用している通信制御エージェントのダイナミック通信定義情報を強制的に変更することも可能である。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (5)
- 端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成る、通信プロファイル自動配布設定システムであって、
前記管理装置は、
前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して保管する記憶手段と、
前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、
前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを、送信して配布するダイナミック通信プロファイル送信手段と
を有し、
前記端末装置は、前記管理装置と通信を行い、前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うことを特徴とする通信プロファイル自動配布設定システム。 - 前記管理装置は、
前記端末装置との間で一定間隔にて通信を行い、前記端末装置の前記サーバへのアクセス許可内容が変化している場合には、更新された前記ダイナミック通信プロファイルを暗号化して配布することを特徴とする請求項1に記載の通信プロファイル自動配布設定システム。 - 端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置であって、
前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する記憶手段と、
前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信するデフォルト通信プロファイル送信手段と、
前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信するダイナミック通信プロファイル送信手段と、
を備えたことを特徴とする管理装置。 - 端末装置と、管理装置と、前記管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成るコンピュータネットワークシステムにおける通信プロファイルの自動配布設定方法であって、
前記管理装置が、
前記端末装置から端末識別情報を取得し、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルを、前記端末識別情報で暗号化して記憶手段に保管する過程と、
デフォルト通信プロファイル送信手段により、前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する過程と、
ダイナミック通信プロファイル送信手段により、前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に、前記端末識別後に通信可能なネットワークへの宛先情報が記述された、該当するダイナミック通信プロファイルを送信して配布する過程と
を有し、
前記端末装置が、前記管理装置と通信を行い前記管理装置から配布されたダイナミック通信プロファイルに従い前記サーバとの間で通信を行うステップと、
を有することを特徴とする通信プロファイルの自動配布設定方法。 - 端末装置と、管理装置による端末認証の結果アクセスが許可されるサーバとがネットワークを介して接続されて成り、前記端末装置の初期起動状態で通信が許可されたネットワークへの宛先情報が記述されたデフォルト通信プロファイルと、前記端末装置の識別後に通信可能なネットワークへの宛先情報が記述されたダイナミック通信プロファイルとを管理する前記管理装置に用いられるプログラムであって、
前記端末装置から端末識別情報を取得し、デフォルト通信プロファイルを前記端末識別情報で暗号化して保管する処理と、
前記端末装置の初期起動状態において前記デフォルト通信プロファイルの取得要求を受信し、前記端末識別情報で暗号化したデフォルト通信プロファイルを送信する処理と、
前記デフォルト通信プロファイルの設定確認を行った前記端末装置から前記端末識別情報を暗号化した値をパラメータとして持つ認証要求を受信し、前記パラメータを前記端末識別情報で復号して認証を行い、当該認証が成功した時に該当のダイナミック通信プロファイルを送信する処理と、
をコンピュータに実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005075166A JP4005090B2 (ja) | 2005-03-16 | 2005-03-16 | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005075166A JP4005090B2 (ja) | 2005-03-16 | 2005-03-16 | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006261937A JP2006261937A (ja) | 2006-09-28 |
JP4005090B2 true JP4005090B2 (ja) | 2007-11-07 |
Family
ID=37100700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005075166A Active JP4005090B2 (ja) | 2005-03-16 | 2005-03-16 | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4005090B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4796977B2 (ja) * | 2007-01-31 | 2011-10-19 | 株式会社日本デジタル研究所 | リモートアクセス方法、ネットワーク接続設定方法およびリモートアクセスシステム |
JP5032246B2 (ja) * | 2007-08-31 | 2012-09-26 | 株式会社東芝 | システムおよび制御方法 |
CN105765901B (zh) | 2013-12-20 | 2019-11-08 | 迈克菲有限责任公司 | 智能防火墙访问规则 |
KR101540672B1 (ko) * | 2014-01-13 | 2015-07-31 | 주식회사 엔피코어 | 이동 단말기의 해킹 방지 시스템 및 그 방법 |
-
2005
- 2005-03-16 JP JP2005075166A patent/JP4005090B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006261937A (ja) | 2006-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7865718B2 (en) | Computer-readable recording medium recording remote control program, portable terminal device and gateway device | |
KR100890287B1 (ko) | 외부 인증 장치와 통신 가능한 정보 처리 장치 | |
JP5797060B2 (ja) | アクセス管理方法およびアクセス管理装置 | |
JP2004288169A (ja) | ネットワーク接続システム | |
JP2009140030A (ja) | サーバ装置、クライアント装置、プリンタ、プリントシステムおよびプログラム | |
JP2006260027A (ja) | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 | |
EP3472719B1 (en) | Method and apparatus of implementing a vpn tunnel | |
JP4916020B2 (ja) | リモートアクセスシステム、これに使用する補助記憶装置、リモートアクセス方法 | |
JP4005090B2 (ja) | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム | |
JP2016091279A (ja) | アカウント管理プログラム、画像形成装置、および画像形成システム | |
WO2013042412A1 (ja) | 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体 | |
US9231932B2 (en) | Managing remote telephony device configuration | |
JP2004151942A (ja) | ウェブサービス提供装置、ウェブサービス提供方法およびウェブサービス提供プログラム | |
JP2001005746A (ja) | ファイル転送システム | |
JP2008028899A (ja) | 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法 | |
JP5535104B2 (ja) | 情報処理システム、管理サーバ、端末装置、情報処理方法、及びプログラム | |
JP2006229747A (ja) | データ提供サーバ、データ提供プログラム、データ提供方法 | |
JP2008234256A (ja) | 情報処理システム及びコンピュータプログラム | |
US8504665B1 (en) | Management of a device connected to a remote computer using the remote computer to effect management actions | |
JP5912159B2 (ja) | アクセス管理方法およびアクセス管理装置 | |
JP2018163589A (ja) | 通信システム、サーバ装置、及びゲートウェイサーバ | |
JP7045040B2 (ja) | 通信端末 | |
JP6162611B2 (ja) | 通信制御サーバ、通信制御方法、及びプログラム | |
KR101269095B1 (ko) | 휴대 단말기를 이용한 이동식 저장 장치 및 그 구현 방법 | |
KR101591053B1 (ko) | 푸시 서비스를 이용한 원격제어 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070213 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070307 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070424 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070614 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070814 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070822 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4005090 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100831 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110831 Year of fee payment: 4 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110831 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120831 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120831 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130831 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140831 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |